阿里雲解析DNS產品面向企業內網情境(主要為阿里雲VPC內網情境)提供的完整DNS解析服務。
概述
內網網域名稱解析(Private Hosted Zone)服務是原“雲解析PrivateZone”產品的全新升級,是阿里雲解析DNS產品面向企業內網情境(主要為阿里雲VPC內網情境)提供的完整DNS解析服務,涵蓋内网域名解析、緩衝、轉寄、遞迴等功能模組,為雲上客戶在VPC內網環境下的各種用戶端(如ECS主機、容器)提供網域名稱解析、內網網域名稱解析加速、內網私人權威網域名稱定義、雲上與雲下IDC解析流量轉寄、內網解析流量日誌分析等服務。
產品能力
阿里雲解析DNS產品通過在阿里雲全球各個機房部署自研DNS軟體,提供面向VPC內網情境的完整網域名稱解析DNS服務(簡稱“內網DNS解析”服務),整個服務包括以下功能模組:
内网域名解析
原“Alibaba Cloud DNS PrivateZone”服務,內建於企業內網(阿里雲Virtual Private Cloud)環境中的私人DNS權威模組。該服務允許建立只在您企業內網VPC中生效的私人權威網域名稱,並可解析映射到IP地址。您可以方便地使用私人權威網域名稱記錄來管理VPC中的ECS主機名稱、SLB、OSS等阿里雲資源,而這些私人權威網域名稱在VPC之外將無法訪問。此外,您還可以通過專線或VPN等串連方式,將您的VPC與傳統資料中心相連,實現傳統資料中心與阿里雲VPC之間通過私人權威網域名稱進行資源互相訪問。
根據服務部署位置差異,内网域名解析服務位置區分為:加速區、普通區。原“Alibaba Cloud DNS PrivateZone”服務建立的私人權威網域名稱都存放在普通區;加速區權威服務離解析請求源更近,加速區權威網域名稱解析記錄資料存放在DNS伺服器高速記憶體,所以對加速區的私人權威網域名稱解析消耗的時延最短,特別適合將注重解析時延和穩定性的網域名稱建立為內網加速區權威網域名稱,保障此類網域名稱的解析體驗。加速區支援分線路智能解析和權重解析功能,普通區不支援這兩個功能。
緩衝
內網DNS解析服務的緩衝模組,主要用於加速網域名稱在企業內網VPC的解析速度。通常VPC內網中的所有網域名稱解析請求,都會將解析結果儲存到DNS伺服器快取記憶體中,以便下次對相同網域名稱進行解析時能快速獲得解析結果。緩衝中存放的解析應答結果期間受TTL時間影響,TTL到期後緩衝效果會自動失效。您可以通過開啟“緩衝保持”功能,強制要求快取服務將某些重點網域名稱的解析結果持續儲存在DNS伺服器記憶體中不釋放(TTL到期後如果有解析請求會先應答解析請求,再更新解析結果),緩衝保持功能可以提升您重點網域名稱在內網VPC環境中的解析速度,並可以避免網域名稱在公網解析不可解析帶來的異常影響(如:網域名稱公網權威DNS服務故障)。具體請參考緩衝管理。
轉寄
原Alibaba Cloud DNS PrivateZone的“解析器”服務,內網DNS解析服務的轉寄模組(對應原Alibaba Cloud DNS PrivateZone產品中的“解析器”服務),通過建立網域名稱轉寄規則和DNS出站終端節點,可將企業內網VPC中的特定網域名稱解析請求流量轉寄到外部DNS系統,能夠有效解決混合雲、雲上&雲下的業務間調用情境。具體請參考轉寄管理。
遞迴
內網DNS解析服務的遞迴模組,主要為企業內網VPC環境中的各類終端(如ECS主機)提供出公網的網域名稱遞迴解析服務。該服務為阿里雲VPC內網解析情境預設提供的免費服務,但不承諾服務SLA。您也可以通過修改ECS上的預設DNS伺服器IP地址(100.100.2.136/100.100.2.138),實現使用其他廠商的DNS伺服器做解析(此時該ECS將整體無法使用阿里雲解析DNS提供的內網解析服務)。
入站終端節點
入站終端節點是指內網DNS解析服務的NameSever地址,可作為雲內用戶端(ECS或者容器)的DNS服務地址進行配置,也可作為雲外用戶端 (雲外主機或者雲外DNS) 訪問雲內DNS解析服務的目標IP地址進行配置。入站終端節點分為“系統分配”和“自訂”兩類,系統分配的預設內網DNS解析服務地址是100.100.2.136和100.100.2.138,以anycast任播方式對所有地區的所有VPC提供DNS解析服務,該地址可免費使用,不產生額外的地址使用費用;
如果您希望使用VPC內自己規劃的私網IP地址提供內網DNS解析服務,可以通過建立入站終端節點來分配自訂的內網DNS解析服務地址,該地址按需建立,隨用隨付。具體請參考入站終端節點。
流量分析
內網DNS解析服務提供端到端、全鏈路、可視化的網域名稱解析流量分析服務,完整還原從收到網域名稱解析請求、網域名稱解析過程、最終返回DNS解析應答的全鏈路過程。提供解析時延、解析請求量、解析命中緩衝率、熱點網域名稱、熱點請求來源等各個維度資料分析,為您最佳化解析設定提供資料參考。
內網DNS解析服務供應項目規則僅對企業內網VPC中DNS伺服器位址配置為100.100.2.136/100.100.2.138或者通過入站終端節點自訂的IP的終端發起的解析請求有效(若將ECS終端的DNS設定修改為其他IP地址,則阿里雲解析DNS內網解析服務的產品規則無法在該ECS上生效)。
解析規則優先順序說明
企業內網VPC情境中,DNS伺服器收到一次網域名稱解析請求後,會按如下優先順序規則對網域名稱進行解析:
產品優勢
豐富的產品功能
智能解析:支援內網網域名稱解析針對來源於某個特殊IP段的DNS查詢請求返回特定的IP地址,目前支援阿里雲解析線路及自訂解析線路。
權重解析:相同主機記錄、相同的解析請求來源配置多個IP地址或網域名稱地址時,支援對每個記錄值設定權重,在應答DNS查詢時,所有IP地址/網域名稱地址按照預先設定的權重比例返回,將解析流量分配到不同的伺服器上,從而達到負載平衡的目的。
緩衝保持:支援使用者對熱點網域名稱、重點網域名稱設定緩衝保持,設定緩衝保持的網域名稱解析記錄會一直儲存在緩衝中,提高網域名稱在內網DNS解析速度,規避網域名稱的權威DNS廠商服務故障引起的解析服務中斷影響。
緩衝清除:有些內網業務在緊急變更情況下,需要及時重新整理內網DNS網域名稱的最新解析記錄。如果網域名稱已經設定為緩衝保持網域名稱,可以通過緩衝清除功能清除使用者緩衝保持網域名稱在緩衝規則生效範圍對應快取服務器上的資料。
轉寄管理:支援將企業內網VPC中的特定網域名稱解析請求流量轉寄到外部DNS系統,能夠有效解決混合雲、雲上&雲下的業務間調用情境。
流量分析:提供端到端、全鏈路、可視化的流量分析服務,完整還原從收到網域名稱解析請求、網域名稱解析過程、最終返回DNS解析應答的全鏈路過程。並且提供圖形化報表方便使用者查閱,您可以根據解析流量資料變化及時調整您的業務架構。
安全隔離
內網DNS解析對不同的VPC實現完全資料隔離,具有以下安全特性:
網域名稱(Zone)不會在Internet上被查詢到,避免您的內部商務資訊、內部系統架構被外界惡意探測。
網域名稱(Zone)不會在網域名稱生效範圍外被查詢到,界定了您的內部系統訪問邊界,將核心資料訪問限制在最小範圍。
網域名稱(Zone)資料結合網路隧道特性,經過嚴密的安全處理,使您的網域名稱(Zone)資訊無法被惡意破解。
靈活控制
您可以無限制地添加或定製內網網域名稱(Zone)檔案。
您可以在內網DNS內添加任何網域名稱(Zone),例如:
taobao.com,設定網域名稱生效範圍後,taobao.com將覆蓋公網上的DNS解析結果。您可以在VPC內定製無法實際註冊的網域名稱。例如:
example.test,example.abcd等。您可以將相同名稱的網域名稱(Zone)設定不同的網域名稱生效範圍,使不同Region的VPC通過相同的網域名稱,訪問不同的雲資源,實現就近訪問。例如:在華北2和華東2的VPC內查詢
test.example.com時,DNS會分別返回華北2和華東2的雲資源地址。
系統架構
內網網域名稱解析是由管控層和解析層兩部分組成:
管控層:管控層通過控制台和OpenAPI對外提供服務,主要實現了網域名稱解析資料、配置資料、日誌資料等的增刪改查功能和儲存功能。管控層位於中國內地-華北3(張家口)、中國內地-華東1(杭州)。
解析層:解析層通過部署在全球Region範圍內的解析伺服器叢集對外提供服務,解析層接收來自於管控層分發的網域名稱解析記錄資料,主要實現了對網域名稱解析記錄資料的查詢請求進行應答的功能。解析層在阿里雲公開售賣的所有地區和可用性區域均有覆蓋。
應用情境
主機名稱管理
通過規範ECS主機名稱命名方式,使機器用途更容易理解看懂。藉助內網解析服務“主機名稱記錄”功能自動同步配置ECS主機名稱解析記錄,實現通過主機名稱訪問ECS。
例如,某公司(example.com)在華北2可用性區域E的VPC內有50台ECS機器,其中20台ECS用於官網首頁、20台ECS用於移動端App、10台用於自我裝載環境。那麼可以按照以下方式來規劃主機名稱:
官網:web01.huabei2-e.example.com 至 web20.huabei2-e.example.com
App:m01.huabei2-e.example.com 至 m20.huabei2-e.example.com
測試:test01.huabei2-e.example.com 至 test10.huabei2-e.example.com
這樣配置後,通過內網解析服務定義某個内网域名解析網域名稱,並開啟ECS主機名稱記錄自動同步功能,實現在特定VPC網路通過主機名稱訪問ECS的用途,提升了日常主機管理的便捷性。
分線路解析
老版本PrivateZone服務不支援分線路智能解析(不支援自訂線路、阿里雲線路)。而升級後的內網DNS解析 (PrivateZone) 支援分線路智能解析,會判斷訪問者的來源,為不同的訪問者智能返回不同的IP地址,可使訪問者在訪問網站時擷取使用者指定的IP地址,提升網站訪問速度。只有内网域名解析加速地區名支援智能解析,包括阿里雲線路和自訂解析線路。
權重解析
當網域名稱(Zone)下存在相同主機記錄、相同解析線路的多條A記錄、AAAA記錄、CNAME記錄時,例如做業務遷移時,需要將業務從IP1遷移至IP2,此過程要求流量逐步切換,就需要對IP1和IP2承接的業務流量動態切換,您可以通過設定解析記錄的權重值,在應答DNS查詢時,所有地址按照預先設定的權重返回不同的解析結果,將解析流量分配到不同的伺服器上,從而達到負載平衡的目的。只有内网域名解析加速地區名支援分權重智能解析功能。
雲上服務執行個體化
對於部署在雲上的服務,往往涉及服務之間的互訪。通過使用內網解析服務,為每個雲上服務產生VPC內網權威網域名稱並解析到具體的服務內網IP地址,將雲上服務執行個體化,大大降低服務IP地址變更對研發的改動。
例如在API管理情境,假設某公司(example.com)業務系統需要通過內部API介面擷取帳號鑒權資訊。但是該API系統涉及隱私,不能暴露在公網,因此API使用保留IP地址。
那麼可以為該API分配網域名稱 account.inner.example.com,並將其解析指向 10.23.45.67。在API服務地址變更為10.45.67.89時,只要把account.inner.example.com的解析變更為新的IP地址即可。
網域名稱解析加速及容災保護
隨著互連網的發展,企業間網域名稱互訪現象突出,間接造成了服務依賴,一旦被依賴的網域名稱在公網解析不穩定(如網域名稱所用DNS服務沒有全球節點導致的解析時延高、網域名稱所用DNS服務宕機等),將導致依賴方的服務也受影響。
通過使用內網解析服務“緩衝管理”功能,可以在VPC內網環境極大提升對網域名稱的解析速度,並確保網域名稱解析不受網域名稱所用DNS服務商穩定性影響。開啟緩衝保持後,網域名稱的解析緩衝不會被清除,從而實現內網VPC中網域名稱解析能100%命中快取資料,極大提升網域名稱在內網VPC中的解析速度。在緩衝TTL到期後,網域名稱解析請求將會觸發系統對網域名稱解析結果的更新,如果此時網域名稱所用的公網權威DNS服務異常,系統依然會使用老的緩衝的解析結果繼續應答,確保解析應答正常,從而在網域名稱所用DNS服務異常時起到容災保護。
雲上雲下解析資料互連
在大型企業集團業務逐步上雲的過程,往往涉及企業內網(雲上VPC+企業IDC)中網域名稱解析如何平滑過渡問題。在未上雲時,企業內部可能會有自建DNS服務,並往往定義了較多內網私人網域名稱用於內部服務互訪;在企業上雲後,遷移上雲的服務需要依然可以正常解析訪問原有的IDC內網中的私人網域名稱。
通過使用內網解析服務“轉寄管理”功能(Resolver解析器),可以將VPC內某些特定網域名稱的解析請求轉寄到特定DNS服務進行解析。在企業雲上VPC內的服務訪問原有的私人網域名稱時,將此類私人網域名稱解析請求轉寄到原企業自建DNS進行解析,確保此類私人網域名稱解析邏輯不變,為業務平滑遷移上雲提供保障。
通過使用內網DNS解析“入站終端節點”功能,可以將IDC內的網域名稱解析請求通過入站終端節點轉入對應VPC內解析,並且使用者可以自訂雲內DNS解析服務的目標IP地址,以免與本地IDC內位址區段衝突。這樣雲上雲下只需要維護一套DNS解析系統,降低營運工作量。
流量分析
目前眾多阿里雲產品均整合內網DNS解析服務,但以往的服務是黑盒化的,使用者對於內網DNS的解析服務情況瞭解甚少,使用者無法根據網域名稱解析情況及時調整業務架構。而本次內網DNS解析服務提供端到端、全鏈路、可視化的網域名稱解析流量分析服務,完整還原從收到網域名稱解析請求、網域名稱解析過程、最終返回DNS解析應答的全鏈路過程。提供解析時延、解析請求量、解析命中緩衝率、熱點網域名稱、熱點請求來源等各個維度資料分析,為業務最佳化解析設定提供資料參考。