🪴 What Chever Known

DNS 相关的知识

18 min read

一些简单的总结回顾。

DNS 解析过程的完整步骤是什么?

要点

  • 从浏览器缓存、操作系统缓存、路由器缓存、ISP DNS 服务器,到递归查询根域名服务器、顶级域名服务器、权威域名服务器的完整流程。
  • 需要了解 A 记录、CNAME 记录等常见 DNS 记录类型。
  • 了解 DNS 污染和 DNS 劫持的概念

如何优化 DNS 解析性能?

要点

  • DNS 缓存:合理配置 DNS 缓存时间(TTL),减少 DNS 查询次数。
  • 选择合适的 DNS 服务器:选择响应速度快、稳定性高的 DNS 服务器,如 Cloudflare DNS、Google Public DNS。
  • DNS 预取(DNS Prefetching):在 HTML 中使用 <link rel="dns-prefetch" href="//example.com"> 提示浏览器提前进行 DNS 解析。
  • HTTP/3 和 QUIC:HTTP/3 协议使用 QUIC 协议作为传输层,QUIC 协议内置了 DNS 查询功能,可以减少 DNS 查询的延迟。
  • Local DNS Resolver:部署本地 DNS 解析器(如 dnsmasq),缓存 DNS 记录,减少对外部 DNS 服务器的依赖。
  • Anycast:使用 Anycast 技术部署 DNS 服务器,将 DNS 服务器部署在多个地理位置,选择最近的 DNS 服务器进行解析。

如何保证 DNS 解析的安全性?

要点

  • DNSSEC(DNS Security Extensions):使用 DNSSEC 协议对 DNS 记录进行签名,防止 DNS 欺骗和 DNS 污染。
  • TSIG(Transaction Signatures):使用 TSIG 协议对 DNS 查询和响应进行身份验证,防止中间人攻击。
  • DNS over HTTPS (DoH) 和 DNS over TLS (DoT):使用 DoH 和 DoT 协议对 DNS 查询进行加密,防止 DNS 窃听。
  • 限制 DNS 区域传输:限制允许进行 DNS 区域传输的 IP 地址,防止未经授权的 DNS 区域信息泄露。
  • 监控 DNS 流量:监控 DNS 流量,及时发现和阻止恶意 DNS 查询。
  • 使用信誉良好的 DNS 服务提供商:选择有良好安全记录的 DNS 服务提供商。

如何处理 DNS 解析故障?

要点:

  • 检查 DNS 服务器配置:确保 DNS 服务器地址配置正确。
  • 检查网络连接:确保网络连接正常,可以访问外部网络。
  • 清除 DNS 缓存:清除本地 DNS 缓存和操作系统 DNS 缓存。
  • 使用 nslookupdig 命令进行 DNS 查询:使用 nslookupdig 命令手动进行 DNS 查询,检查 DNS 服务器是否正常工作。
  • 更换 DNS 服务器:尝试更换 DNS 服务器,如 Cloudflare DNS、Google Public DNS。
  • 检查防火墙设置:确保防火墙没有阻止 DNS 查询。
  • 检查 DNSSEC 配置:如果使用了 DNSSEC,检查 DNSSEC 配置是否正确。

什么是 DNS 区域传输(DNS Zone Transfer)?如何防止未经授权的区域传输?

要点

  • 定义:DNS 区域传输是指将 DNS 服务器上的区域文件(包含域名和 IP 地址的映射关系)复制到其他 DNS 服务器的过程。
  • 风险:未经授权的区域传输可能导致 DNS 信息泄露,攻击者可以利用这些信息进行 DNS 欺骗、钓鱼等攻击。
  • 防范措施:
    • 限制允许进行区域传输的 IP 地址:只允许授权的 DNS 服务器进行区域传输。
    • 使用 TSIG 协议进行身份验证:对 DNS 区域传输请求进行身份验证,防止未经授权的访问。
    • 禁用 AXFR 传输:AXFR 传输是全量区域传输,可以使用 IXFR 传输(增量区域传输)代替,减少传输的数据量。
    • 监控区域传输请求:监控区域传输请求,及时发现和阻止未经授权的访问。

什么是 DNS 污染(DNS Spoofing)和 DNS 劫持(DNS Hijacking)?如何防范?

要点

  • DNS 污染:指 DNS 服务器返回错误的 DNS 记录,导致用户访问错误的网站。
  • DNS 劫持:指攻击者篡改 DNS 查询结果,将用户重定向到恶意网站。
  • 防范措施:
    • 使用 DNSSEC 协议:对 DNS 记录进行签名,防止 DNS 欺骗。
    • 使用 DoH 和 DoT 协议:对 DNS 查询进行加密,防止 DNS 窃听。
    • 使用 VPN:使用 VPN 可以隐藏真实的 IP 地址,防止 DNS 劫持。
    • 手动配置 DNS 服务器:手动配置 DNS 服务器,避免使用 ISP 提供的 DNS 服务器,因为 ISP 的 DNS 服务器可能受到 DNS 污染。
    • 使用 hosts 文件:在 hosts 文件中手动指定域名和 IP 地址的映射关系,绕过 DNS 查询。

什么是 CNAME 记录?它有什么作用?

要点

  • 定义:CNAME 记录(Canonical Name Record)是指将一个域名指向另一个域名。
  • 作用:
    • 简化 DNS 管理:当需要更改服务器 IP 地址时,只需要更改 CNAME 记录指向的域名对应的 A 记录,而不需要更改所有使用该域名的 CNAME 记录。
    • 实现负载均衡:将一个域名指向多个服务器,实现简单的负载均衡。
    • 方便服务迁移:将一个域名指向新的服务器,实现服务的平滑迁移。

什么是 DNS 负载均衡?有哪些实现方式?

要点

  • 定义:DNS 负载均衡是指使用 DNS 服务器将用户的请求分发到多个服务器,实现负载均衡。
  • 实现方式:
    • Round Robin DNS:DNS 服务器轮流返回不同的 IP 地址,实现简单的负载均衡。
    • GeoDNS:根据用户的地理位置,返回最近的服务器 IP 地址。
    • 基于权重的 DNS 负载均衡:根据服务器的权重,返回不同服务器的 IP 地址。
    • 使用专业的 DNS 负载均衡服务:如 AWS Route 53、Cloudflare Load Balancing 等。

在微服务架构中,DNS 如何发挥作用?

要点

  • 服务发现:使用 DNS 作为服务发现机制,将服务名映射到 IP 地址,实现服务之间的调用。
  • 负载均衡:使用 DNS 负载均衡将请求分发到多个服务实例,实现负载均衡。
  • 服务隔离:使用 DNS 将不同的服务部署在不同的域名下,实现服务隔离。

服务发现

对于这一点,Kubernetes 深有感触。

简介

在 kubernetes 中,使用 CoreDNS 作为集群内部 DNS 服务器。每个 Service 都会在 CoreDNS 中创建一个 DNS 记录,Pod 可以通过 Service 的 DNS 名称访问服务。

例如,一个名为 order-service 的 Service,其 DNS 名称为 order-service.default.svc.cluster.local。Pod 可以通过该 DNS 名称访问 order-service 的服务实例。

这边拿一个示例,假设有一个名为 user-service 的微服务,其 IP 地址为 192.168.1.100,可以在 DNS 服务器上创建一个 A 记录:

user-service.example.com.  A  192.168.1.100

其他微服务可以通过查询 user-service.example.com 获取 user-service 的 IP 地址

实际案例

假设我们有一个微服务架构,其中包含以下服务:

  • user-service:用户服务
  • order-service:订单服务
  • payment-service:支付服务
实际配置

每个服务都有多个实例运行在不同的主机和端口上。我们希望使用 DNS SRV 记录来实现服务发现,以便其他服务可以动态地找到这些服务实例。

SRV 记录的格式

SRV 记录的格式如下:

_service._proto.name. TTL IN SRV priority weight port target.
  • _service:服务的名称。
  • _proto:使用的协议,通常是 _tcp_udp
  • name:域名。
  • TTL:Time-To-Live,缓存时间。
  • IN:Internet,表示互联网。
  • SRV:SRV 记录类型。
  • priority:优先级,数值越小优先级越高。
  • weight:权重,用于在相同优先级的记录中进行负载均衡。
  • port:服务监听的端口号。
  • target:提供服务的主机名。

配置 SRV 记录

假设 user-service 有两个实例:

  • host1.example.com,端口 8080,优先级 10,权重 50
  • host2.example.com,端口 8080,优先级 10,权重 50

可以在 DNS 服务器上配置以下 SRV 记录:

_user-service._tcp.example.com. 3600 IN SRV 10 50 8080 host1.example.com.
_user-service._tcp.example.com. 3600 IN SRV 10 50 8080 host2.example.com.

假设 order-service 有一个实例:

  • host3.example.com,端口 9000,优先级 10,权重 100

可以在 DNS 服务器上配置以下 SRV 记录:

_order-service._tcp.example.com. 3600 IN SRV 10 100 9000 host3.example.com.

假设 payment-service 有两个实例,但其中一个实例的优先级较低,作为备用:

  • host4.example.com,端口 7000,优先级 10,权重 100
  • host5.example.com,端口 7000,优先级 20,权重 100

可以在 DNS 服务器上配置以下 SRV 记录:

_payment-service._tcp.example.com. 3600 IN SRV 10 100 7000 host4.example.com.
_payment-service._tcp.example.com. 3600 IN SRV 20 100 7000 host5.example.com.
服务发现过程

order-service 需要调用 user-service 时,它会向 DNS 服务器查询 _user-service._tcp.example.com 的 SRV 记录。

DNS 服务器会返回以下 SRV 记录:

_user-service._tcp.example.com. 3600 IN SRV 10 50 8080 host1.example.com.
_user-service._tcp.example.com. 3600 IN SRV 10 50 8080 host2.example.com.

order-service 可以根据优先级和权重选择一个服务实例进行调用。在这个例子中,host1.example.comhost2.example.com 的优先级相同,权重也相同,因此 order-service 可以随机选择一个实例进行调用。

order-service 需要调用 payment-service 时,它会向 DNS 服务器查询 _payment-service._tcp.example.com 的 SRV 记录。

DNS 服务器会返回以下 SRV 记录:

_payment-service._tcp.example.com. 3600 IN SRV 10 100 7000 host4.example.com.
_payment-service._tcp.example.com. 3600 IN SRV 20 100 7000 host5.example.com.

order-service 会首先尝试调用优先级为 10host4.example.com。如果调用失败,则会尝试调用优先级为 20host5.example.com

总结

通过使用 SRV 记录,我们可以实现更灵活的服务发现。SRV 记录可以包含端口号、优先级、权重等信息,使得服务可以动态地找到服务实例,并根据优先级和权重进行负载均衡。

优点

  • 灵活性:SRV 记录可以包含更多的信息,更灵活地进行服务发现。
  • 动态性:服务实例可以动态地注册和注销,无需手动更新 DNS 记录。
  • 负载均衡:可以根据优先级和权重进行负载均衡。
  • 高可用性:可以使用优先级实现故障转移。

缺点

  • 复杂性:SRV 记录的配置相对复杂。
  • 兼容性:并非所有客户端都支持 SRV 记录。

负载均衡

定义:DNS 负载均衡是一种利用 DNS 服务器将用户的请求分发到多个服务器上的技术 124。当用户尝试访问一个域名时,DNS 服务器会根据一定的策略返回不同的 IP 地址,从而将用户的请求分发到不同的服务器上,实现负载均衡。

原理

  • DNS 服务器可以配置多个 A 记录或 SRV 记录,将服务名映射到多个 IP 地址。
  • DNS 服务器可以根据不同的策略(如 Round Robin、GeoDNS、加权)返回不同的 IP 地址,实现负载均衡。
  1. 用户发起 DNS 查询:用户在浏览器中输入域名,浏览器向 DNS 服务器发起查询请求。
  2. DNS 服务器接收查询:DNS 服务器接收到查询请求。
  3. DNS 服务器选择 IP 地址:DNS 服务器根据配置的负载均衡策略选择一个 IP 地址。
  4. DNS 服务器返回 IP 地址:DNS 服务器将选择的 IP 地址返回给用户。
  5. 用户连接服务器:用户使用返回的 IP 地址连接服务器。

实现方式

  • Round Robin DNS:DNS 服务器轮流返回不同的 IP 地址。
  • GeoDNS:根据用户的地理位置,返回最近的服务器 IP 地址。
  • 加权 DNS:根据服务器的性能和负载情况,设置不同的权重,DNS 服务器根据权重返回不同服务器的 IP 地址。
  • 基于健康检查的 DNS 负载均衡:DNS 服务器定期检查服务器的健康状态,只返回健康的服务器 IP 地址。

实际生产案例

  • 大型电商网站:大型电商网站通常有多个服务器集群分布在不同的地理位置,可以使用 GeoDNS 将用户的请求路由到最近的服务器集群,提高访问速度。
  • CDN:CDN 使用 DNS 将用户的请求路由到最近的 CDN 节点,提高静态资源的访问速度。

也就是说,如下:

  • 假设 user-service 有三个实例,其 IP 地址分别为 192.168.1.100192.168.1.101192.168.1.102,可以在 DNS 服务器上创建多个 A 记录:
user-service.example.com.  A  192.168.1.100
user-service.example.com.  A  192.168.1.101
user-service.example.com.  A  192.168.1.102
  • DNS 服务器会轮流返回这三个 IP 地址,实现简单的负载均衡。

优缺点

优点
  • 简单易用:DNS 负载均衡的配置相对简单,易于使用。
  • 成本低:DNS 负载均衡通常不需要额外的硬件或软件,成本较低。
  • 可扩展性好:DNS 负载均衡可以通过增加服务器数量来提高系统的可扩展性。
  • 全局负载均衡:DNS 负载均衡可以在全球范围内进行负载均衡,将用户引导到最近的服务器。
缺点
  • 无法感知服务器的实际负载情况:Round Robin DNS 无法感知服务器的实际负载情况,可能导致某些服务器过载。
  • DNS 缓存:DNS 记录有缓存时间(TTL),当服务器发生故障时,DNS 记录可能无法及时更新,导致用户访问故障服务器。
  • 无法进行复杂的负载均衡策略:DNS 负载均衡只能进行简单的负载均衡策略,无法进行复杂的负载均衡策略,如基于会话的负载均衡、基于内容的负载均衡等.
  • 健康检查的局限性:简单的 DNS 负载均衡通常不具备健康检查功能,无法自动剔除故障服务器 23

最佳实践建议

  • 使用 SRV 记录:SRV 记录可以包含更多的信息,更灵活地进行服务发现。
  • 使用 DNS 负载均衡:根据实际需求选择合适的 DNS 负载均衡策略。
  • 使用 DNSSEC:保护 DNS 记录的安全性,防止 DNS 欺骗和 DNS 污染。
  • 使用 CDN:提高静态资源的访问速度。
  • 监控 DNS 性能:实时监控 DNS 查询时间、DNS 服务器的负载等指标,及时发现和解决问题。

Graph View