|
隆重宣布 Foundation DNS —— Cloudflare 的全新高级 DNS 产品
楼主
来源:sunny@kw12274062 12/18/2021 2:23:00 AM
今天,我们宣布 Foundation DNS,Cloudflare 的全新高级 DNS 产品,提供无以伦比的可靠性和卓越的性能,能满足 IT 基础设施团队最复杂的需求。
为什么 DNS 如此重要? 域名系统(DNS)几乎和互联网本身一样老。DNS 最早是在 1983 年的RFC882和RFC883中定义的,目的是在主机名和 IP 地址之间建立映射。当时,作者明智地指出:“(互联网)是一个庞大的系统,可能会变得大得多。” [RFC882]。今天,仅在最大的顶级域名(TLD)之一 “.com” 下就有接近 1.6 亿个域名[source]。 按照设计,DNS 是一个层次结构和高度分布式的系统,但作为最终用户,您通常仅会与解析器(1)进行通信,解析器要么由您的互联网服务提供商(ISP)分配或运营,要么由您的雇主或自己直接配置。解析器与其中一个根服务器(2)、负责的 TLD 服务器(3)和相关域的权威名称服务器(4)进行通信。在很多情况下,以上四方由不同的实体运营,并位于不同的地区,甚至处于不同的大陆。 正如我们近期看到的情况,如果您的 DNS 基础设施宕机,您将面临严重问题,有可能损失大量金钱,声誉受损。因此,作为域名所有者,您希望针对域的 DNS 查询在任何时候都得到响应,并且越快越好。那么,您可以怎么做呢?您不能影响已配置的解析器。您不能影响根服务器。您可以通过挑选具有相应 TLD 的域名来选择哪一个 TLD 服务器会被涉及。但如果您因其他原因局限于某个 TLD,那么这也将不受您控制。您能轻易影响到的是自己的权威名称服务器。因此,让我们仔细看一下 Cloudflare 的权威 DNS 产品吧。 Cloudflare 权威 DNS 简介 权威 DNS 是我们最老的产品之一,我们花了大量时间来将其打造成精品。我们的任播网络覆盖超过 250 个城市,使所有 DNS 查询都得到响应。因此我们能提供极致的性能,并始终能够保证全球可用性。此外,凭借在缓解 DDoS 攻击方面的丰富经验,我们能防止任何人破坏我们的名称服务器以及客户的域。 DNS 对 Cloudflare 具有至关重要的作用,这是因为,直到Magic Transit发布前,DNS 将互联网上的每一个用户引导到 Cloudflare 以保护和加速客户的应用。如果我们 DNS 应答缓慢,Cloudflare 也将快不起来。如果我们的 DNS 没有应答,Cloudflare 也就不可用。我们的权威 DNS 的速度和可靠性对 Cloudflare 的速度和可靠性至关重要,对我们的客户也是如此。随着客户与我们一起成长,客户也推动了我们的 DNS 基础设施发展。今天,我们最大的客户区域拥有超过 300 万条记录,前 5 位的记录数合计接近 1000 万条。这些客户都依赖于 Cloudflare 来在数秒(而非数分钟)内将新的 DNS 记录更新推送到我们的边缘。鉴于这种重要性和客户的需求,多年来,我们的专门 DNS 工程团队已得到发展壮大,专注于使我们的?DNS 堆栈快速和可靠。 DNS 生态系统的安全也很重要。Cloudflare 一直是DNSSEC支持者。通过 DNSSEC 签名和验证DNS 应答可以确保中间人攻击者不能劫持应答和重定向流量。Cloudflare 一直向所有计划级别的用户免费提供 DNSSEC,并将继续将其作为 Foundation DNS 的一个免费选项。对于同时选择 Cloudflare 作为注册机构的客户,简单地一键部署 DNSSEC 是另一个重要功能,确保客户的域免遭劫持,用户得到保护。我们也支持?RFC 8078?在外部注册机构的一键部署。 但还有一些其他问题会导致互联网的一部分停止工作,而且大多不受我们控制:路由泄漏或更严重的路由劫持。虽然 DNSSEC 能帮助缓解路由劫持,但不幸的是,并非所有递归解析器都会验证DNSSEC。即使解析器进行了验证,针对名称服务器的路由泄漏或劫持仍将导致宕机。如果所有名称服务器 IP 都受到这一事件影响,您的域将变得无法解析。 对于很多提供商,每个名称服务器通常仅解析到一个 IPv4 和一个 IPv6 地址。如果这个 IP 地址不可达(例如,因为网络拥塞,或更糟糕的路由泄漏),那么整个名称服务器将变得不可用,导致您的域变得不可解析。更糟糕的是,一些提供商甚至为其所有的名称服务器使用相同的 IP 子网。因此,一旦这个子网出现问题,所有名称服务器都将下线。 |