正如我们近期看到的情况,如果您的 DNS 基础设施宕机,您将面临严重问题,有可能损失大量金钱,声誉受损。因此,作为域名所有者,您希望针对域的 DNS 查询在任何时候都得到响应,并且越快越好。那么,您可以怎么做呢?您不能影响已配置的解析器。您不能影响根服务器。您可以通过挑选具有相应 TLD 的域名来选择哪一个 TLD 服务器会被涉及。但如果您因其他原因局限于某个 TLD,那么这也将不受您控制。您能轻易影响到的是自己的权威名称服务器。因此,让我们仔细看一下 Cloudflare 的权威 DNS 产品吧。
Cloudflare 权威 DNS 简介
权威 DNS 是我们最老的产品之一,我们花了大量时间来将其打造成精品。我们的任播网络覆盖超过 250 个城市,使所有 DNS 查询都得到响应。因此我们能提供极致的性能,并始终能够保证全球可用性。此外,凭借在缓解 DDoS 攻击方面的丰富经验,我们能防止任何人破坏我们的名称服务器以及客户的域。
DNS 对 Cloudflare 具有至关重要的作用,这是因为,直到Magic Transit发布前,DNS 将互联网上的每一个用户引导到 Cloudflare 以保护和加速客户的应用。如果我们 DNS 应答缓慢,Cloudflare 也将快不起来。如果我们的 DNS 没有应答,Cloudflare 也就不可用。我们的权威 DNS 的速度和可靠性对 Cloudflare 的速度和可靠性至关重要,对我们的客户也是如此。随着客户与我们一起成长,客户也推动了我们的 DNS 基础设施发展。今天,我们最大的客户区域拥有超过 300 万条记录,前 5 位的记录数合计接近 1000 万条。这些客户都依赖于 Cloudflare 来在数秒(而非数分钟)内将新的 DNS 记录更新推送到我们的边缘。鉴于这种重要性和客户的需求,多年来,我们的专门 DNS 工程团队已得到发展壮大,专注于使我们的?DNS 堆栈快速和可靠。
DNS 生态系统的安全也很重要。Cloudflare 一直是DNSSEC支持者。通过 DNSSEC 签名和验证DNS 应答可以确保中间人攻击者不能劫持应答和重定向流量。Cloudflare 一直向所有计划级别的用户免费提供 DNSSEC,并将继续将其作为 Foundation DNS 的一个免费选项。对于同时选择 Cloudflare 作为注册机构的客户,简单地一键部署 DNSSEC 是另一个重要功能,确保客户的域免遭劫持,用户得到保护。我们也支持?RFC 8078?在外部注册机构的一键部署。
但还有一些其他问题会导致互联网的一部分停止工作,而且大多不受我们控制:路由泄漏或更严重的路由劫持。虽然 DNSSEC 能帮助缓解路由劫持,但不幸的是,并非所有递归解析器都会验证DNSSEC。即使解析器进行了验证,针对名称服务器的路由泄漏或劫持仍将导致宕机。如果所有名称服务器 IP 都受到这一事件影响,您的域将变得无法解析。
对于很多提供商,每个名称服务器通常仅解析到一个 IPv4 和一个 IPv6 地址。如果这个 IP 地址不可达(例如,因为网络拥塞,或更糟糕的路由泄漏),那么整个名称服务器将变得不可用,导致您的域变得不可解析。更糟糕的是,一些提供商甚至为其所有的名称服务器使用相同的 IP 子网。因此,一旦这个子网出现问题,所有名称服务器都将下线。
/1 
发表于 2021-12-18 15:23:09
