web-dev-qa-db-ja.com

DNSサーバープロバイダーの切り替え

ちょっと理解できたと思ったものに頭を包み込もうとしていますが、明らかに足りない部分があります。

現在、プライマリDNSとしてZerigoを使用しており、スレーブDNSはlinodeで実行されています。これは非常にうまく機能します。ただし、最近のzerigoに対するDDOS攻撃は、DNSクエリが解決されている間は、DNSを変更できなかったことを意味します。私たちは独自のインフラストラクチャでDNSの変更に依存しているため、これを何らかの方法で改善したいと考えています。

私はゼリーゴを完全に捨てたくはありません、そしてこれまたは同様の問題がどんなプライマリDNSホスティングプロバイダーでも起こり得ることを理解します。 DDOSではないかもしれませんが、サーバーのバグ、または何かで、更新を発行できなくなっていることを意味します。

このために、いくつかのフォールバックオプションが必要です。完全に独立した(プライマリ)DNSプロバイダー(おそらくAWS)であり、手動で同期を維持します。問題が発生した場合は、それに切り替えます。これは私の質問に私をもたらします:

これらのプロバイダーを十分に迅速に切り替えることができるようにするにはどうすればよいですか?具体的には、レジストラにはネームサーバーのリストがありますが、TTLなど)のような設定はありません。 dnsクライアントは新しく更新されたネームサーバーレコードを使用することを知っていますか?これはSOAで構成されていますか?ただし、SOA自体はdnsプロバイダーでホストされているため、更新できない場合があります。 ..

これは、計画、スケジュール、テストが可能な1回限りの移動に関する問題ではなく、物事が半分壊れたときに実行できるようにするためのものです。

domain-name-systemdisaster-recoverydomain-registrar
2
Yoav Aner

はい、NSレコードの期間(yourdomain.exampleがns1.zerigo.netまたはmy-ec2.Amazon.comによってホストされていることを示します)は、TTL値によって決定されますこれらのNSレコードのうち。ホスティング業者がこれらのTTLの変更を許可していない場合は、乾杯します。

DNSホスティング事業者がそれらを変更することを許可している場合でも、親ゾーンにはTTLレコードのNSもあり、これらはレジストリによって修正されます。

したがって、あるDNSホスティング業者から別のDNSホスティング業者への切り替えは、実際にはリアルタイムで行うことはできません。スパマーやその他のボットヘルダーは、検出を回避するためにこれを実行します(これは「高速フラックス」と呼ばれます)が、ドメインをホストし、TTLを自由に設定できます。 (レジストリにはまだTTLの制限があります。)

1
bortzmeyer

ゾーンの権威ネームサーバーを切り替えることは、「緊急時に」実行したいことではありません。これは、インターネット全体に伝播するために少なくとも48時間必要な変更だからです。

Tldネームサーバーは、どのネームサーバーを頻繁に使用するかに関するクエリに応答するのが面白くないため、それについては何もできません。そのため、tldネームサーバーはTTLそして、あなたはそれと一緒に暮らす必要があります。

私が学んだことから、通常のシナリオは次のようになります。

  • 隠されたマスターを持っています。あれがゾーン編集を担当しています。これはあなたのオフィスであなた自身によってホストされることさえできます、これは常に生きている必要はありません。
  • 少なくとも2つの開いているスレーブがあります。これらは、ゾーンに対して権限があると定義されているものです。

これには、DNSサーバーを自分で処理する必要がありますが、サービスに依存すると、常に潜在的な攻撃を受けやすくなり、十分な冗長性がない場合は、まだ運が悪いことになります。スレーブゾーンを設定するプロバイダーが見つからない場合を除きます。 ZenigoをプレーンVPSとして使用して独自のDNSを実行しているのか、それともDNSサービスを使用しているのかは私にはよくわかりません。

しかし、DNSレコードを毎日変更する必要がある場合、どのようなビジネスをしているのか疑問に思わずにはいられません。複数のWebサイトを持つ約50のクライアントがありますが、DNSの変更はおそらく月に1回しか行いません。

1
jishi

Zerigoがマスターとして機能し、独自のスレーブをホストする、適切なインフラストラクチャが整っているようです。

BINDを使用していると仮定すると(これは他のDNSソフトウェアにも当てはまるはずです)、スレーブゾーンをマスターに変更できます。マスターとして、ゾーンを変更できます。

これは実際には単純な構成変更ですが、自動化されたプロセスの例を次に示します。 http://www.mikeperry.org/tech_tips/bind_switch_slave_to_master.html

それを行う場合、Zerigoが復旧したら、次のいずれかを実行できます。

  • 行った変更を複製してから、ホストゾーンをスレーブに戻すか、または
  • zerigoからゾーンを削除して再作成し、ゾーンレコードをインポートします。

ただし、Zerigoが昨年DDOSを経験している間、管理インターフェイスは利用できませんでしたが、DNSホストは引き続き要求を処理していることにも注意してください。したがって、サーバーでホストされているゾーンに変更を加えた場合、それらがほとんどダウンしていても、誤ったレコードはZerigoによって提供されたままになります。

1
Robin Daugherty