來到《權威DNS那些事兒》最終篇,在上一篇內容中我們通過搭建實驗環境,詳細講解了權威DNS的原理及細節。今天我們來探討一下權威DNS變更的場景及對策。enjoy:
2. 權威NS變更場景及分析
變更權威NS的環節主要有:在註冊商平臺修改NS相關信息、修改權威DNS的NS記錄配置、新權威DNS的數據配置。
權威DNS變更主要的風險在於一旦操作不當,導致錯誤的NS記錄在互聯網的上擴散,那麼就需要一個長的週期進行恢復。尤其是國內有些遞歸DNS上記錄緩存時間強制爲1-2天,這也意味着在沒有人工介入的情況下,錯誤的域名記錄將會在1-2天后纔會被糾正。
常見的幾種變更場景如下:
增加NS記錄:增加1個或多個NS記錄
更改NS記錄:更改部分或全部NS記錄
在現有NS記錄中添加IPv6地址:在現有NS記錄中增加IPv6地址
2.1 增加NS記錄
增加NS記錄的風險相對較低,按如下流程進行即可,只是要考慮其生效時間,爲可能存在的後續變更或使用預留提前量。
A、在權威區添加新的NS記錄並配置對應的權威服務器;
B、通過註冊商平臺添加新的NS,等待上級權威生效,生效時間爲 REGISTER_TIME;
C、上級區生效後,遞歸DNS也會有之前NS的緩存,最多緩存時間爲 NS _TTL ;
D、待C流程後,遞歸DNS會從上級權威重新獲取NS,這時候新的NS就能生效(沒有該域名緩存的DNS會立即生效);
所以這個情況下,最長的生效時間爲: REGISTER_TIME + NS_TTL,也就是說當註冊局完成數據變更後,新的local DNS即可獲得最新的NS列表,已有緩存的LocalDNS需要等待NS_TTL過期後纔可獲得最新的NS列表,該時間一般情況下不超過本地權威的TTL值。
以ZDNS舉例,新增NS後,最長的生效期爲REGISTER_TIME+3600秒,geely.com的生效期則最長爲REGISTER_TIME+86400秒。
2.2 變更NS記錄
2.2.1 變更部分NS記錄
若是隻變更多個NS記錄中的一個,直接修改即可,修改完成後保持一段時間內原有NS記錄IP的服務狀態即可(安全起見建議2天)。
2.2.2 NS記錄單次全量變更
這個場景也不少見,比如要從某註冊商平臺將權威DNS解析遷移至本地或其他服務商,就會遇到這個場景。
此時,面臨的最麻煩的情況是,該註冊商的免費託管平臺不允許新的外部權威DNS記錄與原有的NS記錄並行運行,這樣沒辦法按照先增加新NS記錄然後刪除原有NS記錄的方式進行變更,此時需要考慮線下的一些輔助手段。
比如原有域名託管在某註冊商,此時想把權威DNS遷移至新的DNS服務器,需要跟該註冊商確定NS記錄全部變更爲新的NS後,原有的託管服務器上的域名數據是否會保留以及保留多長時間,避免在正式操作時出現新的DNS沒有在互聯網更新,原有的DNS數據也被刪除的空窗期(一般註冊商都會在一段時間內保留域名數據,穩一手)。
只要確認原有權威DNS服務器上數據會保留,那就配置好新的DNS服務器後進行NS變更。
允許混跑的話,可以採用直接新增所需NS記錄的方式進行,運行穩定後刪除原有的NS記錄。在整個遷移期間,都會有權威DNS正常提供權威域名解析服務。
2.3 新加IPv6 NS的情況
這個場景是最近兩年隨着IPv6的推進部署開始逐漸被重視的場景。
A、如果IPv6的NS是在原有記錄上添加,直接向對應的NS記錄添加AAAA記錄即可,並在註冊商平臺進行對應的添加,等待生效即可;
B、添加完成後等待註冊局更新數據;
C、註冊局數據更新後,無特殊設置的遞歸DNS會開始陸續更新NS記錄;
D、有些強制修改NS緩存時間的遞歸DNS需要等待過期,經驗值是2天左右;
P.S.:如果IPv6的NS是新增,就需要去註冊商平臺添加新的NS,按照增加NS記錄操作即可。
3. 結論
遞歸DNS修改NS的緩存時間的概率是不確定的,若在線業務比較重要,建議按照最長時間來考慮,即NS緩存刷新時間爲2天,加上註冊局數據生效時間爲2天,確保變更的步驟生效。
變更的原則是就長不就短,因爲一旦有錯誤的記錄發佈到了互聯網DNS系統,等待緩存過期的時間漫長且無助。如果真的不幸出現了這種情況,需要儘快分析導致問題的原因並採取彌補措施,時間越長,彌補的難度越大。
關於ZDNS
互聯網域名系統國家工程研究中心(簡稱ZDNS)是國家發改委批覆的國家級工程研究中心,是工信部批准的根鏡像運行機構,是中科院孵化的專注於域名領域的高新技術企業;ZDNS連續四年在DDI(DNS、DHCP、IPAM)設備領域市場佔有率第一,服務金融、廣電、教育、政府、軍工、醫療、互聯網等多個行業,全球近千家大型企業。