1、 企业 DNS 建设白皮书 2023-4-1 F5 编发 企业 DNS 建设白皮书 目录 概述.3 1.外网 DNS 架构.7 1)互联网 DNS.7 需求分析.7 架构设计.9 架构分析.10 技术建议.13 2)DMZ DNS.15 需求分析.15 架构设计.17 架构分析.18 技术建议.19 2.DNS OVER HTTPS(DOH)架构.22 需求分析.22 架构设计.25 架构分析.27 技术建议.30 3.内网 DNS 架构.31 1)业务网 DNS.31 需求分析.31 架构设计.32 架构分析.33 技术建议.36 2)办公网 DNS.39 需求分析.39 架构设计.41 架

2、构分析.43 技术建议.44 3)分布式数据库 DNS.46 需求分析.46 企业 DNS 建设白皮书 架构设计.47 架构分析.48 技术建议.49 4)PAAS DNS.49 需求分析.49 架构设计.51 架构分析.52 技术建议.53 4.DNS 可观测与运营.53 需求分析.53 架构设计.55 技术建议.57 5.总结.58 企业 DNS 建设白皮书 概述 Domain Name System（DNS）自 1987 年被实施以来（RFC1034，1035），已成为网络通信中最重要的核心基础设施。通过将人类难以记忆的通信端点信息转化为易读易记忆的域名，极大的简化了互联网通信。通过映射

3、不变的名称到可变的端点信息，确保了通信双方在端点变化后依然可以快速找到对方。除了作为通信的基本技术核心外，DNS 也是企业对外提供永续数字服务的第一关键，无论企业花费多少资金投入在数据中心或应用的高可用上，如果没有正常 DNS 的解析服务，用户将无法访问到这些服务，企业经营也就无从谈起。可以说没有DNS，就没有现代网络通信，没有 DNS 就没有企业数字服务。尽管 DNS 已经存在 30 余年，技术已经非常成熟，但随着技术的变化与演进，我们可以看到 DNS 也在发生着诸多变化，总体来说 DNS 的发展有着以下“四高”趋势：高安全，DNS 系统需要具备足够的抗攻击性，需要能够抵御放大攻击、畸形报文

4、、水滴攻击，枚举等来保护权威服务器；需要能够做到识别内网 DNS Tunnel，防止攻击者利用 DNS Tunnel 向 C2 服务器发送指令与信息；还需能够抵抗大规模 DDOS，由于 DNS 服务是企业对外提供服务的基础，在遭受 DDOS时候，不应简单的一刀切的方式采取暴力限流措施，而是能够在 DDOS 防御与提供基础解析服务之间寻求平衡，比如采取更加智能的 DDOS 预测模型来动态抵御 DDOS，部署更高容量的系统来主动承受一定程度上的 DDOS，即便在企业 DNS 建设白皮书 DDOS 发生时也能通过降级智能解析服务等措施来保证最基本的解析服务。高容量，随着 IoT、IPv6、物联网的快

5、速发展，形成了高达百亿终端，万亿解析的解析规模，DNS 系统必须具备足够的解析容量方能应对万物互联下的大规模解析。高容量也是帮助实现高安全的重要方面，在万物互联时代数以亿计的终端在被攻击后可能成为大规模 DNS DDOS 的发起者，这要求 DNS 系统必须具有高容量、高弹性的设计。此外，高容量还包含 DNS 系统架构自身应可以承载大量解析配置，且具备灵活的拆分与委派能力。高隐私，DNS 在设计之初采用了明文传输，整个传输过程亦没有认证与保护，导致 DNS 报文易被篡改，缓存系统易被投毒。DNS 系统需要采用相应的技术手段如 DNSSEC，DoHTTPS，DoTLS 等来保证 DNS 内容不被篡

6、改和确保隐私性。高动态，随着微服务以及 kubernetes 技术架构的普遍应用，DNS 系统正成为整个架构中的关键，大量的服务间通讯需依赖域名解析，部分负载均衡能力也需要依赖 DNS 服务。在微服务技术体系下，一方面服务域名的数量级将会极大提升，另一方域名所映射的端点 IP、服务等信息也呈现高度动态性。因此，DNS 系统需要具备动态的更新能力以随时确保解析最新的端点与服务。可观测，DNS 是一个网络基础设施，但同时它也是直接面向应用的一个服务，通过洞察 DNS 的解析内容与行为，可以帮助企业了解 DNS 服务运行状态、预警安全威胁，更可以助力企业了解业务运行状态，如多活数据中心运行状况，访客