環(huán)球（中國）集團(tuán)股份有限公司DNS 解決方案 ,目 錄目錄一、 DNS 解決方案 ..........................................

環(huán)球（中國）集團(tuán)股份有限公司

DNS 解決方案

目 錄

目錄

一、 DNS 解決方案 ................................................................................................ 4

1. 現(xiàn)狀分析.......................................................................................................... 4 2. 重點考慮的問題.............................................................................................. 5

2.1 安全穩(wěn)定問題 ....................................................................................... 5

2.2 解析能力問題 ....................................................................................... 5

2.3 快速高效問題 ....................................................................................... 5

2.4 線性擴(kuò)容問題 ....................................................................................... 5

2.5 管理運維問題 ....................................................................................... 6

2.6 數(shù)據(jù)分析問題 ....................................................................................... 6

2.7 二次開發(fā)問題 ....................................................................................... 6 3. 方案設(shè)計.......................................................................................................... 6 4. 方案說明.......................................................................................................... 7 5. 方案優(yōu)勢.......................................................................................................... 8

5.1

5.2

5.3

5.4

5.5

5.6

5.7

5.8 整體系統(tǒng)響應(yīng)快速性........................................................................ 8 整體系統(tǒng)穩(wěn)定可靠性........................................................................ 8 整體系統(tǒng)的高安全性........................................................................ 9 整體系統(tǒng)的高可用性........................................................................ 9 數(shù)據(jù)統(tǒng)計分析和挖掘...................................................................... 10 整體系統(tǒng)預(yù)警應(yīng)急處理.................................................................. 10 整體系統(tǒng)的可擴(kuò)展性...................................................................... 11 整體系統(tǒng)二次開發(fā)性...................................................................... 11 6. 方案實施........................................................................................................ 11

6.1 整體實施 ............................................................................................. 11

6.2 分步實施 ............................................................................................. 12 7. DNS 混用的解決........................................................................................... 14

二、DNS 配置 ............................................................................................................ 16

一、 DNS 解決方案

1. 現(xiàn)狀分析

隨著公司業(yè)務(wù)的飛速發(fā)展迅速，業(yè)務(wù)遍布全國各地，對網(wǎng)絡(luò)的要求也在不斷提高。目前公司兩大平臺的域名解析是由第三方來完成的，存在著嚴(yán)重的安全和穩(wěn)定的隱患，存在速度低下（至少是不理想）的訪問效率問題，不僅影響公司的形象，也會嚴(yán)重影響到我們公司業(yè)務(wù)的快速發(fā)展，具體表現(xiàn)為： ● 跨運營商訪問速度緩慢/跨地區(qū)訪問速度緩慢

造成訪問過慢的主要是有以下幾點造成的：

跨網(wǎng)訪問應(yīng)用服務(wù)器

跨網(wǎng)訪問會存在延時，造成訪問速度低下。

可以通過智能DNS 判斷用戶的源IP ，進(jìn)行解析，從面避免用戶夸網(wǎng)進(jìn)行訪問

跨地域訪問應(yīng)用服務(wù)器

如果一個海南的用戶訪問北京的一臺應(yīng)用服務(wù)器，即使同一運營商，也會存在訪問速度很慢的現(xiàn)象。

通過智能DNS ，可以讓用戶就近訪問應(yīng)用服務(wù)器，從而提高打開應(yīng)用服務(wù)的速度

● 宕機(jī)的處理和避免

在保證單體DNS 服務(wù)器穩(wěn)定的同時，通過各個站點、節(jié)點均采用雙機(jī)或者多機(jī)熱備的模式，來避免個別DNS 出現(xiàn)異常給用戶解析帶來的影響。 ● 部分用戶存在混用DNS 問題

DNS 混用是指用戶設(shè)置了非本地運營商提供的DNS 地址，而造成智能DNS 在解析時不能準(zhǔn)確的判斷其真實的來源。

● DNS 面臨的安全風(fēng)險如何保障問題

目前是采用第三方做授權(quán)解析的方式，這就不可避免地存在安全風(fēng)險，如域名劫持、DNS 解析能力、DNS 穩(wěn)定性等

架設(shè)一套高陽捷訊公司自己的域名解析系統(tǒng)，來解決跨運營商、跨地域訪問及解析安全問題，來保障我們兩大平臺業(yè)務(wù)的健康快速的發(fā)展。

2. 重點考慮的問題

架設(shè)自己獨立的智能域名解析系統(tǒng)（DNS ），可以有效地解決上述問題（DNS 混用除外），我們在建設(shè)智能域名解析系統(tǒng)的時候，需要著重關(guān)注下面的問題：

2.1 安全穩(wěn)定問題

整個智能域名解析系統(tǒng)（DNS ）具有高穩(wěn)定性和高安全性能；內(nèi)部互為備份能力；具體有災(zāi)備解決方案和災(zāi)備能力；具有災(zāi)備應(yīng)急解決方案，并具有快速恢復(fù)能力；具有高可用性，具有避免單節(jié)點、端口故障的能力；

2.2 解析能力問題

整個智能域名解析系統(tǒng)（DNS ），需要具備很高的解析處理能力，不僅要滿足現(xiàn)有業(yè)務(wù)的需要，也要具有足夠的冗余度，能滿足未來業(yè)務(wù)發(fā)展的需要。

2.3 快速高效問題

不論是我們的電子支付平臺還是電子商務(wù)平臺，都需要DNS 系統(tǒng)快速反應(yīng)，整個智能域名解析系統(tǒng)（DNS ）本身需要對解析請求的快速處理，也必須通過智能解析的方式，來避免跨運營商訪問，以提高訪問速度，同時，也需要通過智能域名解析系統(tǒng)（DNS ）的處理，達(dá)到按照區(qū)域就近訪問，以提高訪問速度。

2.4 線性擴(kuò)容問題

公司業(yè)務(wù)是快速發(fā)展的，公司的客戶數(shù)量也會隨之不斷迅速增加的，隨之而來的就是對我們兩大平臺的訪問量的迅速增加；一旦智能域名解析系統(tǒng)（DNS ）需要擴(kuò)容時，我們必須考慮擴(kuò)容成本問題，盡可能做到只增加智能DNS 設(shè)備及必備的周邊設(shè)備，不需要增加過大的投入，最好是線性或者接近線性，如將來我們以行政省份為DNS 節(jié)點的建設(shè)，僅DNS 設(shè)備的數(shù)量就是很大的。降低擴(kuò)容成

本就將成為一個重要問題。

2.5 管理運維問題

委托第三方進(jìn)行授權(quán)解析的方式，無法及時準(zhǔn)確地管理DNS ，DNS 的管理也相對繁瑣，不可能做到對DNS 的實時管理；

2.6 數(shù)據(jù)分析問題

智能域名解析系統(tǒng)（DNS ）數(shù)據(jù)的統(tǒng)計與分析是非常重要的，對我們兩大平臺業(yè)務(wù)的進(jìn)展情況、客戶的分布情況以及相關(guān)細(xì)節(jié)情況都是一個非常好的體現(xiàn)，通過數(shù)據(jù)分析、統(tǒng)計及深度挖掘，不僅能讓我們及時了解現(xiàn)有業(yè)務(wù)及客戶狀況，對我們業(yè)務(wù)的在整體和局部的開展等都有非常好的指導(dǎo)作用。

2.7 二次開發(fā)問題

新建設(shè)的智能域名解析系統(tǒng)（DNS ），需要與公司現(xiàn)有管理平臺等進(jìn)行對接，才能融為一體，更大地發(fā)揮各部分的作用和功能，以滿足我們業(yè)務(wù)發(fā)展的需要，這不可避免地需要在系統(tǒng)的的管理、接口、局部功能調(diào)整等方面進(jìn)行二次開發(fā)，以便整個智能域名解析系統(tǒng)（DNS ）與原有平臺和管理系統(tǒng)有機(jī)的融合。

3. 方案設(shè)計

方案思路：

1、建立以廣東省珠海市為中心的智能DNS 核心站點；

2、建立以廣東省珠海市為中心的DNS 運營數(shù)據(jù)挖掘平臺；

3、分別在廣東、上海、四川、西北、東北建立5個骨干站點（具體站點的設(shè)置，可根據(jù)公司業(yè)務(wù)發(fā)展和分布來進(jìn)行）；

4、從安全的角度考慮，可以將廣東站點或者上海站點之一進(jìn)行擴(kuò)容，成為北京站點的災(zāi)備站點；

5、如業(yè)務(wù)發(fā)展需要，增設(shè)以大區(qū)或者其他方式為單位的DNS 節(jié)點；

具體結(jié)構(gòu)示意圖如下：

4. 方案說明

1、廣東省珠海站點：

作為整個域名解析系統(tǒng)（DNS ）的核心，除負(fù)責(zé)正常的解析任務(wù)外，還承擔(dān)任何一個DNS 站點的備份任務(wù)。設(shè)計架設(shè)4套高端智能DNS 設(shè)備，前端加設(shè)負(fù)載均衡設(shè)備，同時，架設(shè)數(shù)據(jù)挖掘服務(wù)器和存儲設(shè)備。

高端DNS 設(shè)備：負(fù)責(zé)處理客戶的解析請求

負(fù)載均衡設(shè)備：負(fù)責(zé)將解析請求分配到每套DNS 設(shè)備上

數(shù)據(jù)挖掘服務(wù)器：負(fù)責(zé)整個智能DNS 系統(tǒng)數(shù)據(jù)的搜集、整理、分析、報表及深度挖掘

存儲設(shè)備：負(fù)責(zé)整個智能DNS 系統(tǒng)數(shù)據(jù)的存儲

2、骨干節(jié)點（廣州、上海、西北、東北、四川）：

分別架設(shè)2套高端智能DNS 設(shè)備，成雙機(jī)熱備模式，承擔(dān)正常的解析服務(wù)

3、災(zāi)備站點：

為了提高整個DNS 體系的災(zāi)備能力和抵御不可預(yù)測災(zāi)難的能力，可將廣州或者上海站點建設(shè)成為整個智能DNS 系統(tǒng)的災(zāi)備站點，需要擴(kuò)容至4套智能

DNS 設(shè)備，并在前段增加負(fù)載均衡設(shè)備，以及DNS 運營數(shù)據(jù)挖掘服務(wù)器和存儲設(shè)備，與北京站點同樣的模式

4、如業(yè)務(wù)需要，可以直接按照大區(qū)或者其他劃分方式，增設(shè)DNS 站點，并將智能DNS 設(shè)備架設(shè)成雙機(jī)熱備的模式即可。

5. 方案優(yōu)勢

5.1

體系統(tǒng)響應(yīng)快速性

1、對用戶所有的解析請求，按照DNS 規(guī)則，平均分配到各站點的智能DNS 服務(wù)器上進(jìn)行解析，有效提高了智能DNS 服務(wù)器的使用效率，同時也考慮到DNS 請求峰值的情況出現(xiàn)，避免了個別智能DNS 服務(wù)器因負(fù)載過大而導(dǎo)致的解析速度降低和整體DNS 集群運行效率較低的問題；

2、在DNS 上進(jìn)行策略配制，限制遞歸解析請求，提高DNS 的使用效率，降低了整個智能DNS 集群的負(fù)載；

3、所有的日志全部在數(shù)據(jù)挖掘中心上進(jìn)行存儲和分析，降低整個智能DNS 服務(wù)器群的資源開銷，有效減輕整個DNS 集群的負(fù)載，達(dá)到保證DNS 集群的響應(yīng)速度； 整

5.2

體系統(tǒng)穩(wěn)定可靠性 整

1、采用數(shù)據(jù)挖掘中的監(jiān)控模塊，對整套智能DNS 群進(jìn)行監(jiān)控，可以監(jiān)控到每個智能DNS 服務(wù)器的各種指標(biāo)情況，異常情況進(jìn)行預(yù)警和報警，并以手機(jī)短信和郵件的方式，及時通知運維人員進(jìn)行處理；

2、所有連接均采用雙線鏈接模式，端口采用鏈路聚合模式，避免單點、單路故障，最大可能地保證了整個智能DNS 集群的可靠性；

3、整個DNS 系統(tǒng)架構(gòu)，充分考慮到了整體的可靠性。每個站點均采用雙機(jī)

或者多級熱備的模式，當(dāng)有任何一臺DNS 設(shè)備出現(xiàn)宕機(jī)，熱備智能DNS 服務(wù)器快速接替故障設(shè)備；如果單站點宕機(jī)，北京站點或者其他站點會立刻接替服務(wù)，不會影響到用戶解析請求的快速處理，從而最大可能地保證整個智能DNS 集群系統(tǒng)的可靠運行；

4、根據(jù)方案設(shè)計要求，我們在整個智能DNS 集群上已經(jīng)考慮到了整個系統(tǒng)的冗余。

5.3

體系統(tǒng)的高安全性

單體DNS 服務(wù)器的安全性

硬件：由Intel 全球10大嵌入式設(shè)備合作商定制提供

系統(tǒng)：BSD 底層系統(tǒng)，秉承UNIX 的安全、穩(wěn)定性

防護(hù)：防DDOS 攻擊、防IP 欺騙、防端口攻擊

運行：內(nèi)部應(yīng)用軟件自檢，故障自動重啟功能

端口：多網(wǎng)卡鏈路聚合，線路故障自動切換功能

管理：全WEB 操作，三級用戶權(quán)限管理模式

整體架構(gòu)安全性 整

各個DNS 站點互為備份，當(dāng)出現(xiàn)個別站點停電、網(wǎng)絡(luò)通訊等故障時，其他站點會立刻自動接替工作，不影響用戶的正常解析，從而保證了整個DNS 系統(tǒng)的安全性。

5.4

體系統(tǒng)的高可用性 整

暴雪娛樂有限公司DNS 系統(tǒng)支持HA 雙機(jī)熱備模式、雙機(jī)負(fù)載均衡、鏈路聚合等功能，可以有效保證設(shè)備7×24小時不間斷地提供服務(wù)；

100％的通過中文WEB 界面、簡潔明了的圖形用戶界面，直觀易用，極大地簡化了系統(tǒng)配置復(fù)雜度。管理員只需要具備一定的DNS 知識，就可以快速掌握系統(tǒng)的配置和維護(hù)，可以很好的使用這套系統(tǒng)。而且具有操作記錄功能，可以跟蹤

管理員的操作行為。

5.5

據(jù)統(tǒng)計分析和挖掘 數(shù)

1、暴雪娛樂有限公司DNS 設(shè)備提供豐富的日志，如：DNS 日志、安全日志、系統(tǒng)日志、操作日志和登錄日志，通過日志全面評估當(dāng)前系統(tǒng)的運行狀態(tài)和故障定位；

暴雪娛樂有限公司DNS 設(shè)備支持圖形查詢統(tǒng)計，能讓您直觀的看到當(dāng)前每秒查詢統(tǒng)計。暴雪娛樂有限公司DNS 系統(tǒng)支持每個域名在運行期間的查詢統(tǒng)計。通過此功能，用戶可以直觀的看到每個域名、每條線路的查詢統(tǒng)計數(shù)據(jù)，為您的運營提供參考數(shù)據(jù)。

2、整體解決方案專門配置了DNS 運營數(shù)據(jù)挖掘平臺，對整個系統(tǒng)內(nèi)每套DNS 設(shè)備進(jìn)行日志數(shù)據(jù)的搜集和整理，進(jìn)行統(tǒng)計分析和數(shù)據(jù)挖掘，可以針對運營商、IP 、域名、區(qū)域、時間等進(jìn)行綜合統(tǒng)計分析，使我們及時掌握客戶分布、客戶行為及相關(guān)信息，對我們業(yè)務(wù)的改進(jìn)和發(fā)展有著極其重要的指導(dǎo)作用；

同時，DNS 運營數(shù)據(jù)挖掘平臺，還可以實時監(jiān)控整個系統(tǒng)中每套DNS 設(shè)備的狀態(tài)，在異常情況下，可以實時報警、預(yù)警，以保證整個智能DNS 系統(tǒng)的正常運行。

5.6

體系統(tǒng)預(yù)警應(yīng)急處理 整

實易DNS 運營數(shù)據(jù)挖掘平臺具有報警、預(yù)警功能，可以實時監(jiān)測出整個DNS 系統(tǒng)中不正常的服務(wù)器的狀態(tài)，并通過手機(jī)短信進(jìn)行實時報警，以保證在個別DNS 服務(wù)器有異常時可以及時處理。