Чи слід розміщувати власних серверів імен?
Так, і ви також повинні використовувати одну руду більше великих постачальників DNS сторонніх розробників. Гібридне рішення, ймовірно, є найбезпечнішим довгостроковим підходом з декількох причин, особливо якщо ви є бізнесом, який має будь-яку садибу угоди про Угоди або договірні вимоги до своїх клієнтів. Тим більше, що ти b2b.
Якщо ваш головний DNS-сервер (прихований або загальнодоступний) є вашим джерелом істини, тоді ви захищаєте себе оперативно від замикання в конкретних можливостях постачальника. Після того, як ви почнете використовувати їх чудові функції, що виходять за рамки базового DNS, ви можете виявити, що переключення на іншого постачальника або розміщення власного DNS є проблематичним, тому що вам доведеться повторити ці можливості. Прикладами можуть бути перевірки стану сайту та відмова від DNS, які надають Dyn та UltraDNS. Ці риси чудові, але їх слід вважати одноразовими, а не залежними. Ці функції також не дуже добре повторюються від постачальника до постачальника.
Якщо у вас є лише сторонні постачальники, то на їх тривалість може вплинути час, коли вони опиняться під цільовою атакою DDoS. Якщо у вас є лише власні DNS-сервери, то, коли ви будете об'єктом DDoS-атаки, це може вплинути на тривалість роботи.
Якщо у вас є один або більше DNS-провайдерів і власні розподілені DNS-сервери, які підпадають на приховані головні DNS-сервери, якими ви керуєте, тоді ви переконаєтесь, що ви не заблоковані у конкретного постачальника, а також будете постійно контролювати свої зони і що атаки повинні знищувати як ваші сервери, так і одного або декількох основних постачальників, які підкоряються вашим серверам. Все, що не буде цим, буде погіршенням обслуговування та критичним відключенням.
Ще однією перевагою наявності власних основних (ідеально прихованих, неопублікованих) серверів є те, що ви можете створювати власний API та оновлювати їх у будь-якій садибі відповідно до потреб вашого бізнесу. З сторонніми постачальниками DNS вам потрібно буде адаптуватися до їх API. У кожного продавця є свій; або в деяких випадках просто має веб-інтерфейс.
Крім того, якщо ваш господар знаходиться під вашим контролем і у постачальника виникають проблеми, то будь-який з ваших рабовласницьких серверів, який все ще може дістатися до вашого господаря, отримає оновлення. Це те, що ви хотіли б мати після того, як ви зрозуміли, що мати третьої сторони як свого господаря було помилкою під час великого інциденту DDoS, і ви не можете змінити жоден сервер провайдерів, які не атакуються.
З юридичної точки зору, запобігання блокуванню постачальників може також бути важливим для вашого бізнесу. Наприклад, Dyn потенційно купується Oracle. Це ставить їх в унікальне становище для збору статистики DNS для всіх клієнтів Dyn. Існують конкурентні аспекти цього, які можуть спричинити юридичний ризик. Це сказало, що я не юрист, тому вам слід проконсультуватися зі своїми юридичними та PR-групами з цього приводу.
До цієї теми є багато інших аспектів, якщо ми хотіли копати бур’яни.
[Редагувати] Якщо це лише для невеликого особистого / хобі-домену, то 2 ВМ, які не знаходяться в одному центрі обробки даних, як один для одного, для роботи невеликого демона DNS більш ніж достатньо. Я роблю це для власних особистих доменів. Мені було не ясно, чи означає ваш домен бізнес чи просто для хобі. Що б найменшого VM ви не могли отримати, більш ніж достатньо. Я використовую rbldnsd для своїх доменів; використовуючи дуже високий вміст TTL у своїх записах, оскільки він займає 900 КБ оперативної пам’яті і може справлятися з будь-якими зловживаннями, які люди на нього кидають.