Ich möchte einen Fallback-DNS-Server für mein Cloudflare-Konto erstellen.
Ich habe über 70 Domains, die von CloudFlare gehostet werden, und mein gesamtes Geschäft basiert auf einem größtenteils kostenlosen Dienst. Es ist schon einmal vorgekommen, dass CloudFlare ausgefallen ist.
Ich hätte gerne einen Backup-Plan für einen solchen Fall.
Ich dachte, ich könnte einfach einen 3. DNS-Server zu meinen NS-Einträgen auf jeder Domain hinzufügen, so wie hier
foo.ns.cloudflare.com
bar.ns.cloudflare.com
ns.mydoamin.com
Meine erste Frage lautet: Wird dies wie erwartet funktionieren (wenn Cloudflare nicht antwortet, fragt der Browser ns.mydomain.com ab).
Meine zweite Frage ist, wie?
Ich dachte, ich könnte einen Docker finden, der meine CloudFlare-Zonen über die API abruft und ein lokales Bind9 oder ähnliches aktualisiert, aber ich konnte keinen solchen Docker finden. Gibt es ihn?
Wenn nicht, kann ich den Export der Datensätze selbst über die API verwalten, aber wie soll ich meinen Server einrichten? Alle Tutorials, die ich finden kann, sind für interne Netzwerke als rekursive Server. Ich denke, ich müsste einen autoritativen Server konfigurieren.
Danke für jede Information.
Antwort1
Meine erste Frage ist, ob das wie erwartet funktioniert
Nein. Sie können nicht mehrere DNS-Anbieter gleichzeitig verwenden, indem Sie einfach die Vereinigung der NSDatensätze in Ihrer Zone und alle Nameserver in die Registrierung eintragen und hoffen, dass es funktioniert.
Alle beteiligten Anbieter müssen zusammenarbeiten, um sicherzustellen, dass sie genau dieselbe Zone auf genau dieselbe Weise bedienen. Das bedeutet meistens entweder einen versteckten primären Distributions-Nameserver, der beide Anbieter versorgt, oder einen Anbieter, der die Zone vom anderen abruft (was den Nutzen mehrerer Anbieter enorm verringert).
Wenn Sie DNSSEC in den Mix einbeziehen, ist die Zusammenarbeit mit dem Anbieter unbedingt erforderlich, wenn Sie eine ordnungsgemäße Auflösung Ihrer Domain wünschen.
Anstatt also wahllos Dinge auszuprobieren, sollten Sie sich zunächst an einen einzelnen DNS-Anbieter wenden und ihn fragen, welche Lösung er für eine Konfiguration mit mehreren Anbietern hat, sei es ein Hot/Hot- oder ein Hot/Cold-Szenario oder ähnliches.
Ich dachte, ich könnte einen Docker finden, der meine CloudFlare-Zonen über die API zieht und ein lokales Bind9 oder ähnliches aktualisiert
Das scheint das zweite Szenario zu sein und mindert das Interesse an der Einrichtung erheblich. Warum halten Sie dies für nützlich oder, noch wichtiger, welche Art von Problemen glauben Sie damit zu lösen? Ist es vielleicht „oh, Cloudflare könnte DDOS haben und daher wird es mir helfen, einen Backup-Nameserver zu haben“? Wenn ja und wenn Cloudflare ein DDOS hat, glauben Sie wirklich, dass Ihr einzelner Nameserver die Last auch bewältigen kann? Das bezweifle ich.
Ich glaube, ich müsste einen autoritativen Server konfigurieren.
Wenn Sie sich bereits auf dieser Ebene befinden und daher den Unterschied zwischen einem rekursiven und einem autoritativen Nameserver noch nicht vollständig verstehen, empfehle ich Ihnen dringend, DNS vorerst zu meiden, auch wenn Ihnen diese Antwort nicht gefallen wird. Verwenden Sie für Ihre wichtigen Produktionszonen einen anständigen DNS-Anbieter, WÄHREND Sie auf Ihrer Seite mit anderen, nicht wichtigen Zonen herumspielen, Dinge in Ihrem lokalen Netzwerk einrichten, Dinge debuggen, Optionen ausprobieren usw. können. Danach sollten Sie ein besseres Verständnis davon haben, wie DNS funktioniert, und dann vielleicht an fortgeschritteneren Szenarien arbeiten.
In der Zwischenzeit sollten Sie Ihre Bemühungen eher auf grundlegende Sicherheitsmaßnahmen konzentrieren, wie:
- Testen Sie Ihre Zonen online mit DNSViz und stellen Sie sicher, dass keine Warnungen auftreten
- Aktivieren Sie DNSSEC in Ihren Zonen und stellen Sie sicher, dass alle Fälle berücksichtigt werden (Schlüsselrotation usw.).