Я хотел бы создать резервный DNS-сервер для своей учетной записи CloudFlare.
Мне известно, что у меня более 70 доменов, размещенных в CloudFlare, и весь мой бизнес работает на практически бесплатном сервисе. Это уже случалось, когда CloudFlare падал.
Я хотел бы иметь запасной план на такой случай.
Я думал, что могу просто добавить 3-й DNS-сервер в свои записи NS на каждом домене, как это
foo.ns.cloudflare.com
bar.ns.cloudflare.com
ns.mydoamin.com
Мой первый вопрос: будет ли это работать так, как ожидается (если cloudflare не отвечает, браузер будет запрашивать ns.mydomain.com).
Мой второй вопрос: как?
Я думал, что найду докер, который тянет мои зоны CloudFlare через API и обновил локальный bind9 или что-то подобное, но я не смог найти такой докер, существует ли он?
Если нет, я могу сам экспортировать записи через API, но как мне настроить свой сервер? Все руководства, которые я смог найти, предназначены для внутренних сетей в качестве рекурсивного сервера. Думаю, мне нужно будет настроить авторитетный сервер.
Спасибо за любую информацию.
решение1
Мой первый вопрос: будет ли это работать так, как ожидается?
Нет. Вы не можете использовать несколько поставщиков DNS одновременно, просто объединив NSзаписи в своей зоне и все серверы имен в реестре и надеясь, что это сработает.
Все заинтересованные поставщики должны сотрудничать, чтобы гарантировать обслуживание одной и той же зоны одним и тем же способом. Что в большинстве случаев означает либо скрытый основной сервер распределения имен, который обслуживает обоих поставщиков, либо один поставщик, извлекающий зону из другого (что значительно снижает полезность наличия нескольких поставщиков).
Если вы все же используете DNSSEC, то сотрудничество с провайдером абсолютно обязательно, если вы хотите, чтобы ваш домен работал корректно.
Поэтому вместо того, чтобы пробовать все наугад, вам следует сначала обратиться к любому поставщику DNS и спросить, какое решение у него есть для настройки с несколькими поставщиками, будь то сценарий «горячий/горячий» или «горячий/холодный» и тому подобное.
Я подумал, что могу найти докер, который извлекает мои зоны CloudFlare через API и обновляет локальный bind9 или что-то подобное.
Это похоже на второй сценарий и серьезно снижает интерес к настройке. Почему вы думаете, что это полезно или, что более важно, какие проблемы вы решаете с помощью этого? Может быть, «о, у Cloudflare может быть DDOS, и поэтому мне поможет наличие резервного сервера имен»? Если так, и если у Cloudflare есть DDOS, вы действительно думаете, что ваш единственный сервер имен тоже сможет справиться с нагрузкой? Я сомневаюсь.
Думаю, мне нужно будет настроить авторитетный сервер.
Если вы находитесь на этом уровне вопросов и, следовательно, еще не полностью понимаете разницу между рекурсивным и авторитетным сервером имен, я настоятельно рекомендую, даже если вам не понравится этот ответ, просто пока воздержаться от DNS. Используйте любого приличного провайдера DNS для ваших важных производственных зон, В ТО ВРЕМЯ как вы можете поиграться с другими неважными зонами, настроить что-то в вашей локальной сети, отладить что-то, попробовать варианты и т. д. После этого вы должны будете лучше понять, как работает DNS, а затем, возможно, перейти к более продвинутому сценарию.
В то же время ваши усилия должны быть направлены на основные меры безопасности, такие как:
- тестирование зон с помощью DNSViz онлайн и проверка отсутствия предупреждений
- включите DNSSEC в своих зонах и убедитесь, что все случаи учтены (ротация ключей и т. д.).