我有一個客戶使用我們的白標網路應用程式。他們的網址是portal.client.com。當我要求他們將 url 指向 CNAME app.company.com 時,他們說它必須是 A 記錄。
我認為 CNAME 是理想的選擇,因為如果我們需要更改 IP 位址,我們只需在一個地方完成即可,而無需聯繫每個客戶來更新其 DNS 記錄,從而為雙方節省時間和麻煩。
這是我從他們那裡得到的回應:
事實上,CNAME 是 URL 重定向,最好的方法是向託管提供者網頁伺服器設定 A 記錄。這提供了一種更安全的方法,因為就最終用戶在瀏覽器層級而言,我們無法保證 CNAME 將繼續偽裝第三方 URL。
現在,這些對我來說都毫無意義。首先也是最重要的,CNAME 不是 URL 重定向...有人可以闡明如何或在什麼情況下 A 記錄將是比 CNAME 更好或更安全的方法,以及是否適用於這種情況。
謝謝,
答案1
我實在想不出 CNAME 的安全性會降低的情況。
有人可能會說,由於別名跨越一個區域 ( client.com-> company.com),因此它不安全,因為端點不在 的client.com管理控制範圍內。然而,客戶應該足夠信任你來使用你的應用程序,所以為什麼不相信你不會弄亂記錄呢app.company.com。
從系統管理員的角度來看,我寧願按照您的建議使用 CNAME,但您可能會接受它並讓您的客戶滿意:)。
答案2
不,CNAME 記錄的安全性並不比 A 記錄低。
事實上,這種情況正是 CNAME 存在的首要原因。
主機和其他資源通常有多個名稱來識別相同資源。例如,名稱 C.ISI.EDU 和 USC-ISIC.ARPA 都標識同一主機。
還應該要提到的是,CNAME 並不是真正的 URL 重定向。 DNS 查詢發生在與伺服器建立任何連線之前,並且簡單地為您的用戶端提供一個用於其會話的 IP 位址。客戶端仍然知道最初請求的 URL 是什麼。
答案3
在理論假設您的應用程式被設計為具有不同網域的多租戶。 ……沒有什麼真正的區別。
cname 不是“重定向”, 他們是別名。它們只是資源的替代名稱。過去的您的應用程式不會關心 DNS 查找。
這提供了一種更安全的方法,因為就最終用戶在瀏覽器層級而言,我們無法保證 CNAME 將繼續偽裝第三方 URL。
從技術上講,沒有任何意義。我會考慮失去對 A 名稱的控制......只是比失去對應用程式運行的 IP 位址的控制更可怕和粗心。
您也不應該(但可以)讓一個 cname 指向另一個 cname。
好吧,你沒有理由不能保留這客戶對 A 名稱感到滿意,前提是您的記錄保存足夠好,並且讓其他客戶保持在 CNAME 上。只需增加服務費並調整您的 SLA 即可。
答案4
如果 company.com 的 DNS 伺服器受到威脅,A 記錄比 CNAME 記錄更安全。還有,要非常挑剔的是,由於需要額外的名稱解析,CNAME 記錄需要稍微多一點的時間。除此之外,沒有太大差別,事實上許多網路雲端服務(例如 Amazon Web Services)都有為客戶的網域設定 CNAME 的習慣。
另外,URL 類似http://portal.client.com/myapp/foobar.html。 CNAME 不能指向 URL,只能指向主機名稱。從他們的反應來看,您的客戶似乎不知道他們在說什麼。您可能不想與他們的無知作鬥爭,而是按照@Joe 的建議,縱容他們創造 A 記錄。