dns解决方案.doc

环球（中国）集团股份有限公司DNS解决方案目 录目录一、DNS解决方案41.现状分析42.重点考虑的问题52.1安全稳定问题52.2解析能力问题52.3快速高效问题52.4线性扩容问题52.5管理运维问题62.6数据分析问题62.7二次开发问题63.方案设计64.方案说明75.方案优势85.1整体系统响应快速性85.2整体系统稳定可靠性85.3整体系统的高安全性95.4整体系统的高可用性95.5数据统计分析和挖掘105.6整体系统预警应急处理105.7整体系统的可扩展性115.8整体系统二次开发性116.方案实施116.1整体实施116.2分步实施127.DNS混用的解决14二、DNS配置16一、 DNS解决方案1. 现状分析随着公司业务的飞速发展迅速，业务遍布全国各地，对网络的要求也在不断提高。目前公司两大平台的域名解析是由第三方来完成的，存在着严重的安全和稳定的隐患，存在速度低下（至少是不理想）的访问效率问题，不仅影响公司的形象，也会严重影响到我们公司业务的快速发展，具体表现为：l 跨运营商访问速度缓慢/跨地区访问速度缓慢造成访问过慢的主要是有以下几点造成的：跨网访问应用服务器跨网访问会存在延时，造成访问速度低下。可以通过智能DNS判断用户的源IP，进行解析，从面避免用户夸网进行访问跨地域访问应用服务器如果一个海南的用户访问北京的一台应用服务器，即使同一运营商，也会存在访问速度很慢的现象。通过智能DNS，可以让用户就近访问应用服务器，从而提高打开应用服务的速度l 宕机的处理和避免在保证单体DNS服务器稳定的同时，通过各个站点、节点均采用双机或者多机热备的模式，来避免个别DNS出现异常给用户解析带来的影响。l 部分用户存在混用DNS问题DNS混用是指用户设置了非本地运营商提供的DNS地址，而造成智能DNS在解析时不能准确的判断其真实的来源。l DNS面临的安全风险如何保障问题目前是采用第三方做授权解析的方式，这就不可避免地存在安全风险，如域名劫持、DNS解析能力、DNS稳定性等架设一套高阳捷讯公司自己的域名解析系统，来解决跨运营商、跨地域访问及解析安全问题，来保障我们两大平台业务的健康快速的发展。2. 重点考虑的问题 架设自己独立的智能域名解析系统（DNS），可以有效地解决上述问题（DNS混用除外），我们在建设智能域名解析系统的时候，需要着重关注下面的问题：2.1 安全稳定问题整个智能域名解析系统（DNS）具有高稳定性和高安全性能；内部互为备份能力；具体有灾备解决方案和灾备能力；具有灾备应急解决方案，并具有快速恢复能力；具有高可用性，具有避免单节点、端口故障的能力；2.2 解析能力问题 整个智能域名解析系统（DNS），需要具备很高的解析处理能力，不仅要满足现有业务的需要，也要具有足够的冗余度，能满足未来业务发展的需要。2.3 快速高效问题不论是我们的电子支付平台还是电子商务平台，都需要DNS系统快速反应，整个智能域名解析系统（DNS）本身需要对解析请求的快速处理，也必须通过智能解析的方式，来避免跨运营商访问，以提高访问速度，同时，也需要通过智能域名解析系统（DNS）的处理，达到按照区域就近访问，以提高访问速度。2.4 线性扩容问题公司业务是快速发展的，公司的客户数量也会随之不断迅速增加的，随之而来的就是对我们两大平台的访问量的迅速增加；一旦智能域名解析系统（DNS）需要扩容时，我们必须考虑扩容成本问题，尽可能做到只增加智能DNS设备及必备的周边设备，不需要增加过大的投入，最好是线性或者接近线性，如将来我们以行政省份为DNS节点的建设，仅DNS设备的数量就是很大的。降低扩容成本就将成为一个重要问题。2.5 管理运维问题委托第三方进行授权解析的方式，无法及时准确地管理DNS，DNS的管理也相对繁琐，不可能做到对DNS的实时管理；2.6 数据分析问题 智能域名解析系统（DNS）数据的统计与分析是非常重要的，对我们两大平台业务的进展情况、客户的分布情况以及相关细节情况都是一个非常好的体现，通过数据分析、统计及深度挖掘，不仅能让我们及时了解现有业务及客户状况，对我们业务的在整体和局部的开展等都有非常好的指导作用。2.7 二次开发问题新建设的智能域名解析系统（DNS），需要与公司现有管理平台等进行对接，才能融为一体，更大地发挥各部分的作用和功能，以满足我们业务发展的需要，这不可避免地需要在系统的的管理、接口、局部功能调整等方面进行二次开发，以便整个智能域名解析系统（DNS）与原有平台和管理系统有机的融合。3. 方案设计方案思路：1、建立以广东省珠海市为中心的智能DNS核心站点；2、建立以广东省珠海市为中心的DNS运营数据挖掘平台；3、分别在广东、上海、四川、西北、东北建立5个骨干站点（具体站点的设置，可根据公司业务发展和分布来进行）；4、从安全的角度考虑，可以将广东站点或者上海站点之一进行扩容，成为北京站点的灾备站点；5、如业务发展需要，增设以大区或者其他方式为单位的DNS节点；具体结构示意图如下：4. 方案说明1、广东省珠海站点：作为整个域名解析系统（DNS）的核心，除负责正常的解析任务外，还承担任何一个DNS站点的备份任务。设计架设4套高端智能DNS设备，前端加设负载均衡设备，同时，架设数据挖掘服务器和存储设备。高端DNS设备：负责处理客户的解析请求负载均衡设备：负责将解析请求分配到每套DNS设备上数据挖掘服务器：负责整个智能DNS系统数据的搜集、整理、分析、报表及深度挖掘存储设备：负责整个智能DNS系统数据的存储2、骨干节点（广州、上海、西北、东北、四川）：分别架设2套高端智能DNS设备，成双机热备模式，承担正常的解析服务3、灾备站点：为了提高整个DNS体系的灾备能力和抵御不可预测灾难的能力，可将广州或者上海站点建设成为整个智能DNS系统的灾备站点，需要扩容至4套智能DNS设备，并在前段增加负载均衡设备，以及DNS运营数据挖掘服务器和存储设备，与北京站点同样的模式4、如业务需要，可以直接按照大区或者其他划分方式，增设DNS站点，并将智能DNS设备架设成双机热备的模式即可。5. 方案优势5.1 整体系统响应快速性1、对用户所有的解析请求，按照DNS规则，平均分配到各站点的智能DNS服务器上进行解析，有效提高了智能DNS服务器的使用效率，同时也考虑到DNS请求峰值的情况出现，避免了个别智能DNS服务器因负载过大而导致的解析速度降低和整体DNS集群运行效率较低的问题；2、在DNS上进行策略配制，限制递归解析请求，提高DNS的使用效率，降低了整个智能DNS集群的负载；3、所有的日志全部在数据挖掘中心上进行存储和分析，降低整个智能DNS服务器群的资源开销，有效减轻整个DNS集群的负载，达到保证DNS集群的响应速度；5.2 整体系统稳定可靠性1、采用数据挖掘中的监控模块，对整套智能DNS群进行监控，可以监控到每个智能DNS服务器的各种指标情况，异常情况进行预警和报警，并以手机短信和邮件的方式，及时通知运维人员进行处理；2、所有连接均采用双线链接模式，端口采用链路聚合模式，避免单点、单路故障，最大可能地保证了整个智能DNS集群的可靠性；3、整个DNS系统架构，充分考虑到了整体的可靠性。每个站点均采用双机或者多级热备的模式，当有任何一台DNS设备出现宕机，热备智能DNS服务器快速接替故障设备；如果单站点宕机，北京站点或者其他站点会立刻接替服务，不会影响到用户解析请求的快速处理，从而最大可能地保证整个智能DNS集群系统的可靠运行；4、根据方案设计要求，我们在整个智能DNS集群上已经考虑到了整个系统的冗余。5.3 整体系统的高安全性单体DNS服务器的安全性硬件：由Intel全球10大嵌入式设备合作商定制提供系统：BSD底层系统，秉承UNIX的安全、稳定性防护：防DDOS攻击、防IP欺骗、防端口攻击运行：内部应用软件自检，故障自动重启功能端口：多网卡链路聚合，线路故障自动切换功能管理：全WEB操作，三级用户权限管理模式整体架构安全性各个DNS站点互为备份，当出现个别站点停电、网络通讯等故障时，其他站点会立刻自动接替工作，不影响用户的正常解析，从而保证了整个DNS系统的安全性。5.4 整体系统的高可用性暴雪娱乐有限公司DNS系统支持HA双机热备模式、双机负载均衡、链路聚合等功能，可以有效保证设备724小时不间断地提供服务；100的通过中文WEB界面、简洁明了的图形用户界面，直观易用，极大地简化了系统配置复杂度。管理员只需要具备一定的DNS知识，就可以快速掌握系统的配置和维护，可以很好的使用这套系统。而且具有操作记录功能，可以跟踪管理员的操作行为。5.5 数据统计分析和挖掘1、暴雪娱乐有限公司DNS设备提供丰富的日志，如：DNS日志、安全日志、系统日志、操作日志和登录日志，通过日志全面评估当前系统的运行状态和故障定位；暴雪娱乐有限公司DNS设备支持图形查询统计，能让您直观的看到当前每秒查询统计。暴雪娱乐有限公司DNS系统支持每个域名在运行期间的查询统计。通过此功能，用户可以直观的看到每个域名、每条线路的查询统计数据，为您的运营提供参考数据。2、整体解决方案专门配置了DNS运营数据挖掘平台，对整个系统内每套DNS设备进行日志数据的搜集和整理，进行统计分析和数据挖掘，可以针对运营商、IP、域名、区域、时间等进行综合统计分析，使我们及时掌握客户分布、客户行为及相关信息，对我们业务的改进和发展有着极其重要的指导作用；同时，DNS运营数据挖掘平台，还可以实时监控整个系统中每套DNS设备的状态，在异常情况下，可以实时报警、预警，以保证整个智能DNS系统的正常运行。5.6 整体系统预警应急处理实易DNS运营数据挖掘平台具有报警、预警功能，可以实时监测出整个DNS系统中不正常的服务器的状态，并通过手机短信进行实时报警，以保证在个别DNS服务器有异常时可以及时处理。5.7 整体系统的可扩展性暴雪娱乐有限公司DNS设备，支持无限级线性扩展，方便我们随时进行整个DNS系统的扩容；本方案的设计考虑到了以后的扩展性，扩容成本低，无论是负载均衡设备，还是智能DNS服务器，我们都可以根据未来整个网络的发展需要，随时方便地进行线性扩容，以适应未来发展的需要。5.8 整体系统二次开发性暴雪娱乐有限公司DNS设备及DNS运营数据挖掘平台均系北京实易科技自主研发的产品，可根据用户的实际需要进行二次开发，以保证与原管理系统的最大融合，使整个智能DNS系统更好地发挥作用。6. 方案实施6.1 整体实施如条件许可，可一步到位，直接建设北京、上海、广东、四川、东北、西北6个站点，具体部署图下图：所需设备：高端智能DNS设备 14套（如增设灾备站点，还需要增加2套设备）数据挖掘服务器 1套（如增设灾备站点，还需要增加1套设备）数据存储设备 1套（如增设灾备站点，还需要增加1套设备）负载均衡设备 1套（如增设灾备站点，还需要增加1套设备）交换机等其他设备及辅助配件另计6.2 分步实施一期实施内容在保障整个DNS系统性能的前提下，首先分别在北京、广东、四川、上海架设4个DNS站点，并做成互为备份的模式。具体如下图：所需设备为：高端智能DNS设备 10套（如增设灾备站点，还需要增加2套设备）数据挖掘服务器 1套（如增设灾备站点，还需要增加1套设备）数据存储设备 1套（如增设灾备站点，还需要增加1套设备）负载均衡设备 1套（如增设灾备站点，还需要增加1套设备）交换机等其他设备及辅助配件另计二期实施内容 增设东北、西北2个DNS站点，具体如下图：需要增加的设备为：高端智能DNS设备 4套交换机等其他设备及辅助配件另计7. DNS混用的解决互联网中DNS的机制是：通过访问请求者的DNS地址来判断访问请求者所使用网络的运营商和所在地域。常规情况下，我们大多数人使用的是运营商自动分配的DNS地址，这个时候，被访问的DNS服务器可以准确地判断出请求者所使用网络的运营商和所在地域，这部分占到80%以上，甚至90%以上；只有少部分熟悉了解计算机和网络人，会在特定的需要的情况下，设定自己的DNS地址，这种情况下，被访问的DNS服务器，就无法准确判断出访问请求者所使用网络的运营商和所属地域，造成了我们所说的“DNS混用”的现象，这部分在访问请求中不足20%，甚至比例更低。通过使用多线路BGP机房的方式，可以有效解决本地的DNS混用问题，具体如下：说明1、用户在访问应用服务时，通过DNS解析返回给用户一个IP地址。2、用户访问请求是，会得到一个属于BGP机房的IP地址，因为这个IP地址属于BGP机房，所以在访问是直接走本运营商的路由，进行访问应用服务3、在同一区域设置托管两组服务器在不同的BGP机房做为互备。优点1、智能DNS解析按区域划分，同一区划的用户解析到本区划的BGP机房。2、在同一区域的服务器做到了集中管理，在同一区域的服务器组减少到了两组。3、减少了DNS的维护负担，同一记录的DNS条目减少到了36条。缺点只能解决部分的DNS混用问题，如果本省的用户设置成外省的DNS时，会解析到外省的BGP机房的服务器上。二、DNS配置由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始设置控制面板添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，