内网DNS解析相当于一个您独自管理的内网DNS,您可以用它来创建一些只能在域名生效范围(通过关联一个或多个VPC)内被访问到的域名或者子域名。
原理
内网DNS解析利用阿里云VPC(Virtual Private Cloud)的隧道隔离特性(具体请查看什么是专有网络),对您的内网域名执行隧道隔离。不同VPC下关联的域名因其隧道ID不同,无法跨VPC访问。
同时,阿里云的DNS采取了严格的验证机制,确保您的私有域名在阿里云网络内的唯一性,只有您自己才可以对其进行管理。
逻辑架构
一个内置权威Zone(例如example.com
),域名生效范围可以设置一个VPC,也可以设置多个VPC。设置域名生效范围后,设置的域名解析记录在相应的VPC内便可以被访问。
功能概述
域名(Zone)
域名(Zone):域名(Zone)文件中包含您需要管理的域名或子域名的资源记录。域名(Zone)文件也是大多数DNS软件用来管理域名空间的工具。
内网DNS解析支持添加子域名(Sub Zone),域名 (Zone) 和子域名 (Sub Zone) 可以共存,但是子域名(Sub Zone)中的资源记录将会覆盖域名(Zone)中的资源记录。
主机记录:子域名的前缀称为主机记录,例如
www
。没有前缀的主域名使用@
作为主机记录。记录类型:内网DNS解析支持的记录类型如下表所示。
记录类型
描述
A
用来指定域名的 IPv4 地址(例如
223.5.XX.XX
),若需要将域名指向一个 IPv4 地址,则需要添加 A 记录。AAAA
用来指定域名的 IPv6 地址(例如
BF02::0:0:0:0:XX:XX
),若需要将域名指向一个 IPv6 地址,则需要添加 AAAA 记录。CNAME
别名记录,指向另外一个域名。
MX
邮件服务器记录,标识该域名的邮件服务器。
TXT
双引号标记的一些字符串,不超过512字符。例如申请SSL证书则需要添加TXT记录。
PTR
将IP地址反向映射到域名。
TTL:域名解析结果在缓存模块中的缓存时间。例如TTL设置为60秒,即表示外部DNS系统主动查询这个域名的时候,如果这个解析结果在首次查询之后被外部DNS系统缓存了,那么在60秒的时间内,这个外部DNS系统都将用这个缓存记录进行应答。内网DNS解析中内置权威分为普通区和加速区,其TTL值的影响如下表所示。
当TTL值通过内置权威加速区设置时:
解析请求来源
解析结果缓存位置
描述
云上终端访问100.100.2.136/100.100.2.138发起的DNS查询
无
加速区解析结果直接返回给云上终端
外部DNS系统(入向)转发进来的DNS查询
外部DNS系统(入向)缓存模块
加速区解析结果首先返回给外部DNS系统(入向)缓存模块,由缓存模块再返回给发起DNS查询请求的终端
当TTL值通过内置权威普通区设置时:
解析请求来源
解析结果缓存位置
描述
云上终端访问100.100.2.136/100.100.2.138发起的DNS查询
100.100.2.136/100.100.2.138的缓存模块
普通区解析结果先返回给100.100.2.136/100.100.2.138的缓存模块,然后由缓存模块返回给云上终端
外部DNS系统(入向)转发进来的DNS查询
外部DNS系统(入向)的缓存模块、100.100.2.136/100.100.2.138的缓存模块
普通区解析结果首先返回给100.100.2.136/100.100.2.138的缓存模块,再由100.100.2.136/100.100.2.138缓存模块返回给外部DNS系统(入向)缓存模块,由外部DNS系统(入向)缓存模块再返回给发起DNS查询请求的终端
当TTL值通过外部DNS系统(如云下IDC自建DNS、公网权威DNS)设置时:
解析请求来源
解析结果缓存位置
描述
云上终端访问100.100.2.136/100.100.2.138发起的DNS查询
100.100.2.136/100.100.2.138的缓存模块
外部系统DNS(出向)解析结果先返回给100.100.2.136/100.100.2.138的缓存模块,然后由缓存模块返回给云上终端
外部DNS系统(入向)转发进来的DNS查询
外部DNS系统(入向)的缓存模块、100.100.2.136/100.100.2.138的缓存模块
外部系统DNS(出向)解析结果首先返回给100.100.2.136/100.100.2.138的缓存模块,再由100.100.2.136/100.100.2.138缓存模块返回给外部DNS系统(入向)缓存模块,由外部DNS系统(入向)缓存模块再返回给发起DNS查询请求的终端
域名生效范围
设置域名生效范围:您可以将域名(Zone)关联到需要访问的一个或多个VPC,相同名称的域名(Zone)不能关联同一个VPC。例如,当同时存在两个example.com时,无法将两个example.com都和相同的VPC关联,否则在执行DNS查询时,DNS服务器无法判断需要响应的解析结果。当您确定某些VPC不需要访问某个域名(Zone)时,可以将这些VPC从域名生效范围中移除。
反向解析
反向解析:域名反向解析指从IP地址到域名的映射,即通过查询IP地址的PTR记录来得到该IP地址指向的域名。
反解域名(Zone):在Internet域名空间中特地划出的一部分名字空间用作反向映射,这部分名字空间被称为
in-addr.arpa
域。例如,168.192.in-addr.arpa
这个域名(Zone)包含的就是所有IP地址以192.168开头的主机的反向映射信息。PTR记录:IP地址到域名的映射,该类型映射使用的DNS资源记录是PTR(pointer指针)记录。
产品优势
丰富的产品功能
智能解析:支持内网域名解析针对来源于某个特殊IP段的DNS查询请求返回特定的IP地址,目前支持阿里云解析线路及自定义解析线路。
权重解析:相同主机记录、相同的解析请求来源配置多个IP地址或域名地址时,支持对每个记录值设置权重,在应答DNS查询时,所有IP地址/域名地址按照预先设置的权重比例返回,将解析流量分配到不同的服务器上,从而达到负载均衡的目的。
缓存保持:支持用户对热点域名、重点域名设置缓存保持,设置缓存保持的域名解析记录会一直保存在缓存中,提高域名在内网DNS解析速度,规避域名的权威DNS厂商服务故障引起的解析服务中断影响。
缓存清除:有些内网业务在紧急变更情况下,需要及时刷新内网DNS域名的最新解析记录。如果域名已经设置为缓存保持域名,可以通过缓存清除功能清除用户缓存保持域名在缓存规则生效范围对应缓存服务器上的数据。
转发管理:支持将企业内网VPC中的特定域名解析请求流量转发到外部DNS系统,能够有效解决混合云、云上&云下的业务间调用场景。
流量分析:提供端到端、全链路、可视化的流量分析服务,完整还原从收到域名解析请求、域名解析过程、最终返回DNS解析应答的全链路过程。并且提供图形化报表方便用户查阅,您可以根据解析流量数据变化及时调整您的业务架构。
安全隔离
内网DNS解析对不同的VPC实现完全数据隔离,具有以下安全特性:
域名(Zone)不会在Internet上被查询到,避免您的内部业务信息、内部系统架构被外界恶意探测。
域名(Zone)不会在域名生效范围外被查询到,界定了您的内部系统访问边界,将核心数据访问限制在最小范围。
域名(Zone)数据结合网络隧道特性,经过严密的安全处理,使您的域名(Zone)信息无法被恶意破解。
灵活控制
您可以无限制地添加或定制内网域名(Zone)文件。
您可以在内网DNS内添加任何域名(Zone),例如:
taobao.com
,设置域名生效范围后,taobao.com
将覆盖公网上的DNS解析结果。您可以在VPC内定制无法实际注册的域名。例如:
example.test
,example.abcd
等。您可以将相同名称的域名(Zone)设置不同的域名生效范围,使不同Region的VPC通过相同的域名,访问不同的云资源,实现就近访问。例如:在华北2和华东2的VPC内查询
test.example.com
时,DNS会分别返回华北2和华东2的云资源地址。