假设我有一个网站www.example.com。外部 DNS 条目将访问者指向 ,111.22.33.44而后者又指向我的内部 Web 服务器172.1.2.3。所有内部访问者都使用内部 DNS 条目,将其直接指向172.1.2.3。
我的 Web 服务器为 100 个网站提供服务。添加新网站需要我添加一个内部 DNS 条目和一个外部 DNS 条目。如果我更换 Web 服务器,那么我必须进行 100 * 2 次更改。我正在考虑删除它们,只让内部用户使用外部条目……保持简单,减少工作量等。当我的一些网站没有内部 DNS 条目时,我从未注意到性能有任何差异。
有人可以解释一下拥有内部 DNS 条目的主要好处吗?
(术语可能有点混乱,我通常是一名程序员)
编辑
我的服务器位于防火墙后面(我认为是 ASA)。111.22.33.44是外部地址。172.1.2.3 是内部地址。
答案1
有人可以解释一下拥有内部 DNS 条目的主要好处吗?
这是一个非常广泛的问题,取决于您的要求和 IT 基础设施。
在大型企业中,来自某个部门的用户的请求可能必须经过多个路由器和/或防火墙才能访问位于距离他们几英尺远的数据室中的 Web 服务器的公共(NAT)IP。换句话说,这可能意味着网络资源的利用效率低下,因此让内部用户的请求转到服务器的内部 IP 会更可取。
另一种情况可能是,内部用户被分配一个特定的 Web 服务器(或集群),该服务器可能为同一主机名的公共 IP 上的服务器提供相同的内容。
另一种情况可能是,内部用户会对提供内部和外部地址之间的 NAT 的路由器/防火墙施加不可接受的负载,而让他们直接连接到服务器的内部 IP 可以减轻这种负载。
在另一种情况下,防火墙(和/或路由器)的配置可能不允许从内部用户 IP 到相关服务器的外部 IP 的流量,因此需要将用户定向到服务器的内部 IP。
从您的描述来看,您的防火墙确实允许内部用户访问您服务器的外部 IP 地址。一般来说,如果您的内部用户负载不大(相对于外部用户的负载和您的网络设备的功能而言),则似乎没有实际理由为您所有的公共主机名维护单独的 DNS 条目。
但是,谁实施了您当前的配置?他们这样做可能有特定的原因,这可能会使我最后一段话变得毫无意义。我需要有关您的网络环境和负载的更多信息,然后才能给出合理的意见。
答案2
如果您的网站是内部托管的,则用户将无法访问您的 Web 服务器,具体取决于其托管方式。服务器是否位于同一防火墙或 NAT 后面?如果是,它将无法正常工作……您的问题中没有完全明确用户是否可以通过 IP 访问它。
此外,根据 DNS 服务器的不同,进行大规模更改也很容易。在 BIND 中,您只需查找/替换 IP、更新序列,然后重新加载区域即可。我相信其他人也有类似的方法或工具可以进行大规模更改。
答案3
最终,它归结为你最终在网络内部遍历的网络设备,以到达网络服务器。通常表现从桌面角度来看,增益可以忽略不计,但是当其中一些设备出现故障时会发生什么?当这些公共 IP 无法路由或遭受降级时,最糟糕的情况是什么?(可以避免的 Web 应用程序之间的 API 调用失败等)
每个人的情况都不同,所以最终还是要由你和你的同事来判断你的内部流量走一条路径与另一条路径会产生什么影响。(以及是否值得在 DNS 层管理该问题;我认识的专业人士中很少有人喜欢拆分 DNS 配置)