几年前,我发现了下面显示的图片,由于我目前正在研究 DNS 和 BIND,所以我想了解并构建此处显示的设置。我确实了解(聚合)仅缓存转发器,并且自己进行(内部)解析而不是将其再次转发给您的 ISP 是有意义的。隐藏主服务器和区域从服务器的设置也很有意义,但我不明白为什么要将“外部解析器”放在这些区域从服务器前面。为什么不让外部客户端直接向这些区域从服务器发送查询?插入外部解析器的额外好处是什么?
我尝试在 Google 上搜索这张图片,希望能找到任何描述此设置的文档,但遗憾的是,我甚至无法在网上找到这张图片了。
答案1
外部解析器
拥有外部解析器的一个观点是将外部服务器放在 DMZ 中。通常,任何可访问互联网的服务器都应与其他服务器分开。然后可以对允许的内容制定更严格的防火墙规则。这也降低了被入侵的风险。如果有人可以访问外部服务器,他们不会直接位于您的服务器 LAN 上,并且很可能不会位于加入域的服务器上。
另一个原因是,如果有人对您的公共 DNS 发起 DDOS 攻击,它不会破坏您的内部业务客户端、服务器等。
主服务器
这将是您公司域名的主副本所在的地方。这些服务器可能也是您编辑 DNS 记录的地方。它们将受到更高的安全保护,以确保您的记录安全。
区域奴隶
所有其他服务器都将从这些服务器访问内部 DNS 区域。它们的活动将比主服务器多得多。
内部解析器
这些将为您的内部用户完成大部分工作。它们将接收来自下游转发器的请求,并执行所有递归查找以解决所有查询。
仅缓存转发器
这些服务器将减少内部解析器的负载。它们将缓存所有请求,以便常见查询将在本地得到答复,而无需内部解析器再次查找。如果解析器位于异地,它们还可以提高客户端性能。