需要 Bind9 架构建议

需要 Bind9 架构建议

我需要您对 DNS 架构的建议。

此模式描述了我认为要构建的 DNS 架构:

DNS 架构

在我的公司,每台台式机/笔记本电脑都配置了 LAN 的 DNS(10.1.1.1),这是一个 Microsoft AD/DNS,但我没有掌握它。其他 DNS 是 Bind9,我是管理员。我的目的是为新项目(在独立的网络中)添加其他 DNS 服务器,而无需对笔记本电脑和 LAN DNS 进行任何更改,当然,我希望开发人员的笔记本电脑(在 LAN 中)可以查询并接收这些新项目的 fqdn 的答案。

从 DNS (fqdn) 的角度来看,有一个域 (project.com) 和许多子域 (subX.project.com)。并且每个子域都位于一个独立的网络中。

示例:在每个 VLAN 上,我将有一个 Web 服务器,并且我希望它能够响应其 DNS 子域:

web.project.com  --> for the web server of the project zone.
web.sub1.project.com  --> for the web server of the sub-project zone
web.sub2.project.com ....

因此,根据我对 Bind9 的理解,我认为 LAN DNS 服务器 (10.1.1.1) 可以将请求转发到项目 DNS 服务器 (10.100.1.1)。而项目 DNS 可以将请求转发到子项目 DNS 服务器 (10.200.1.1 / 10.250.1.1)。

最后,如果区域 DNS 将其请求转发到上级 DNS,则网络中的所有虚拟机都可以解析公共 fqdn。我只是想重申一下,我无法控制主 DNS(在 LAN 中)。

下面,你会发现命名的.conf.选项表示架构的文件在模式中描述:

  • DNS project.com (10.100.1.1/10.100.1.2)
{
    allow-query     { 127.0.0.1; 10.1.1.1; 10.1.1.2; 10.200.1.1; 10.200.1.2; 10.250.1.1; 10.250.1.2; 10.100.1.0/24; };
    recursion yes;
    notify yes;
    allow-transfer { 10.100.1.2; }; # the slave
    forwarders {
        10.1.1.1;
        10.1.1.2;
    };
}
  • DNS sub1.project.com (10.200.1.1/10.200.1.2)
{
    allow-query     { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.200.1.0/24; }; queries from VMs in this network and DNS from upper zone
    recursion yes;
    notify yes;
    allow-transfer { 10.200.1.2; };
    forwarders {
        10.100.1.1;
        10.100.1.2;
    };
}
  • DNS sub2.project.com (10.250.1.1/10.250.1.2)
{
    allow-query     { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.250.1.0/24; }; queries from VMs in this network and DNS from upper zone
    recursion yes;
    notify yes;
    allow-transfer { 10.250.1.2; };
    forwarders {
        10.100.1.1;
        10.100.1.2;
    };
}

您觉得这个架构怎么样?您觉得有什么缺点、错误或误解吗?

问候。

答案1

我的目的是为新项目添加其他 DNS 服务器(在独立的网络中),而无需对笔记本电脑和 LAN DNS 进行任何更改,当然,我希望开发人员的笔记本电脑(在 LAN 中)可以查询并接收这些新项目的 fqdn 的答案。

只需通过记录让您的主 DNS 服务器将NS子域名委托project1.example.com给您的名称服务器,之后您就可以控制此区域(因此下面的所有内容都是如此)。名称解析期间的正常递归行为将启动,无需任何特定配置。

您似乎混淆了名称服务器的递归和权威角色。这两者不能混为一谈。您应该避免(虽然从技术上讲,使用类似dnsmasq或 的软件可以unbound)一般情况下充当递归角色但对某些名称充当权威角色的服务器。进行适当的委托并拥有有意义的树,您就不会遇到任何奇怪的问题。您应该尽可能避免“前向”查询。

您的配置示例集只是构成了递归名称服务器的网格,它们对任何事情都没有权威性,因此这不是可行的方法。请委托。

相关内容