我想为我的 cloudflare 帐户创建一个备用 DNS 服务器。
据我所知,我有 70 多个由 CloudFlare 托管的域名,我的整个业务都依赖于一项几乎免费的服务,CloudFlare 之前也发生过宕机事件。
我想为此类事件制定一个备用计划。
我想我可以像这样简单地在每个域名的 NS 记录中添加第三个 DNS 服务器
foo.ns.cloudflare.com
bar.ns.cloudflare.com
ns.mydoamin.com
我的第一个问题是,这是否会按预期工作(如果 cloudflare 没有响应,浏览器将查询 ns.mydomain.com)。
我的第二个问题是如何做到?
我想我可能会找到一个通过 API 拉取我的 CloudFlare 区域并更新本地 bind9 或类似内容的 docker,但我找不到这样的 docker,它存在吗?
如果没有,我可以通过 API 自行管理导出记录,但我应该如何设置我的服务器,我能找到的所有教程都是针对内部网络作为递归服务器的,我想我需要配置一个权威服务器。
感谢您提供的任何信息。
答案1
我的第一个问题是,这会按预期发挥作用吗?
不可以。您不能仅通过将NS记录的联合放在您的区域中并将所有名称服务器放在注册表中并希望它能正常工作来一起使用多个 DNS 提供商。
所有相关提供商都需要合作,以确保以完全相同的方式为完全相同的区域提供服务。这在大多数情况下意味着要么有一个隐藏的主分发名称服务器为两个提供商提供服务,要么一个提供商从另一个提供商获取区域(这种情况会大大降低拥有多个提供商的实用性)。
如果您确实将 DNSSEC 纳入其中,那么如果您希望您的域名能够正确解析,那么提供商的合作是绝对必要的。
因此,您不应随机尝试,而应首先联系任何单个 DNS 提供商,并询问它对多提供商设置有什么解决方案,无论是热/热还是热/冷场景等等。
我认为我可能会找到一个docker,它可以通过API拉取我的CloudFlare区域并更新本地bind9或类似的东西
这似乎是第二种情况,严重降低了设置的趣味性。您为什么认为这有用,或者更重要的是您认为您用它解决了什么样的问题?也许是“哦,Cloudflare 可能有 DDOS,因此我有一个备份名称服务器会有所帮助”?如果是这样,并且如果 Cloudflare 有 DDOS,您真的认为您的唯一名称服务器也能处理负载吗?我对此表示怀疑。
我想我需要配置一个权威服务器。
如果您处于这种疑问水平,因此尚未完全理解递归和权威名称服务器之间的区别,我强烈建议您暂时不要使用 DNS,即使您不喜欢这个答案。使用任何可靠的 DNS 提供商来处理您的重要生产区域,同时您可以自己尝试其他不重要的区域、在本地网络上进行设置、调试、尝试选项等。之后,您应该对 DNS 的工作原理有更好的了解,然后也许可以尝试更高级的方案。
与此同时,你应该把更多的精力投入到基本的安全保障上,例如:
- 使用 DNSViz 在线测试您的区域并确保没有警告
- 在您的区域上启用 DNSSEC 并确保所有情况都得到考虑(密钥轮换等)。