基于腾讯云自建高可用DNS方案实践

2022-08-31 16:11:33 浏览数 (1)

导语 | 本文推选自腾讯云开发者社区-【技思广益 · 腾讯技术人原创集】专栏。该专栏是腾讯云开发者社区为腾讯技术人与广泛开发者打造的分享交流窗口。栏目邀约腾讯技术人分享原创的技术积淀,与广泛开发者互启迪共成长。本文作者是腾讯云开发者社区的作者罗俊。

本文主要介绍如何在腾讯云平台下自建高可用DNS环境,来满足企业在云上的内外网域名解析的需求。这里主要介绍两种方案的实现方式,方案一: 基于Centos 系统自带的Bind软件构建智能解析方案;方案二:基于CoreDNS与ETCD来构建CoreDNS高可用方案,在阐述两个方案实现的前,咱们一起回顾下DNS的基础概念及原理。

DNS基础概念

(一)DNS概述

DNS是一个层次化的分布式数据库,其全称为域名系统(Domain Name System),它存储用于互联网主机名与IP地址相互映射的信息,及其它互联网所用到的数据。DNS系统是由柏克大学发展的BIND软件(Berkeley Internet Name Domain)所提供。现目前的BIND的为9.x,现网上大多数都简称叫BIND9 ;BIND9 软件分发包括了一个名字服务器,named,和量和解析库,liblwres和libbind。如果想了解更多或下载更高的版本,可到此站点去查询与下载:http://www.isc.org/software/bind

BIND与DNS区别:DNS是一种因特网的通信协议名称,BIND这是提供这个DNS服务的软件;在TCP/IP网络中有非常重要的地位,能够提供域名与IP地址的解析服务。

(二)DNS工作原理

域名系统DNS是类似于一个树状数据结构,树中的每个节点实质都是负责某个特定区域的一台服务器,通过这些节点,对整个域名空间进行划分,成为一个层次结构,这种结构类似与UNIX文件系统的层次结构,根的名字“.”来表示,并称之为根域名(root domain)根域的下一级是顶级域名,顶级域名又分为两种划分方法,地理域和通用域,地理域则是为了世界上每个国家或地区等设置的,如中国是cn,日本jp,美国us,台湾tw。等等。通用域则是通过不同的机构类别设置的顶级域名,如org、edu 等等。如下图:

(三)常见的顶级域名列表

随着网络快速增长,后来就出现了,以国家或地区区分的Domain name。

(四)域名服务的解析原理和过程

  • Step-1:用户提出域名请求,并将请求发送给本地域名服务器。
  • Step-2:当本地域名服务器收到请求后,先查询本地的缓存,如果有该记录信息,则本地的域名服务器就直接把查询的结果返回给用户端。
  • Step-3:如果本地的缓存中没有该记录,则本地域名服务器就直接把请求发给根域名服务器,然后让根域名服务器返回给本地域名服务器一个所查询域(根的子域,如cn)的主域名服务器的地址。
  • Step-4:本地服务器再向上一步骤中所返回的域名服务器发送请求,然后收到该请求的域名服务器查询其缓存,返回与此请求所对应的记录或相关的夏季的域名股武器的地址,本地域名服务器将返回的结果保存到缓存。
  • Step-5:重复第4步,直到找到正确的记录。
  • Step-6:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回客户端。

DNS解析示例:

  • Step-1:客户端请求解析www.sina.com.cn的报文。
  • Step-2:本地的域名服务器收到请求后,查看本地缓存是否有该www.sina.com.cn的解析记录,若有则反馈给客户端,若没有,就像上图一样,从根域名服务器进行查询。
  • Step-3: “.”根域名服务器收到请求后,判断此域名属于.cn域,查询到NS记录及相应的A记录告。
  • Step-4:本地DNS服务器收到相关信息后,先缓存起来,再向其.cn的域名之一的DNS服务器发送请求解析域名www.sina.com.cn的报文。
  • Step-5:.cn域名服务器收到请求后,判断该域名属于.com.cn域,开始查询本地的记录,找到6条NS记录及相应的A记录后,将其结果反馈给本地DNS服务器。
  • Step-6:本地DNS服务器收到反馈信息后,先缓存起来,再向其.com.cn域名服务器进行查询,请求解析域名www.sina.com.cn的报文。
  • Step-7:.com.cn域名服务器收到请求后,判断该域属于.sina.com.cn域,开始查询本地的记录找到NS记录及对应的A记录,然后将查询的结果返回给本地DNS服务器。
  • Step-8:本地DNS服务器收到请求后,先缓存以上查询结果,再次向.sina.com.cn域名服务器进行查询,请求解析域名www.sina.com.cn的报文。
  • Step-9:域名服务器ns1.sina.com.cn收到请求后,开始查询本地缓存,同时其解析的结果反馈给本地DNS服务器。
  • Step-10:本地DNS服务器收到www.sina.com.cn的解析后,先本地缓存一份,同时将其结果返回给客户机,这样就完成一次域名解析过程。

(五)DNS服务的相关记录说明

  • NS:域名服务器记录成为NS记录。
  • A :地址记录用于设置主机名对应ip地址关系。
  • CNAME:别名记录。
  • MX记录:设置当前域中提供邮件服务器名称。

DNS高可用智能解析方案

本DNS高可用方案基于基于CVM云服务器,在VPC内网的进行DNS服务器的构建,可实现内网域名解析的需求。同时本方案设计结合了腾讯云CLB产品提供了负载均衡能力,也可通过多个CLB实现对接多台RS接节点,分担前端解析压力,同时支持多可用区部署。

(一)方案特点

  • 同地域,多可用区 进行DNS高可用构建。
  • 全部部署在内网环境,无公网IP暴露。
  • 内网、外网域名请求分离,减小故障影响。
  • 内网LB对接多台RS节点,承载前端解析访问请求。

(二)方案实现功能

  • 支持腾讯云平台内网保留域名解析 如:*.tencentyun.com。
  • 支持用户定义自己业务域名内网解析 如: www.rocky.com。
  • 支持访问外网域名解析 如:www.baidu.com。
  • 支持分域名转发到不同的DNS服务器。

(三)解析流程路径

1)客户端访问企业内部域名

  • Client => CLB => 自建DNS1 /自建DNS2

2)客户端访问腾讯云内网域名

  • Client => CLB => 自建DNS1 =>转发至183 DNS => UnbondDNS

3)客户端访问外网域名

  • Client => CLB=>自建DNS1 =>转发至183 DNS => Private DNS =>公网递归DNS

注意:

  • 若客户在腾讯云的UIN账号是非带宽上移用户(传统用户),则CLB不支持跨可用区挂在RS节点。
  • 按照相关规定,没有相关资质是不允许开启53端口的。若内部使用,需限制访问来源。

详情参考腾讯云官网文档《关于安全组53端口配置的公告》

https://cloud.tencent.com/document/product/213/35533

DNS高可用智能解析方案实现

本次方案采用了两台节点进行此方案的实践。若在云上的生成环境需结合客户业务的详细需求进行节点数量,CLB数量,不同的地域调整即可。

(一)设置主机名

代码语言:javascript复制
[root@VM-2-15-centos ~] hostnamectl set-hostname node4.rocky.com[root@VM-2-16-centos ~] hostnamectl set-hostname node5.rocky.com

(二)配置/etc/hosts

代码语言:javascript复制
[root@node4 ~]# cat /etc/hosts127.0.0.1 VM-6-15-centos VM-6-15-centos127.0.0.1 localhost.localdomain localhost127.0.0.1 localhost4.localdomain4 localhost410.0.6.15 node4 node4.rocky.com10.0.6.16 node5 node5.rocky.com

(三)安装DNS软件

代码语言:javascript复制
[root@node4 ~]# yum -y install bind[root@node5 ~]# yum -y install bind

(四)DNS主配置文件

代码语言:javascript复制
[root@node4 ~]# cat /etc/named.conf//// named.conf//// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS// server as a caching only nameserver (as a localhost DNS resolver only).//// See /usr/share/doc/bind*/sample/ for example named configuration files.//// See the BIND Administrator's Reference Manual (ARM) for details about the// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.htmlacl "trusted-recursion" { # 设置acl localhost; 10.0.0.0/16;};options { listen-on port 53 { any; }; #设置监听端口,也可写具体的网段 listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; recursing-file "/var/named/data/named.recursing"; secroots-file "/var/named/data/named.secroots"; allow-query { any; }; #开放查询  allow-recursion { trusted-recursion; }; #指定允许哪些主机可以从缓存中获取答案。 allow-query-cache { trusted-recursion; }; # 指定允许那些主机可以通过本服务器进行递归查询。 /* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. - If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so will cause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatly reduce such attack surface */ recursion yes; dnssec-enable no; dnssec-validation no; # 关闭dnssec安全验证 /* Path to ISC DLV key */ #bindkeys-file "/etc/named.root.key"; managed-keys-directory "/var/named/dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; forwarders { 183.60.83.19; # 腾讯云VPCGW DNS地址 183.60.82.98; # 腾讯云VPCGW DNS地址 };};logging { channel default_debug { file "data/named.run"; severity dynamic; };};zone "." IN { type hint; file "named.ca";};#include "/etc/named.rfc1912.zones";include "/etc/named.root.key";zone "rocky.com" { # 域名 type master; #主DNS file "dynamic/rocky.com.zone"; # zone file path #正向区域文件 notify yes;};zone "6.0.10.in-addr.arpa" in { type master; file "dynamic/6.0.10.in-addr.arpa.zone"; #反向区域文件 notify yes;};

(五)DNS区域文件配置

  • 正向区域配置文件
  • 反向区域配置文件
  • 区域配置文件参数说明
  • 启动DNS服务

分别在node4和node5进行服务启动及检查服务状态是否正常。

  • DNS服务解析验证
代码语言:javascript复制
#客户端访问企业内部域名[root@node4 ~]# nslookup www.rocky.comServer: 10.0.6.15Address: 10.0.6.15#53Name: www.rocky.comAddress: 10.0.6.100
[root@node4 ~]# nslookup 10.0.6.100100.6.0.10.in-addr.arpa name = www.rocky.com.
#客户端访问外网域名[root@node4 ~]# nslookup www.baidu.comServer: 10.0.6.15Address: 10.0.6.15#53Non-authoritative answer:www.baidu.com canonical name = www.a.shifen.com.Name: www.a.shifen.comAddress: 110.242.68.3Name: www.a.shifen.comAddress: 110.242.68.4#客户端访问腾讯云内网服务域名[root@node4 ~]# nslookup mirrors.tencent.comServer: 10.0.6.15Address: 10.0.6.15#53Non-authoritative answer:mirrors.tencent.com canonical name = mirrors.cloud.tencent.com.mirrors.cloud.tencent.com canonical name = mirrors.cloud.tencent.com.cdn.dnsv1.com.mirrors.cloud.tencent.com.cdn.dnsv1.com canonical name = 14io0gsu.sched.dma.tdnsv5.com.Name: 14io0gsu.sched.dma.tdnsv5.comAddress: 113.240.69.235Name: 14io0gsu.sched.dma.tdnsv5.comAddress: 113.240.69.180[root@node4 ~]#

服务验证通过,符合预期,node5分别也进行相关解析验证。

(七)LB配置

  • 新建内网LB

新建内网LB,配置监听端口为UDP:53,加权轮询。

  • 配置LB

选择板绑定的RS节点,确认即可

(八)客户端验证

代码语言:javascript复制
[root@node6 ~]# cat /etc/resolv.conf; generated by /usr/sbin/dhclient-script#nameserver 183.60.83.19#nameserver 183.60.82.98nameserver 10.0.2.2 #内网LB地址#解析业务域名
代码语言:javascript复制
[root@node6 ~]# nslookup www.rocky.comServer: 10.0.2.2Address: 10.0.2.2#53Name: www.rocky.comAddress: 10.0.6.100#解析腾讯内网域名[root@node6 ~]# nslookup mirrors.tencent.comServer: 10.0.2.2Address: 10.0.2.2#53Non-authoritative answer:mirrors.tencent.com canonical name = mirrors.cloud.tencent.com.mirrors.cloud.tencent.com canonical name = mirrors.cloud.tencent.com.cdn.dnsv1.com.mirrors.cloud.tencent.com.cdn.dnsv1.com canonical name = 14io0gsu.sched.dma.tdnsv5.com.Name: 14io0gsu.sched.dma.tdnsv5.comAddress: 113.240.69.180Name: 14io0gsu.sched.dma.tdnsv5.comAddress: 113.240.69.235[root@node6 ~]# nslookup myzijiebao.comServer: 10.0.2.2Address: 10.0.2.2#53Non-authoritative answer:Name: myzijiebao.comAddress: 0.0.0.1#解析外网域名[root@node6 ~]# nslookup www.jd.comServer: 10.0.2.2Address: 10.0.2.2#53Non-authoritative answer:www.jd.com canonical name = www.jd.com.gslb.qianxun.com.www.jd.com.gslb.qianxun.com canonical name = jd-abroad.cdn20.com.Name: jd-abroad.cdn20.comAddress: 121.57.82.89Name: jd-abroad.cdn20.comAddress: 36.111.141.54Name: jd-abroad.cdn20.comAddress: 121.57.82.88Name: jd-abroad.cdn20.comAddress: 121.57.82.17Name: jd-abroad.cdn20.comAddress: 42.81.145.189Name: jd-abroad.cdn20.comAddress: 113.24.194.72Name: jd-abroad.cdn20.comAddress: 240e:918:1a00:201::33Name: jd-abroad.cdn20.comAddress: 240e:928:101::1eName: jd-abroad.cdn20.comAddress: 240e:918:1a00:201::15Name: jd-abroad.cdn20.comAddress: 240e:925:2:101::6

验证通过, 符合预期。

(九)DNS高可用智能解析方案总结

本方案采用Linux系统自带的DNS软件进行DNS高可用环境的构建,结合了内网CLB使其解析调度RS更加灵活。同时实现了客户端对企业内网域名,腾讯云内外网域名的解析需求。另外这里务必注意RS在内网进行构建,安全组限制53端口的来源IP。

CoreDNS高可用方案

本篇主要介绍通过自建CoreDNS集群来提供DNS内外域名解析,及腾讯内网DNS功能,这里采用CoreDNS ETCD集群方式来实现。方案特点:

  • 多台自建的CoreDNS节点,规避了单台无法使用的情况,提升可用性。
  • 多可用区部署,具备高可用性,避免单可用区故障现象(虽说概率较小)
  • 全部部署在内网环境,无公网IP暴露。
  • 内网、外网域名请求分离,减少故障爆炸半径。

(一)CoreDNS

CoreDNS基于用Go编写的是一个DNS服务器,链接插件,每个插件执行一个(DNS)功能。相对于其他DNS如:BIND、Knot、PowerDNS和Unbound不同之处,在于它非常灵活,几乎所有功能都外包到插件中 ,插件也可以是独立的,也能协同工作。可以利用插件对你的DNS数据做你想做的事情。如果有些功能不是现成的,你可以通过编写插件来添加,和Caddy Server具有相同的模型:链接插件。

  • CoreDNS特点

插件化(Plugins):基于Caddy服务器框架,CoreDNS实现了一个插件链的架构,将大量应用端的逻辑抽象成插件形式暴露给使用者。CoreDNS以预配置的方式将不同的插件串成一条链,按序执行插件链上的逻辑。

配置简单:引入表达力更强的DSL,即Corefile形式的配置文件。

  • CoreDNS架构

  • CoreDNS解析方式

注意这里有两个不同的端口:5300和53。在内部,每个端口都会生成一个dnsserver.Server。即使有四个服务器块,我们也只能得到两个实际的服务器。CoreDNS会将所有与同一端口相关的服务器块收集起来,并将它们合并到相同的dnsserver.Server中。服务器将在端口上多重查询,根据区域将它们传递到不同的插件链。它为区域选择最特定的匹配服务器块。如果没有匹配的服务器块,则返回SERVFAIL。

代码语言:javascript复制
coredns.io:5300 {file /etc/coredns/zones/coredns.io.db}example.io:53 {errorslogfile /etc/coredns/zones/example.io.db}example.net:53 {file /etc/coredns/zones/example.net.db}.:53 {errorsloghealthrewrite name foo.example.com foo.default.svc.cluster.local}

(二)ETCD

ETCD是一种高度一致的分布式键值存储,它提供了一种可靠的方式来存储需要由分布式系统或机器集群访问的数据。它在网络分区期间优雅地处理领导选举,并能够容忍机器故障。

  • 简单:安装配置简单,支持HTTP API进行交互。
  • 安全:支持SSL证书验证。
  • 快速:根据官方提供的benchmark数据,单实例支持每秒2k 读操作。
  • 可靠:采用raft算法,实现分布式系统数据的可用性和一致性。

从上面架构图中我们可以看到,ETCD主要分为四个部分。

HTTP Server:用于处理用户发送的API请求以及其它etcd节点的同步与心跳信息请求。

Store:用于处理etcd支持的各类功能的事务,包括数据索引、节点状态变更、监控与反馈、事件处理与执行等等,是etcd对用户提供的大多数API功能的具体实现。

Raft:Raft强一致性算法的具体实现,是etcd的核心。

WAL:Write Ahead Log(预写式日志)是etcd的数据存储方式。除了在内存中存有所有数据的状态以及节点的索引外,etcd就通过WAL进行持久化存储。在WAL中所有的数据提交前都会事先记录日志,Snapshot是为了防止数据过多而进行的状态快照,Entry表示存储的具体日志内容。

(三)配置ETCD集群

这里采用三台云服务器作为CoreDNS节点的后端数据库,ETCD架构逻辑具备选举master机制,分别为node1~node3。

  • 安装ETCD及开机启动
代码语言:javascript复制
[root@node1~]# yum -y install etcd[root@node11 ~]# systemctl enable etcd; systemctl start etcdCreated symlink from /etc/systemd/system/multi-user.target.wants/etcd.service to /usr/lib/systemd/system/etcd.service.
  • node1 etcd配置
代码语言:javascript复制
[root@node1 etcd]# egrep ^[A-Z] etcd.confETCD_DATA_DIR="/var/lib/etcd/node1.etcd"ETCD_LISTEN_PEER_URLS="http://10.0.2.4:2380"ETCD_LISTEN_CLIENT_URLS="http://10.0.2.4:2379,http://127.0.0.1:2379"ETCD_NAME="node1"ETCD_INITIAL_ADVERTISE_PEER_URLS="http://10.0.2.4:2380"ETCD_ADVERTISE_CLIENT_URLS="node1=http://10.0.2.4:2379"ETCD_INITIAL_CLUSTER="node1=http://10.0.2.4:2379,node2=http://10.0.2.8:2379,node3=http://10.0.2.15:2379"ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"ETCD_INITIAL_CLUSTER_STATE="new"
  • node2 etcd配置
代码语言:javascript复制
[root@node2 ~]# egrep ^[A-Z] /etc/etcd/etcd.confETCD_DATA_DIR="/var/lib/etcd/node2.etcd"ETCD_LISTEN_PEER_URLS="http://10.0.2.8:2380"ETCD_LISTEN_CLIENT_URLS="http://10.0.2.8:2379,http://127.0.0.1:2379"ETCD_NAME="node2"ETCD_INITIAL_ADVERTISE_PEER_URLS="http://10.0.2.8:2380"ETCD_ADVERTISE_CLIENT_URLS="http://10.0.2.8:2379"ETCD_INITIAL_CLUSTER="node1=http://10.0.2.4:2380,node2=http://10.0.2.8:2380,node3=http://10.0.2.15:2380"ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"ETCD_INITIAL_CLUSTER_STATE="new"[root@node2 ~]#
  • node3 etcd配置
代码语言:javascript复制
[root@node3 ~]# egrep ^[A-Z] /etc/etcd/etcd.confETCD_DATA_DIR="/var/lib/etcd/node3.etcd"ETCD_LISTEN_PEER_URLS="http://10.0.2.15:2380"ETCD_LISTEN_CLIENT_URLS="http://10.0.2.15:2379,http://127.0.0.1:2379"ETCD_NAME="node3"ETCD_INITIAL_ADVERTISE_PEER_URLS="http://10.0.2.15:2380"ETCD_ADVERTISE_CLIENT_URLS="http://10.0.2.15:2379"ETCD_INITIAL_CLUSTER="node1=http://10.0.2.4:2380,node2=http://10.0.2.8:2380,node3=http://10.0.2.15:2380"ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"ETCD_INITIAL_CLUSTER_STATE="new"

启动与验证etcd服务

代码语言:javascript复制
[root@node1 ~]# systemctl start etcd.service[root@node1 ~]# systemctl status etcd.serviceetcd.service - Etcd Server   Loaded: loaded (/usr/lib/systemd/system/etcd.service; enabled; vendor preset: disabled)   Active: active (running) since Tue 2022-02-15 13:50:16 CST; 10h ago Main PID: 10451 (etcd)   CGroup: /system.slice/etcd.service           └─10451 /usr/bin/etcd --name=node1 --data-dir=/var/lib/etcd/node1.etcd --listen-client-urls=http://10.0.2.4:2379,http://127.0.0.1:2379
  • etcd集群健康
代码语言:javascript复制
[root@node1 ~]# etcdctl member list5432b0f7395992d2: name=node1 peerURLs=http://10.0.2.4:2380 clientURLs=http://10.0.2.4:2379 isLeader=true589358f881fe72a1: name=node2 peerURLs=http://10.0.2.8:2380 clientURLs=http://10.0.2.8:2379 isLeader=falsebb72602d9eb35069: name=node3 peerURLs=http://10.0.2.15:2380 clientURLs=http://10.0.2.15:2379 isLeader=false
[root@node1 ~]# etcdctl cluster-healthmember 5432b0f7395992d2 is healthy: got healthy result from http://10.0.2.4:2379member 589358f881fe72a1 is healthy: got healthy result from http://10.0.2.8:2379member bb72602d9eb35069 is healthy: got healthy result from http://10.0.2.15:2379cluster is healthy

(四)多节点CoreDNS部署

  • 安装coredns 

这里面可结合客户业务需要进行CoreDNS服务器的环境构建,这里采用的coredns1.6.4 版本,官网最新1.9.x

代码语言:javascript复制
[root@dns1 ~]# tar zxvf coredns_1.6.4_linux_amd64.tgz[root@dns1 ~]# mv coredns /usr/bin/[root@dns1 ~]# mkdir /etc/coredns
  • coredns核心配置文件
代码语言:javascript复制
[root@node1 ~]# cat /etc/coredns/Corefile. {  # 监听tcp和udp的53端口    etcd node1.rocky.com node2.rocky.com node3.rocky.com 10.in-addr.arpa { # 配置启用etcd插件,后面可以指定域名        stubzones # 启用存根区域功能        path /skydns # etcd里面的路径 默认为/skydns,以后所有的dns记录就是存储在该存根路径底下        endpoint http://10.0.2.4:2379  http://10.0.2.8:2379 http://10.0.2.15:2379 # etcd访问地址,多个空格分开        upstream  183.60.83.19:53  183.60.82.98:53 # 设置要使用的上游解析程序解决指向外部域名的在etcd(认为CNAME)中找到的外部域名。    }    cache 600  # 缓存600秒    loadbalance # 负载均衡,开启DNS记录轮询策略    forward . 183.60.82.98:53  183.60.83.19:53 # 上面etcd未查询到的请求转发给设置的DNS服务器解析}
myzijiebao.com {    cache 600 myzijiebao.com     loadbalance    forward . 119.29.29.29:53}
tencent-cloud.com { hosts {   10.210.104.113 cls-i0fxloot.ccs.tencent-cloud.com  10.210.49.4 cls-88b89rhb.ccs.tencent-cloud.com  10.210.104.35 cls-o4rn1235.ccs.tencent-cloud.com  fallthrough    }}
  • 配置systemd管理coredns服务
代码语言:javascript复制
[root@node1 ~]# cat /usr/lib/systemd/system/coredns.service[Unit]Description=CoreDNS DNS serverDocumentation=https://coredns.ioAfter=network.target
[Service]PermissionsStartOnly=trueLimitNOFILE=1048576LimitNPROC=512CapabilityBoundingSet=CAP_NET_BIND_SERVICEAmbientCapabilities=CAP_NET_BIND_SERVICENoNewPrivileges=trueUser=corednsWorkingDirectory=~ExecStart=/usr/bin/coredns -conf=/etc/coredns/CorefileExecReload=/bin/kill -SIGUSR1 $MAINPIDRestart=on-failure
[Install]WantedBy=multi-user.target[root@node1 ~]#
  • 启动coredns
代码语言:javascript复制
[root@node1 ~]# systemctl status coredns● coredns.service - CoreDNS DNS server   Loaded: loaded (/usr/lib/systemd/system/coredns.service; disabled; vendor preset: disabled)   Active: active (running) since Tue 2022-02-15 16:13:43 CST; 4s ago     Docs: https://coredns.io Main PID: 30288 (coredns)   CGroup: /system.slice/coredns.service           └─30288 /usr/bin/coredns -conf=/etc/coredns/Corefile
Feb 15 16:13:43 node1.rocky.com systemd[1]: Started CoreDNS DNS server.Feb 15 16:13:43 node1.rocky.com coredns[30288]: .:53Feb 15 16:13:43 node1.rocky.com coredns[30288]: myzijiebao.com.:53Feb 15 16:13:43 node1.rocky.com coredns[30288]: tencent-cloud.com.:53Feb 15 16:13:43 node1.rocky.com coredns[30288]: ______                ____  _   _______Feb 15 16:13:43 node1.rocky.com coredns[30288]: / ____/___  ________  / __ / | / / ___/        ~ CoreDNS-1.6.4Feb 15 16:13:43 node1.rocky.com coredns[30288]: / /   / __ / ___/ _ / / / /  |/ /__          ~ linux/amd64, ...dirtyFeb 15 16:13:43 node1.rocky.com coredns[30288]: / /___/ /_/ / /  /  __/ /_/ / /|  /___/ /Feb 15 16:13:43 node1.rocky.com coredns[30288]: ____/____/_/   ___/_____/_/ |_//____/Hint: Some lines were ellipsized, use -l to show in full.[root@node1 ~]# ^C[root@node1 ~]# systemctl enable corednsCreated symlink from /etc/systemd/system/multi-user.target.wants/coredns.service to /usr/lib/systemd/system/coredns.service.
  • coredns配置解析记录
代码语言:javascript复制
root@node1 ~]# etcdctl put /skydns/com/rocky/node1 '{"host":"10.0.2.4","ttl":10}'No help topic for 'put'[root@node1 ~]# export ETCDCTL_API=3[root@node1 ~]# etcdctl put /skydns/com/rocky/node1 '{"host":"10.0.2.4","ttl":10}'OK[root@node1 ~]# vim .bashrc[root@node1 ~]#[root@node1 ~]#[root@node1 ~]# etcdctl put /skydns/com/rocky/node2 '{"host":"10.0.2.8","ttl":10}'OK[root@node1 ~]# etcdctl put /skydns/com/rocky/node3 '{"host":"10.0.2.15","ttl":10}'OK[root@node1 ~]# etcdctl put /skydns/com/rocky/node1 '{"host":"www.tam3.com","ttl":10}'OK[root@node1 ~]#

由于这里采用的测试环境, 需要结合具体业务进行相关设置。

(五)coredns验证

代码语言:javascript复制
[root@node1 ~]# dig @node1 www.tam3.com
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.7 <<>> @node1 www.tam3.com; (1 server found);; global options:  cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1734;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.tam3.com.                  IN      A
;; ANSWER SECTION:www.tam3.com.           160     IN      CNAME   tam3.com.tam3.com.               160     IN      A       3.33.152.147tam3.com.               160     IN      A       15.197.142.173
;; Query time: 622 msec;; SERVER: 10.0.2.4#53(10.0.2.4);; WHEN: Tue Feb 15 16:25:24 CST 2022;; MSG SIZE  rcvd: 123

验证符合预期。

总结

本篇通过两种不同的形式在云上实现自建高可用DNS环境来解决企业在云上的内外网域名解析的需求。以上两个方案仅供参考,生产环境采用,需结合业务具体需求进行相关配置的调整。同时这里优先推荐采用腾讯云的DNS托管服务,有特殊业务需求可参考以上两个方案结合托管的DNS服务协同来处理。

附录

(一)DNS常用工具

  • dig用法

dig域名信息探索者(domain information groper,dig)是查询工具中最多功能的。常使用的dig的简单形式如:

  • dig@server domain query-type query-class。
  • dig@dns域名或ip区域记录类型。
  • dig@10.0.2.2 rocky.com NS/A/MX。
  • nslookup用法

nslookup有两种模式:交互是和非交互式;交互模式允许使用者向名字服务器发出对各种主机和域名信息的查询请求,或者打印出一个域下面的主机列表.非交互模式只能用于打印所查询的某个主机或域的名字和请求信息, 如文章上述测试方法。

  • whois工具
  • https://www.internic.net/whois.html
  • https://whois.cloud.tencent.com/
  • 拨测工具
  • 17ce.com
  • mdig.com

(二)其他参考资料

1.https://www.isc.org/bind/

2.https://coredns.io/

3.https://etcd.io/

4.https://coredns.io/plugins/

5.https://coredns.io/2017/06/08/how-queries-are-processed-in-coredns/

6.https://github.com/coredns/deployment/blob/master/systemd/coredns.service

7.https://cloud.tencent.com/document/product/1338

8.https://cloud.tencent.com/developer/article/1748028

9.https://cloud.tencent.com/developer/article/1945211

 作者简介

罗俊

腾讯云开发者社区【技思广益·腾讯技术人原创集】作者

腾讯云TAM,腾讯云大客户技术客户经理,目前负责腾讯云大客户云上架构设计,架构优化,稳定性治理、高可用,容灾等相关咨询与支持服务。对云原生、开源技术有较深入的研究与热情。 

 推荐阅读

Kubernetes原理与架构初探

10分钟搞定!Golang分布式ID集合

C 异步:asio的coroutine实现!

Go组件:context学习笔记!

0 人点赞