DNS入门指南：企业DNS系统架构趋势解读

　　诞生于1987年的DNS是互联网和IT基础设施中发生的几乎所有事情的起点。从最初的简单域名解析到现在的智能解析、安全解析，伴随技术的变化与演进，DNS系统也在发生着诸多的变化。总体来说DNS系统的发展有着五大趋势，本文将会逐一进行解读。

　　高安全

　　DNS系统需要具备足够的抗攻击性，需要能够抵御放大攻击、畸形报文、水滴攻击，枚举等来保护权威服务器；需要能够做到识别内网DNS Tunnel，防止攻击者利用DNS Tunnel向C2服务器发送指令与信息；还需能够抵抗大规模DDoS。在遭受DDoS时候，要能够在DDoS防御与提供基础解析服务之间寻求平衡，比如采取更加智能的DDoS预测。

　　高容量

　　高容量也是帮助实现高安全的重要方面，在万物互联时代数以亿计的终端在被攻击后可能成为大规模DNS DDOS 的发起者，这要求DNS系统必须具有高容量、高弹性的设计。此外，高容量还包含DNS系统架构自身应可以承载大量解析配置，且具备灵活的拆分与委派能力。

　　高隐私

　　DNS在设计之初采用了明文传输，整个传输过程亦没有认证与保护，导致DNS报文易被篡改，缓存系统易被投毒。DNS系统需要采用相应的技术手段如DNSSEC，DoHTTPS，DoTLS 等来保证DNS内容不被篡改和确保隐私性。

　　高动态

　　随着微服务以及kubernetes技术架构的普遍应用，DNS系统正成为整个架构中的关键，大量的服务间通讯需依赖域名解析，部分负载均衡能力也需要依赖DNS服务。在微服务技术体系下，一方面服务域名的数量级将会极大提升，另一方域名所映射的端点IP、服务等信息也呈现高度动态性。

　　可观测

　　通过洞察DNS的解析内容与行为，可以帮助企业了解DNS服务运行状态、预警安全威胁，更可以助力企业了解业务运行状态，如多活数据中心运行状况，访客热点区域洞察。在企业强调“数据治理”的理念下，获取并洞察DNS运行数据可以帮助企业实现更好的运营。

　　值得关注的是，当前现代及边缘应用的部署更加广泛，这对企业DNS系统的建设提出了更高的要求。通过阅读F5《DNS架构白皮书》，可以了解到“四大场景八大方案”的设计思路及架构方案，从而构建灵活、智能、高安全的DNS系统。