Вопросы Теги

Есть разделенный DNS, но вы хотите маршрутизировать некоторые вещи извне?

У нас есть зона DNS, example.com, которая является разделенной по горизонтали (внутренняя или публичная ). Так, например, внутренняя зона имеет частные IP-адреса для app.example.com , а общедоступная зона имеет общедоступные IP-адреса с тем же именем app.example.com . Недавно мы переключили общедоступный DNS на Cloudflare, и я хотел бы начать использовать их в качестве CDN / прокси, однако мне нужно провести эти изменения через команду QA, прежде чем перейти к производству. Нам необходимо получить доступ к общедоступным IP-адресам app.example.com , находясь внутри офиса и используя внутреннюю версию зоны DNS. Этот DNS отправляет людей на внутренние IP-адреса, поэтому они не смогут протестировать Cloudflare. Изменение клиентского файла HOSTS будет работать, но это будет болезненно, я не могу обновить внутренний DNS с общедоступными IP-адресами. Хотите знать, может ли кто-нибудь придумать какие-либо другие варианты?

0
задан 13 April 2019 в 11:06
1 ответ

В этом ответе рассматривается один из возможных вариантов, по общему признанию, спорный.

Выйдите из идеи расщепления горизонта DNS (1) пока еще можете и (2) пока у вас есть временная "деловой" аргумент в пользу этого. Неясная конфигурация DNS будет укусить вас все больше и больше по мере роста вашей организации, но чем больше она связана с вашей средой, тем труднее выйти из нее.

Используйте уровень IP для решения проблемы уровня IP.

Плюсы:

  • меньше путаницы для пользователей
  • одно DNS-имя разрешается идентично, где бы клиент ни находился в сети
  • легко объединять чужие сети с их собственными зонами DNS
  • , когда вам нужна производительность, вы используете app.in.example.com , и вы знаете, что он разрешается в частный IP.

Минусы:

  • вы столкнетесь с ситуациями "шпильки NAT" - роутеры google it
  • будут передавать в два раза больше пакетов (для
  • задержка в микросекундах больше (для ситуаций с закрепленным NAT)
  • ваш сервер DNAT-from-public будет видеть свою подсеть под анонимным исходным IP-адресом для сложных ситуаций
    • это потому, что вы настроили SNAT для всей его IP-подсети
    • , например, сервер 192.168.8.8 увидит пользователя 192.168.8.9 в netstat ] как 192.168.8.1
    • , но тот же сервер будет видеть 192.168.1.3 как 192.168.1.3
    • и будет видеть пользователя Интернета 9.9.9.9 как 9.9.9.9
    • это легко исправить, поскольку сервер DNAT-from-public обычно является обратным прокси-сервером и может быть легко помещен в отдельную подсеть вдали от пользователей (другими словами: revproxies обычно находятся в DMZ )
1
ответ дан 4 December 2019 в 15:44

Теги

Похожие вопросы