DNS服務(wù)器介紹（二）——主從復(fù)制和區(qū)域轉(zhuǎn)發(fā)

背景介紹

實(shí)際環(huán)境中為了避免單點(diǎn)故障，DNS服務(wù)器是由一組服務(wù)器組成每一個(gè)服務(wù)器上都有若干個(gè)區(qū)域，不同服務(wù)器上的相同區(qū)域分為主和從兩種角色。由于正向和反向是不同的區(qū)域，所以多臺(tái)服務(wù)器間的相同區(qū)域可以互為主從或者一主多從，本處以右圖為例進(jìn)行演示。

DNS服務(wù)器的主從復(fù)制

1.之前已經(jīng)在172.16.10.10/24主機(jī)上創(chuàng)建了contoso.com正反向解析區(qū)域并分別設(shè)置為主服務(wù)器，對(duì)于從服務(wù)器，只需要在配置文件中添加解析區(qū)域且zone名稱(chēng)必須和主服務(wù)器的zone名稱(chēng)保持一致，他會(huì)自動(dòng)去主服務(wù)器上同步區(qū)域解析庫(kù)文件。此處的masters是固定用法，無(wú)論你的master角色的主機(jī)有多少個(gè)

之所以要將區(qū)域解析庫(kù)文件放到/var/named/slave目錄下，原因是bind程序以named用戶身份運(yùn)行，而/var/named目錄對(duì)于named用戶沒(méi)有寫(xiě)權(quán)限，所以bind程序創(chuàng)建了一個(gè)專(zhuān)門(mén)的slaves目錄來(lái)方便slave主機(jī)存放同步的區(qū)域解析庫(kù)文件

需要注意的是：要進(jìn)行同步的從服務(wù)器必須在主服務(wù)器上已經(jīng)建立了NS記錄，并且A記錄也建立了正確的對(duì)應(yīng)關(guān)系（即主服務(wù)器授權(quán)允許從服務(wù)器進(jìn)行同步）。

添加完解析區(qū)域后，使用rndc reload重新裝載，可以看到他已經(jīng)進(jìn)行同步。

主從復(fù)制并不一定是非要等到同步時(shí)間周期后才進(jìn)行更新，如果手動(dòng)修改了區(qū)域解析庫(kù)文件后，手動(dòng)將當(dāng)前序列號(hào)+1，使用rndc reload重新裝載后他會(huì)立即進(jìn)行同步。

DNS的區(qū)域轉(zhuǎn)發(fā)

如下圖所示：當(dāng)contoso.com域存在一個(gè)blog.contoso.com的子域，controso.com域中的客戶如果想訪問(wèn)ark.blog.contoso.com時(shí)，他首先會(huì)請(qǐng)求本區(qū)域的DNS服務(wù)器，由于本區(qū)域的DNS服務(wù)器有對(duì)blog.contoso.com子域的授權(quán)記錄，所以他會(huì)直接找到子域的DNS服務(wù)器從而獲得ark.blog.contoso.com的IP地址；而子域中的客戶如果要訪問(wèn)父域中的www.contoso.com時(shí)，同樣是先請(qǐng)求本區(qū)域的DNS服務(wù)器，但是子域中沒(méi)有父域的DNS服務(wù)器記錄，所以子域DNS服務(wù)器會(huì)向過(guò)根發(fā)起請(qǐng)求，并通過(guò)一級(jí)級(jí)的迭代查詢最終獲得www.contoso.com的IP地址。

這樣對(duì)服務(wù)器帶來(lái)不必要的消耗，我們子域希望在解析父域時(shí)可以使用父域上的DNS服務(wù)器而不是直接去找根。以下就介紹如何設(shè)置DNS的轉(zhuǎn)發(fā)。

1.首先要將需要將contoso.com域和blog.contoso.com域的DNS都配置為緩存DNS服務(wù)器，需要注意的是：dnssec是一種安全的DNS傳輸機(jī)制，他通過(guò)彼此間的密鑰來(lái)防止DNS被污染，這里需要改為no，即使注銷(xiāo)掉他默認(rèn)值也為yes。

2.父域DNS服務(wù)器只需要?jiǎng)?chuàng)建自己的zone，并且在區(qū)域解析數(shù)據(jù)庫(kù)中指明子域的DNS服務(wù)器（即授權(quán)）即可。

3.因?yàn)樽佑虻腄NS服務(wù)器在父域中有指向，所以父域可以解析到子域的ark.blog.contoso.com地址（此時(shí)子域的DNS服務(wù)器必須能夠正常提供服務(wù)，否則無(wú)法解析，在/var/log/message記錄中提示無(wú)法與子域DNS服務(wù)器通信）。

5.在子域DNS服務(wù)器配置文件/etc/named.rfc912.zones中不僅要?jiǎng)?chuàng)建自己的zone，還要?jiǎng)?chuàng)建父域的zone，轉(zhuǎn)發(fā)方式可以為first或only（first表示先轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)不成功再遞歸；only表示只轉(zhuǎn)發(fā)），此處以only為例，并指明轉(zhuǎn)發(fā)到的DNS服務(wù)器地址。

6.在子域DNS服務(wù)器主配置文件/etc/named.conf的options全局配置段中，將所有地址請(qǐng)求都轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上的DNS服務(wù)器，由于在子域中明確定義了contoso.com和blog.contoso.com，所以局部轉(zhuǎn)發(fā)的優(yōu)先級(jí)高于全局轉(zhuǎn)發(fā)。

7.使用子域的DNS服務(wù)器解析www.contoso.com可以看到它是通過(guò)轉(zhuǎn)發(fā)到父域DNS服務(wù)器完成的地址解析。