my-manageable-zone.com
Digamos que você tenha um servidor DNS com endereço IP público de 205.251.197.174e planejou que fosse uma zona autoritativa para my-manageable-zone.com. Basicamente, você tem duas opções para preparar o servidor DNS para se tornar um servidor de nomes:
- Auto-hospedado : você pode criar um subdomínio de registro A na mesma zona; ou
- Terceirizado : você pode criar um subdomínio de registro A de outra zona
Auto-hospedado
Registro definido dentro do meu servidor DNS
| Registro | Tipo de registro | Valor |
|---|---|---|
ns-1.my-manageable-zone.com. |
UMA | 205.251.197.174 |
my-manageable-zone.com. |
NS | ns-1.my-manageable-zone.com. |
Terceirizado
Registro definido dentro de algum outro servidor DNS
| Registro | Tipo de registro | Valor |
|---|---|---|
ns-1.some-other-zone.com. |
UMA | 205.251.197.174 |
Registro definido dentro do meu servidor DNS
| Registro | Tipo de registro | Valor |
|---|---|---|
my-manageable-zone.com. |
NS | ns-1.some-other-zone.com. |
Mundo real
Eu olhei online sobre o que as pessoas estão praticando em relação aos servidores de nomes. Basicamente, na linha de comando, tentei algo como:
dig +short NS google.com
dig +short NS nsa.gov
dig +short NS cloudflare.com
dig +short NS mit.edu
Resultados
| google.com | nsa.gov | cloudflare. com | mit.edu |
|---|---|---|---|
ns2.google.com. |
a11-66.akam.net. |
ns3.cloudflare.com. |
use5.akam.net. |
ns1.google.com. |
a24-65.akam.net. |
ns4.cloudflare.com. |
use2.akam.net. |
ns3.google.com. |
a1-107.akam.net. |
ns5.cloudflare.com. |
asia2.akam.net. |
| ... | ... | ... | ... |
No mundo real, é na verdade uma mistura saudável de auto-hospedagem e terceirização. Quais são as coisas a serem observadas ao implementar auto-hospedado ou terceirizado?
ATUALIZAR
Estou corrigido nas terminologias. O que eu chamo de "auto-hospedado" na verdade significa In-bailiwick e sempre que eu disse "terceirizado" isso realmente significa Out-of-bailiwick .
Se você leva a sério o seu nome de domínio, não deve confiar em um único provedor de DNS, mas ter 2 deles. Você não pode escolhê-los arbitrariamente e esperar que funcione, precisa ser totalmente coordenado entre os dois, mas é possível, até mesmo, ter suporte completo ao DNSSEC.
Não importa qual provedor de DNS você escolha, você terá problemas um dia. Se o seu domínio é realmente importante (e os serviços nele), você deve usar vários provedores de DNS.
Você não está usando a terminologia correta para o que descreve. Convido você a ler a RFC 8499 sobre a terminologia DNS. Você verá que o que você descreve são servidores de nomes in-bailiwick (
ns.example.comsendo servidor de nomes paraexample.com) ou servidores de nomes totalmente externos.Você parece estar mais preocupado com a nomenclatura, ou pelo menos é assim que eu li sua pergunta, do que realmente onde o serviço é fornecido, porque isso é quase ortogonal: não importa se seus servidores de nomes estão no bailiwick ou não, tecnicamente eles podem estar sob seu controle e manutenção ou não.
Você não encontrará nenhum conselho único para qualquer caso, ambos têm vantagens. No entanto, eu sugiro fortemente que você não vá no caso "in-bailiwick", até que você entenda completamente o DNS e como ele funciona e especialmente quando ele cruza com o plano de registro, porque para servidores de nomes in-bailiwick você precisa manter colas no registro, através do registrador do domínio, e isso infelizmente é muitas vezes um ponto problemático.
Se você usa servidores de nomes externos, em relação à nomeação (há outras considerações: eles não devem ser hospedados no mesmo datacenter, nem todos atrás do mesmo AS - exceto se anycast estiver em jogo - ou o mesmo bloco de IP, etc.), você deve certificar-se de ter servidores de nomes usando nomes em vários registros (portanto, não apenas vários TLDs, se você tomar
comenetambos os TLDs estiverem no mesmo registro).Todos os grandes provedores de DNS sérios oferecem essa opção a seus clientes e, além disso, o conjunto de servidores de nomes pode diferir de uma zona para outra ou de um cliente para outro para melhor isolamento e possivelmente diferentes níveis de serviços.
Além disso, depois de fazer isso, você cria uma dependência transitiva. O nível de segurança do seu domínio está vinculado ao nível de segurança do nome de domínio usado para a nomeação do servidor de nomes autorizado em seu nome de domínio.
Por exemplo, se você quiser fazer DNSSEC, tudo bem na sua zona, mas se os servidores de nomes autorizados da sua zona estiverem na zona NÃO habilitada para DNSSEC, isso diminui a segurança real da sua zona.
O terceirizado deve fornecer redundância e menor custo indireto de aquisição e manutenção de servidores DNS pagando sua assinatura. Não lidei pessoalmente com eles, então não posso falar com as empresas que prestam esses serviços, mas se você precisar atualizar os registros você está no tempo deles, de quando eles o realizam. Ao ter o seu próprio, você tem controle total para criar subdomínios e colocá-los online quando quiser. É mais uma questão de quem possui o SOA para o domínio e as respostas iniciais. Eu tinha um em que eles acumulavam nosso SOA e os principais registros externos, o que foi bom até que tivemos que fazer uma atualização para nossos servidores de troca. Nesse ponto, ficamos em um ponto de parada até que eles atualizassem os registros MX do domínio. Então realmente você pode ir com qualquer um, apenas se você terceirizar, você deve planejar adequadamente ao realizar atualizações e substituições de servidores voltados ao público ou adicionar novos recursos voltados ao público. Qual é o custo e os recursos mais importantes? Ou a velocidade com que você pode responder a um ambiente em mudança?