IBM Cloud Docs
DNS-Verhalten und Auflösungslogik

DNS-Verhalten und Auflösungslogik

Das Domänennamensystem (DNS) ist die Grundlage des Internets und arbeitet transparent im Hintergrund, um von Menschen lesbare Website-Namen in computerlesbare numerische IP-Adressen umzuwandeln. Diese Adressen folgen den Richtlinien des Internet RFC 1918 für IPv4 und RFC 4193 für IPv6. Kurz gesagt, DNS-Server ordnen Domänennamen, wie z. B. ibm.com, den entsprechenden IP-Adressen zu, die die meisten Menschen nie zu kennen brauchen.

Um diese Übersetzung durchzuführen, fragt das DNS-System ein Netz von miteinander verbundenen DNS-Servern im Internet ab. Dieser Vorgang ist vergleichbar mit der Verwendung eines Telefonbuchs oder einer Karte, um einen bestimmten Ort zu finden.

Namensserver

Ein Nameserver bietet Dienste, die auf Abfragen eines Verzeichnisses reagieren und sinnvolle, textbasierte Web- oder Hostnamen in IP-Adressen übersetzen.

Nameserver-Delegation liegt vor, wenn der Nameserver einer Domäne eine Anfrage nach den Einträgen einer Subdomäne erhält und den Anfragenden an den delegierten Nameserver verweist, der für diese Subdomäne zuständig ist. Dieses Verfahren ermöglicht die dezentrale Verwaltung großer Domänen wie ibm.com.

Mit einem benutzerdefinierten Domain-Namen-Server können Sie die Server des DNS-Anbieters mit dem benutzerdefinierten Referenznamen Ihrer eigenen Domain verwenden. So können Sie beispielsweise Ihren Nameserver als ns1.cloud.ibm.com definieren, anstatt den Standardwert des Anbieters wie ns1.acme.com.

Proxying-DNS-Datensätze und globale Lastausgleichsfunktionen

CIS unterstützt Proxying für globale Load Balancer und DNS-Einträge. Wenn ein Datensatz oder ein Load Balancer als Proxy verwendet wird, läuft der Datenverkehr direkt über CIS.

Derzeit können DNS-Datensätze des Typs A, AAAAoder CNAME proxiiert werden.

Proxy-Modi festlegen

Lastausgleichsfunktionen und DNS-Datensätze unterstützen sowohl DNS-als auch HTTP-Proxy-Modi. Sie können HTTP proxy und DNS-only Domains in der gleichen CIS Instanz haben, aber das Traffic-Routing-Verhalten unterscheidet sich: Traffic für Datensätze, die proxy sind, fließt durch CIS, während Traffic für Datensätze, die nicht proxy sind (DNS-only Modus), direkt vom Client zum Ursprung fließt.

HTTP-Proxy-Modus

Im HTTP Proxy-Modus gibt CIS die IP-Adressen von IBM nach außen bekannt, schützt (maskiert) aber die IP-Adressen Ihrer Ursprungsserver. Die angekündigten IP-Adressdatensätze haben eine automatische TTL. Der Datenverkehr fließt durch CIS, wo alle Sicherheits-, Leistungs- und Zuverlässigkeitsfunktionen, wie Firewall-Regeln und Caching, angewendet werden. Die "automatische" TTL (fünf Minuten) reduziert auch die Anzahl der autoritativen Abfragen an CIS.

Nur DNS-Modus

Im reinen DNS-Modus werden die Datensätze auf die Ursprungs-IP aufgelöst, und Sie können die TTL für Ihre Datensätze anpassen. Für globale Load Balancer stellt CIS die Adressen der gesunden Ursprungsserver direkt zur Verfügung, verlässt sich aber auf DNS-Resolver, die die kurze TTL respektieren, um CIS DNS für eine aktualisierte Liste der gesunden Adressen anzufordern.

Im reinen DNS-Modus werden keine der Sicherheits-, Zuverlässigkeits- und Leistungsfunktionen von CIS angewendet.

CNAME-Vereinfachung für Rootdatensätze

Die Funktion "CNAME flattening" in CIS ermöglicht es den Root-Records, die IETF RFC-Beschränkung zu umgehen. Diese Einschränkung besagt, dass ein Stammdatensatz, der ein CNAME ist, keine anderen Datensätze für diese Domäne enthalten darf. CIS umgeht diese Einschränkung, indem es den A records zurückgibt, der dem CNAME-Ziel entspricht, anstatt den CNAME selbst zurückzugeben, wodurch der CNAME effektiv verborgen wird. Mit dieser Technik können andere Datensätze, wie z. B. MX-Datensätze, zur Domäne hinzugefügt werden, auch wenn der Stammdatensatz ein CNAME ist.

Secure DNS

DNSSEC ist eine Technologie, die DNS-Daten digital "signiert", so dass Sie sicher sein können, dass sie gültig sind. Um Schwachstellen im Internet zu beseitigen, muss DNSSEC bei jedem Schritt des Suchvorgangs eingesetzt werden, von der Root-Zone bis zum endgültigen Domänennamen (z. B. www.icann.org).