IBM Cloud Docs
Comportamiento del DNS y lógica de resolución

Comportamiento del DNS y lógica de resolución

El Sistema de Nombres de Dominio (DNS) es la base de la web y funciona de forma transparente en segundo plano para convertir nombres de sitios web legibles por el ser humano en direcciones IP numéricas legibles por el ordenador. Estas direcciones siguen las directrices RFC 1918 de Internet para IPv4 y RFC 4193 para IPv6. En resumen, los servidores DNS hacen corresponder nombres de dominio, como ibm.com, con sus correspondientes direcciones IP, que la mayoría de la gente nunca necesita conocer.

Para realizar esta traducción, el sistema DNS consulta una red de servidores DNS interconectados a través de Internet. Este proceso es similar al de utilizar una guía telefónica o un mapa para encontrar un lugar concreto.

Servidores de nombres

Un servidor de nombres proporciona servicios que responden a consultas en un directorio, traduciendo nombres web o de host significativos y basados en texto a direcciones IP.

La delegación de servidores de nombres se produce cuando el servidor de nombres de un dominio recibe una solicitud de registros de un subdominio y responde remitiendo al solicitante al servidor de nombres delegado responsable de ese subdominio. Este proceso permite la gestión descentralizada de grandes dominios, como ibm.com.

Con un servidor de nombres de dominio personalizado, puede utilizar los servidores del proveedor de DNS con el nombre de referencia personalizado de su propio dominio. Por ejemplo, puede definir su servidor de nombres como ns1.cloud.ibm.com en lugar del predeterminado del proveedor como ns1.acme.com.

Proxy de registros de DNS y equilibradores de carga global

CIS soporta proxy para balanceadores de carga globales y registros DNS. Cuando un registro o equilibrador de carga es proxy, su tráfico se ejecuta directamente a través de CIS.

Actualmente se puede ejecutar proxy sobre los registros de DNS de tipo A, AAAA o CNAME.

Establecer modalidades de proxy

Los equilibradores de carga y los registros de DNS dan soporte a la modalidad de proxy solo DNS y HTTP. Puede tener HTTP proxy y dominios sólo DNS en la misma instancia CIS, pero el comportamiento de enrutamiento del tráfico difiere: el tráfico para los registros que son proxy fluye a través de CIS, mientras que el tráfico para los registros que no son proxy (modo sólo DNS) fluye directamente desde el cliente al origen.

Modalidad de proxy HTTP

En el modo proxy de HTTP, CIS anuncia externamente las direcciones IP de IBM, pero protege (enmascara) las direcciones IP de su servidor de origen. Los registros de dirección IP anunciados tienen un TTL automático. El tráfico fluye a través de CIS, donde se aplican todas las funciones de seguridad, rendimiento y fiabilidad, como reglas de cortafuegos y almacenamiento en caché. El TTL "automático" (cinco minutos) también reduce el número de consultas autoritativas que se realizan contra CIS.

Modalidad solo DNS

En el modo sólo DNS, los registros se resuelven a la IP de origen, y puede personalizar el TTL para sus registros. Para los equilibradores de carga globales, CIS sirve directamente las direcciones de los servidores de origen sanos, pero se basa en los resolvers DNS, que respetan el TTL corto, para solicitar a CIS DNS una lista actualizada de direcciones sanas.

En el modo sólo DNS, no se aplica ninguna de las funciones de seguridad, fiabilidad y rendimiento de CIS.

Simplificación de CNAME de registro raíz

La función "CNAME flattening" de CIS permite que los registros raíz eludan la restricción RFC del IETF. Esta restricción establece que si un registro raíz es un CNAME, no puede tener ningún otro registro para ese dominio. Los servidores autoritativos de CIS eluden esta restricción devolviendo el A records correspondiente al destino CNAME en lugar de devolver el propio CNAME, ocultando así el CNAME. Esta técnica permite añadir otros registros, como registros MX, al dominio aunque el registro raíz sea un CNAME.

DNS seguro

DNSSEC es una tecnología que "firma" digitalmente los datos DNS para que pueda estar seguro de que son válidos. Para eliminar la vulnerabilidad de Internet, DNSSEC debe desplegarse en cada paso del proceso de búsqueda, desde la zona raíz hasta el nombre de dominio final (por ejemplo, www.icann.org).