IBM Cloud Docs
Comportement du DNS et logique de résolution

Comportement du DNS et logique de résolution

Le système de noms de domaine (DNS) est à la base du web. Il travaille de manière transparente en arrière-plan pour convertir les noms de sites web lisibles par l'homme en adresses IP numériques lisibles par l'ordinateur. Ces adresses sont conformes aux directives Internet RFC 1918 pour IPv4 et RFC 4193 pour IPv6. En bref, les serveurs DNS font correspondre les noms de domaine, tels que ibm.com, aux adresses IP correspondantes, que la plupart des gens n'ont jamais besoin de connaître.

Pour effectuer cette traduction, le système DNS interroge un réseau de serveurs DNS interconnectés sur l'internet. Ce processus est similaire à l'utilisation d'un annuaire téléphonique ou d'une carte pour trouver un lieu spécifique.

Serveurs de noms

Un serveur de noms fournit des services qui répondent aux requêtes d'un annuaire, en traduisant des noms de sites web ou des noms d'hôtes textuels et significatifs en adresses IP.

Il y a délégation de serveur de noms lorsque le serveur de noms d'un domaine reçoit une demande d'enregistrement d'un sous-domaine et répond en renvoyant le demandeur au serveur de noms délégué responsable de ce sous-domaine. Ce processus permet une gestion décentralisée de grands domaines, tels que ibm.com.

Avec un serveur de noms de domaine personnalisé, vous pouvez utiliser les serveurs du fournisseur DNS avec le nom de référence personnalisé de votre propre domaine. Par exemple, vous pouvez définir votre serveur de noms comme ns1.cloud.ibm.com au lieu de la valeur par défaut du fournisseur, ns1.acme.com.

Mise en proxy des enregistrements DNS et des équilibreurs de charge globaux

CIS prend en charge le proxy pour les équilibreurs de charge globaux et les enregistrements DNS. Lorsqu'un enregistrement ou un équilibreur de charge est mandaté, son trafic passe directement par CIS.

Actuellement, le proxy peut être activé sur les enregistrements DNS avec les type A, AAAA ou CNAME.

Définition des modes proxy

Les équilibreurs de charge et les enregistrements DNS prennent en charge les modes "DNS-only" et "HTTP Proxy". Vous pouvez avoir HTTP proxy et des domaines DNS uniquement dans la même instance de CIS, mais le comportement de routage du trafic diffère : le trafic pour les enregistrements qui sont mandatés passe par CIS, tandis que le trafic pour les enregistrements qui ne sont pas mandatés (mode DNS uniquement) passe directement du client à l'origine.

Mode "HTTP proxy"

En mode proxy HTTP, CIS annonce les adresses IP de IBM à l'extérieur, mais protège (masque) les adresses IP de votre serveur d'origine. Les enregistrements d'adresse IP annoncés ont une durée de vie (TTL) "automatique". Le trafic passe par CIS, où sont appliquées toutes les fonctions de sécurité, de performance et de fiabilité, telles que les règles de pare-feu et la mise en cache. Le TTL "automatique" (cinq minutes) réduit également le nombre de requêtes faisant autorité qui sont effectuées sur CIS.

Mode "DNS-only"

En mode DNS uniquement, les enregistrements sont résolus en fonction de l'IP d'origine, et vous pouvez personnaliser le TTL pour vos enregistrements. Pour les équilibreurs de charge globaux, CIS fournit directement les adresses des serveurs d'origine sains, mais s'appuie sur les résolveurs DNS, qui respectent le TTL court, pour demander au DNS CIS une liste actualisée des adresses saines.

En mode DNS uniquement, aucune des fonctions de sécurité, de fiabilité et de performance de CIS n'est appliquée.

Mise à plat de CNAME pour enregistrement racine

La fonction "CNAME flattening" de CIS permet aux enregistrements racine de contourner la restriction RFC de l'IETF. Cette restriction stipule que si un enregistrement racine est un CNAME, il ne peut avoir aucun autre enregistrement pour ce domaine. Les serveurs faisant autorité CIS contournent cette restriction en renvoyant le site A records correspondant à la cible du CNAME au lieu de renvoyer le CNAME lui-même, ce qui a pour effet de dissimuler le CNAME. Cette technique permet d'ajouter d'autres enregistrements, tels que les enregistrements MX, au domaine même si l'enregistrement racine est un CNAME.

DNS sécurisé

DNSSEC est une technologie qui "signe" numériquement les données DNS afin que vous puissiez être sûr qu'elles sont valides. Pour éliminer la vulnérabilité de l'internet, le DNSSEC doit être déployé à chaque étape du processus de recherche, de la zone racine au nom de domaine final (par exemple, www.icann.org).