關於 DNS Services
為了更充分地瞭解 IBM Cloud® DNS Services,它有助於瞭解一般 DNS 的相關資訊。
DNS 概觀
網路上的電腦可以依 IP 位址尋找彼此。 為了更容易在電腦網路內運作,人們可以使用「網域名稱系統 (DNS)」來建立對人類友善的網域名稱與 IP 位址的關聯,類似於電話簿。 DNS 也可以將電腦網路位址以外的其他資訊與網域名稱相關聯。
這樣,人們就可以使用人類友善的網域名稱,而不是模糊、難以記住的機器導向資料。
DNS Services概觀
DNS Services 可讓您
- 建立專用 DNS 區域,其為保留網域名稱的集合。
- 在這些 DNS 區域下建立 DNS 資源記錄。
- 指定在全區域層次上用於資源記錄 DNS 解析的存取控制。
DNS Services 也會維護自己的全球 DNS 解析器集。 在 IBM Cloud 網路上的 IBM Cloud 下佈建的實例可以使用透過配置的資源記錄 IBM Cloud DNS Services,方法是查詢 DNS Services 解析器。
透過 DNS Services 配置的資源記錄和區域是
- 與更廣泛的公用 DNS 及其可公開存取的記錄分開。
- 對 IBM Cloud 專用網路外部且非其一部分的機器隱藏。
- 只能從您在 IBM Cloud 專用網路上授權的機器存取。
- 只能透過服務所提供的解析器來解析。
時鐘同步化
ISO 27001 要求組織或安全網域內所有相關資訊處理系統的時鐘必須與單一參照時間來源同步。DNS Services 將系統與「網路時間通訊協定 (NTP)」伺服器同步化,以確保網路上所有時間型活動都同步進行。
IBM DNS Services 使用下列內部 NTP 伺服器:
time.adn.networklayer.comsystemd-timesyncd.service
使用 DNS Services 解析 DNS 名稱
例如,假設在 DNS 實例中建立 DNS 區域 example.com,且已定義 www 的資源記錄,如圖 1 所示。 同時考量 VPC 1 已新增至 DNS 區域作為允許的網路。
當 DNS Services 伺服器從 VPC 1 中的用戶端收到 www.example.com 的名稱解析要求時,DNS Services 解析器判定該要求源自 example.com DNS 區域允許的網路 VPC,並將名稱 www.example.com 解析為 IP 10.0.0.1。
如果 www.example.com 的名稱解析要求源自 VPC 2 中 未 作為允許網路新增至 example.com 的用戶端,則會將要求轉遞至公用 DNS 伺服器,並將來自公用 DNS 伺服器的回應傳回至 VPC 用戶端。 此實務範例稱為「分割 Horizon」,其中定義在專用 DNS 區域和公用 DNS 區域中的相同主機名稱可以根據 DNS 名稱解析要求的來源來解析為不同的 IP。
DNS Services 可確保區域和資源記錄中所指定資訊的隱私權層次。
DNS Services 僅為專用。 如需佈建及配置 DNS 記錄以進行公用 DNS 解析,請參閱 IBM Cloud Internet Services (CIS)。
限制
DNS Services 在部分區域有限制,如下表所示。
| 項目 | 限制 |
|---|---|
| DNS 區域 | 每個服務實例 10 個 |
| DNS 記錄 | 每個 DNS 區域 3500 個 |
| 允許的網路 | 每個 DNS 區域 10 個 |
| 廣域負載平衡器 | 每個 DNS 區域 25 個 |
| 每秒 DNS 查詢數 | 每個可用性區域 1000 個 |
DNS Services 支援的地區
| 地區 | 資料抄寫區域 | 性能檢查區域 | 允許的網路 |
|---|---|---|---|
| 達拉斯 (us-south) |  |
|
|
| 華盛頓,D.C. (us-east) | |
|
|
| 倫敦 (eu-gb) | |
|
|
| 法蘭克福 (eu-de) | |
|
|
| 馬德里 (eu-es) | |
|
|
| 蒙特婁 (ca-mon) | |
|
|
| 大阪 (jp-osa) | |
|
|
| 東京 (jp-tok) | |
|
|
| 多倫多 (ca-tor) | |
|
|
| 雪梨 (au-syd) | |
|
|
| 聖保羅 (br-sao) | |
|
|