資料隔離

DNS Services是一項多租用戶服務，在所有客戶之間共用基礎架構。DNS Services使用Cloudant資料庫來儲存客戶提供的網域名稱系統 (DNS) 設定資訊。 資料在Cloudant中靜態加密。 資料在透過 SSL 從控制平面內的 API 端點傳輸到資料庫的過程中也會進行加密。

DNS Services在控制平面中處理使用者啟動的 DNS 設定請求。 在控制平面中，DNS Services依賴基於 IAM 的授權和身份驗證，因此只有帳戶內明確允許的使用者才能存取資訊。 IAM 策略在 API 層級強制執行，其他使用者介面（例如 UI 和 CLI）都繼承一致的存取控制策略。 有關允許哪些平台和服務角色執行哪些操作的信息，請參閱 管理 IAM 和IBM Cloud DNS Services。

來自虛擬私有雲 (VPC) 的名稱解析請求在資料平面中處理。 使用者控制哪個VPC可以存取資料平面中的此DNS配置資料。 這可以使用為 DNS 區域新增允許的網路的控制平面機制來指定。 對 VPC 具有至少 Operator 級存取權限的使用者可以新增或刪除該 VPC 作為 DNS 區域允許的網路。

當解析器收到針對特定 DNS 區域的 DNS 查詢時，它會識別啟動 DNS 查詢的 VPC，並驗證是否可以存取 DNS 查詢的 DNS 區域。 如果 VPC 無權存取 DNS 區域，則 DNS 查詢將轉送至公用解析器。

用於轉送的公共解析器也在IBM Cloud私有底層。 公共解析器意味著它解析公共 DNS 區域，儘管它是在IBM Cloud專用網路中實例化的。 無法從互聯網存取公共或私人解析器。

對多租戶控制平面和資料平面基礎設施的存取受到嚴格控制，並根據需要限制少數操作人員進行管理和故障排除。

1. 客戶 A 和客戶 B 透過多租用戶控制平面基礎架構建立 DNS 設定記錄。 記錄會作為單獨的文件保存在資料庫中。 不同使用者的配置資訊保存在資料庫中。
2. 來自客戶 A 和客戶 B 的 VPC 的資料平面 DNS 請求透過多租戶資料平面基礎架構路由到 DNS 解析器 161.26.0.7 和 161.26.0.8。
3. 解析器將請求傳送到Cloudant資料庫以取得所請求的 DNS 記錄，並確定 VPC 是否可以存取所請求的 DNS 區域。
4. 如果 DNS 區域資訊不是使用者配置的一部分，則 DNS 查詢將轉送至公共解析器。

DNS Services部署模型

DNS Services是一個多租用戶解決方案。 所有客戶環境都可以透過IBM Cloud® Internet Services後面的公共端點存取控制平面。 公共網路不用於存取服務的資料平面。 服務的控制平面和資料平面都在租戶之間共用。 該服務使用Cloudant資料庫，透過公共網路發送請求可以安全地存取該資料庫。 該資料在傳輸過程中使用 SSL 進行加密。 資料也在Cloudant中進行靜態加密。