Những điều cần chú ý khi triển khai tự lưu trữ hoặc thuê ngoài là gì?
Nếu bạn thực sự nghiêm túc về tên miền của mình, bạn không nên dựa vào bất kỳ nhà cung cấp DNS nào mà nên có 2 trong số đó. Bạn không thể chọn chúng một cách tùy tiện và hy vọng nó sẽ hoạt động, nó cần được phối hợp hoàn toàn giữa hai bên, nhưng có thể, thậm chí có hỗ trợ DNSSEC đầy đủ.
Cho dù bạn chọn nhà cung cấp DNS nào, một ngày nào đó bạn sẽ gặp sự cố. Nếu miền của bạn thực sự quan trọng (và các dịch vụ trên đó), bạn nên sử dụng nhiều nhà cung cấp DNS.
Bạn không sử dụng thuật ngữ chính xác cho những gì bạn mô tả. Tôi hoan nghênh bạn đọc RFC 8499 về Thuật ngữ DNS. Bạn sẽ thấy rằng những gì bạn mô tả là máy chủ định danh trong bailiwick (ns.example.com
là máy chủ định danh cho ví dụ.com
) hoặc máy chủ định danh hoàn toàn bên ngoài.
Có vẻ như bạn quan tâm đến việc đặt tên hơn, hoặc ít nhất đó là cách tôi đọc câu hỏi của bạn, hơn là thực sự nơi cung cấp dịch vụ, bởi vì điều này gần như trực giao: bất kể máy chủ định danh của bạn có ở trong bailiwick hay không, về mặt kỹ thuật, chúng có thể nằm dưới sự kiểm soát và bảo trì của bạn hay không.
Bạn sẽ không tìm thấy bất kỳ lời khuyên duy nhất nào cho mọi trường hợp, cả hai đều có lợi thế. Tuy nhiên, tôi thực sự khuyên bạn không nên sử dụng trường hợp "trong-bailiwick", cho đến khi bạn hiểu đầy đủ về DNS cũng như cách thức hoạt động của nó và đặc biệt là khi nó giao nhau với mặt phẳng đăng ký, bởi vì đối với các máy chủ định danh trong-bailiwick, bạn cần duy trì mối quan hệ chặt chẽ tại đăng ký, thông qua công ty đăng ký tên miền và thật không may, điều này thường là một điểm khó khăn.
Nếu bạn sử dụng máy chủ tên bên ngoài, liên quan đến việc đặt tên (có những cân nhắc khác: chúng không nên được lưu trữ trong cùng một trung tâm dữ liệu, không phải tất cả đều ở phía sau cùng một AS - trừ khi có bất kỳ diễn đàn nào - hoặc cùng một khối IP, v.v.), bạn nên đảm bảo có máy chủ tên sử dụng tên trong nhiều cơ quan đăng ký (vì vậy không chỉ nhiều TLD, nếu bạn dùng com
và bọc lưới
cả hai TLD đều ở cùng một sổ đăng ký).
Tất cả các nhà cung cấp DNS nghiêm túc lớn đều cung cấp tùy chọn đó cho khách hàng của họ và trên hết, bộ máy chủ định danh có thể khác nhau giữa vùng này với vùng khác hoặc máy khách này với máy khách khác để cách ly tốt hơn và có thể là mức độ dịch vụ khác nhau.
Ngoài ra, một khi bạn làm điều đó, bạn tạo ra một sự phụ thuộc bắc cầu. Mức độ bảo mật của tên miền của bạn được gắn với mức độ bảo mật của tên miền được sử dụng để đặt tên cho máy chủ định danh có thẩm quyền trên tên miền của bạn.
Ví dụ: nếu bạn muốn thực hiện DNSSEC, điều đó không sao trong vùng của bạn, nhưng sau đó nếu máy chủ định danh có thẩm quyền của vùng của bạn lại ở trong vùng CHƯA bật DNSSEC, điều đó sẽ làm giảm tính bảo mật thực sự của vùng của bạn.