cần lời khuyên về kiến ​​trúc Bind9

tôi cần lời khuyên của bạn về kiến ​​trúc DNS.

Lược đồ này mô tả kiến ​​trúc DNS mà tôi nghĩ sẽ xây dựng:

kiến trúc DNS

Trong công ty của tôi, mọi máy tính để bàn/máy tính xách tay đều được định cấu hình bằng DNS của mạng LAN (10.1.1.1), là AD/DNS của Microsoft và tôi không có trong tay. DNS khác là Bind9 nơi tôi là quản trị viên.Mục đích của tôi là thêm các máy chủ DNS khác cho các dự án mới (trong một mạng riêng biệt) mà không thay đổi bất cứ điều gì trên máy tính xách tay và trên mạng LAN DNS và tất nhiên, tôi muốn máy tính xách tay của nhà phát triển (trong mạng LAN) có thể truy vấn và nhận câu trả lời cho fqdn của các dự án mới đó .

Từ điểm DNS (fqdn) của vue, có MỘT miền (project.com) và NHIỀU miền phụ (subX.project.com). Và mỗi miền phụ nằm trong một mạng riêng biệt.

Ví dụ: trên mỗi vlan, tôi sẽ có một máy chủ web và tôi muốn nó trả lời tên miền phụ DNS của nó:

web.project.com -> cho máy chủ web của vùng dự án.
web.sub1.project.com --> cho máy chủ web của vùng tiểu dự án
web.sub2.project.com ....

Vì vậy, hiểu biết của tôi về Bind9 cho phép tôi nghĩ rằng máy chủ LAN DNS (10.1.1.1) có thể chuyển tiếp các yêu cầu đến máy chủ DNS của dự án (10.100.1.1). Và DNS dự án có thể chuyển tiếp yêu cầu đến các máy chủ DNS của dự án con (10.200.1.1/10.250.1.1).

Cuối cùng, tất cả các máy ảo của một mạng, có thể giải quyết fqdn công khai nếu DNS vùng chuyển tiếp các yêu cầu của chúng tới DNS cấp cao hơn. Tôi chỉ muốn nói lại rằng tôi không có trong tay DNS chính (trong mạng LAN).

Dưới đây, bạn sẽ tìm thấy tên.conf.options tệp đại diện cho kiến ​​trúc được mô tả trong lược đồ:

• Dự án DNS.com (10.100.1.1/10.100.1.2)

{
    truy vấn cho phép { 127.0.0.1; 10.1.1.1; 10.1.1.2; 10.200.1.1; 10.200.1.2; 10.250.1.1; 10.250.1.2; 10.100.1.0/24; };
    đệ quy có;
    thông báo có;
    cho phép chuyển { 10.100.1.2; }; #nô lệ
    giao nhận {
        10.1.1.1;
        10.1.1.2;
    };
}

• DNS con1.project.com (10.200.1.1/10.200.1.2)

{
    truy vấn cho phép { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.200.1.0/24; }; truy vấn từ máy ảo trong mạng này và DNS từ vùng trên
    đệ quy có;
    thông báo có;
    cho phép chuyển { 10.200.1.2; };
    giao nhận {
        10.100.1.1;
        10.100.1.2;
    };
}

• DNS con2.project.com (10.250.1.1/10.250.1.2)

{
    truy vấn cho phép { 127.0.0.1; 10.100.1.1; 10.100.1.2; 10.250.1.0/24; }; truy vấn từ máy ảo trong mạng này và DNS từ vùng trên
    đệ quy có;
    thông báo có;
    cho phép chuyển { 10.250.1.2; };
    giao nhận {
        10.100.1.1;
        10.100.1.2;
    };
}

Bạn nghĩ gì về kiến ​​trúc này? Bạn có thấy bất kỳ nhược điểm hoặc sai lầm hoặc hiểu sai nào không?

Trân trọng.

Mục đích của tôi là thêm các máy chủ DNS khác cho các dự án mới (trong một mạng riêng biệt) mà không thay đổi bất cứ điều gì trên máy tính xách tay và trên mạng LAN DNS và tất nhiên, tôi muốn máy tính xách tay của nhà phát triển (trong mạng LAN) có thể truy vấn và nhận câu trả lời cho fqdn của các dự án mới đó .

Chỉ cần làm cho các máy chủ DNS chính của bạn được ủy quyền, thông qua NS bản ghi, một tên miền phụ như project1.example.com đến máy chủ tên của bạn, sau đó bạn kiểm soát vùng này (do đó mọi thứ bên dưới). Và hành vi đệ quy bình thường trong quá trình phân giải tên sẽ bắt đầu mà không có bất kỳ cấu hình cụ thể nào.

Bạn dường như nhầm lẫn vai trò đệ quy và có thẩm quyền của máy chủ định danh. Những thứ này không trộn lẫn. Bạn nên tránh (trong khi về mặt kỹ thuật bạn có thể, với phần mềm như dnsmasq hoặc thậm chí không ràng buộc) một máy chủ hoạt động như đệ quy nói chung nhưng có thẩm quyền đối với một số tên. Thực hiện các ủy quyền thích hợp và có một cây có ý nghĩa, và bạn sẽ không gặp vấn đề gì lạ. Bạn nên tránh các truy vấn "chuyển tiếp" càng nhiều càng tốt.

Tập hợp các ví dụ về cấu hình của bạn chỉ tạo ra một lưới các máy chủ định danh đệ quy, chúng không có thẩm quyền về bất kỳ thứ gì, vì vậy đó không phải là cách để thực hiện. Làm đại biểu.