Google Cloud DNS: Добавете домейн

Да предположим, че притежавам example.com.

Делегирам поддомейна www.example.com към определен набор от NS, което е, например, Route53 Hosted Zone. Останалата част от example.com зоната не е на R53 и съдържа важна информация за други поддомейни / записи. Можете да разгледате тази зона 1 и можете да разгледате новата R53 хоствана зона като зона 2.

искам да имам www.example.com CNAMEd към определена крайна точка, да речем облачно разпространение. Тъй като не мога CNAME apex домейнът, вместо това хостваната зона 2 се създава в R53 с оригиналния apex домейн: example.com. След това в тази хоствана зона има запис за поддомейна www.example.com с CNAME да се xxx.cloudfront.net.

Не мога да конфигурирам директно www.example.com с CNAME в хоствана зона 1 по различни причини, включително че CNAME винаги се променя и лицето, контролиращо CNAME, има контрол само върху зона 2.

Така че цялата верига изглежда така: Потребителят въвежда www.example.com, те получават NS хоствани 1 записи. В тази зона записът за www.example.com сочи към записи на Хоствана зона 2. В тази зона (която е създадена с apex example.com) записът за www.example.com е CNAME до правилната крайна точка.

Въпросът ми: дали някой DNS преобразувател погрешно кешира NS от втората зона като записи на апекс домейни? Очевидно искам тези NS да бъдат достъпни само за www.example.com записи. Ако example.com NS записите погрешно се смятат за хоствана зона 2, може да има много проблеми.

Ако случаят е такъв, има ли някакъв начин да се уверите, че DNS преобразувателите са, че сървърите на апекс имена на домейни са зона 1, а записите в зона 2 са САМО за www.example.com, въпреки че са създадени с example.com апекс домейн?

Разбирам, че има и други начини да направите това (CNAME за отделяне на домейн и т.н.), но за логистични цели (засега) ме интересува само настройката на NS директно за www поддомейн.

Макар и необичайно, със сигурност можете да делегирате www.example.com към различен набор от сървъри на имена от example.com.

Няма причина сървърите на имена да кешират авторитетни сървъри на имена www.example.com като авторитетен за example.com, така че този проблем никога няма да се случи.

Но чрез делегиране www затваряте опцията например да го имате като a CNAMEи просто го споменавам за завършване, тъй като изглежда точно това, което искате да отлети.

Да кажа по различен начин: ако вашият example.com зона има NS записи за www.example.com за да го делегирате допълнително към втори набор от сървър за имена, НЕ МОЖЕТЕ да имате едновременно a CNAME запис на www в example.com зона. Тази настройка няма да бъде приета от прилични сървъри на имена, авторитетните на example.com би / трябва да откаже да зареди такава зона.

Авторитетните сървъри за имена за www.example.com трябва да е авторитетен за www.example.com това е техният връх, а не example.com. Те не могат да бъдат конфигурирани да бъдат авторитетни за example.com, нито могат да имат CNAME запис за www като www.example.com тъй като това е техният връх и следователно вече го има SOA и NS записи, които прави CNAME присъствие невъзможно. Тази част не е много ясна от въпроса ви, така че не е сигурно, че ще я следвате (нещата са далеч по-ясни с истински имена и изходни резултати ...)

Имайте предвид, че разбира се сървърите за имена за www.example.com трябва да са "истински" сървъри на имена, отговарящи правилно на ниво DNS за много неща, а не само A типове заявки, като SOA и NS типове записи. Пиша това, защото от опит, когато видях хора да делегират www често се затваряха кутии, действащи като балансиращ товар и обработващи HTTP (S) и DNS трафик, за съжаление те често бяха много разбити на ниво DNS (не отговор на NS заявки за пример или отговор NS заявки с A записи, сочещи назад към себе си или други кошмари ...), които създадоха всякакви трудни случаи. Така че, просто като го кажете мимоходом, не забравяйте да делегирате своя www на нещо, което наистина действа като сървър на имена, а не просто да се преструва, че е такъв на повърхността.

Освен това може да не искате да чуете това, но все пак, тъй като вашата предпоставка е „CNAME винаги се променя и лицето, контролиращо CNAME, има контрол само върху зона 2.“ и след това се опитате да заобиколите това, истинското правилно решение е вместо това:

www.example.com CNAME www.example.com.your-provider.example

и след това вашият доставчик е свободен да се занимава със записа www.example.com.your-provider.example колкото иска и дори да го направи CNAME, сменящ се на всеки 5 минути. Той има пълен контрол над него и вие му дадохте властта над него благодарение на своя CNAME това ще остане веднъж завинаги, без да се налага наистина да делегирате на ниво DNS част от вашата зона на други сървъри на имена.

Не твърдя, че това е същият случай, но наблюдавайте приликата:

$ dig www.microsoft.com +noall +ans www.microsoft.com. 8m51s IN CNAME www.microsoft.com-c-3.edgekey.net. www.microsoft.com-c-3.edgekey.net. 7m25s IN CNAME www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. 8m24s IN CNAME e13678.dspb.akamaiedge.net. e13678.dspb.akamaiedge.net. 14s IN A 23.217.196.148 
  • Мисля, че може да имате леко неразбиране. www.example.com сочи към зона 2 с тези сървъри на имена, но зоната се създава с example.com като апекс домейн (example.com NS xx.awsns060.org). След това има запис за www.example.com, който е CNAME до крайна точка. По същество сега има 2 зони (зона 1 и зона 2) и двете с един и същ връх. Разликата е, че оригиналната зона има записа www, сочещ към другата зона. Виждам, че това копае добре, когато го приложа - просто се притеснявам, че някой резолвер някъде ще си помисли, че зона 2 е власт за върха
  • „www.example.com сочи към Зона 2 с тези сървъри за имена, но зоната се създава с example.com като апекс домейн (example.com NS xx.awsns060.org“ DNS не работи така, а вие ще създаде проблеми само за себе си (които лесно можете да избегнете, само ако приемете да спрете да се опитвате да заобиколите истинския проблем). Освен това, „Мисля, че може да имате леко неразбиране“, вероятно, но ако сте използвали истински имена и реални примери Сигурен съм, че ще бъде по-лесно за всички. Не е необходимо затъмняване, особено за публично достъпния DNS. Нека видим дали другите могат да го разберат по-добре.
  • Вие казахте, че това може да създаде проблеми - ако можете да уточните природата, това би било полезно. Благодаря!

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?