二级权威DNS服务提供商相比,

次要权威DNS(有时称为“从DNS”)服务供应商是DNS名称服务器克隆和主机在DNS区域传输协议(AXFR)您的主DNS服务器。有一些管理的DNS服务商提供这种服务,我已经把一个小功能比较。

辅助DNS服务器通常被称为“备用名称服务器”或“备份DNS”。然而,在现实中每一个权威名称服务器可以指望得到DNS查询流量的均匀分布。DNS被设计成分yabo88软件下载散的,您可以通过它复制到多个域名服务器会增加您的域区域的可用性和弹性服务中断。

我会用一个功能比较矩阵几托管辅助DNS域名服务器提供商开始。基质还列出了功能需求,我认为是非常重要的。我将进入对这些在本文后面的更多细节。

服务 AXFR DNSSEC公司 TSIG公司 IPv6的 路线 POP
Akamai的边缘DNS 任播 1000
阿里巴巴云DNS 任播 19
亚马逊路线53 任播 53
Microsoft Azure DNS 局部 任播 15
BuddyNS 单播 11
CloudNS 局部 任播 23
CloufloorDNS 局部 任播 25
DNSMadeEasy 任播 15
DNSUnlimited 单播
达因继发 任播 18
GoDaddy的高级DNS 任播 60
Hurricane Electric的DNS 局部 任播 24
NameCheap高级DNS 任播 17
没有IP平方 局部 任播 100个
NS1 局部 任播 25
RcodeZero 任播 21

更新():在比较表中添加了Akamai边缘DNS。

更新():增加RcodeZero比较表。

不能直接比较价格作为定价模型似乎是专违抗直接比较与任何竞争对手。yabo88软件下载然而,服务范围从14到每年1500美元的至少两个区域,每月一万个请求。被选作这种比较,主要是因为他们或至少二他们的直接竞争对手提供的价格实例和足够的技术信息以上服务。

缺乏DNSSEC支持是令我感到诧异。一种二次权威的DNS服务器是唯一的,用于从主DNS服务器克隆已经DNSSEC签名区域负责。DNSSEC将确保次要的DNS提供商不恶意或无意地修改你委托它来存储DNS区域。这可能表明二次DNS提供商保留随时修改或也许正常化您的DNS记录的权利。不管他们的理由,这是绝对的要求对我来说,他们坚持使用只是在做一两件事,我要求他们做和DNSSEC是一个很好的方法,以确保。

用于DNS的密钥事务身份验证(TSIG)是基于证书的身份验证系统,可防止不受信任的DNS客户端克隆您的DNS区域。在某些情况下,克隆区域是不可取的,因为它可能泄漏有关网络和基础结构的信息。这对我来说不是特别重要,但我的主DNS服务提供商要求辅助DNS服务器通过TSIG的身份验证。在传统系统中,您将允许在主服务器中列出辅助DNS服务器的IP地址,并仅使用IP地址实施访问控制。

我觉得有趣的是,许多DNS服务提供商需要TSIG认证,从他们的主DNS服务复制区域,但也并不支持使用TSIG从自己的辅助DNS服务进行身份验证的其他DNS服务器。

上述特征矩阵中的IPv6意味着提供商在其所有位置的名称服务器都可以通过IPv6访问。每个提供者都支持AAAA记录。

每个名称服务器都被视为等于任何其他名称服务器。无法影响DNS客户端将查询发送到哪个名称服务器。一个通过选播IP地址可用的名称服务器通过让其所有地理区域响应同一IP地址来解决此问题。假设优化了流量路由和良好的合作伙伴协议,那么它们的名称服务器应该在解析客户机附近,因此响应速度很快。单播IP地址将查询定向到一个特定的地理区域。您在美国的用户可以将其DNS查询发送到台湾的服务器,而不是位于同一状态的服务器,性能可能会受到很大影响。

结论

更新():Hurricane Electric公司有执行TSIG授权。上表已经更新,以反映这一点。

没有一个辅助DNS服务目前支持我的主DNS服务器到我区的文件传输到一个二级域名服务器所需的相关标准,同时还支持安全功能,我需要的地方,是我的域名给他们舒适的委派DNS。这是相当令人沮丧。

我在这里介绍的许多DNS服务提供商还对该区域施加任意限制,例如最短生存时间(TTL)时间或禁止使用通配符域。这对Hurricane Electric来说是有意义的,他们在互联网上提供一些最好的DNS服务,而且也不收一分钱。但是,所有其他供应商都要为他们的服务收费。只要我的DNS区域文件符合当前的行业标准,他们就不应该对它的确切配置固执己见,让我的帐户分类账保持打开状态,并按原样托管它。

DNSUnlimited和阿里巴巴云DNS是最接近满足我的要求的服务。我不会用DNSUnlimited因为他们是最便宜的供应商之一,但他们的名字服务器仍然使用单播。至于阿里巴巴云DNS,......好吧,让我们只说这是完全不可能的下降DNSSEC。

最好的办法似乎是建立自己主要的主DNS域名服务器作为一个“隐藏的大师”(这意味着它会主办该区还不会被设置为名称服务器),所以我可以删除TSIG授权要求。然后,我可以看看Hurricane Electric的DNS,我已经为一些域的主域名服务器使用,并找出他们对DNSSEC支持限制的到底是什么。那么我也用DNSMadeEasy。操作和维护自己的权威名称服务器是不是一个大问题,但我不希望处理DNSSEC为自托管域区域。

总结:肯定有余地的辅助DNS服务提供商竞争空间,因为似乎没有可用任何不错的选择。