1. 資料庫
  2. DNS
  3. ספקי DNS

DNS מנוהל לעומת DNS עצמאי

已更新 1 個月前

DNS הוא השירות היחיד שאינו יכול להיכשל. אם שרתי האינטרנט שלך קורסים, המשתמשים רואים דף שגיאה. אם ה-DNS שלך קורס, המשתמשים לא רואים כלום — הדומיין שלך מפסיק להתקיים. זה הופך את הבחירה בין DNS מנוהל ל-DNS עצמאי לאחת מהחלטות התשתית המשמעותיות ביותר שארגון מקבל.

השאלה אינה באמת על DNS. היא על הסוג של ארגון שאתם.

שתי פילוסופיות של תשתית

DNS מנוהל משמעו לשלם למישהו אחר כדי לפתור בעיה קשה. ספקים כמו Cloudflare, Route 53 ו-NS1 מפעילים מאות נקודות נוכחות ברחבי העולם. הם מעסיקים צוותים שכל תפקידם הוא לחשוב על זמינות DNS, הגנה מפני DDoS וביצועי שאילתות. כאשר תוקפים מכוונים לדומיין שלך, הספק סופג תעבורה שהייתה מוחקת את השרתים שלך.

אתם מגדירים רשומות דרך ממשק אינטרנט או API. לא צריך לחשוב על העברות אזורים, תיקוני תוכנה או תכנון קיבולת. אתם משלמים לפי שאילתה — אולי 20 דולר בחודש עבור אתר קטן, ואלפים עבור ארגון גדול שמטפל במיליארדי בקשות.

DNS עצמאי משמעו הפעלת שרתי שמות סמכותיים משלכם, בדרך כלל באמצעות BIND, PowerDNS או NSD. אתם שולטים בהכל: היכן השרתים ממוקמים, כיצד הם מוגדרים, מה נרשם ביומן, כיצד המטמון מתנהג. אתם גם אחראים על הכל: הקשחת האבטחה, עדכוני התוכנה, ההתראות בשלוש בבוקר כאשר משהו מתקלקל.

מבנה העלויות מתהפך. במקום לשלם לפי שאילתה, אתם משקיעים בתשתית ובמומחיות. בקנה מידה עצום — מיליארדי שאילתות בחודש — זה יכול להיות זול יותר. בקנה מידה קטן יותר, זה יקר יותר כאשר מחשבים את זמן ההנדסה.

מה DNS מנוהל קונה לכם

אמינות שלא הייתם יכולים לבנות בעצמכם.

ספקי DNS גדולים משיגים זמינות של 100% דרך יתירות הגובלת בפרנויה. הם מפעילים רשתות anycast הפרוסות על פני עשרות מדינות. הם מטפלים בהתקפות DDoS הנמדדות בטרה-ביטים לשנייה — נפחים שיציפו כל תשתית עצמאית.

האמינות הזו מתרחבת לפעולות שאתם לעולם לא רואים. כאשר מתגלה פגיעות קריטית בתוכנת DNS, הספק מטפל בציי השרתים שלו בזמן שאתם ישנים. כאשר התעבורה מזנקת, הקיבולת מתרחבת אוטומטית. כאשר תוקפים בוחנים חולשות, צוותי האבטחה מגיבים.

תמורת כל זאת מגיעה תלות. תקלות קורות — אירוע Cloudflare ביולי 2019 השפיע על מיליוני דומיינים. אתם מקבלים את הסיכון הזה מכיוון שהחלופה היא לקחת על עצמכם אחריות להשיג אמינות דומה בעצמכם.

מה DNS עצמאי קונה לכם

שליטה. שליטה מלאה, ללא פשרות.

אתם מחליטים בדיוק היכן שרתי DNS ממוקמים — קריטי לדרישות תושבות הנתונים. אתם שולטים אילו שאילתות נרשמות ביומן והיכן הנתונים הללו שוהים — קריטי לתקנות פרטיות. אתם יכולים ליישם התנהגויות DNS שהשירותים המנוהלים אינם תומכים בהן.

עבור ארגונים בתחום הבריאות, השירותים הפיננסיים או הממשלה, שליטה זו אינה אופציונלית. דרישות רגולטוריות עשויות לאסור שליחת נתוני שאילתות DNS לצדדים שלישיים. מדיניות אבטחה עשויה לחייב שכל התשתית תפעל בתחומי שיפוט ספציפיים. ביקורות ציות עשויות לדרוש נראות לפעולות DNS שהשירותים המנוהלים אינם יכולים לספק.

חיסכון בעלויות מתממש רק בקנה מידה עצום. ארגונים שמעבדים פחות ממיליארד שאילתות בחודש כמעט ולא חוסכים כסף בהפעלה עצמאית ברגע שזמן ההנדסה נלקח בחשבון בכנות. מעל לסף זה, הכלכלה משתנה — אך רק עבור ארגונים שכבר מעסיקים מומחי DNS.

בדיקת המציאות של DNS עצמאי

לפני שבוחרים ב-DNS עצמאי, ענו בכנות:

האם אתם כבר מעסיקים מהנדסי DNS? אם תצטרכו לגייס ספציפית לצורך זה, יתרון העלות נעלם.

האם אתם יכולים להשיג פיזור גאוגרפי? DNS עם זמינות גבוהה דורש שרתי שמות סמכותיים במספר מיקומים, שהוכרזו כראוי באמצעות anycast. זה אינו שרת יחיד במרכז הנתונים שלכם.

האם תוכלו לשרוד מתקפת DDoS? תוקפים מכוונים ל-DNS בדיוק מכיוון שהוא קריטי. מתקפת DDoS מוצלחת על DNS אינה פוגעת בשירות שלכם — היא מוחקת את קיומכם מהאינטרנט.

האם תתחזקו אותו לנצח? זה אינו פרויקט שאתם מסיימים. זוהי מחויבות תפעולית שלא מסתיימת לעולם.

אם עניתם "לא" לאחת מהשאלות הללו, DNS מנוהל הוא התשובה שלכם.

גישות היברידיות

ארגונים רבים משלבים את שתיהן.

ראשי מנוהל, משני עצמאי: שימוש ב-DNS מנוהל לצורך אמינות תוך תחזוקת שרתים פנימיים לאזורים רגישים. דומיינים חיצוניים מקבלים ביצועים גלובליים; תשתית פנימית נשארת תחת שליטתכם.

חיצוני מנוהל, פנימי עצמאי: הפרדה מוחלטת בין דומיינים הפונים לציבור ל-DNS פנימי. משתמשים חיצוניים מבצעים שאילתות לשירותים מנוהלים; מערכות פנימיות משתמשות ב-DNS עצמאי מבודד.

מנוהל כגיבוי: הגדרת שניהם כסמכותיים. אם התשתית שלכם נכשלת, השירות המנוהל ממשיך לשרת שאילתות.

קבלת ההחלטה

בחרו ב-DNS מנוהל אם: אתם חסרים מומחיות הנדסת DNS. אתם מטפלים בפחות ממיליארד שאילתות בחודש. אתם מעריכים פשטות תפעולית. אתם יכולים לקבל תלות בצד שלישי.

בחרו ב-DNS עצמאי אם: דרישות ציות אוסרות על ספקים חיצוניים. אתם כבר מעסיקים מהנדסי DNS. אתם מעבדים שאילתות בקנה מידה שבו כלכלת DNS עצמאי הגיונית. אתם יכולים להנדס ולהפעיל מערכות מבוזרות בעלות זמינות גבוהה.

בחרו בגישה היברידית אם: אתם זקוקים לאמינות מנוהלת מבחוץ אך שליטה פנימית לציות. אתם רוצים יכולת גיבוי ללא תלות מוחלטת.

רוב הארגונים צריכים להשתמש ב-DNS מנוהל. האמינות טובה יותר ממה שהייתם בונים, העלות סבירה, והנטל התפעולי אפסי. DNS עצמאי הגיוני לארגונים עם מגבלות ציות אמיתיות, קנה מידה עצום, או מומחיות DNS קיימת — לא לארגונים שמנסים לחסוך כסף או לשמור על עצמאות תיאורטית.

השאלה שיש לשאול אינה "מה עדיף?" אלא "מה מתאים למה שאנחנו באמת?"

שאלות נפוצות על DNS מנוהל לעומת DNS עצמאי

כמה עולה DNS מנוהל בהשוואה להפעלה עצמאית?

DNS מנוהל: 20-50 דולר בחודש לפריסות קטנות, ועד אלפים לנפחי ארגונים גדולים. הפעלה עצמאית: טמון במשכורות ההנדסה, בתשתית השרתים ובתקורה התפעולית. מתחת למיליארד שאילתות בחודש, DNS מנוהל מנצח. מעל לכך, הפעלה עצמאית הופכת תחרותית — אם אתם כבר מעסיקים מומחי DNS.

מה קורה אם ספק ה-DNS המנוהל שלי חווה תקלה?

הדומיינים שלכם הופכים לבלתי ניתנים להגעה. לספקים גדולים יש זמינות מצוינת, אך תקלות מתרחשות. אסטרטגיות לצמצום הסיכון כוללות שימוש במספר ספקים או תחזוקת תשתית גיבוי עצמאית.

האם ניתן לעבור בין DNS מנוהל ל-DNS עצמאי בשלב מאוחר יותר?

כן. הוסיפו שרתים מהסוג החדש כמשניים, ולאחר מכן קדמו אותם לראשיים לאחר אימות. ההעברה פשוטה — האתגר הוא שיהיה ביכולתכם לתחזק את מה שאתם עוברים אליו.

האם אני זקוק ל-DNS עצמאי עבור DNSSEC?

לא. כל הספקים המנוהלים הגדולים תומכים ב-DNSSEC ומטפלים בניהול מפתחות אוטומטית. DNSSEC עצמאי דורש רוטציית מפתחות קפדנית ומוסיף נטל תפעולי. אלא אם כן יש לכם דרישות ספציפיות לגבי אפוטרופסות המפתחות, DNSSEC מנוהל פשוט ובטוח יותר.

下一篇

בחירת ספק DNS

此頁面對您有幫助嗎?

😔
🤨
😃