1.1 DNS 需求分析? 支持應(yīng)用多點(diǎn)接入的需求目前上海農(nóng)商銀行已經(jīng)開始逐步實(shí)施應(yīng)用的多點(diǎn)接入戰(zhàn)略，部分應(yīng)用系統(tǒng)將會(huì)以主備或應(yīng)用多點(diǎn)接入的方式部署在不同數(shù)據(jù)中心。DNS 適用于應(yīng)用多點(diǎn)部署的情況下，

1.1 DNS 需求分析

? 支持應(yīng)用多點(diǎn)接入的需求

目前上海農(nóng)商銀行已經(jīng)開始逐步實(shí)施應(yīng)用的多點(diǎn)接入戰(zhàn)略，部分應(yīng)用系統(tǒng)將會(huì)以主備或應(yīng)用多點(diǎn)接入的方式部署在不同數(shù)據(jù)中心。DNS 適用于應(yīng)用多點(diǎn)部署的情況下，實(shí)現(xiàn)智能化引導(dǎo)用戶訪問到部署在多個(gè)數(shù)據(jù)中心應(yīng)用系統(tǒng)的最佳站點(diǎn)。

? 實(shí)現(xiàn)災(zāi)備快速切換的需求

在多中心架構(gòu)下，需要為災(zāi)備切換提供快速有效的輔助手段。根據(jù)業(yè)內(nèi)成熟DNS 技術(shù)解決方案，DNS 系統(tǒng)是新一代銀行系統(tǒng)災(zāi)備方案中重要的組成部分，借助DNS 系統(tǒng)可實(shí)現(xiàn)快速有效的災(zāi)備切換操作，提升系統(tǒng)切換操作的效率，簡(jiǎn)化災(zāi)備切換流程。當(dāng)災(zāi)難或故障發(fā)生，應(yīng)用系統(tǒng)需要切換到另一個(gè)數(shù)據(jù)中心時(shí)，DNS 為用戶提供了自動(dòng)的最快速的用戶訪問恢復(fù)服務(wù)。

? 方便應(yīng)用維護(hù)操作的需求

內(nèi)網(wǎng)B/S、C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)較多，大量客戶端均采用或配置IP 的方式訪問上端的應(yīng)用服務(wù)器。一旦上端應(yīng)用服務(wù)器的IP 地址發(fā)生了調(diào)整，則直接會(huì)影響下端的終端用戶訪問。同時(shí)，IP 地址的修改也會(huì)帶來大量的下端客戶端的維護(hù)的工作量。DNS 域名解析系統(tǒng)的使用推廣，將大大降低應(yīng)用維護(hù)帶來的風(fēng)險(xiǎn)和工作量。

? 提升行內(nèi)用戶體驗(yàn)品質(zhì)的需求

目前內(nèi)網(wǎng)應(yīng)用均是采用IP 地址的方式對(duì)用戶提供服務(wù)。由于內(nèi)網(wǎng)應(yīng)用的種類繁多以及IP 地址不便于記憶的特點(diǎn)，會(huì)引起行內(nèi)用戶訪問的體驗(yàn)較差等問題。可以選擇采用DNS 域名解析加內(nèi)網(wǎng)門戶的解決方案來提升行內(nèi)用戶訪問體驗(yàn)品質(zhì)，實(shí)現(xiàn)便捷服務(wù)。

1.2 DNS 部署原則

DNS 系統(tǒng)為多數(shù)據(jù)中心、應(yīng)用多點(diǎn)接入等IT 戰(zhàn)略規(guī)劃建設(shè)奠定必要的基礎(chǔ)。為實(shí)現(xiàn)DNS 系統(tǒng)統(tǒng)一規(guī)劃和管理，在部署實(shí)施過程中遵循以下原則：

? 生產(chǎn)與災(zāi)備系統(tǒng)分別部署

在DNS 系統(tǒng)的部署過程中，為實(shí)現(xiàn)DNS 系統(tǒng)自身高可用性，在生產(chǎn)數(shù)據(jù)中心、備份中心各部署一套高可用的DNS 系統(tǒng)，兩套系統(tǒng)同時(shí)對(duì)全行用戶提供DNS 解析服務(wù)器，互為備份。

? 業(yè)務(wù)與辦公DNS 系統(tǒng)合并部署

在部署過程中，借鑒業(yè)內(nèi)成熟的DNS 應(yīng)用方案，DNS 系統(tǒng)將同時(shí)為生產(chǎn)及辦公相關(guān)應(yīng)用系統(tǒng)提供域名解析服務(wù)，不考慮業(yè)務(wù)與辦公獨(dú)立部署。

? 內(nèi)外網(wǎng)DNS 系統(tǒng)單獨(dú)部署

考慮安全性因素，DNS 系統(tǒng)的部署遵循內(nèi)外分開的原則，對(duì)于內(nèi)部DNS 系統(tǒng)與Internet 保持隔離。

? 開發(fā)測(cè)試DNS 系統(tǒng)單獨(dú)部署

遵循測(cè)試與生產(chǎn)分開的原則，測(cè)試環(huán)境DNS 系統(tǒng)單獨(dú)部署。

? DNS 服務(wù)器IP 虛擬化

對(duì)于直接面向全行用戶提供DNS 解析服務(wù)的服務(wù)器，通過負(fù)載均衡設(shè)備對(duì)外發(fā)布虛IP 地址作為客戶端使用的DNS 服務(wù)器地址，此部署方式既可以提高DNS 服務(wù)器的可用性，又便于未來DNS 服務(wù)器的橫向擴(kuò)展。

1.3 DNS 應(yīng)用模式

根據(jù)DNS 在不同情景下的使用情況，可以分為三種模式:

? 模式一：客戶端DNS 應(yīng)用模式

客戶端到應(yīng)用的訪問通過域名方式實(shí)現(xiàn)，本模式需要建設(shè)為客戶端提供DNS 解析服務(wù)的DNS 系統(tǒng)，包括緩存DNS 服務(wù)器、權(quán)威服務(wù)器及系統(tǒng)管理平臺(tái)。

? 模式二：服務(wù)器DNS 應(yīng)用模式

在模式一的基礎(chǔ)上，應(yīng)用服務(wù)器之間的數(shù)據(jù)通信通過域名方式實(shí)現(xiàn)。當(dāng)服務(wù)器之間通信依賴于DNS 系統(tǒng)的域名解析功能時(shí)，為避免DNS 系統(tǒng)故障對(duì)日常業(yè)務(wù)造成影響，服務(wù)器DNS 實(shí)現(xiàn)模式將在模式一基礎(chǔ)上，強(qiáng)化DNS 系統(tǒng)的高可用性，

提高DNS 系統(tǒng)不間斷服務(wù)能力，降低由于DNS 系統(tǒng)的局部故障對(duì)全行的業(yè)務(wù)產(chǎn)生的影響。

模式三：智能DNS 應(yīng)用模式

通過增加具備智能DNS 功能的全局負(fù)載均衡設(shè)備，使得DNS 系統(tǒng)在模式二基礎(chǔ)上增加智能域名解析的功能，以實(shí)現(xiàn)應(yīng)用多點(diǎn)接入，跨數(shù)據(jù)中心的負(fù)載分流等功能。

2. 客戶端DNS 應(yīng)用模式

根據(jù)DNS 整體部署策略和DNS 系統(tǒng)的業(yè)務(wù)需求，并遵循最佳實(shí)踐的設(shè)計(jì)原則，采用雙層DNS 架構(gòu)，部署緩存DNS 服務(wù)器直接面向全行用戶提供DNS 解析服務(wù)，部署權(quán)威DNS 服務(wù)器負(fù)責(zé)行內(nèi)域名解析功能。

DNS 系統(tǒng)主要由權(quán)威服務(wù)器，緩存DNS 服務(wù)器組成。

2.1 DNS 系統(tǒng)架構(gòu)

● 緩存服務(wù)器架構(gòu)

根據(jù)DNS 整體部署策略和業(yè)務(wù)需求，部署DNS 緩存服務(wù)器直接向全行客戶端提供DNS 解析服務(wù)，使用專用的負(fù)載均衡設(shè)備提供負(fù)載均衡和高可用性部署方式；服務(wù)器通過不同的網(wǎng)絡(luò)設(shè)備路徑接入網(wǎng)絡(luò)，提供網(wǎng)絡(luò)連接層面的高可用性；在不同數(shù)據(jù)中心進(jìn)行分別部署，提高在數(shù)據(jù)中心級(jí)別的DNS 的高可用性。

● 權(quán)威服務(wù)器架構(gòu)

權(quán)威DNS 主服務(wù)器同時(shí)作為DNS 系統(tǒng)運(yùn)行管理平臺(tái)，對(duì)域名記錄進(jìn)行添加、修改和刪除，以及進(jìn)行域的新建、委派等工作，集中處理系統(tǒng)日志和審計(jì)日志，發(fā)至外部日志服務(wù)器。在備份中心部署DNS 從服務(wù)器作為管理平臺(tái)的備份機(jī)，實(shí)現(xiàn)無延遲實(shí)時(shí)備份全部管理數(shù)據(jù)，當(dāng)生產(chǎn)數(shù)據(jù)中心的管理平臺(tái)設(shè)備發(fā)生故障時(shí)，接管DNS 系統(tǒng)管理服務(wù)。

● 開發(fā)測(cè)試環(huán)境DNS 部署

開發(fā)測(cè)試環(huán)境單獨(dú)配置一套DNS 系統(tǒng)，相對(duì)于生產(chǎn)DNS 系統(tǒng)，硬件使用一臺(tái)DNS 設(shè)備，DNS 配置與內(nèi)部DNS 保持一致，部署上與內(nèi)網(wǎng)DNS 系統(tǒng)完全隔離。

2.2 DNS 系統(tǒng)配置

DNS 系統(tǒng)的配置，需要滿足全行客戶端DNS 解析需求：

1. 在權(quán)威服務(wù)器上配置全行根域空間及a.com 子域。

2. 權(quán)威主服務(wù)器為管理服務(wù)器，在另一中心部署一臺(tái)從服務(wù)器作為管理備

份機(jī)，當(dāng)主服務(wù)器無法對(duì)外提供服務(wù)時(shí)，升級(jí)管理備份機(jī)為管理服務(wù)器。權(quán)威主服務(wù)器不對(duì)外提供域名解析服務(wù)，只負(fù)責(zé)對(duì)DNS 系統(tǒng)進(jìn)行管理。

3. 所有的客戶端DNS 服務(wù)器參數(shù)設(shè)置分別指向兩套高可用架構(gòu)DNS 緩存服

務(wù)器的虛擬IP ，如果一個(gè)發(fā)生故障，另一個(gè)可以繼續(xù)提供服務(wù)，從而提供用戶配置層面的高可用性?？蛻舳说腄NS 服務(wù)器首選及備選項(xiàng)設(shè)置須遵循全行區(qū)域組劃分要求（全行機(jī)構(gòu)區(qū)域組劃分見附錄二分支行信息），保證DNS 請(qǐng)求的負(fù)載分流。

4. 來自客戶端的DNS 查詢請(qǐng)求，由DNS 緩存服務(wù)器通過迭代查詢方式，向

權(quán)威服務(wù)器進(jìn)行查詢，然后將結(jié)果返回給客戶端。

5. 權(quán)威主從服務(wù)器之間通過區(qū)域傳送方式同步數(shù)據(jù)，在服務(wù)器上設(shè)置區(qū)域

傳送的訪問控制列表，保障權(quán)威服務(wù)器的安全性和穩(wěn)定性。

6. 設(shè)置權(quán)威服務(wù)器為根域，替代系統(tǒng)缺省的根域服務(wù)器，并在緩存服務(wù)器

上修改根域?qū)?yīng)的NS 記錄，以便系統(tǒng)準(zhǔn)確、快速回應(yīng)對(duì)非行內(nèi)域名的DNS 解析請(qǐng)求。

2.3 應(yīng)用系統(tǒng)切換過程中的DNS 設(shè)計(jì)

對(duì)于有災(zāi)備切換需求的系統(tǒng)，在權(quán)威服務(wù)器上將所有生產(chǎn)系統(tǒng)的A 記錄設(shè)置為一個(gè)組，災(zāi)備系統(tǒng)的A 記錄設(shè)置為另一個(gè)組。正常情況下在a.com 根域中啟用生產(chǎn)系統(tǒng)A 記錄組，當(dāng)進(jìn)行災(zāi)備切換時(shí)，位于備份中心的DNS 服務(wù)根據(jù)災(zāi)備流程，通過DNS 管理平臺(tái)調(diào)整DNS 的域名解析指向，刪除已經(jīng)發(fā)生災(zāi)難的數(shù)據(jù)中心的地址條目（生產(chǎn)系統(tǒng)A 記錄組），添加備份中心的IP 地址條目（備份系統(tǒng)A 記錄組），應(yīng)用和用戶通過位于備份中心的DNS 服務(wù)，解析得到位于備份中心的a.com 域中各類應(yīng)用服務(wù)的IP 地址，保證業(yè)務(wù)服務(wù)的連續(xù)性。