鲁达 摘要: 云解析 PrivateZone,是基于阿里云专有网络VPC(Virtual Private Cloud)环境的私有域名解析和管理服务。可以在自定义的一个或多个专有网络中快速构建DNS系统,实现私有域名映射到IP资源地址。
前言
云解析 PrivateZone,是基于阿里云专有网络VPC(Virtual Private Cloud)环境的私有域名解析和管理服务。可以在自定义的一个或多个专有网络中快速构建DNS系统,实现私有域名映射到IP资源地址。特别是在混合云场景下,借助于阿里云PrivateZone,可以实现云上云下统一解析服务管理,在上云迁移过程中也能帮助业务无缝切换。
产品介绍
PrivateZone相当于一个您独自管理的内网DNS,您可以用它来创建一些只能在您的VPC(支持多个VPC)内被访问到的域名或者子域名。使用PrivateZone的一般步骤包括:
- 新建一个Zone,例如 exam。
- 添加需要管理的资源记录,例如 www.exam。
- 将域名关联到需要被访问的VPC。
完成相应配置后,只有在被关联的VPC内能够按照您设置的PrivateZone解析记录来访问www.exam,其他环境将无法(或只能通过公网解析)访问该域名。您可以将该域名指向特殊的保留地址,例如10.1.1.1。
实现原理
PrivateZone利用阿里云VPC的隧道隔离特性(具体请查看专有网络介绍),对您的私有域名执行隧道隔离。不同VPC下关联的域名因其隧道ID不同,无法被跨VPC访问。
同时,阿里云的DNS采取了严格的验证机制,确保您的私有域名在阿里云网络内的唯一性,只有您自己才可以对其进行管理。
逻辑架构
一个PrivateZone(例如exam),可以关联一个VPC,也可以关联多个VPC。关联VPC后,Zone内的记录在相应的VPC内便可以被访问。
混合云中应用迁移应用
公司内部的DNS服务是非常必要的
- 公司内部有些服务出于隐私保护的目的,不便将域名暴露在公网。
- 内网DNS可以提高域名的解析效率,内部查询时直接返回IP地址,不用每次通过公网的运营商DNS进行递归解析,响应速度快;
- 第三、内部DNS生效块、便于管理,结合其他服务能够构建高效的解析服务。
此外,在混合云场景下,借助于内网DNS,对应用迁移能够提供更多便利。
从公共云迁移到专有云
公共云迁移到专有云基本分为数据迁移和应用迁移两个阶段,在第一个阶段中,应用保持在公共云上,将底层数据同步到专有云,此时,公共云可以通过实例ID去访问专有云的各类数据服务。
由于专有云域名只在内部环境生效,公共云无法解析,因此需要借助于privatezone在VPC中解析专有云各种域名
同时,为了避免专有云解析记录的变化导致privatezone记录不准确,因此需要通过第三方工具或脚本实时监控专有云解析记录的变化,并通过privatezone API同步的VPC中
从线下IDC迁移到公共云
IDC迁移到专有云首先需要通过配置DNS的方式使得IDC能够使用privatezone进行域名解析,在这之前,需要通过专线或者VPN方式打通IDC到VPC网络。
具体配置方法如下
1、配置自建IDC访问阿里云路由示例:
目的网段示例网关100.64.0.0
相应的回程路由也需要配置,这样就打通了IDC到公共云VPC中DNS服务的网络路径
2、需要将自建IDC上服务器的DNS配置/etc
修改为:
nameserver 100.100.2.136
nameserver 100.100.2.138
options timeout:2 attempts:3 rotate single-request-reopen
这样就可以实现整个混合云的内网DNS解析。
完成以上工作之后,IDC中的主机就可以和VPC中的ECS一样,使用域名来访问公共云上各种服务,包括RDS、OSS等资源。