En un último mensaje, describimos los peligros del sistema de nombres de dominio (DNS) autorizado y autohospedado desde la perspectiva de una empresa nueva o mediana que está armando un sistema de bricolaje utilizando ENLACE DNS u otras herramientas de código abierto. La idea principal era que todas las empresas llegaran a un punto en el que sus sistemas DNS autorizados autohospedados y de cosecha propia se les quedaran pequeños. Por el motivo que sea (ya sea funcionalidad, costo, confiabilidad o recursos), la mayoría de las empresas adoptan naturalmente la opción necesidad de un DNS administrado servicio prestado por un tercero.

No obstante, existe una cierta clase de grandes empresas donde el DNS autorizado autohospedado opera bajo un tipo diferente de lógica. Con presencia global y escala suficiente para resolver incluso proyectos técnicos complejos internamente, este tipo de empresas a menudo adoptan resoluciones en lugar de comprar el producto de otra empresa.

Las ventajas del autohospedaje para grandes empresas

Hay varias razones por las que una gran empresa querría crear y alojar un servicio DNS autorizado por su cuenta:

Requisitos funcionales específicos: Las grandes empresas a menudo quieren ofrecer sus aplicaciones, servicios y contenidos de forma personalizada. Esto puede ser cualquier cosa, desde enrutamiento hiperespecífico de consultas DNS hasta soporte a nivel de sistema para arquitecturas de aplicaciones distintivas y requisitos de cumplimiento.

Usando recursos existentes: Cuando las empresas ya tienen servidores y recursos técnicos implementados a escala en todo el mundo, utilizar esa huella para ofrecer DNS autorizado a menudo parece el siguiente paso lógico.

Control: Algunas empresas simplemente no quieren depender de un proveedor, especialmente para algo tan crítico para el negocio como DNS autorizado. Otras empresas tienen una cultura de “construcción” que valora el desarrollo de enfoques internos que fomenten las habilidades técnicas.

Teoría versus realidad

Todas estas son razones válidas para autohospedar su DNS a escala, al menos en teoría. Lo que hemos descubierto al hablar con grandes empresas de diversas industrias es que las ventajas percibidas del DNS autoritativo autohospedado a menudo no se materializan. La lógica detrás del autohospedaje se ve bien en un PowerPoint, pero no ofrece valor comercial real.

Aquí hay algunas áreas donde la realidad del DNS autorizado autohospedado no coincide con la teoría:

y resiliencia: Cualquier empresa grande probablemente sea lo suficientemente importante como para que cualquier tiempo de inactividad tenga un impacto devastador en los resultados. Es por eso que la mayoría de los administradores de DNS autorizados insisten en una opción secundaria o de conmutación por error en caso de que ocurra un desastre. El DNS autorizado autohospedado rara vez incluye esto: requiere demasiados recursos para construir y mantener un sistema secundario como forma de seguro.

Arquitecturas frágiles: La mayoría de las infraestructuras DNS autorizadas se basan en BIND, que normalmente requiere una máquina de scripts Rube Goldberg para funcionar. Con el tiempo, la complejidad de esos scripts puede volverse difícil de mantener a medida que se tienen en cuenta nuevas capacidades y requisitos operativos. Un movimiento en falso, como un solo error de codificación, podría fácilmente derribar toda su infraestructura DNS autorizada y desconectar sus sitios de cara al cliente. Para una empresa grande y compleja, las arquitecturas y scripts BIND frágiles pueden ser especialmente peligrosos.

Deuda técnica: Cuando ejecuta su propio DNS autorizado, es fácil acumular una importante acumulación de solicitudes de funciones. Esto es especialmente cierto si tiene un equipo de DevOps, NetOps o CloudOps trabajando con una fecha límite. Seamos realistas: la mayoría de esas funciones de DNS se entregarán en un plazo mucho más largo que el que requiere cualquier equipo de desarrollo de aplicaciones.

Cost: Una gran empresa autohospedada puede haber hecho los cálculos y haber llegado a la conclusión de que vale la pena invertir en construir, implementar y mantener un sistema DNS autorizado. Sin embargo, la realidad es que estas decisiones normalmente se toman sin un análisis deliberado de costo-beneficio. A largo plazo, el coste del desembolso y Los costos de oportunidad ocultos del DNS autorizado autohospedado tienden a superar cualquier beneficio financiero percibido.

Rotación de personal: Las arquitecturas de bricolaje solo funcionan mientras la persona (o el equipo) que las construyó permanece en la empresa. Si esa persona deja la empresa por cualquier motivo, su conocimiento institucional sobre cómo se construyeron las arquitecturas de bricolaje se marchará con ella. Algunas empresas llegan al punto en el que tienen miedo de cambiar algo porque fácilmente podría resultar en un incidente de tiempo de inactividad del que es difícil recuperarse.

Automatización : BIND no tiene una interfaz de programación de aplicaciones (API) y no fue creado para admitir ningún tipo de automatización. Las arquitecturas de bricolaje generalmente no están diseñadas para admitir plataformas de automatización estándar como Ansible o Terraform. Es casi imposible orquestar arquitecturas de bricolaje utilizando herramientas de terceros. Si tiene un DNS autorizado de bricolaje, probablemente se encuentre atascado con cambios manuales que ralentizan los esfuerzos de desarrollo de aplicaciones.

El DNS administrado simplemente tiene sentido

Como proveedor de soluciones DNS administradas, ciertamente somos parciales. Sin embargo, desde nuestra perspectiva, las desventajas del DNS autorizado autohospedado superan claramente los beneficios, incluso (o especialmente) para las grandes empresas que normalmente construyen sus propios sistemas. Cuando se sopesa el costo a largo plazo de mantener un sistema DNS autorizado (tanto el hardware CapEx como el personal OpEx), una solución DNS administrada simplemente tiene sentido económico.

Soluciones DNS administradas También ayuda a los equipos de TI a hacer más con menos. Cuando se consideran las horas de administración necesarias para operar una red DNS autorizada a escala, es mucho más valioso dirigir esos recursos a otras prioridades estratégicas. Habiendo operado DNS autorizado en nombre de una buena parte de Internet durante 10 años, sabemos cuán costosa y ardua puede ser la tarea.

Cómo lidiar con el riesgo de migración de DNS

Lo entendemos. Es difícil cambiar. Incluso cuando las grandes empresas están listas para dejar atrás sus arquitecturas DNS autoritativas autohospedadas, a menudo se resisten a los importantes riesgos que conlleva la migración a un servicio DNS administrado. Cuando las herramientas DNS existentes se arraigan en el ADN técnico de una empresa, puede resultar difícil incluso pensar en la compleja red de dependencias que sería necesario cambiar.

Aquí es donde el DNS secundario ofrece un salvavidas. Cualquier servicio DNS administrado (como NS1) puede operar junto con un sistema DNS autorizado autohospedado, ya sea como una plataforma independiente o como una opción de conmutación por error. Con una capa DNS secundaria implementada, los administradores pueden migrar cargas de trabajo de aplicaciones con el tiempo, probar las capacidades del sistema administrado y desenredar gradualmente conexiones complejas a los sistemas internos.

Operar un DNS secundario como entorno de prueba también genera confianza en las funciones avanzadas que ofrece un servicio DNS administrado, como dirección de tráfico, API, análisis de datos DNS y otros elementos que ofrecen un valor claro pero que no están disponibles en la mayoría de los servicios autohospedados.

¿Listo para pasar del DNS autorizado autohospedado?

Obtenga DNS que hace más: IBM NS1 Connect