Si bien muchos administradores de red subcontratan la gestión de la infraestructura del sistema de nombres de dominio (DNS) autorizado a un tercero como IBM® NS1 Connect®, existe una comunidad considerable de operadores de red que prefieren profundizar y construir algo ellos mismos.

Estas arquitecturas DNS autorizadas de bricolaje se pueden crear a partir de varias herramientas. BIND se utiliza con mayor frecuencia como una herramienta de código abierto para administrar DNS interno, pero algunas personas también lo extienden a DNS autorizado externo. Otros se basan en infraestructuras DNS de Microsoft con scripts locales y otras herramientas.

El control es la razón principal por la que elegiría un sistema de bricolaje para DNS autorizado. O tal vez tenga una configuración de red anormal y original que naturalmente requeriría varias personalizaciones incluso si un tercero entregara su DNS autorizado.

Desafíos del DNS autoritativo hecho por usted mismo

Si bien todos tienen sus razones para adoptar un sistema de bricolaje para DNS autorizado, hay algunas desventajas distintas a considerar:

• Los sistemas de bricolaje son frágiles: Si su infraestructura DNS autorizada está construida sobre BIND o Microsoft, probablemente haya armado una máquina de scripts de Rube Goldberg para que funcione. Con el tiempo, la complejidad de esos scripts puede volverse difícil de mantener a medida que se tienen en cuenta nuevas funciones y requisitos operativos. Un movimiento en falso (un solo error de codificación) podría fácilmente derribar toda su infraestructura DNS autorizada y desconectar sus sitios de cara al cliente.
• Es mucho trabajo construir y mantener.: Se necesita tiempo para ponerse al día con las herramientas subyacentes como BIND. Debe crear e implementar el sistema. Entonces tú debe mantenerlo, lo cual no es una tarea pequeña, particularmente cuando se trata de un sistema de misión tan crítica.
• El problema del atropello de un autobús: Las arquitecturas de bricolaje solo funcionan mientras la persona que las construyó permanece en la empresa. Si esa persona deja la empresa, su conocimiento institucional sobre cómo se construyeron las arquitecturas de bricolaje se marchará con ella. Algunas empresas llegan al punto en el que tienen miedo de cambiar algo porque fácilmente podría resultar en un incidente de tiempo de inactividad del que es difícil recuperarse.
• Sin soporte de automatización: Los sistemas de bricolaje no suelen funcionar con ningún tipo de automatización. Las arquitecturas de bricolaje generalmente no lo son construido para soportar plataformas de automatización estándar como Ansible o Terraform. Es casi imposible orquestar arquitecturas de bricolaje con una herramienta de terceros. Si tiene un DNS autoritativo hecho por usted mismo, probablemente se encuentre atascado con cambios manuales.

Todos estos factores suelen dar lugar a que se dedique más tiempo, energía y recursos a la gestión autorizada de DNS de lo que la mayoría de los equipos de red están dispuestos a gastar. Los sistemas de bricolaje a menudo se perciben como “gratuitos”, pero pueden terminar costándole bastante. Si esos problemas de mantenimiento y gestión derivan en una interrupción, entonces el impacto empresarial es aún más profundo.

Copia de seguridad de sistemas de bricolaje

El uso de sistemas de bricolaje para DNS autorizado sin ningún tipo de copia de seguridad redundante y resistente genera problemas. Encontrar la fuente de un error, especialmente cuando tienes un laberinto de secuencias de comandos interdependientes y superpuestas, puede ser una pesadilla. puede tomar varios dias para localizar el origen de un problema y volver a poner su sitio en línea. La mayoría de los equipos de operaciones simplemente no tienen ese tipo de margen de maniobra, especialmente para los sitios de comercio electrónico y SaaS que tienen un impacto directo en la generación de ingresos.

Nada de esto significa que tengas que abandonar por completo tus sistemas de bricolaje. Simplemente significa que debes tener un plan B si (o realmente, cuando) las cosas van mal. Lo ideal sería tener un solución redundante en su lugar que pueda tomar el relevo sin ningún impacto en el rendimiento del sitio. ¿Qué debería contener ese sistema redundante? Pensamos que nunca lo preguntarías.

• Infraestructura separada: Cualquier sistema DNS autorizado redundante debe estar completamente separado de su infraestructura existente para que pueda permitirse el lujo de desactivar el sistema principal mientras busca la fuente de los errores técnicos.
• Datos de rendimiento en tiempo real: Las métricas también serían importantes para una copia de seguridad casera, para garantizar que todo falle correctamente y que el tráfico no se interrumpa. Esto sería particularmente valioso en el caso de un ataque DDoS, para identificar el origen del problema y descartar cualquier causa arquitectónica.
• Controles de salud: ¿Cómo saber si un sitio funciona como usted desea? ¿Es necesario que el sitio realice una conmutación por error a una arquitectura redundante porque el rendimiento está obsoleto de alguna manera? Se necesitan controles de estado y alertas para garantizar que las interrupciones del servicio puedan detectarse y abordarse rápidamente.

IBM NS1 Connect como su copia de seguridad de bricolaje

Nadie debería operar su DNS autorizado sin una red de seguridad. Es demasiado importante, especialmente si su sitio web es el principal generador de ingresos. Es por eso que NS1 Connect ofrece un sistema separado física y lógicamente para DNS autorizado redundante. empezamos a ofrecer DNS dedicado como complemento a nuestro DNS gestionado servicio, y ahora lo ofrecemos a los clientes que sólo quieren agregar una capa separada y redundante a su arquitectura existente.

• Infraestructura separada: El DNS dedicado de NS1 utiliza la misma arquitectura sólida que nuestro servicio DNS administrado insignia, pero está configurado en una infraestructura separada que es exclusiva de una sola empresa. Es lo último en protección contra tiempos de inactividad.
• Compatible con cualquier primaria: Nuestro servicio DNS Dedicado está disponible como sistema de respaldo o secundario para cualquier tipo de arquitectura primaria. Eso lo hace perfecto para servidores de nombres autorizados compatibles con BIND y arquitecturas de bricolaje. Puede deslizar fácilmente un servicio DNS dedicado como secundario a una configuración de bricolaje. Estará listo y listo para funcionar en cualquier momento en caso de que ocurra un desastre.
• Datos de rendimiento en tiempo real: Nuestro innovador Función de información DNS puede recopilar datos críticos de cualquier configuración de DNS dedicado. Cuando experimenta una interrupción en su sistema principal, estos datos pueden ayudarlo a identificar rápidamente la fuente de problemas externos (como ataques DDoS) que pueden haber hecho caer su sistema. Puede ayudarle a volver al sistema principal lo antes posible.
• Controles de salud: DNS puede decirle mucho sobre el rendimiento de sus aplicaciones, servicios y sitios web. NS1 Connect envía alertas automáticamente para informarle cuando el rendimiento del sitio está obsoleto o no arroja ningún resultado. NS1 también utiliza datos de verificación de estado para activar y enrutar la lógica de conmutación por error para que pueda evitar el tiempo de inactividad. Este tipo de automatización simplemente no está disponible en los sistemas de bricolaje.
• Migraciones fáciles: NS1 Connect simplifica la incorporación de DNS dedicado como secundario a cualquier sistema. Importar zonas y registros a ese sistema secundario con archivos de BIND y otras arquitecturas es fácil de hacer en la interfaz de usuario de NS1 Connect.

La infraestructura crítica necesita una capa redundante

El DNS autorizado externo es una de las piezas de infraestructura más críticas de su red. Es tan importante que merece el más alto nivel de protección y seguridad. El DNS autorizado de bricolaje ofrece a los administradores mucho control, hasta que la complejidad de esos scripts y herramientas superpuestos se vuelve demasiado difícil de soportar.

Incluso los sistemas DNS autorizados más sofisticados y confiables tienen problemas de vez en cuando. NS1 Dedicated DNS brinda la tranquilidad que necesita para mantener las luces encendidas incluso cuando todos sus tableros parpadean en rojo.

Obtenga más información sobre el DNS dedicado NS1