某银行DNS需求分析

1、1.1 DNS需求分析支持应用多点接入的需求目前上海农商银行已经开始逐步实施应用的多点接入战略，部分应用系统将会以主备或应用多点接入的方式部署在不同数据中心。DNS适用于应用多点部署的情况下，实现智能化引导用户访问到部署在多个数据中心应用系统的最佳站 点。实现灾备快速切换的需求在多中心架构下，需要为灾备切换提供快速有效的辅助手段。 根据业内成熟 DNS技术解决方案，DNS系统是新一代银行系统灾备方案中重要的组成部分，借 助DNS系统可实现快速有效的灾备切换操作， 提升系统切换操作的效率，简化灾 备切换流程。当灾难或故障发生，应用系统需要切换到另一个数据中心时，DNS为用户提供了自动的最快速的用

2、户访问恢复服务。方便应用维护操作的需求内网B/S、C/S结构的应用系统较多，大量客户端均采用或配置IP的方式访问 上端的应用服务器。一旦上端应用服务器的IP地址发生了调整，则直接会影响下 端的终端用户访问。同时，IP地址的修改也会带来大量的下端客户端的维护的工 作量。DNS域名解析系统的使用推广，将大大降低应用维护带来的风险和工作量。提升行内用户体验品质的需求目前内网应用均是采用IP地址的方式对用户提供服务。由于内网应用的种类 繁多以及IP地址不便于记忆的特点，会引起行内用户访问的体验较差等问题。 可 以选择采用DNS域名解析加内网门户的解决方案来提升行内用户访问体验品质， 实现便捷服务。1.

3、2 DNS部署原则DNS系统为多数据中心、应用多点接入等IT战略规划建设奠定必要的基础。为实现DNS系统统一规划和管理，在部署实施过程中遵循以下原则:生产与灾备系统分别部署在DNS系统的部署过程中，为实现DNS系统自身高可用性，在生产数据中心、 备份中心各部署一套高可用的DNS系统，两套系统同时对全行用户提供DNS解析 服务器，互为备份。业务与办公DNS系统合并部署在部署过程中，借鉴业内成熟的DNS应用方案，DNS系统将同时为生产及办 公相关应用系统提供域名解析服务，不考虑业务与办公独立部署。内外网DNS系统单独部署考虑安全性因素，DNS系统的部署遵循内外分开的原则，对于内部 DNS系统 与I

4、nternet保持隔离。开发测试DNS系统单独部署遵循测试与生产分开的原则，测试环境DNS系统单独部署。DNS服务器IP虚拟化对于直接面向全行用户提供DNS解析服务的服务器，通过负载均衡设备对外 发布虚IP地址作为客户端使用的DNS服务器地址，此部署方式既可以提高DNS服 务器的可用性，乂便于未来DNS服务器的横向扩展。1.3 DNS应用模式根据DNS*不同情景下的使用情况，可以分为三种模式：模式一：客户端DNS应用模式客户端到应用的访问通过域名方式实现，本模式需要建设为客户端提供DNS 解析服务的DNS系统，包括缓存DNS服务器、权威服务器及系统管理平台。模式二：服务器DNS应用模式在模式一

5、的基础上，应用服务器之间的数据通信通过域名方式实现。 当服务 器之间通信依赖于DNS系统的域名解析功能时，为避免DNS系统故障对日常业务 造成影响，服务器DNS实现模式将在模式一基础上，强化 DNS系统的高可用性， 提高DNS系统不问断服务能力，降低由于DNS系统的局部故障对全行的业务产生 的影响。模式三：智能DNS应用模式通过增加具备智能DNS功能的全局负载均衡设备，使得DNS系统在模式二基 础上增加智能域名解析的功能，以实现应用多点接入，跨数据中心的负载分流等 功能。2.客户端DNS应用模式根据DNS整体部署策略和DNS系统的业务需求，并遵循最佳实践的设计原 则，采用双层DNS架构，部署缓

6、存DNS服务器直接面向全行用户提供DNS解析服 务，部署权威DNS服务器负责行内域名解析功能。DNS系统主要由权威服务器，缓存DNS服务器组成。2.1 DNS系统架构缓存服务器架构根据DNS整体部署策略和业务需求，部署DNS缓存服务器直接向全行客户端 提供DNS解析服务，使用专用的负载均衡设备提供负载均衡和高可用性部署 方式；服务器通过不同的网络设备路径接入网络， 提供网络连接层面的高可 用性；在不同数据中心进行分别部署，提高在数据中心级别的DNS的高可用 性。权威服务器架构权威DNS主服务器同时作为DNS系统运行管理平台，对域名记录进行添加、 修改和删除，以及进行域的新建、委派等工作，集中处

7、理系统日志和审计日 志，发至外部日志服务器。在备份中心部署DNS从服务器作为管理平台的备 份机，实现无延迟实时备份全部管理数据，当生产数据中心的管理平台设备 发生故障时，接管DNS系统管理服务。开发测试环境DNS部署开发测试环境单独配置一套DNS系统，相对于生产DNS系统，硬件使用一台 DNS设备，DNS配置与内部DNS保持一致，部署上与内网DNS系统完全隔离。2.2 DNS系统配置DNS系统的配置，需要满足全行客户端 DNS解析需求：1. 在权威服务器上配置全行根域空间及 子域。2. 权威主服务器为管理服务器，在另一中心部署一台从服务器作为管理备 份机，当主服务器无法对外提供服务时，升级管理

8、备份机为管理服务器。 权威主服务器不对外提供域名解析服务，只负责对 DNS系统进行管理。3. 所有的客户端DNS服务器参数设置分别指向两套高可用架构 DNS缓存服 务器的虚拟IP,如果一个发生故障，另一个可以继续提供服务，从而提供用户配置层面的高可用性。客户端的 DNS服务器首选及备选项设置须 遵循全行区域组划分要求（全行机构区域组划分见附录二分支行信息）， 保证DNS请求的负载分流。4. 来自客户端的DNS查询请求，由DNS缓存服务器通过迭代查询方式，向 权威服务器进行查询，然后将结果返回给客户端。5. 权威主从服务器之间通过区域传送方式同步数据，在服务器上设置区域 传送的访问控制列表，保障权威服务器的安全性和稳定性。6. 设置权威服务器为根域，替代系统缺省的根域服务器，并在缓存服务器 上修改根域对应的NS记录，以便系统准确、快速回应对非行内域名的 DNS解析请求。2.3应用系统切换过程中的DNS设计对丁有灾备切换需求的系统，在权威服务器上将所有生产系统的A记录设置为一个组，灾备系统的A记录设置为另一个组。正常情况下在 根域中启用 生产系统A记录组，当进行灾备切换时，位丁备份中心的DNS服务根据灾备流程， 通过DNS管理平台调整DNS