Özel ağ için üst düzey etki alanı / etki alanı eki?

Büromuzda, tamamen müşterilerin adını verdiği tamamen dahili bir DNS kurulumuna sahip yerel bir alan ağımız var whatever.lan. Ayrıca bir VMware ortamım var ve yalnızca sanal makineden oluşan ağda, sanal makineleri adlandırıyorum whatever.vm.

Şu anda, sanal makineler için bu ağ yerel alan ağı erişilebilir değil, ama biz hangi için bu sanal makineleri geçirmek için bir üretim ağ kuruyoruz olacak LAN ulaşılabilmelidir. Sonuç olarak, biz biz kuruyoruz bu yeni ağ üzerindeki misafirler için geçerli etki alanı soneki / TLD için kongre yerleşmeye çalışıyoruz fakat biz iyi bir ile gelip olamaz, göz önüne alındığında .vm, .localve .lanhepsinin çevremizde varolan çağrışımları var.

Peki, bu durumda en iyi uygulama nedir? Tamamen dahili bir ağ için kullanımı güvenli bir yerde bir TLD listesi veya alan adı var mı?

Bulunan bir TLD kullanmayın. Eğer ICANN bunu devredecek olsaydı, başınız büyük belaya girerdi. Aynı kukla TLD'yi kullanan başka bir kuruluşla birleşirseniz aynı şey. Bu nedenle global olarak benzersiz alan adları tercih edilir.

Standart, RFC 2606 , örnekler, belgeler, testler, ancak genel kullanım için hiçbir şey içermeyen ve iyi nedenlerden dolayı adlarını saklar : bugün, kullanmak için iyi bir neden olmadığından, gerçek ve benzersiz bir alan adı elde etmek çok kolay ve ucuzdur. kukla bir.

Satın almak iamthebest.orgve cihazlarınızı adlandırmak için kullanın.

İnternette bulunmasını istemediğiniz dahili makineler için şirketinizin kayıtlı etki alanının bir alt etki alanını kullanın. (O zaman, elbette, yalnızca bu DNS adlarını dahili DNS sunucularınızda barındırın.) Hayali Örnek Corporation için bazı örnekler.

İnternete bakan sunucular:
www.example.com
mail.example.com
dns1.example.com

Dahili makineler:
dc1.corp.example.com
dns1.corp.example.com
istemcisi1.corp.example.com

Bu alt etki alanının dahili şirket ağındaki makineleri tanımladığını belirtmek için "corp" kullandım, ancak burada "internal" gibi bir şey kullanabilirsiniz: client1.internal.example.com.

Ayrıca, DNS bölgelerinin ve alt etki alanlarının ağ numaralandırma planınızla aynı hizada olması gerekmediğini unutmayın. Örneğin, şirketim, her biri kendi alt ağına sahip 37 konum var, ancak tüm konumlar aynı (dahili) etki alanı adını kullanıyor. Bunun tersine, yalnızca bir veya birkaç alt ağa sahip olabilirsiniz, ancak makinelerinizi düzenlemenize yardımcı olacak birçok iç alan veya alt alan seviyeleri olabilir.

Dahili bir alt etki alanı kullanmanın başka bir avantajı var: akıllıca arama soneklerini ve FQDN yerine yalnızca ana bilgisayar adlarını kullanarak, hem geliştirme, KG ve üretimde çalışan yapılandırma dosyaları oluşturabilirsiniz.

Örneğin, yapılandırma dosyanızda her zaman "database = dbserv1" kullanın.

Geliştirme sunucusunda, arama sonekini "dev.example.com" => kullanılan veritabanı sunucusuna ayarlayın: dbserv1.dev.example.com

QA sunucusunda, arama sonekini "qa.example.com" => kullanılan veritabanı sunucusuna ayarlayın: dbserv1.qa.example.com

Ve üretim sunucusunda, arama sonekini kullanılan "example.com" => veritabanı sunucusuna ayarlayın: dbserv1.example.com

Bu şekilde, her ortamda aynı ayarları kullanabilirsiniz.

Bu sorunun önceki cevapları yazıldığı için, rehberliği bir şekilde değiştiren birkaç RFC vardı. RFC 6761 , özel ağlara özel rehberlik sağlamadan özel kullanım alan adlarını tartışır. RFC 6762 hala kayıtlı olmayan TLD'lerin kullanılmamasını önerir, ancak yine de yapılacak vakaların olduğunu da kabul eder. Yaygın olarak kullanılan .local Çok Noktaya Yayın DNS (RFC'nin ana konusu) ile çakıştığından, Ek G. Özel DNS Ad Alanları , aşağıdaki TLD'leri önerir:

• intranet
• iç
• özel
• corp
• ev
• lan

IANA her iki RFC'yi de tanıyor gibi gözüküyor, ancak (şu anda) Ek G'de listelenen adları içermiyor.

Başka bir deyişle: yapmamalısın. Ancak yine de yapmaya karar verdiğinizde, yukarıdaki isimlerden birini kullanın.

Daha önce de söylediğim gibi, özel ağınız için kayıt dışı bir TLD kullanmamalısınız. Özellikle şimdi ICANN hemen hemen herkesin yeni TLD'leri kaydetmesine izin veriyor. Daha sonra gerçek bir alan adı kullanmalısınız

Diğer taraftan, RFC 1918 açıktır:

Bu tür adreslere dolaylı referanslar işletme içinde yer almalıdır. Bu tür referansların öne çıkan örnekleri DNS Kaynak Kayıtları ve dahili özel adreslere atıfta bulunan diğer bilgilerdir. Bu nedenle, ad sunucunuz özel kayıtların Internet üzerinden iletilmesini önlemek için görünümleri de kullanmalıdır.

Ana bilgisayarların sanal adlandırmalarında fiziksel olarak hiçbir fark gözetmediğimizi düşünüyoruz - aslında, ana bilgisayar yapılandırmasını (yazılımı) fiziksel katmandan soyutlamak için aldık.

Bu yüzden, Donanım Öğeleri satın alıyoruz ve bunların üzerinde Ana Bilgisayar Öğeleri oluşturuyoruz (ve bunu belgelerimizde göstermek için basit bir ilişki kullanıyoruz).

Amaç, bir ana makine bulunduğunda, DNS belirleyici faktör olmamalıdır - makineler bir alandan diğerine geçtikçe - örneğin düşük performanslı bir webapp'ın pahalı CPU döngüleri tüketmesine gerek kalmaz - sanallaştırın ve adlandırma düzenini korur, her şey çalışmaya devam eder.

Bunun size yardımcı olacağından emin değilim, ancak AWS hesabımdaki dahili DNS için .aws, tld olarak kullanıyorum ve gayet iyi çalışıyor gibi görünüyor.

Kullanmamaya karar vermen gereken bazı TLD'ler olduğunu biliyorum, ama bunların dışında bunun çok katı olduğunu sanmıyorum.

Kimlik doğrulama kaynağını TLD olarak kullanacakları daha büyük bir şirkette çalıştım, yani eğer bir MS / Windows sunucusu olsaydı, Active Directory'yi kimlik doğrulama kaynağı olarak kullanıyorsa, olur .adve diğerleri de olur .ldap(Neden onlar değildi? sadece aynı kaynağı mı kullanıyorsunuz ya da aynı dizin hizmetinden kopyalayan sunucular mı? Bilmiyorum, oraya vardığımda öyleydi)

İyi şanslar