Sunucunun IP adresi yerine neden bir FQDN kullanmalıyım?


29

Sunucularla çalışmamda, adresini harici bir sunucuya girmeniz gereken yapılandırma dosyalarında rastladım. Bazılarının sunucunun IP adresini doğrudan kullandığını gördüm, ancak bunun yerine ana bilgisayar adını tam etki alanı adı (FQDN) kullanmak için birçok öneri duydum . Doğrudan IP adresi yerine neden bir ana bilgisayar adı kullanmalıyım?

Çünkü bir ana bilgisayar adı kullanırsanız, o zaman her bir ana bilgisayar adını bir IP adresine bağlayacak bir yerel DNS sunucusuna ihtiyacınız olacaktır. Ana bilgisayar adı veya IP adresi kullanma arasındaki dezavantaj nedir?


5
Dinamik IP'leriniz varsa, sadece DNS kaydını değiştirmek daha kolaydır. ve neden yerel bir DNS sunucusu? neden sadece tüm makinelerin halka açık olarak çözülebilir IP'leri olmasın? IP'lerin diğer bir dezavantajı, dinamik olmasalar bile, muhtemelen fiziksel bir yere bağlı olmaları nedeniyle farklı bir yere taşınmasını zorlaştırıyor olmalarıdır. Temel olarak, DNS'in neden icat edildiğini soruyor gibisiniz. bu soru başka yerde birçok kez cevaplandırılmıştır.
Janus Troelsen

1
Her zaman bir uygulama olmuştur (örneğin, RFC'lerde), uygulama düzeyinde bir kişinin yalnızca ana bilgisayar adları ile ilgilenmesi önerilmiştir . Bununla birlikte, bazı uygulamalar IP ile olmadığı sürece çalışmazlar. Yine de, aygıt adımı ana bilgisayar adı yerine IP ile sık sık iletişim
kurmakla suçluyorum

Elbette harici sunucu tüm iletişimleri SSL ile güvence altına alacak ve FQDN için SSL sertifikaları imzalanacak ve IP adresini kullanıyorsanız uygulamanız doğru sunucuyu doğrulayamıyor. Sağ? : |
TessellatingHeckler

1
@HagenvonEitzen Asla, asla, asla yazmayacağınızdan emin misiniz ::1? :-)
bir CVn

Yanıtlar:


54

Bir IP adresi kullanmak, bir DNS sunucusuna güvenmemenizi sağlar. Ayrıca, DNS sahtekarlığı yoluyla saldırıları önleme avantajına da sahiptir.

IP adresi yerine bir FQDN kullanmak, hizmetinizi farklı bir IP adresine sahip bir sunucuya geçirmeniz durumunda, IP adresinin kullanıldığı her yerde denemek ve bulmak yerine DNS'deki kaydı değiştirebileceğiniz anlamına gelir. .

Bu, özellikle birden fazla kişi tarafından yapılandırılan birçok sunucunuz ve servisiniz olduğunda kullanışlıdır.


1
Özellikle, bu IP adresinin bilgisi de dış ise, müşteriler veya ortaklar veya satıcılar kullanıyormuş gibi. Eğer stackoverflow.com yerine, hepimizin stackoverflow.com olarak bildiğimiz bir IP'ye gittiğini ve sonra IP'yi değiştirmeleri gerektiğini düşünün. IP'nin değiştiği sitenin olası her kullanıcısına nasıl söylerler? Dolayısıyla isimler.
Brandon,

@Brandon, şimdi stackoverflow.com'dan heapunderflow.com'a geçmeye karar vermişler gibi aynı olur. Etki alanı adlarının orijinal yararı, insanların hatırlamaları stackoverflow.comyerine insanlar içindir 151.101.1.69. Elbette bugünlerde sanal barındırma, ebeveynleriyle ilgili alt alanlar ve bunlardan kaynaklanan diğer faydalar da mümkün.
Ángel,

2
Bence bu cevabın özü bir kuruluşun FQDN'sine sahip olduğudur; ancak IP adresine sahip olmayabilir.
Pieter Geerkens

1
HTTPS / Kerberos'u IP üzerinden FQDN üzerinden çalıştırmayı deneyin.
Aron

Bu, tam anlamıyla DNS'in amacıdır.
Monica ile Hafiflik Yarışları

40

DNS sadece FQDN değil = IP

DNS ile ilgili önemli olan şey, sadece A kayıtlarından daha fazlasını sağlamasıdır (hostname = IP). DNS, bazen bazı yazılımlar için gerekli olabilecek MX, CNAME, TXT vb. Gibi farklı kayıt türleri sağlar. Birden fazla adres kaydına, IPv4 + IPv6 kayıtlarına, dinamik adreslere, yük dengelemeye, coğrafi konum temelli çözünürlüğe, arıza / fazlalık vb. Olanaklara izin verir. DNS size neler olduğunu söyler .4.110? Bu nedir?) Bu ayarları / kayıtları değiştirmenize ve tüm istemcilerde değişiklik yapmadan müşteriler tarafından toplanmasına izin verir. DNS karmaşık şeyler yapabilir.

Doğrudan bir IP adresi üzerinden DNS kullanmanın açık bir avantajı vardır.

FQDN'ler bir gereklilik olabilir

Ad tabanlı sanal barındırma veya yük dengeleyici vb. Kullanan web sunucuları gibi bazı şeyler kesinlikle bir FQDN veya ana bilgisayar adı aracılığıyla adres vermenizi gerektirir. Bağlanmakta olduğunuz FQDN'ye dayanarak isteğinize nasıl cevap verileceğini belirlerler. IP üzerinden bağlanmak hiç çalışmayabilir.

SSL sertifikaları etki alanı adlarına göre verilir, bu nedenle bazı SSL özellikli servisleri (düzgün bir şekilde) DNS kullanmadan kullanamayabilirsiniz.

Bu, google.com etki alanının size DNS'nin karmaşıklığına bir bakış açısı sağlaması için bir kazı sorgusu

google.com. 299, 172.217.0.174
google.com. 299: AAAA 2607: f8b0: 400b: 807 :: 200e
google.com. 599 IN MX 10 aspmx.l.google.com.
google.com. 599 IN MX 40 alt3.aspmx.l.google.com.
google.com. 59 SOA’da ns2.google.com.tr. dns-admin.google.com. 126990955 900 900 1800 60
google.com. 599 IN MX 30 alt2.aspmx.l.google.com.
google.com. 21599, NS ns2.google.com adresinde.
google.com. 599 IN MX 20 alt1.aspmx.l.google.com.
google.com. 599 IN MX 50 alt4.aspmx.l.google.com.
google.com. 21599, NS ns1.google.com adresinde.
google.com. 3599 TXT IN "v = spf1 şunları içerir: _spf.google.com ~ tümü"
google.com. 21599 IN CAA 0 sorunu "symantec.com"
google.com. 21599 IN NS ns3.google.com adresinde.
google.com. 21599, NS ns4.google.com adresinde.

Yahoo 3 IP adresiyle cevap veriyor

$ host -ta yahoo.ca
yahoo.ca adresi 77.238.184.24
yahoo.ca adresi 74.6.50.24
yahoo.ca adresi 98.137.236.24 adresindedir.

IP adresi kullanmanın avantajı

Benim için genellikle, DNS bir şekilde engel olabileceği veya müsait olmadığı zaman olabilir. Genel olarak, çoğu şey için DNS kullanırdım.

Bir IP adresinin daha iyi olabileceğinin bir örneği, özel ağ adresleriyle aralarında doğrudan bir bağlantıya sahip (anahtar yok) (örneğin 192.168.1.1 ve 192.168.1.2 diyelim) ve yüksek kullanılabilirlikli iletişim için kullanıyorlarsa, iki makineniz olduğunda veya DRBD veya başka bir çok özel servis. Bu durumda, DNS’te bir şeyler ayarlamak muhtemelen bir anlam ifade etmiyor. Bu gerekli değildir, karmaşıklık, performans sorunları ekler ve bir başarısızlık noktası ortaya çıkarır.

Başka bir örnek yönlendirme. Yönlendirme tabloları IP adreslerini çeşitli nedenlerle kaydeder.

Bir diğeri ise referans sunucularına (/etc/resolv.conf'daki gibi) atıfta bulunmaktadır. Bir isim sunucusu olmadığından hiçbir şeyi çözemezsiniz.


Bu harika bir cevap, ancak muhtemelen vhosted hizmetleri hakkında da bir şeyler söylemeli; IP⟷FQDN çoktan çoğa değil, çoktan çoğa haritalamadır.
kabarık

Teşekkürler ve kabul etti. DNS, neyi kastediyorsanız, ad tabanlı sanal barındırma için çok faydalıdır.
Ryan Babchishin

Evet, onu kastediyordum.
kabarık

DNS'yi gerçekten hak eden mükemmel cevap - gelecekteki referans için yer imi. Sahip olduğum küçük bir yakınma, yorumunuz "Yönlendirme tabloları çeşitli nedenlerden dolayı IP adreslerini kaydeder." Başvurduğunuz çeşitli nedenler nelerdir? Yönlendirme tabloları, IP'leri kullanmaktan başka seçeneğe sahip değildir, çünkü yönlendirme internet katmanında gerçekleşir, oysa DNS uygulama katmanını kullanır ve bu nedenle mutlaka yönlendirmeye bağlıdır.
gardenhead 18

@gardenhead Teşekkürler. Bu yönlendirme konusunda doğru, sadece girmek istemedim. Seçtiğim kelimeleri affet.
Ryan Babchishin
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.