[[336893]]

使用 PDNS 為你的項目提供穩(wěn)定可靠的域名系統(tǒng)（DNS）服務(wù)器。

幾個月前，我們接到了一個要求，為一個新項目提供一個穩(wěn)定可靠的域名系統(tǒng)（DNS）服務(wù)器。該項目使用容器進行自動部署，每個新環(huán)境都會生成唯一的隨機 URL。在對可能的方案進行了大量研究之后，我們決定嘗試一下 PowerDNS（PDNS）。

一開始，我們發(fā)現(xiàn) PowerDNS 在所有主流 Linux 發(fā)行版中都得到了支持，它采用 GPL 許可，且倉庫保持更新。我們還在官方網(wǎng)站上發(fā)現(xiàn)了整潔、組織良好的文檔，以及大量來自真正喜歡和使用該產(chǎn)品的人在網(wǎng)絡(luò)上的使用方法?？戳艘恍┎W(xué)習(xí)了一些基本命令之后，安裝了 PDNS，啟動并運行，我們的旅程開始了。

數(shù)據(jù)庫驅(qū)動

PowerDNS 將記錄保存在 SQL 數(shù)據(jù)庫中。這對我們來說是新變化，不必使用文本文件來保存記錄是一個不錯的更改。我們選擇 MariaDB 作為首選的強大工具，由于有大量的正確地設(shè)置來安裝名稱服務(wù)器的信息，我們可以完美地設(shè)置和加固我們的數(shù)據(jù)庫。

簡單配置

其次使我們感興趣的是 PDNS 的所有功能都在配置文件中。pdns.conf 有許多選項，你可以通過添加或刪除 ＃ 號來啟用或禁用這些選項。這真是太神奇了，因為它使我們有機會將這項新的服務(wù)集成到我們現(xiàn)有的基礎(chǔ)架構(gòu)中，并且只有我們想要的功能，不多也不少。一個簡單的例子：

誰可以訪問你的網(wǎng)絡(luò)服務(wù)器？

webserver-allow-from=172.10.0.1,172.10.1.2

我可以轉(zhuǎn)發(fā)基于域的請求嗎？當然！

forward-zones=mylocal.io=127.0.0.1:5300
forward-zones+=example.com=172.10.0.5:53
forward-zones+=lucky.tech=172.10.1.5:53

包含 API

我們可以使用配置文件進行激活 API 服務(wù)，解決了我們開發(fā)團隊的第一個需求，讓我們見識到了 PDNS 的強大。這個功能讓我們通過發(fā)送請求，簡單、干凈地創(chuàng)建、修改或刪除 DNS 服務(wù)器中的記錄。

這個 API 有一些基本的安全性參數(shù)，因此，只需幾步，你就可以基于 IP 地址和預(yù)共享密鑰驗證的組合來控制誰有權(quán)與名稱服務(wù)器進行交互。這是配置文件的樣子：

api=yes
api-key=lkjdsfpoiernf
webserver-allow-from=172.10.7.13,172.10.7.5

日志

在日志方面，PDNS 做得非常出色。你可以使用日志文件和一個簡單的內(nèi)置 Web 服務(wù)器來監(jiān)控服務(wù)器并查看計算機的運行狀況。你可以使用瀏覽器查看服務(wù)器不同類型的統(tǒng)計信息，例如 CPU 使用率和收到的 DNS 查詢。這非常有價值。例如，我們能夠檢測到一些“不太健康”的 PC，它們正在向我們的服務(wù)器發(fā)送與惡意流量相關(guān)的站點的 DNS 請求。深入查看日志后，我們可以看到流量來自何處，并對這些 PC 進行清理操作。

其他功能

這只是你使用 PowerDNS 可以做的所有事情的一點點。它還有更多的功能。它是一個擁有很多功能和特性的完整名稱服務(wù)器，因此值得一試。

目前，我們尚未部署 DNSSEC，但似乎只需點擊一下即可將其快速投入生產(chǎn)環(huán)境。另外，在將遞歸服務(wù)與名稱服務(wù)器分離時，PowerDNS 有個不錯的方法。我了解到它還支持 DNS RPZ（響應(yīng)策略區(qū)域），并且還提供了非常不錯且設(shè)計良好的前端，可讓你使用 Web 瀏覽器來管理服務(wù)器，如下圖。

PowerDNS frontend

信不信由你，你只需花費幾個小時了解 PDNS，就可以大大提高你對 DNS 和 IT 操作的了解。