Несколько лет назад я нашел изображение, показанное ниже, и, поскольку в настоящее время изучаю DNS и BIND, я хотел понять и построить показанную здесь установку. Я понимаю (совокупные) пересылки только для кеширования, и имеет смысл выполнить (внутреннее) разрешение самостоятельно, а не просто пересылать его еще раз вашему провайдеру. Настройка со скрытыми мастерами и подчиненными зонами также имеет смысл, но я не понимаю, почему вы ставите «внешние резолверы» перед этими подчиненными зонами. Почему бы не позволить внешним клиентам напрямую отправлять запросы этим ведомым устройствам зоны? В чем заключается дополнительное преимущество установки внешних резолверов?
Я попытался найти это изображение в Google в надежде найти какой-либо документ, описывающий эту установку, но, увы, я даже не смог найти это изображение в Интернете.
Внешние резольверы
Одна из перспектив наличия внешних распознавателей - это размещение внешних серверов в DMZ. Как правило, любой сервер, доступный через Интернет, должен быть отделен от остальных серверов. Тогда могут быть более строгие правила брандмауэра в отношении того, что разрешено. Это также снижает риск взлома. Если кто-то получит доступ к внешним серверам, он не будет непосредственно в локальной сети вашего сервера и, вероятно, не будет на сервере, присоединенном к домену.
Другая причина заключается в том, что если кто-то начнет DDOS-атаку на ваш общедоступный DNS, это не приведет к остановке ваших внутренних бизнес-клиентов, серверов и т. Д.
Мастер-серверы
Здесь находится ваша главная копия для доменов вашей компании. Скорее всего, на этих серверах вы также будете редактировать свои записи DNS. Они будут защищены более высокой степенью безопасности, чтобы ваши записи были в безопасности.
Зональные рабы
Это будет то место, откуда все остальные серверы будут получать доступ к внутренним зонам DNS. У них было бы гораздо больше активности, чем у Мастеров.
Внутренние резольверы
Они будут делать большую часть работы для ваших внутренних пользователей. Они будут получать запросы от нижестоящих серверов пересылки и выполнять все рекурсивные поиски для разрешения всех запросов.
Серверы пересылки только для кэширования
Эти серверы должны уменьшить нагрузку на внутренние резолверы. Они будут кэшировать все запросы, так что на общие запросы будут даны ответы локально, и для них не потребуется повторный поиск внутренними преобразователями. Они также могут повысить производительность на стороне клиента, если преобразователи расположены за пределами площадки.