Наша внутренняя офисная сеть имеет тот же домен верхнего уровня, что и наша компания в Интернете, например ourdomain.com
.
Для внешнего мира любые общедоступные хосты (например, blog.ourdomain.com
, download.ourdomain.com
, www.ourdomain.com
и т. д.) настроены в DNS нашего хостера домена, AWS Route 53.
Для корпоративной интрасети мы используем простой dnsmasq
для DHCP и DNS (и VPN, но это уже другая история); разрешение имен для внутренних серверов и настольных компьютеров (например, ноутбуков с адресами DHCP) в офисе работает нормально. В dnsmasq
экземпляр недоступен для публики.
Пока мы говорим dnsmasq
о наших публичных серверах, поддерживая файл /etc/hosts.dnsmasq
что входит в основные /etc/dnsmasq.conf
по линии addn-hosts=/etc/hosts.dnsmasq
, похож на хорошо известный /etc/hosts
и имеет следующий образец содержимого:
12.34.56.78 blog
12.34.56.79 download
12.34.56.80 www
Мы ведем этот файл вручную, что становится громоздким. Мы хотим избавиться от этого и улучшить наши dnsmasq
setup, чтобы он делал следующее:
dnsmasq
имеет "собственную" информацию DNS (например, DHCP или статический IP-адрес, связанный с именем хоста) для запроса из внутренней офисной сети, обслуживает этуВопрос: Это можно сделать с помощью dnsmasq
? Требуется ли поддомен для офисной сети? (чего мы хотели бы избежать, если возможно). Если да, то как? У меня такое чувство, что я, должно быть, прошел через dnsmasq
документы сто раз; они великолепны, но я мог бы просто смотреть на решение, а не видеть его.
Также: Насколько я понимаю, такая установка отличается от раздвоение мозга DNS, поскольку мы не используем один сервер имен, возвращающий разные ответы в зависимости от того, откуда исходит запрос, а используем общедоступный и частный сервер имен для одного и того же домена.
Это обычная установка? Если нет, то есть ли у организаций канонический способ настройки DNS, когда они используют один и тот же TLD как для публичного, так и для частного присутствия?
Это обычная установка?
Я видел несколько вопросов о ServerFault с просьбой установить такую же настройку, как вы хотите, поэтому я предполагаю, что это обычная настройка. Но поскольку это на самом деле невозможно, я бы сказал, что это обычная настройка администраторов, которые не очень понимают, как работает DNS. (Извините, я не хочу обидеть вас - ни кого-либо еще на этом форуме).
Я дал возможный ответ на вопрос, где размещается как внутренний DNS-сервер, так и внешний DNS-сервер. Вот. Однако в этом ответе в качестве DNS-сервера используется BIND, а не dnsmasq.
Это выполнимо (с dnsmasq)?
Как было сказано ранее, невозможно быть авторитетным для данной зоны и перенаправьте запрос на другой сервер имен, если у вас нет ответа. Ответ, который я дал на другой вопрос, - это обходной путь.
Есть ли у организаций канонический способ настройки DNS, когда они используют один и тот же домен как для публичного, так и для частного присутствия?
Я бы сказал, что они либо используют поддомен внутри компании, либо используют раздельный DNS. Записи, которые должны находиться как во внутреннем, так и во внешнем виде, необходимо копировать в обе зоны. Это можно упростить с помощью автоматизации (например, Ansible).