Мне было интересно, как именно крупные компании управляют всеми IP-адресами, которые используют их общедоступные серверы, особенно в отношении установки правильных PTR-записей.
Это очень важно, например, при отправке большого количества писем из производственной среды, поскольку получающие почтовые серверы, скорее всего, будут выполнять FCrDNS проверка чтобы узнать, совпадают ли PTR и HELO / EHLO. В противном случае вы гарантированно будете отмечены как спам.
Я сам обнаружил, что facebook и Google делают это, присваивая A-записи третьего уровня (как кажется) каждому IP-адресу, которым они владеют, а затем используют их в соответствующей PTR-записи. Примером может служить знаменитый 8.8.8.8 адрес, который сопоставлен с google-public-dns-a.google.com. Другой Google IP, 173.194.113.127, отображается на fra02s22-in-f31.1e100.net (хороший домен там, гугл админы).
Использование поддомена третьего уровня кажется наиболее логичным, поскольку затем вы можете использовать подстановочный сертификат для своего домена в приложениях SSL / TLS.
В моем случае я думал о назначении поддомена с помощью такой схемы, как Как упоминалось в комментариях, символы подчеркивания не разрешены в именах хостов, что делает этот подход невозможным._srv_foobar.mydomain.tld на наши серверы. Начало с подчеркивания означает, что этот субдомен используется для управления, например _spf.microsoft.com или _netblocks.google.com. Это правильный и разумный подход?
Является ли обычной практикой создание A-записи для каждого используемого IP-адреса? Какие схемы именования предпочтительны или которых следует избегать? Я хотел бы услышать об этой теме от кого-нибудь, кто управлял многими десятками, сотнями или даже тысячами IP-адресов. Спасибо!
Пометить это как основанное прежде всего на мнении, но все же вот несколько примечаний. Приведенные ниже мнения отражают методы работы DNS в MSO масштаб.
Я хотел бы услышать об этой теме от кого-нибудь, кто управлял многими десятками, сотнями или даже тысячами IP-адресов.
'Sup.
Является ли обычной практикой создание A-записи для каждого используемого IP-адреса?
Некоторые компании могут, но это перебор. Обычно происходит то, что очень большой блок IP-пространства назначается региону для распределения клиентам (здесь мы говорим намного больше, чем / 24), и в рамках подготовки этой сети к использованию прямые и обратные записи предварительно сгенерированный. С этого момента не имеет значения, сколько раз сегменты этого IP-пространства перетасовываются между клиентами, оно есть и готово к работе.
В остальном мы обычно не выделяем предварительно IP-пространство в DNS. Это беспорядок и ненужное раздувание ваших ресурсов. Для сравнения: нашим вторичным компонентам BIND требуется чуть больше десяти минут, чтобы завершить загрузку всех записей в память и начать обслуживание запросов. Если бы у нас были прямые и обратные записи для все нашего IP-пространства, а не только клиентов, я даже не хочу представить, насколько это плохо.
В качестве примечания: если ваше программное обеспечение DNS поддерживает синтезированные прямые и обратные записи для диапазонов IP-адресов, вы можете изучить это. BIND этого не реализует.
Какие схемы именования предпочтительны или которых следует избегать?
Используйте то, что лучше всего подходит для ваших нужд, но обычно рекомендуется использовать соглашение об именах, которое указывает физический регион, которому назначен IP-адрес. Быстрая идентификация позволяет вашим сотрудникам узнать, откуда идет этот трафик, будь то полевой инженер или кто-то из отдела по борьбе с нарушениями. Чем крупнее ваша компания и чем больше у нее подразделений, тем большую ценность вы получите от этого.