正式發(fā)布Foundation DNS-進一步改善權威性DNS服務

我們很高興地宣布正式發(fā)布Foundation DNS，其中包含新的高級域名服務器，其韌性更強，以及高級分析功能，可滿足企業(yè)客戶的復雜需求。Foundation DNS是Cloudflare自2010年推出權威性DNS產品以來取得的最重要的突破之一，我們深知客戶有興趣了解兼具高性能、可靠性、安全性、靈活性和高級分析功能的企業(yè)級權威性DNS服務。

現(xiàn)在，簽訂了包含權威性DNS服務的每一份企業(yè)合同的新用戶，都將有權使用Foundation DNS功能集；同時，現(xiàn)有企業(yè)用戶將在今年內可以使用Foundation DNS功能。如果您是已經在使用權威性DNS服務在內的現(xiàn)有企業(yè)用戶且有意向盡早開始使用Foundation DNS，請聯(lián)系您的專屬客戶團隊，他們可以為您啟用相應的功能。

為什么DNS如此重要？

從最終用戶的角度來看，DNS使互聯(lián)網可用。DNS是互聯(lián)網的電話簿，它負責將www.cloudflare.com之類的主機名轉換成IP地址，供瀏覽器、應用程序以及設備用來連接到各種服務。如果沒有DNS，則用戶每次想要在移動設備或桌面應用程序中訪問某個網站時，都必須記住IP地址，例如108.162.193.147或2606:4700:58::adf5:3b93。想象一下:您需要記住這樣一長串數(shù)字，而不是www.cloudflare.com。DNS廣泛用于互聯(lián)網上的每個最終用戶應用程序，從社交媒體到銀行和醫(yī)療保健門戶均在其列。人們對互聯(lián)網的使用完全離不開DNS。

從商業(yè)角度來看，DNS是訪問網站和連接應用程序的第一步。設備需要知道連接的目的地，才能訪問服務、進行用戶身份驗證以及提供所請求的信息?？焖俳馕鯠NS查詢會產生兩種不同的結果：網站或應用程序被視為可以響應或無法響應，這可能會對用戶體驗產生切實的影響。

DNS服務中斷的影響顯而易見。想象一下，您常訪問的電子商務網站無法加載，就像2016年Dyn服務中斷一樣，導致多個熱門電子商務網站癱瘓。或者想象另一種情景，如果您與某公司關聯(lián)，而客戶無法訪問該公司網站來購買商品或服務，則DNS服務中斷會使您蒙受經濟損失。DNS通常被視為理所當然，但要知道，當DNS無法正常發(fā)揮作用時，您可能才會察覺其重要性。好在如果您使用Cloudflare權威性DNS服務，就不必過于擔心這些問題。

總有改進空間

Cloudflare十多年來一直在提供權威性DNS服務。Cloudflare權威性DNS服務托管著許多不同頂級域（TLD）的數(shù)百萬個域。我們有各種規(guī)模的客戶，既有只擁有幾條記錄的單個域的客戶，又有跨多個域擁有數(shù)千萬條記錄的客戶。企業(yè)客戶要求我們的DNS服務提供高水平的性能、可靠性、安全性和靈活性以及詳細的分析功能，這是合理的訴求。雖然客戶喜歡Cloudflare權威性DNS服務，但是我們意識到，某些類別的服務總有改進空間。為此，我們對DNS架構進行了重大改進，包括新增功能和結構調整。我們自豪地將這個改進后的產品命名為：Foundation DNS。

了解Foundation DNS

作為全新的企業(yè)級權威性DNS產品，F(xiàn)oundation DNS旨在提高現(xiàn)有權威性DNS服務的可靠性、安全性、靈活性并增強其分析功能。在深入了解Foundation DNS的所有具體細節(jié)之前，請先看看關于Foundation DNS給Cloudflare權威性DNS服務所帶來的優(yōu)勢的簡單概述：

-高級域名服務器將DNS可靠性提升到新的水平。

-新的區(qū)域級DNS設置提供更靈活的DNS特定設置配置。

-每個賬戶和每個區(qū)域的唯一DNSSEC密鑰為DNSSEC提供額外的安全性和靈活性。

-基于GraphQL的DNS分析提供關于DNS查詢的更多見解。

-新的發(fā)布流程確保企業(yè)用戶享有極高的穩(wěn)定性和可靠性。

-更簡單的DNS定價為僅限DNS區(qū)域和DNS記錄服務提供更豐富的配額。

現(xiàn)在，我們來深入了解Foundation DNS的每一項新增功能：

高級域名服務器

通過Foundation DNS，我們推出了高級域名服務器，重點關注提高企業(yè)DNS服務的可靠性。您可能比較熟悉Cloudflare標準權威性域名服務器，每個區(qū)域有一對且使用Cloudflare.com域中的域名。示例如下：

現(xiàn)在，我們來看看使用Foundation DNS高級域名服務器的同一區(qū)域

高級域名服務器通過幾種不同的方式提高可靠性。第一個改進是跨多個頂級域（TLD）分布的Foundation DNS權威性服務器。這可以防范更大規(guī)模的DNS服務中斷和抵御DDoS攻擊，這些攻擊可能會進一步影響樹狀結構上的DNS基礎設施，包括TLD域名服務器?，F(xiàn)在，F(xiàn)oundation DNS權威性域名服務器散布在Cloudflare全球DNS樹狀結構的多個分支上，進一步保護客戶免受潛在的服務中斷和攻擊所帶來的影響。

您可能還注意到，F(xiàn)oundation DNS中列出了另一個域名服務器。雖然這也是一種改進，但并不是出于您認為的那種原因。若將每一個域名服務器解析到它們各自的IP地址，便更易于理解。為此，我們先從標準域名服務器開始：

這兩個域名服務器總共有六個IP地址。事實證明，這是DNS解析器在查詢權威性域名服務器時，實際關心的全部內容。DNS解析器通常不會跟蹤權威性服務器的實際域名，而只是維護一份IP地址的無序列表，將其用于解析特定的域查詢。因此，使用Cloudflare標準權威性域名服務器，我們?yōu)榻馕銎魈峁┝鶄€IP地址用來解析DNS查詢?，F(xiàn)在，我們來看看Foundation DNS高級域名服務器的IP地址：

Foundation DNS為Cloudflare提供給區(qū)域的每個權威性域名服務器提供了相同的IP地址。在這種情況下，我們只提供了三個IP地址供解析器用來解析DNS查詢。您可能會想“六個不是比三個好嗎？這不是一種性能下降嗎？”事實證明，并不總是越多越好。我們來探討一下其中的原因。

您可能知道Cloudflare使用Anycast，并且您可能會認為Cloudflare DNS服務利用Anycast來確保權威性DNS服務器在全球范圍內可用，并盡可能地靠近互聯(lián)網上的用戶和解析器。Cloudflare標準域名服務器均由單個Anycast組從每個Cloudflare數(shù)據中心廣播出去。如果放大歐洲地區(qū)的圖示，您可以看到在標準域名服務器部署中，兩個域名服務器均從每個數(shù)據中心廣播。

我們可以從上述標準域名服務器中取出六個IP地址，并查找其中是否包含“hostname.bind”。TXT記錄會顯示機場代碼，或負責解析DNS查詢的最近距離數(shù)據中心的物理位置。此輸出有助于闡釋為什么說“并不總是越多越好”。

如您所見，當從倫敦附近進行查詢時，所有這六個IP地址均路由到同一個倫敦（LHR）數(shù)據中心。也就是說，當位于倫敦的解析器使用Cloudflare標準權威性DNS服務解析DNS查詢時，無論查詢的是哪個域名服務器IP地址，它們總是會連接到相同的物理位置。

您可能會問“那又怎樣？這對我而言又有什么意義呢？”，我們來看一個示例。如果您想要從倫敦使用Cloudflare標準域名服務器解析某個域，而我也正在使用位于倫敦的某個公共解析器，則無論解析器嘗試訪問哪個域名服務器，它總是會連接到Cloudflare LHR數(shù)據中心。因為使用了Anycast，解析器沒有任何其他選項。

因為使用了Anycast，在LHR數(shù)據中心完全離線的情況下，所有打算發(fā)送到LHR的流量會被路由到附近的其他數(shù)據中心，且解析器會繼續(xù)正常運行。不過，在LHR數(shù)據中心在線但Cloudflare DNS服務無法響應DNS查詢這種不太可能出現(xiàn)的情況下，解析器將沒有辦法解析DNS查詢，因為它們無法連接到任何其他數(shù)據中心。我們可能有100個IP地址，但在這種情況下也無濟于事。最終，緩存的響應失效并停止解析域。

Foundation DNS高級域名服務器通過利用兩個Anycast組來改變使用Anycast的方式，這打破了之前從每個數(shù)據中心廣播每個權威性域名服務器的常規(guī)范式。使用兩個Anycast組，這意味著Foundation DNS權威性域名服務器實際上擁有不同的物理位置，而不是從每個數(shù)據中心廣播每個域名服務器。下圖是同一區(qū)域使用兩個Anycast組時的效果：

我們結束對標準權威性DNS服務解析的6個IP地址與Foundation DNS解析的3個IP地址的比較并回頭想一想?，F(xiàn)在已經明白，F(xiàn)oundation DNS使用兩個Anycast組來廣播域名服務器。我們來看看在這個示例中，F(xiàn)oundation DNS服務器的廣播來源：

我們從中可以看到，三個域名服務器IP地址中有一個是從其他數(shù)據中心，也就是曼徹斯特（MAN）廣播出去，這讓Foundation DNS在前文所述的服務中斷的情況下更可靠、更有韌性。值得一提的是，Cloudflare在某些城市運營了多個數(shù)據中心，這會導致所有三個查詢均返回相同的機場代碼。雖然Cloudflare保證這些IP地址中至少有一個是從其他數(shù)據中心廣播出去，但我們也可以理解，某些客戶希望自行測試。在這些情況下，附加查詢可能會顯示IP地址是從其他數(shù)據中心廣播出去。

在粗體文本中，“m”前面的數(shù)字代表回答查詢的數(shù)據中心。只要三個響應中有一個的數(shù)字不同，便可知某個Foundation DNS權威性域名服務器是從不同的物理位置廣播出來。

借助利用兩個Anycast組的Foundation DNS，可以流暢地應對前文所述的服務中斷情況。DNS解析器會監(jiān)測為特定域返回的所有權威性域名服務器請求，但主要使用提供最快速響應的域名服務器。

使用這種配置，DNS解析器能夠將請求發(fā)送到兩個不同的Cloudflare數(shù)據中心，因此，如果一個物理位置發(fā)生故障，會自動將查詢發(fā)送到第二個數(shù)據中心并在這里進行適當?shù)慕馕觥?/p>

對于企業(yè)用戶而言，F(xiàn)oundation DNS高級域名服務器的可靠性得到了顯著提升。Cloudflare歡迎企業(yè)用戶立即為現(xiàn)有區(qū)域啟用高級域名服務器。遷移到Foundation DNS不會使用戶陷入停機，因為即使在為某個區(qū)域啟用Foundation DNS高級域名服務器之后，之前的標準權威性DNS域名服務器仍然會繼續(xù)運行，并對該區(qū)域的查詢作出響應。用戶無需為切換或其他影響服務的事件做任何特定規(guī)劃，即可遷移到Foundation DNS高級域名服務器。

新的區(qū)域級DNS設置

過去，我們經常收到企業(yè)用戶的反饋，稱希望調整Cloudflare API或儀表板未公開顯示的特定DNS設置，例如啟用輔助DNS覆蓋。如果用戶想要調整這些設置，則必須聯(lián)系其專屬客戶團隊，讓客戶團隊更改配置。Foundation DNS通過API和儀表板公開顯示最常見請求的設置，這讓用戶可以使用Cloudflare權威性DNS解決方案來提高調整設置的靈活性。

現(xiàn)在，企業(yè)用戶可以配置如下所述的區(qū)域級DNS設置：

每個帳戶和每個區(qū)域的唯一DNSSEC密鑰

DNSSEC的全稱是域名系統(tǒng)安全擴展，通過提供一種方法來檢查接收到的DNS查詢響應是否真實且未被修改，提高域或區(qū)域安全性。DNSSEC可防范DNS緩存投毒（DNS欺騙），有助于確保DNS解析器使用正確的IP地址來響應DNS查詢。

自從我們在2015年推出通用DNSSEC以來，我們已經做了不少改進，例如添加了次要區(qū)域的預簽名DNSSEC以及多簽名者DNSSEC支持。默認情況下，Cloudflare會在響應DNS查詢時動態(tài)簽名DNS記錄（實時簽名）。這讓Cloudflare可以托管受DNSSEC保護的域，同時為代理源動態(tài)分配IP地址。它還支持某些負載平衡用例，因為在這些用例中，DNS響應中提供的IP地址會根據轉向而發(fā)生變化。

Cloudflare使用比當今使用的大多數(shù)RSA密鑰更強大的橢圓曲線加密算法ECDSA P-256。它使用更少的CPU來生成簽名，從而更高效地動態(tài)生成簽名。DNSSEC通常使用區(qū)域簽名密鑰（ZSK）和密鑰簽名密鑰（KSK）這兩種密鑰。按照最簡單的形式，ZSK用于對查詢響應中提供的DNS記錄進行簽名；KSK則用于對DNSKEY進行簽名，包括ZSK，以確保其真實性。

如今，Cloudflare在全球范圍內為所有DNSSEC簽名使用一個共享的ZSK和KSK。由于我們使用了如此強大的加密算法，我們知道這套密鑰集的安全性，因此，不認為有必要定期輪換ZSK或KSK，至少從安全性角度來看是這樣。然而，有些客戶制定的安全策略要求每隔一段時間輪換這些密鑰。因此，我們?yōu)樾碌腇oundation DNS高級域名服務器增加了一項功能，讓客戶可以根據每個帳戶或每個區(qū)域的需要，輪換其ZSK和KSK。我們將首先通過API然后通過Cloudflare儀表板來提供這項功能。所以現(xiàn)在，客戶使用Cloudflare Foundation DNS，可以滿足嚴苛的安全策略對于輪換DNSSEC密鑰的要求。

基于GraphQL的DNS分析

對于不熟悉這個術語的用戶而言，GraphQL是一種API查詢語言，也是用于執(zhí)行查詢的運行時。它讓客戶可以準確提出所需內容的請求，不多不少恰好合適，從而讓客戶能夠通過單個API調用整合多個數(shù)據源的數(shù)據，并且支持通過訂閱來獲取實時更新。

如您所知，Cloudflare推出GraphQL API已有一段時間，但作為Foundation DNS的一部分，我們將向此API添加新的DNS數(shù)據集，僅供與新的Foundation DNS高級域名服務器搭配使用。

GraphQL API中新添加的DNS數(shù)據集，可用于獲取關于區(qū)域已收到的DNS查詢的信息。這是比Cloudflare現(xiàn)有DNS Analytics API更快速、更強大的替代方案，讓您能夠快速高效地查詢較長時間范圍的數(shù)據，且不會遇到限制或超時。GraphQL API接受的查詢類型更加靈活，并且比DNS Analytics API顯示的信息更多。

例如，您可以運行查詢，來獲取查詢的平均處理時間和第90個百分位處理時間，按源IP地址分組，以15分鐘為單位。此類查詢有助于了解哪些IPS在特定時段內最頻繁地查詢您的記錄：

過去，無法進行此類查詢但現(xiàn)在可以，原因有幾個。首先，我們添加了新字段，例如sourceIP，這讓我們能夠根據正在進行DNS查詢的客戶端IP地址（通常是解析器）來過濾數(shù)據。其次，GraphQL API查詢能夠處理并返回更長時間范圍的數(shù)據。以前，擁有足夠多查詢數(shù)量的DNS區(qū)域只能查詢幾天之內的流量信息，而新的GraphQL API可以提供長達31天的數(shù)據。我們計劃進一步擴大這個時間范圍，以及可以存儲和查詢多久之前的歷史數(shù)據。

GraphQL API讓我們還可以將新的DNS分析信息添到Cloudflare儀表板?？蛻魧⒛軌蚋櫜樵冏疃嗟挠涗?，了解哪些數(shù)據中心在回答這些查詢，了解查詢數(shù)量等等。

GraphQL API中的新添加的DNS數(shù)據集和新的DNS分析頁面，都有助于我們的DNS客戶監(jiān)測、分析其Foundation DNS部署并進行故障排除。

新的發(fā)布流程

Cloudflare的權威性DNS產品大約每周會進行一次軟件更新。Cloudflare制定了復雜且巧妙的發(fā)布流程，有助于防止性能下降影響生產流量。雖然性能下降不常見，但只有在新版本受到生產流量的數(shù)量和獨特性影響時，問題才有可能浮現(xiàn)。

由于企業(yè)用戶對穩(wěn)定性的渴望超過對新功能的期望，因此，新版本將使用Cloudflare標準域名服務器進行兩周的試用準備，然后再正式升級Foundation DNS高級域名服務器。如果兩周內沒有出現(xiàn)任何問題，F(xiàn)oundation DNS高級域名服務器也將升級。

使用Foundation DNS高級域名服務器的區(qū)域將會見證可靠性的提高，因為在新版軟件中，它們可以更好地防范性能下滑問題。

更簡單的DNS定價

過去，Cloudflare根據每月DNS查詢和賬戶中的域數(shù)量對權威性DNS服務進行收費。企業(yè)用戶通常對僅限DNS區(qū)域服務感興趣，它是指將DNS區(qū)域托管在Cloudflare中，但不使用我們的反向代理（第7層）服務，例如CDN、WAF或機器人管理。通過Foundation DNS，我們簡化了適用于絕大多數(shù)用戶的定價，具體做法是默認包含10,000個僅DNS域。這一變化意味著大多數(shù)用戶將僅需為其使用的DNS查詢數(shù)量付費。

我們還在單個賬戶的所有域中設置包含100萬條DNS記錄。但這并不意味著我們無法支持更多數(shù)量的記錄。事實上，我們平臺上最大的單個區(qū)域擁有超過390萬條記錄，而我們最大的DNS賬戶分布在多個區(qū)域中的DNS記錄總量接近3000萬條。使用Cloudflare DNS，即使是最大規(guī)模的部署也可以輕松應對。

未來，我們將為Foundation DNS添加更多專屬功能。其中一項用戶呼聲很高的功能是按記錄限定范圍的API令牌和用戶權限。這讓用戶可以配置更精細的權限。例如，您可以指定賬戶中的某個特定成員只能創(chuàng)建并管理TXT和MX類型的記錄，這樣他/她就不會意外刪除或編輯影響到域Web流量的地址記錄。另一個示例是根據子域指定權限，進一步限制特定用戶的權限范圍。