混合云架构下，灵活可靠的 DNS 解析解决方案——火山引擎 PrivateZone

越来越多的企业认同，多云和混合云是实现数字化变革的必由之路。Cisco 发布的《2022 Global Hybrid Cloud Trends Report》显示， 82% 的受访者使用混合多云架构来支撑其应用程序。混合云架构下，如何灵活、可靠且低成本地满足各种场景 DNS 的解析是企业需要解决的基本问题之一。

本文带你了解火山引擎边缘云 TrafficRoute DNS 套件——私网解析 PrivateZone ，它是基于火山引擎私有网络（VPC）的私网域名解析服务，是云服务器默认的 DNS 入口。如果你也需要云上灵活、快速、稳定的内网域名解析，那么火山引擎私网解析 PrivateZone 可以帮助到你。

多云和混合云场景下的 DNS 解析需求

• 面向混合云场景：相比较于使用单一云厂商，使用多厂商可以获得更好的稳定性、灵活性，也可以更好地实现成本控制，但同时会带来部署、运维、系统等复杂度较高的问题。

• 面向多云场景：为了收敛配置和统一运维管理，通常会选择某个云作为中心配置，客户通常需要将其他云的 DNS 请求集中转发到该云上进行处理。

在多云和混合云场景下主要有 3 种访问形式：

• 火山引擎与第三方云厂商之间的互访

• 火山引擎与用户自建数据中心的互访

• 第三方云厂商与自建数据中心互访

在没有自定 DNS 服务器时，VPC 内的 ECS 发出 DNS 请求后，首先到达 PrivateZone Resolver。Resolver 根据用户的配置，如权威域名、转发规则等匹配要解析的域名，如果命中配置则按照配置的内容发送到指定 DNS 服务器解析，如果没有任何配置则去互联网递归迭代解析。拿到解析后再返回给 ECS 客户端。

私网解析 PrivateZone

PrivateZone 是云上域名解析的统一入口，提供了内网权威、自建权威、外网域名等各种域名解析能力。PrivateZone 架构由解析器（Resolver）和权威 DNS 组成，其中 Resolver 提供了缓存和转发功能，权威 DNS 提供了租户隔离和智能解析功能。在多云和混合云场景下，根据 DNS 请求的方向可以划分出以下 2 种基本情况：

1. 出站 DNS ：火山引擎 -> 自建数据中心 / 其他云

2. 入站 DNS ：自建数据中心 / 其他云 -> 火山引擎

出站 DNS

场景说明

当用户在火山引擎购买了一批云服务器，希望通过域名访问自建数据中心的某个服务时，可以考虑火山引擎私网解析 PrivateZone 解决方案。PrivateZone 解析器（Resolver）提供强大的自定义能力，对于出站 DNS 场景，用户可以先根据自己的网络架构配置一个出站终端节点，该节点是部署在云上的 DNS 转发服务，通过网卡与客户的 VPC 网络打通；随后可以基于该节点（批量）下发转发规则，命中转发规则的 DNS 请求会经由 VPC 网络转发到自建数据中心的 DNS 。

 方案路径

入站 DNS

场景说明

当用户在火山引擎购买了某个服务，希望在自建数据中心也可以通过域名访问时，可以选择外网或内网。但并非所有云服务都将内网域名发布到了互联网，因此走内网解析是更通用的选择。

通过下发路由规则（云企业网 /TR），可以相对简单地实现使用自建数据中心访问到 PrivateZone 提供的虚拟 IP 。但这种方式有以下弊端：

• 风险不可控：大多数云厂商都在使用 100.64.0.0/10 这一网段，可能会导致路由规则混乱，引起意料之外的问题；

• 解析不符合预期：火山引擎的机器上有 100.64.0.0/10 这一默认路由指向火山机房内部，如果用户使用了云防火墙，那就会导致 DNS 流量直接从云防火墙的 VPC 进入 PrivateZone ，可能引起解析不符合预期等问题。

火山引擎私网解析 PrivateZone 的集成方案解决了这 2 个问题。

 解析路径

以上是根据 DNS 请求的方向划分出的基本场景及解决方案。同时，私网解析 PrivateZone 也支持多地域架构，支持两地三中心的场景。

私网解析 PrivateZone 方案实践

私网解析 PrivateZone 在实践过程当中得到了验证和来自客户的好评。

某客户基于自建数据中心、火山引擎和公有云厂商 A 搭建了一套混合云架构，通过云企业网 、专线等方式打通网络。把云厂商 A 的 PrivateZone 作为中心 DNS ，托管着 cloud.com ，自建数据中心全部使用云厂商的 PrivateZone 作为默认 DNS 。基于上述方案，可以在火山引擎侧同时使用入站和出站终端节点，实现：

• 火山 ECS 可以访问以 cloud.com 提供服务的云厂商产品

• 火山 ECS 可以解析 ivolces.com 等内部域名

• 云厂商 ECS 可以访问以 ivolces.com 提供服务的火山产品

• 云厂商 ECS 可以解析 cloud.com 等内部域名

• 用户自建数据中心 EC2 可以同时解析火山和云厂商提供的域名

从而满足全链路、全场景的 DNS 解析需求。

火山引擎私网解析 PrivateZone 通过实践考验，稳定支持着客户在混合云架构上的 DNS 解析需求，助力业务发展。

产品优势

• 低成本：服务部署轻量，建设与运维成本低，无需专业知识

• 全链路：入站 DNS 和出站 DNS 配合形成云上云下解析互通、转入转出

• 高可用：支持多路监控，自动 failover，秒级收敛

• 配置灵活：支持单个和批量操作，管理配置简单

混合云架构是当前企业上云的主流选择， DNS 作为基础组件，是上云时面临的首要问题之一。火山引擎 PrivateZone 提供了强大的解析器 Resolver 功能，基于该功能可以灵活地支持不同客户、不同场景上云的需求，提供性能可靠、稳定性强、成本低廉的入站 / 出站 DNS 转发能力。

当前， TrafficRoute DNS 套件下的各个产品，包括云调度 GTM 、私网解析 PrivateZone 、移动解析 HTTPDNS 和公共解析 PublicDNS ，服务了抖音、头条、飞书和火山引擎 ALB 、 CDN 、动态加速、存储等各类 APP 和云产品，具备重要产品稳定服务的能力，在技术、成本、性能和产品成熟度方面拥有深厚积累。TrafficRoute DNS 套件已正式上线火山引擎官网，点击即刻访问。

关于火山引擎边缘云：

火山引擎边缘云，以云原生技术为基础底座，融合异构算力和边缘网络，构建在大规模边缘基础设施之上的云计算服务，形成以边缘位置的计算、网络、存储、安全、智能为核心能力的新一代分布式云计算解决方案。