שאלה תחום ברמה העליונה / סיומת תחום עבור רשת פרטית?


במשרד שלנו, יש לנו רשת אזורית מקומית עם הגדרת DNS פנימי בלבד, שבו לקוחות כל שם whatever.lan. יש לי גם סביבת VMware, ועל רשת וירטואלית בלבד מכונה, אני שם את המכונות הווירטואליות whatever.vm.

בשלב זה, הרשת הזו עבור המכונות הווירטואליות אינה ניתנת להשגה מרשת התקשורת המקומית שלנו, אך אנו מקימים רשת הפקה להעברת מכונות וירטואליות אלו, רצון להיות נגיש מן LAN. כתוצאה מכך, אנו מנסים להסתפק בכינוס עבור סיומת הדומיין / TLD שאנו חלים על האורחים ברשת החדשה הזו שאנו מקימים, אך לא נוכל למצוא פתרון טוב, שכן .vm, .local ו .lan לכולם יש קונוטציות קיימות בסביבה שלנו.

אז, מה היא השיטה הטובה ביותר במצב זה? האם יש רשימה של TLDs או שמות דומיין במקום שהוא בטוח לשימוש ברשת פנימית בלבד?


104
2018-06-01 21:47




אין להשתמש. במיוחד אם יש לך לקוחות Apple. - RainyRat
.test מופרש מסיבה זו: secure.wikimedia.org/wikipedia/en/wiki/.test - CWSpear
@ CWSpear זה לא בפועל סיבה  .test שמורות, אם כי זה עושה את זה תחום בטוח לשימוש מבחן רשתות שלא יהיו מחוברות לאינטרנט. - voretaq7
שיטות העבודה המומלצות של אוטו יכתיבו כי תרכוש שם דומיין "אמיתי" (תחת TLD מוכר ב- ICANN) ותיצור תת-דומיין של החומר המקומי שלך (לדוגמה, הרשמה mydomain.com, נציג internal.mydomain.com כדי NS פנימי, כראוי להגדיר אופק מפוצל DNS ("צפיות" ב BIND), כך שאתה לא דליפה שמות / כתובות פנימיים לאינטרנט. זה לא יפה כמו TLD / pseudo-TLD, אבל זה פחות נוטה לשבירה כפי שהוא תחת שליטה שלך. - voretaq7
למרות זאת: אל תשתמש שם תחום אמיתי כי יש לך כבר בשימוש עבור הציבור הפונה שירותי הייצור. ישנן אינטראקציות שונות מותר בין www.example.com ו *.internal.example.com שאינם מותרים בין www.example.com ו *.example.net, ובראשם הגדרת קובצי cookie בין אתרים. הפעלת שירותים פנימיים וחיצוניים באותו דומיין מגדילה את הסיכון שפשרה של שירות ציבורי תיתן קצת כניסה לשירותים הפנימיים, ומנגד, שירות פנימי לא מאובטח עלול לעורר שימוש לא חוקי בשירות חיצוני. - bobince


תשובות:


אל תשתמש ב- TLD שהומצא. אם ICANN היתה אמורה להאציל אותה, היית בצרות גדולות. אותו הדבר אם אתה מתמזג עם ארגון אחר אשר קורה להשתמש באותו TLD דמה. לכן שמות דומיין ייחודיים בעולם מועדפים.

הסטנדרט, RFC 2606 שומרת שמות עבור דוגמאות, תיעוד, בדיקות, אבל שום דבר לשימוש כללי, ומסיבות טובות: היום, זה כל כך קל וזול כדי לקבל שם תחום אמיתי וייחודי, כי אין סיבה טובה להשתמש אחד דמה.

אז, לקנות iamthebest.org ולהשתמש בו כדי לתת שם למכשירים שלך.


86
2018-06-02 07:39



כדי להיות מאובטח לחלוטין הייתי שם הכל על תת תחום של שם התחום של החברה שלי, כמו local.company.org, vm.company.org, וכן הלאה. - drybjed
עשה זאת +1. יש להניח שלחברת שלך כבר יש דומיין. פשוט ליצור תת תחום זה. זה לא חייב להיות גלוי / לפתרון מחוץ LAN שלך. - Dan Carley
ובכן, גם עם עורכי דין טובים מאוד, תהיה לך בעיה בטענה ".lan" או ".local" על ידי הפנייה לסימן מסחרי. והוויכוח "הוא פנימי בלבד" הוא חלש ביותר: ארגונים מתמזגים, מקימים רשתות פרטיות וירטואליות עם ארגונים שותפים ופשוט עושים טעויות כמו שמות "פרטיים" דולפים. - bortzmeyer
הבקר היחיד שלי עם זה הוא שאתה לא יכול באמת "לקנות" תחום: אתה יכול רק לשכור אחד. כמה bozo שוכח לשלם שטר (וזה קרה בכמה מקרים פרופיל גבוה) ואת חלק הליבה של התצורה שלך הולך כמה squatter אקראי. אז אתה משתמש בדומיין של החברה שלך? Execs מחליטים rebrand או לקבל קנה, ואתה תקוע עם שם ישן. .local נהג לעבוד טוב מספיק, אבל עכשיו זה היה מונע על ידי חברה מסוימת בדרכים מסרבים לשחק נחמד. אני באמת רוצה לראות משהו כמו .llan או שמורות באופן רשמי למטרה זו, אבל עד אז זו האפשרות הטובה ביותר. - Joel Coel
מסכים עם @ Joel Coel, אתה השוכר, ולא יותר. צריך להיות שני שמות TLD שמורות לשימוש פנימי בלבד זה צריך להיחשב פסול לציבור ולא נגיש על ידי רשתות ציבוריות. שם אחד יהיה לשימוש ביתי פנימי, השם השני יהיה לשימוש עסקי פנימי. שניהם ייחשבו "TLDs פרטיים" באותו מובן שיש לנו "רשתות משנה פרטיות" שאינן ניתנות לניתוב (192.168.x.x ו- ilk). זה מאפשר למשתמשים ביתיים לעשות משהו מלבד הכריחו לתוך .local ו mDNS. כנ"ל עבור עסקים קטנים מפעיל LAN פנימי מאחורי NAT ​​ללא תחום. - Avery Payne


השתמש בתת-דומיין של התחום הרשום של החברה שלך עבור מכונות פנימיות שאת השמות שלהן אינך מעוניין לקבל באינטרנט. (לאחר מכן, כמובן, רק לארח את השמות האלה על שרתי ה- DNS הפנימיים שלך.) הנה כמה דוגמאות עבור החברה דוגמה פיקטיבית.

שרתי אינטרנט:
www.example.com
mail.example.com
dns1.example.com

מכונות פנימיות:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

השתמשתי ב- "corp" כדי לציין שתת-דומיין זה תיאר את המכונות ברשת הארגונית הפנימית, אך תוכל להשתמש בכל מה שתרצה כאן, כגון "פנימי": client1.internal.example.com.

זכור גם שאזורי DNS ותת-דומיינים אינם חייבים להתאים לתבנית מספור הרשת שלך. החברה שלי, למשל, יש 37 מיקומים, כל אחד עם המשנה שלה, אבל כל המיקומים להשתמש באותו (פנימי) שם התחום. לעומת זאת, יכול להיות לך רק אחד או כמה רשתות משנה, אבל הרבה תחומים פנימיים או רמות של תת תחומי כדי לעזור לך לארגן את המכונות שלך.


47
2018-06-02 13:03





יש יתרון נוסף של שימוש בתת-דומיין פנימי: באמצעות סיומות חיפוש ורק שמות מארחים במקום FQDN, ניתן לבנות קובצי תצורה שפועלים הן בפיתוח, ב QA והן בייצור.

לדוגמה, אתה תמיד משתמש "database = dbserv1" בקובץ ההגדרות שלך.

בשרת הפיתוח, אתה מגדיר את סיומת החיפוש ל- "dev.example.com" => שרת מסד הנתונים המשמש: dbserv1.dev.example.com

בשרת ה- QA, אתה מגדיר את סיומת החיפוש ל- "qa.example.com" => שרת מסד הנתונים המשמש: dbserv1.qa.example.com

ועל שרת הייצור, אתה מגדיר את סיומת החיפוש ל "example.com" => שרת מסד הנתונים המשמש: dbserv1.example.com

בדרך זו, אתה יכול להשתמש באותן הגדרות בכל סביבה.


30
2018-06-04 12:00



זה מבריק. - Chris Magnuson
עד שמישהו מגדיר את תחנת העבודה שלהם עם סיומת החיפוש של הייצור כדי לבדוק בעיה, ולאחר מכן מעדכן בטעות חבורה של רשומות ייצור. - Joel Coel
זה די גולמי, רשומות SRV הם פשוטים מאוד לנתח ניתן להציב בתוך כל אזור, כך שרת db אותו משרת כמה אזורים. במקרה זה קצת קוד יהיה למלא את הערך בתוך קבצי התצורה שלך. ואתה יכול להשתמש בשם של מסד הנתונים כמפתח SRV ואת הערך כמובן הצבעה על שם המארח. לעולם לא הייתי מסתמך על סיומות חיפוש. אתה יכול גם לקבל די יצירתי עם רשומות TXT, והוא יכול דברים אותם עם ערכים מוצפנים (אז base64 מקודד) ערכים, אם הם סודות. ניתן להשתמש ברשומות TXT עבור כל מיני דברים. - figtrap
ראה, אבל מה שאני רוצה הוא example.com, example.dev ו- example.stg. 2 האחרונים הם רק ברשת פרטית, האם אני יכול להגדיר שרת DNS מקומי עבור גישה תצורה אפס? עדיין באמצעות תצורה דומה כאן עבור כל האתרים, רק העברת שינויים עד tld. קל .dev עם קובץ hosts, אבל אפס config ... - DigitalDesignDj


כפי שכבר נאמר, אין להשתמש ב- TLD לא רשום עבור הרשת הפרטית שלך. במיוחד עכשיו כי ICANN מאפשרת כמעט לכל אחד לרשום TLDs חדשים. לאחר מכן עליך להשתמש בשם תחום אמיתי

בצד השני, RFC 1918 ברור:

הפניות עקיפות לכתובות כאלו   צריך להיות בתוך   הארגון. דוגמאות בולטות לכך   הפניות הן רשומות משאבי DNS   וכן מידע אחר המתייחס   כתובות פרטיות פנימיות.   אז השרת שלך שם צריך גם להשתמש בתצוגות כדי למנוע את הרשומות הפרטיות להיות מועבר באינטרנט.


11
2018-06-02 12:41





אנו נוטים לא לשקול שום הבדל בין שמות וירטואליים של המארחים מן הפיזי - למעשה, אנחנו כבר לקצץ את תצורת המארח (תוכנה) מן השכבה הפיזית.

אז אנחנו לרכוש פריטים חומרה, וליצור פריטים מארח על גבי אותם (ולהשתמש פשוטה יחסים כדי להראות את זה בתיעוד שלנו).

המטרה היא שכאשר המארח קיים, DNS לא צריך להיות הגורם הקובע - כפי שיש לנו מכונות לעבור ממקום אחד למקום הבא - למשל webapp בעל ביצועים נמוכים אין צורך לצרוך מחזורי CPU יקר - וירטואליזציה זה , והיא שומרת על ערכת השמות שלה, הכל ממשיך לעבוד.


9
2018-06-01 21:52





מאז התשובות הקודמות לשאלה זו נכתבו, היו כמה RFCs לשנות את ההנחיות קצת. RFC 6761 דן בשמות תחומים מיוחדים ללא מתן הדרכה ספציפית לרשתות פרטיות. RFC 6762 עדיין ממליץ לא להשתמש TLDs לא רשום, אבל גם מודה כי ישנם מקרים שבהם זה ייעשה בכל מקרה. מאז נפוץ .local מתנגש עם DNS multicast (הנושא העיקרי של RFC), נספח ז. שמות פרטיים של DNS ממליצה על TLDs הבאים:

  • אינטרא-נט
  • פנימי
  • פרטי
  • קורפ
  • בית
  • lan

IANA נראה להכיר הן RFCs אך אינו כולל (כיום) את השמות המפורטים בנספח ז '.

במילים אחרות: אתה לא צריך לעשות את זה. אבל כאשר אתה מחליט לעשות את זה בכל מקרה, להשתמש באחד השמות הנ"ל.


3
2017-10-30 07:00





אני לא בטוח שזה יעזור לך, אבל עבור DNS פנימי בתוך חשבון AWS שלי, אני משתמש .aws כמו tld, וזה נראה עובד בסדר גמור.

אני יודע שיש כמה TLDs אתה צריך פשוט שטוח לא להשתמש, אבל חוץ מאלה, אני לא חושב שזה קפדני מדי.

עבדתי בכמה חברות גדולות יותר, שבהן ישתמשו במקור האימות כמו TLD, כלומר אם זה היה שרת MS / Windows, באמצעות Active Directory כמקור Auth, זה יהיה .ad, ואחרים יהיו .ldap (למה הם לא רק משתמשים באותו מקור או שרתים המשכפלים מאותו שירות של ספריות? אני לא יודע, זה היה ככה כשהגעתי לשם)

בהצלחה


-4
2018-02-29 14:28



אמזון נרשמה כעת .aws בתור TLD, כך שתוכל להתחיל לראות בעיות בסופו של דבר: nic.aws - Mark McKinstry
לקבלת מידע, .aws רשום לאחרונה "25 במרץ 2016" => newgtlds.icann.org/en/program-status/delegated-strings - Bruno Adelé
למרות שאני לא חושב להשתמש TLD מזויף זה גדול של עסקה, לפחות לא אם המערכת כולה סגורה ומשתמש proxy כדי לתקשר עם האינטרנט בכלל, ".aws" היא בחירה ממש רע, אלא אם כן אתה 'לא ב- AWS! יש יותר מדי תרחישים אפשריים שבהם לא תוכל לתקשר עם AWS יותר. - figtrap