二级域名分发系统(数字化2)

开场白疫情之下各行各业的数字化按下了加速键,基于云计算、大数据、移动互联网和社交之上的第三平台发展已然到了一个拐点,这将是一个数字化2.0的新时代。转头审视互联网基础设施的种种,或许又会有一些新的思考。数字化2.0新时代本文从一个"梗"开篇,主要讨论互联网域名系统根和根镜像相关的那些事,试图以通俗的方式描述相对晦涩的技术(本篇其实也不涉及很多技术细节),有些例子未必特别恰当,只是为了帮助更好理解,受限于个人水平,不妥或错误之处请各位看官指正。为了与读者阅读习惯、文献行文、媒体主流表达尽量一致,本文仍使用互联网或Internet的称谓(文中互联网概念内化,特指因特网或Internet)。本文约8000字,阅读时间预计需要10分钟。梗:别闹,我只是根镜像服务器?工信部最近(2月20日)批复中国信通院设立域名根服务器(L根镜像服务器)的消息又一次在网上刷屏,2019年6月以来工信部连续下文放行了中国信通院、中国互联网络信息中心、互联网域名系统北京市工程研究中心等三家机构共11台域名根镜像服务器的设立,但很多媒体解读为中国拥有了自主可控的根服务器,似乎可以摆脱某国对于互联网的控制及影响力,真的如此?图1 工信部同意设立域名根镜像服务器及运营机构名单上述域名根镜像服务器的新增,属于工信部提升中国互联网域名解析质量、改善互联网访问体验的常规操作。对此种解读,只能吐槽一句"别闹,我只是根镜像服务器"!正题1:域名系统是啥?互联网域名系统(Domain Name System,简称DNS)由不同层级、不同定位但又协同工作的DNS服务器联合而成,作为域名和ip地址相互映射的一个分布式数据库系统,负责域名解析。域名系统体系为树状结构,根域名为".root",顶级域名包括".com"、".net"、".org"、".edu"、".gov"以及各国家和地区域名等,每个域下设1个或多个迭代的子域,每个域内设置多台(一般至少为两台)域名服务器(Name Server)和域名解析服务器(Resolver),前者负责分配子域域名、维护域名到IP地址映射关系的记录,后者负责为客户主机(Client)提供域名解析(即域名查询)的服务,两者在部署时一般合设统称为DNS服务器。对于任意需要连接到互联网上的一台主机而言,如果需要访问某一个网站,只需要在浏览器上敲入相应的网址(域名)而不是一段IP地址数字串,然后由各个机构不同层级的DNS系统来协作共同支持特定域名对应IP地址的解析,最终帮助用户高效快捷访问互联网资源。假设某用户要访问Hxdi.com(假定有专门的Hxdi域名服务器),相应的DNS解析流程如下:1、主机终端向本地DNS服务器提交对域名"Hxdi.com"的查询请求;2、若该服务器的缓存中存在该条目,则向主机返回结果并结束此次查询;3、否则,它将向DNS老大(根服务器或根镜像服务器)提交查询请求;4、根域名服务器将其指向".com"的顶级域名服务器(Com Server),后者再将其指向"Hxdi.com"的域名服务器(Hxdi Server);5、Hxdi Server把查询结果返回给本地DNS服务器;6、本地DNS服务器将结果返回给查询的主机,查询结束后该记录将保存在本机的缓存中以便后续查询。图2 互联网域名系统DNS解析示意这一路经过互联网域名系统的各个环节:本地DNS—>DNS根(根镜像)服务器—>顶级域名服务器(TLD,Top-Level Domain)—>二级域名服务器(SLD, Second-Level Domain)等,这样的架构、流程及规则其实在互联网初始便定义设计好,便一直这么沿用下来。至于本地DNS一般多由提供宽带上网服务的运营商ISP负责建设,采用Anycast或分域架构在IP城域网内部署:Anycast架构下全网DNS服务器组成资源池宣告统一VIP,通过路由协议使得不同地域的用户可以就近访问最近的DNS服务器,分域架构下不同城域网中部署各自DNS系统针对不同地域用户提供服务。在IPv6时代,IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的,共同拥有统一的树型结构的域名空间,在IPv4到IPv6的过渡阶段,域名可以同时对应于多个IPv4和IPv6的地址。未来随着IPv6网络的普及,IPv6地址将逐渐取代IPv4地址;尽管如此,域名系统在IPv6时代需要升级支持IPv6 DNS解析请求(如支持AAAA记录等);一句话概括:访问互联网只需要浏览器输入域名即可,翻译成IP地址、找到目标域名网站的活就交给域名系统就可以了。正题2:根服务器是啥?互联网域名解析系统为层次化树状体系,按照统一规则有序流动运行,而树形结构的母根(Female Root,全网源生根)究竟在哪里,很多年来无人可知。编号A为主根服务器,其余12台均为辅根服务器,主根每24小时向辅根服务器系统分发推送顶级域名的权威更新,以保证全球DNS域名解析实时运行的一致性和唯一性。根域名服务器是系统(DNS)中最上层的域名服务器,负责管理互联网的主目录,其数据库中存放了全球各类顶级域名包括.com,之类的gTLDs和 .uk国家/地区代码类的TLDs,数量已经达到了数百个之多。如上描述中,根服务器扮演的角色就是DNS世界中的Leader,能够指挥各层级DNS与客户端各类浏览器如Firefox或Internet Explorer及其它应用程序联动来控制互联网数据流动。 "有困难找Leader",假设本地DNS没有记录的话,客户端访问请求都需要由DNS根服务器来先行处理,全世界这么多的解析请求同时过来,Leader表示我受不了,于是乎Leader就成为了互联网中的大瓶颈,域名解析速度直接影响着互联网的正常运营。"Leader有困难怎么办",一个Leader不够再多一些Leader,散布到不同地域去。 第一步M国优先、盟国次之,共设置了13台根域名服务器,名字分别为"A"至"M",其中10台设置在M国本土,其余3台分别设置于英国、瑞典和日本,为了提高Leader们的本领,每台背后可能是单主机或者对应一套规模不同的服务器集群来充分满足DNS解析请求。 一句话概括:域名根服务器就是DNS世界中的Leader,A根是五竹叔,神庙与世间沟通使者;其余十二根为世间宗师,各个能力超强、彼此不服,唯独顾忌A根。正题3:根服务器为啥是13台?在公开资料中能够找到、有说服力的理由就是技术限制"Fitting the DNS Server List Into a Single IP Packet"。如何理解?在IPv4时代,DNS包一般通过UDP协议承载,为保证 UDP 数据包传输成功率,实践中相应数据包长会控制在 512字节(小于Internet标准MTU值为576字节)避免被分片传输,为此该数据包容纳的根列表信息总长度不超过512字节,同时每个根的信息长度32个字节(包括根标签、IPv4地址、TTL、类别等字段),综合DNS包首部、Question等其它开销以及未来增加新根的需求,互联网最初设计时选择了13台作为跟路由器的数量。进入IPv6时代后,没有了数据包长的严格限制,首先13台根路由器开启支持IPv6,同时也会根据发展需要灵活进行新根的设置。Source by ICAAN:Because DNS operation relies on potentially millions of other Internet servers finding the root servers at any time, the addresses for root servers must be distributable over IP as efficiently as possible. Ideally, all of these IP addresses should fit into a single packet (datagram) to avoid the overhead of sending multiple messages between servers. In the IP version 4 (IPv4) prevalent today, the DNS data that can fit inside a single packet is as small as 512 bytes (after subtracting all of the other protocol supporting information contained in packets). Each IPv4 address requires 32 bytes. Accordingly, the designers of DNS have chosen 13 as the number of root servers for IPv4, taking 416 bytes of a packet and leaving up to 96 bytes for other supporting data (and flexibility to add a few more DNS root servers in the future if needed).Because the emerging IP version 6 standard does not have such low limits on the size of individual datagrams, expect the future DNS will over time contain many more root servers to support IPv6.一句话概括:IPv4时代域名根服务器数量只是基于技术约束条件在特定时间点的选择,用惯了没啥特别问题也就懒得调整了;至于IPv6时代,尽管ICANN和部分国家在域名领域有域名根服务器数量能否增加、控制权和运行规则是否有调整的空间,和M国政府态度、各国诉求、技术可行性等因素强相关,都还是未知数,正题4:根镜像服务器是啥?随着全球互联网快速发展,越来越多的国家接入互联网,运营一段时间后,发现存在根地域分布严重不均衡等问题,受限于技术、管理等因素暂时不考虑再多搞一些老大,那就搞些域名根的镜像服务器(Instance或实例)分担对应根主机的负载(其像照镜子似地同步映射根主机服务器的内容,镜像服务器之间不连接,,可以基于Web 或基于命令行单独控制或管理)并分散到不同国家/地区/城市,方便互联网用户就近找到老大的替身;同时根据本地区域的互联网监管政策及需求,替身服务能力可以区分为全网(Global)和本地(Local),前者只需要根将与本区域相关的域名等数据同步镜像过来,后者则需要根全量同步全球所有数据;没有特殊情况,基本上都由替身们把根的活干掉了。有了域名根的镜像服务器后,各区域解析自己的国家/地区域名和如COM等通用域名时就不需要要到国外域名根服务器获得顶级索引,可以从跟不上提高互联网访问速度。以K根镜像服务器列表为例:图3 互联网域名系统K根镜像服务器列表示意上图中中国大陆K根镜像服务器有北京(Local)和贵阳(Global)。一句话概括:现在的根主机只做最重要的事情(保持根之间及根对应镜像服务器之间顶级域名信息的同步一致性和安全性),根镜像负责具体的活( "借问酒家何处有,牧童遥指杏花村" )。正题5:根服务器管理及权限90年代初,M国国家科学基金会(NSF)代表M国政府与NSI公司(Network Solutions)签定了协议,将Internet顶级域名系统的注册、协调与维护的职责都交给NSI,而Internet地址资源分配则交由IANA来分配,由IANA将地址分配到ARIN(北美地区)、RIPE(欧洲地区)和APNIC(亚太地区),然后在由这些地区性组织将地址分配给各个ISP;1998年初M国商业部发布Internet域名和地址管理绿皮书,认为M国政府有对 Internet的直接管理权,但无疑遭到了几乎所有国家及机构的反对;随着Internet的全球性发展,各国呼吁对Internet管理模式进行改革,在保证稳定性、竞争性、民间协调性和充分代表性的原则下,最终M国政府在1998年10月成立了ICANN(互联网域名与号码分配机构,一家民间性的非赢利公司),开始参与管理Internet域名及地址资源的分配。  抛开政治法律层面的控制权争议先不说,实践中业界公认M国对于互联网技术架构、系统体系、运行规则等领域拥有无可撼动的绝对性影响力。尽管在业界互联网中立化的呼声中,M国政府名义上已将全球互联网域名根服务器、域名体系和IP地址等职责授权ICANN独立统一管理(但这个独立性在特殊时期否存在,现在不可而知)同时在域名根镜像服务器节点的设立方面允许各国政府及机构可以与类似RIPE NCC、ICANN、Netnod公司、Verisign公司等机构直接接触商谈,本地区域的日常运营由各自遵循ICANN统一制定的规范进行,保证全球互联网遵循相当标准。注:目前IANA的职责已经被ICANN取而代之,后者承担了更广泛互联网相关运营管理职责。IANA:The Internet Assigned Numbers Authority (IANA) is the entity that oversees global IP address allocation, DNS root zone management, and other Internet protocol assignments. It is operated by ICANN.ICANN:ICANN is the Internet Corporation for Assigned Names and Numbers. Headquartered in Marina Del Rey, California, ICANN is a California non-profit corporation that was created on September 18, 1998 in order to oversee a number of Internet-related tasks previously performed directly on behalf of the U.S. Government by other organizations, notably IANA.一句话概括:在根镜像服务器的设置上各国有一定的自主权,可以协商获取特定根运营机构设置相应的根镜像服务器,但业务规则还需要遵循统一标准。正题6:根及根镜像服务器全球分布在root-servers网站首页,"As of 2020-02-22, the root server system consists of 1091 instances operated by the 12 independent root server operators.",目前全球互联网域名体系由13台根服务器及分布在全球范围的1000+多台镜像服务器组成。图4 互联网域名系统根服务器运营机构名单图5 互联网域名系统根及根镜像服务器全球分布一句话概括:域名根镜像服务器已经到处散叶,特别是I、F、L、J、K根运营机构表现特别积极。正题7:中国域名现状及根镜像服务器根据CNNIC发布的第44次《中国互联网络发展状况统计报告》,截止2019年6月底,中国域名总数已达到4800万个,其中".CN"及".中国"的域名数量增长迅速,占比已经达到49.1%,这部分域名在国内DNS上即可完成应用解析;需要注意的是,域名数量占比并非等同于域名应用解析流量占比,目前为止境外解析域名应用流量(如.COM/.NET)还远远大于国内(如. CN/.中国),如果能够通过设置在境内的根镜像完成.COM/.NET等域名解析,势必会减少因国际链路故障、境外长链路等问题产生的域名解析额外时延,极大提高国内互联网访问质量和用户感知。图6 CNNIC 第44次报告中国域名现状目前国内机构已与Netnod公司、互联网系统联盟(ISC)、互联网名称与数字地址分配机构(ICANN)、威瑞信公司(Verisign)、欧洲网络协调中心(RIPE NCC)等根服务器运行机构合作,成功引入设立了I、F、L、J、K等根服务器的镜像服务器,分布在北京、上海、杭州、武汉、郑州、西宁、贵阳等地节点,部署在CNNIC、中电信、中联通等机构或运营商相应机房。相较于中国香港(9)和台北(6)丰富的根镜像资源,根据网站数据,截止2020年2月22日大陆共有11台根镜像服务器:ISC的F根镜像(2:北京、杭州)、瑞典Netnod的I根镜像:1:北京)、VeriSign公司的J根镜像(1:北京)、RIPE NCC的K根镜像(1:北京)、ICANN的L根镜像(5:北京、西宁、郑州、武汉、上海)。注:比对网站上述数据,2019年下半年以后工信部审批的11台新增根镜像服务器可能尚未完成交付。图7 互联网域名系统根镜像服务器中国分布国内按照人口、网民人均根镜像服务器数量的口径较其它国家或地区偏低很多,某种程度上说明国内在互联网域名解析效率领域仍有很大的改善空间,如果能引入更多的不同根镜像服务器按照国内地理区域及网民分布等情况均衡覆盖,相信能进一步改善互联网访问的用户体感。一句话概括:国内根镜像服务器分布还不均衡,亟待新增;相应机构的运营建议更有效匹配国内网民互联网使用习惯及流量流向的分布。正题8:国内机构根镜像服务器如何申请根据工信部《互联网域名管理办法》、《通信网络安全防护管理办法》及其它相关法律法规、行政规章及行业管理规定,目前互联网域名根镜像服务器设置及运行机构申请属于行政许可事项,需要在工信部政务服务行政许可业务受理系统进行申请。图8 国内互联网域名根镜像服务器申请示意注:在工信部的行政许可申请事项中仍称之为"互联网域名根服务器"。相应机构需要在工信部指导下联系目标域名根运营机构进行协商,同时在满足建立完善运营制度、网络安全保障手段等若干硬性要求后才能获得工信部批复,一般需要2~3年时间才能实现根镜像服务器的审批及建设落地。一句话概括:设立和运营互联网域名根镜像服务器有极高的门槛,非国家队(中国信通院、中国互联网络信息中心、互联网域名系统北京市工程研究中心等)申请获批的可能性很小。尾声:根及根镜像服务器未来发展域名系统联结着互联网物理基础设施和业务应用,域名服务的性能关系到互联网整体服务效能和用户感知,是互联网安全和稳定的保障基础,安全、稳定、可靠永远是域名系统最关键的特性。ICANN近年来为了互联网域名系统适应数字化2.0也做了很多努力,包括技术、架构、组织管理等层面:1、技术上引入了DNS Sec、EDNS,以此加强域名系统的整体健壮性和安全性;2、架构上与更多的国家地区协商设置了更多的根镜像服务器,以此实现各台根服务器覆盖的均衡性,帮助缩短各国的数字鸿沟3、组织管理上开放了更多合作项目,如IPv4/IPv6并行测试的雪人(Yeti)计划,使得整体上各国在互联网治理上保持了一定的默契。现阶段在根镜像服务器的设置上各国有一定的自主权,可以协商获取特定根运营机构设置相应的根镜像服务器,同时业务规则遵循统一标准。综上,尽管ICANN努力摆脱M国政府的影子、树立一个中立机构的角色,但对于中国和俄罗斯这些大国而言,基于自身网络安全战略考量,对于目前M国具有绝对主导权的互联网域名系统运行的安全性和独立性持谨慎保留的态度,各自采取或准备采取加强"互联网断网,社会正常运转"类演练、强化国家域名系统建设(如尽可能提高本国自主可控域名系统内完成解析互联网流量比例)等措施,同时也在思考如何推动国内互联网基础设施升级迭代,保障"互联互通"的基础上嵌入更多的自主性和可控性,这些都还在路上。考虑到互联网域名系统作为互联网基础设施的关键枢纽,短期内国内政府层面还会大力鼓励新增更多根镜像服务器,以期进一步提升根镜像的网络覆盖度和分布均衡性,提高互联网用户访问域名根的效率和改善上网体验,增强国内互联网域名系统的安全性和抗攻击能力。相信随着国内更多根镜像服务器的部署、国际出口带宽的大拓宽,国内互联网基础设施将为民众提供更快的上网速度、更好的上网体验、更稳定安全的数字化应用。参考及致谢本文中部分数据及描述参考了若干网上公开材料,特此致谢,若有异议请联系作者。聊一聊您是否同意国内继续新增互联网域名根镜像服务器,您希望部署的城市,留言评论一起聊。 码字不易,感谢小手滑动手机屏的您。欢迎留言,欢迎关注头条号"瓯帆远影"。

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://kuaisubeian.cc/34378.html

kuaisubeian