Publicado: 7 de junho de 2024
Contribuidores: Chrystal R. China, Michael Goodwin
Uma zona DNS é uma entidade lógica distinta dentro do namespace do Domain Name System (DNS), usada para fornecer controle mais granular ao administrador, organização ou outra entidade legal responsável por gerenciá-la.
As zonas DNS dividem a autoridade sobre diferentes segmentos do namespace DNS (por exemplo, um domínio e um subdomínio), o que dá aos administradores um controle mais preciso sobre os registros DNS, servidores de nomes DNS e outros componentes. Essa partição pode ajudar a simplificar o gerenciamento e a orquestração do DNS e distribuir cargas de trabalho entre os servidores de nomes.
Por exemplo, o domínio "exemplo.com" pode existir na mesma zona que os subdomínios "blog.exemplo.com". e "comunidade.exemplo.com". Se os administradores precisarem de um controle mais granular, talvez devido ao número de dispositivos conectados ao site da comunidade e ao volume de registros DNS associados, eles podem particionar o subdomínio "comunidade.exemplo.com" em sua própria zona com seu próprio servidor de nomes autoritativo.
Uma zona DNS especifica que um domínio, ou parte de um domínio, é gerenciado por um determinado administrador. No entanto, uma zona pode englobar vários subdomínios e várias zonas podem existir no mesmo servidor DNS autoritativo. As zonas DNS não implicam separação física, mas são usadas para controle sobre diferentes partes do namespace.
As zonas podem ajudar a aliviar a carga administrativa associada a um domínio, distribuir a carga de consultas DNS e aprimorar a eficiência e escalabilidade gerais dos serviços DNS. Um gerenciamento eficaz de zonas que utiliza recursos de segurança como DNSSEC e atualizações dinâmicas pode fortalecer a segurança do DNS e reduzir ameaças como ataques de spoofing e sequestro de DNS.
Algum conhecimento básico sobre o sistema de nomes de domínio e como ele opera é importante para entender as zonas DNS.
O DNS é um componente hierárquico e descentralizado do protocolo padrão da internet, responsável por converter nomes de domínio amigáveis ao usuário em endereços do protocolo de internet (IP) que os computadores usam para identificar uns aos outros na rede1.
Frequentemente chamado de "lista telefônica da internet", uma analogia mais moderna é que o DNS gerencia nomes de domínio de maneira muito semelhante a como smartphones gerenciam contatos. Os telefones guardam números de contato em listas pesquisáveis, evitando que os usuários precisem memorizar cada número de telefone. Da mesma forma, o DNS permite que os usuários se conectem a sites usando nomes de domínio em vez de endereços IP complexos.
Quando um usuário insere um nome de domínio em um navegador, a consulta (frequentemente chamada de solicitação DNS ou pesquisa DNS) começa. Um resolvedor recursivo (o intermediário entre o dispositivo cliente e os servidores autoritativos), então consulta uma série de servidores para encontrar as informações necessárias para conectar o usuário ao site desejado. Cada um desses servidores é responsável por um segmento do namespace do domínio.
O processo de consulta começa com o servidores raiz de nomes. Os servidores raiz de nomes estão no topo da hierarquia DNS e são responsáveis por gerenciar a zona raiz. Esses servidores respondem a consultas para registros armazenados na zona raiz e encaminham solicitações para o servidor de nomes de domínio de nível superior (TLD) apropriado.
Os servidores de nomes TLD direcionam consultas aos servidores de nomes autoritativos para os domínios específicos dentro de seu TLD. Por exemplo, o servidor de nomes TLD para ".com" direciona domínios que terminam em ".com", o servidor de nomes TLD para ".gov" direciona domínios que terminam em ".gov", e assim por diante.
O servidor de nomes de domínio (às vezes referido como servidor de nomes de domínio de segundo nível) mantém o arquivo de zona com o endereço IP para o nome de domínio completo, como "ibm.com". Este arquivo de zona também pode conter informações para um subdomínio (como "blog.ibm.com/br-pt") ou essas informações podem ser particionadas em sua própria zona.
Cada um desses servidores armazena registros DNS com informações sobre o domínio que o resolvedor recursivo precisa para continuar e, em última instância, resolver sua consulta.
Solicite uma demonstração ao vivo do IBM NS1 Connect para acessar soluções DNS premium e avançadas de direcionamento de tráfego.
Inscreva-se no boletim informativo Think
Um arquivo de zona DNS é um arquivo de texto simples armazenado em servidores DNS que contém todos os registros para os domínios dentro dessa zona.
Cada linha de um arquivo de zona especifica um registro de recurso (uma única informação sobre a natureza do domínio, tipicamente organizada por tipo de dado).Os registros de recurso garantem que, quando um usuário inicia uma consulta, o DNS possa rapidamente direcioná-lo ao servidor correto.
Arquivos de zona DNS começam com dois registros obrigatórios: o início de autoridade (registro SOA), que especifica o servidor de nomes autoritativo primário para a zona DNS, e o tempo de vida global (TTL), que indica como os registros devem ser armazenados no cache DNS local.
Um arquivo de zona pode conter vários outros tipos de registros, incluindo:
A zona DNS primária armazena o arquivo de zona primário com todos os registros DNS para essa zona. É uma cópia de leitura/escrita, e as atualizações de zona são feitas na zona primária e então copiadas para zonas secundárias. Só pode haver uma zona primária em um servidor DNS por vez.
Uma zona secundária é uma cópia somente de leitura da zona primária, usada para criar redundância e implementar balanceamento de carga para consultas DNS.
As solicitações DNS são tipicamente distribuídas entre os servidores primários e secundários. Se o servidor primário estiver indisponível, os servidores secundários podem assumir toda ou parte da carga usando transferências de zona, uma transação que permite que servidores primários e secundários troquem zonas. Zonas secundárias também verificam com os servidores primários para garantir que as réplicas estejam atualizadas.
A zona de pesquisa direta traduz nomes de domínio em endereços IP. Quando um resolvedor DNS recebe uma consulta para um nome de domínio legível por humanos, ele consulta os registros de mapeamento A ou AAAA na zona de pesquisa direta para encontrar o endereço IP correspondente.
Como contraponto às zonas de pesquisa direta, as zonas de pesquisa reversa mapeiam endereços IP de volta para nomes de domínio usando registros PTR (registros de apontador).
Este processo pode ser útil para implementar serviços que exigem verificação de domínio ou para fins de registro quando as equipes precisam entender o domínio associado a um endereço IP (como em solução de problemas e filtragem de spam). Consultas em zonas de pesquisa DNS reversa usam os domínios in-addr.arpa ou ip6.arpa.
As zonas de stub contêm apenas os registros que o sistema precisa para identificar os servidores de nomes autoritativos para uma zona. Elas servem como um apontador, reduzindo a dependência de servidores recursivos para consultar zonas de nível superior e localizar o servidor autoritativo. A proximidade das zonas de stub com os servidores autoritativos ajuda a reduzir o tráfego de consultas de DNS e a reduzir os tempos de resolução.
As transferências de zona DNS mantêm a funcionalidade ideal do sistema, especialmente em ambientes onde redundância e alta disponibilidade são prioridades.
Uma transferência completa de zona copia todo o conteúdo de um arquivo de zona do servidor DNS primário para servidores secundários, criando uma réplica exata da zona. Transferências completas de zona são comumente usadas durante a configuração inicial de servidores secundários ou quando estes precisam ser ressincronizados após um longo downtime.
Transferências incrementais de zona incluem apenas as mudanças na zona desde a última transferência. Como requerem menos largura de banda e poder de processamento para manter os processos de sincronização, as transferências incrementais podem ser úteis em zonas dinâmicas que sofrem alterações frequentes.
As organizações podem usar diferentes zonas para distribuir a carga de trabalho administrativa associada a um domínio e evitar que qualquer administrador ou servidor específico fique sobrecarregado.
As organizações podem usar zonas DNS para obter controle mais granular sobre o gerenciamento de registros DNS e a distribuição de tráfego. Esse recurso permite que as organizações gerenciem registros DNS de acordo com suas necessidades únicas, sem esperar que as mudanças sejam propagadas através de um sistema central.
As zonas DNS facilitam a distribuição de tráfego na internet entre diferentes servidores, permitindo que administradores de zonas configurem definições DNS personalizadas para balanceamento de carga e failover.
A delegação de autoridade dentro das zonas significa que os resolvedores DNS podem reduzir o número de saltos necessários para resolver um nome de domínio, acelerando os processos de roteamento e recuperação de dados.
O IBM NS1 Connect Managed DNS Service fornece conexões de DNS resilientes, rápidas e autoritativas para evitar interrupções de rede e manter sua empresa sempre online.
Otimize a experiência do usuário final e melhore a resiliência da rede a um custo mais baixo com o balanceamento de carga global do servidor IBM NS1 Connect, uma nova abordagem baseada em DNS e dados de desempenho dos dispositivos em tempo real.
O IBM® Cloud DNS Services oferece serviços DNS autoritativos públicos e privados com tempo de resposta rápido, redundância incomparável e segurança avançada, gerenciados através da interface da web do IBM Cloud ou via API.
O DNS permite que os usuários se conectem a sites por meio de URLs em vez de endereços numéricos de protocolos da internet.
Os servidores DNS são onde se armazenam e processam dados usados para identificar o endereço de IP correspondente a cada site pesquisado nos navegadores, utilizando o nome de domínio.
Um registro do Sistema de Nomes de Domínio (DNS) é um conjunto de instruções usadas para conectar nomes de domínio a endereços IP em servidores DNS.
Ataques cibernéticos são tentativas de roubar, expor, alterar, desativar ou destruir os ativos de terceiros por meio de acesso não autorizado a sistemas de computador.
Leia por que grandes empresas podem querer construir e hospedar seu próprio serviço DNS autoritativo.
Saiba como funcionam as redes de computadores, a arquitetura utilizada para projetar redes e como mantê-las seguras.
1 "What is a DNS zone?" Chrystal China, IBM.com, 7 de junho de 2024