无缝 DNS 迁移：操作指南

搬到新家的第一件事就是去邮局更新邮寄地址。此更新不一定很复杂，但必不可少：否则，重要的邮件可能会发送到您的旧地址，而您和发件人都不会知道邮件未送达。

DNS 迁移与此类似。如果处理不当，用户可能无法访问您的网站，电子邮件可能出现故障并导致与客户的沟通问题，整合可能会中断等。从根本上说，客户可能无法通过正确的地址联系到您的企业，从而导致一系列不良后果。

域名系统 (DNS) 就像互联网的电话簿或目录。它使用户能够使用易于记忆的域名（例如 IBM.com）而不是数字串（在本例中为 184.85.75.7）来导航到网站。

但是 DNS 不仅仅涉及简单的翻译，托管 DNS 提供商的服务质量会影响性能、可靠性、延迟、安全性、隐私等。当提供商的 DNS 服务不能满足期望或需求时，企业可能会寻找新的提供商。这时，他们将需要规划 DNS 迁移。

DNS 迁移，即组织将域的 DNS 记录和设置从一个提供商转移到另一个提供商，并不一定像人们通常认为的那样是个艰巨任务。不过，如果执行不当，也会有风险和潜在的麻烦。DNS 迁移错误可能导致服务器停机、网络漏洞等。以下是如何确保这种情况不会发生的方法。

您可以在此阅读关于 DNS 查询过程的更多信息。

简单的答案是，并非所有 DNS 提供商都提供相同的服务或服务质量。性能是一项关键特性，但它不是唯一的考虑要素。

例如，DNS 提供商还可能提供安全特性，以防止 DNS 欺骗，并阻止访问已知或可疑的恶意域。监控和记录功能也因提供商而异。一些 DNS 提供商提供负载均衡特性供故障转移功能使用（其中会使用多个冗余 Web 服务器处理 DNS 查询以避免任何一台服务器过载），或者使用全球内容分发网络 (CDN) 来帮助在离用户更近的地方缓存内容。当然，成本也可能是导致更换 DNS 提供商决策的一个因素。

企业领导必须选择最适合其业务需求的服务。这些需求经常发生变化，而 DNS 要求可能会因此而变化。在当前 DNS 提供商的服务不再能满足企业需求时，企业领导者可能会考虑将其 DNS 记录和管理迁移到新的提供商。

一般来说，许多企业拖延迁移的一个主要原因是他们觉得迁移工作过于令人生畏，而且任何改变都会导致停机。这是合理的担忧，但可以通过仔细的规划和执行来应对。

DNS 迁移的第一步是指定迁移的原因。企业寻求的是哪些目前尚未获得的益处？企业需要解决哪些问题？例如，如果企业使用小型互联网服务提供商 (ISP) 的 DNS，他们可能会发现解析时间达到数百毫秒。在这种情况下，提高速度可能是当务之急。

一旦企业确定了迁移的原因，IT 团队就可以对不同的服务进行比较，以找到功能、服务和成本的适当组合。不同的提供商提供不同的引导迁移的具体方法，但有一些一般准则可供遵循。

迁移团队选定新提供商后，他们需要从以前的 DNS 提供商收集所有记录和相关信息。这些记录可能包括以下内容：

这些记录提供从域名到 IP 地址的直接转换。A 记录面向 IPv4 地址，AAAA 记录面向 IPv6 地址。IPv6 正变得越来越普遍；它可提供数量多得多的唯一 IP 地址，并包括一些基本的安全和提速功能。

规范名称记录（CNAME 记录）会将别名域定向到规范域。这意味着此类记录用于将子域链接到域 A 或 AAAA 记录。

委托名称记录（DNAME 记录）用于用一条记录重定向多个子域，并将它们指向另一个域。

证书颁发机构授权记录（CAA 记录）允许域所有者指定哪些证书颁发机构 (CA) 可以为其域颁发证书。CA 是一个通过颁发数字证书来验证网站身份并将其与加密密钥连接起来的组织。

文本记录（TXT 记录）存储与域和子域相关的文本信息。文本记录支持存储发件人策略框架 (SPF) 记录和电子邮件验证记录。存储在 TXT 记录中的 DKIM 和 DMARC 记录可帮助电子邮件服务器确认邮件来自可靠的来源。

起始授权机构记录（SOA 记录）存储有关域的重要管理信息。这些信息可以包括域管理员的电子邮件地址、有关域更新的信息以及服务器应何时刷新其信息。

名称服务器记录（NS 记录）显示哪个 DNS 服务器充当域的权威名称服务器。权威名称服务器包含有关特定域及其相应 IP 地址的最终信息。NS 记录指向域所持有的所有不同记录。如果没有 NS 记录，用户将无法访问您的网站。

DNS 区域是 DNS 命名空间内的划分。例如，IBM.com 有一个单独的 DNS 区域 research.ibm.com。这些子域足够大，可以因单独的管理和监控中获得便利。DNS 区域文件包括大多数上述文件类型：SOA 记录、A 和 AAAA 记录等。

还有其他 DNS 记录类型，请阅读本指南以获取更多信息。

一些提供商提供自动化功能，可以为您收集、导出和导入 DNS 记录，但同时执行手动备份通常是明智的做法：缺失记录可能会导致严重问题。您还需要将这些文件的副本存储在安全的地方。

此过程中的一个潜在问题可能是 DNSSEC 或域名系统安全扩展。DNSSEC 提供了一套宝贵的安全保护套件，可使用签名验证来帮助确保准确性并防止 DNS 欺骗和其他攻击。

但 DNS 迁移过程可能会引入不同的签名算法，从而破坏链并导致中断。这个问题有不同的解决方案：一些提供商将提供特定于 DNSSEC 的迁移工具，用于维护这种安全性。在另一些情况中，可能需要在迁移之前禁用 DNSSEC，然后在迁移完成后再次启用。

另一种建议的做法是降低生存时间 (TTL) 值。这是递归解析器（或递归服务器，DNS 查询的第一站）将最近访问的网站的 IP 地址存储在缓存中的时间长度。缓存免去了再次查找 IP 地址的需要，并有助于提供更快的连接。

例如，如果将 TTL 设置为 24 小时，当用户尝试访问在该时间范围内已迁移 DNS 服务器的网站时，其浏览器将尝试访问旧的 IP 地址，这可能会导致错误。将 TTL 设置为非常低的值（比如只有几分钟）可以帮助避免此问题。

最好分阶段而不是一次性完成迁移。通过分阶段，迁移团队可以单独检查每个功能是否存在错误，而不必在整个操作过程中费力地找出问题所在。

团队导出现有 DNS 文档并使用新 DNS 提供商的服务将其导入后，他们应该检查并验证文档，以确保在过程中不会丢失任何内容。像 [dig] 这样的工具可以帮助进行验证。[Dig] 即域信息探索器，是一个命令行工具，可让用户检查 DNS 文档，从基本 IP 地址到 TXT、SOA 等。Nslookup 是另一个命令行工具，比 [dig] 简单，但返回的结果较为简略。

然后，团队可以开始分阶段转移：Web 托管、电子邮件服务，然后是 API 和其他第三方服务。随着迁移的进行，团队中的某个人最好检查每个问题并对其进行故障排除。配置任意高级设置，例如启用 DNSSEC。在测试服务器上完成所有测试后，团队就可以继续在注册商处更新信息。

如果企业有单独的域名注册商和 DNS 提供商（可能使用 IBM® NS1 CONNECT 执行 DNS，使用 GoDaddy 执行域名注册），则团队必须登录域名注册服务并更新域名服务器记录。如果企业使用同一提供商来提供 DNS 和注册，则通常可以自动完成。如果您不更换托管服务提供商，则无需对 Web 主机本身进行任何更改。

一个重要因素是：先不要删除旧的 DNS，因为存在 DNS 传播。DNS 记录不会在整个互联网中立即更改；分散的域服务器需要时间搜索和更新其记录。团队可以使用 WhatsMyDNS.net 等在线工具定期检查记录状态。通常最多需要一两天，但在此期间，您会希望新旧 DNS 服务都在运行，而这些域服务器会更新其记录。这可确保用户不会遇到中断。

一旦传播完成，迁移基本上就完成了。只剩下一些简单的收尾工作。其中包括：

将 TTL 恢复到正常状态：将 TTL 恢复到 24 小时或之前的任何值，以便为用户启用缓存。

更新内部文档：确保在组织记录中更新 DNS 信息（帐号、计费周期等），以避免混淆。

监控：迁移后查看性能和其他指标。IT 团队可以查看 DNS 日志是否存在任何错误或超时，跟踪新的响应时间，设置停机警报，并定期检查传播情况。许多 DNS 提供商都有内部监控工具。也可使用第三方工具。

在此处了解有关托管 DNS 服务的更多信息。