什么是 DNS 区域？

DNS 区域拆分了 DNS 命名空间的不同部分（例如，域和子域）的权限，这使管理员能够更精确地控制 DNS 记录、DNS 名称服务器和其他组件。这种分区有助于简化 DNS 管理和编排，并跨名称服务器分配工作负载。

例如，域“example.com”可以与子域“blog.example.com”和“community.example.com”位于同一区域中。如果管理员需要更精细的控制（可能是因为连接到社区站点的设备数量和关联 DNS 记录的数量），他们可以将“community.example.com”子域分区到具有自己的权威名称服务器的区域。

DNS 区域规定一个域名或其一部分由特定管理员管理；然而，一个区域可以包含多个子域，且同一 DNS 服务器上可存在多个区域。

DNS 服务器。DNS 区域并不意味着物理分离，但用于控制命名空间的不同部分。

区域可以帮助减轻与域相关的管理负担，分配 DNS 查询负载并提高 DNS 服务的整体效率和可扩展性。使用 DNSSEC 和动态更新等安全功能的有效区域管理可以增强 DNS 安全性并减少 DNS 欺骗和劫持攻击等安全威胁。

有关域名系统及其运行方式的一些背景知识对于理解 DNS 区域非常重要。

DNS 是互联网标准协议的分层、分散的组成部分，负责将人类友好的域名转换为计算机用于在网络上识别彼此的 Internet Protocol (IP) 地址。¹

通常被称为“互联网的电话簿”，一个更现代的类比是 DNS 管理域名的方式与智能手机管理联系人的方式类似。手机将联系人号码保存在可搜索的联系人列表中，用户无需记住单个电话号码。同样，DNS 使用户能够使用域名而不是复杂的 IP 地址连接到网站。

当用户在浏览器中输入域名时，查询（通常称为 DNS 请求或 DNS 查找）就开始了。然后，递归解析器（客户端设备和权威服务器之间的中间人）查询一系列服务器，以找到将用户连接到所需网站需要的信息。每个服务器负责一个域名空间段。

查询过程从根域名服务器开始。根域名服务器位于 DNS 层次结构之上，负责管理根区域。这些服务器会回答根区域中存储的记录的查询，并将请求转发到相应的顶级域名服务器 (TLD)。

TLD 域名服务器将查询定向到其 TLD 中特定域名的权威域名服务器。例如“.com”的 TLD 域名服务器指向以“.com”结尾的域，而“.gov”的 TLD 域名服务器指向以“.gov”结尾的域，等等。

域名服务器（有时称为二级域名服务器）保存了具有完整域名的 IP 地址的区域文件，例如“ibm.com”。此区域文件还可能包含子域（例如 blog.ibm.com/cn-zh）的信息，或者这些信息可能会分区到其自己的区域中。

每个服务器都存储了 DNS 记录，其中包含有关递归解析器继续执行并最终解析其查询所需的域的信息。

DNS 区域文件是存储在 DNS 服务器上的纯文本文件，其中包含该区域内域的所有记录。

区域文件的每一行指定一个资源记录（有关性质的单条信息，通常按数据类型组织）。资源记录可确保当用户发起查询时，DNS 能够快速将用户定向到正确的服务器。

DNS 区域文件以两条必填记录开始： 授权机构开始（SOA 记录）（指定 DNS 区域的主要权威域名服务器）和全局生存时间 (TTL)（指示记录应如何存储在本地 DNS 缓存）。

区域文件可以包含其他几种记录类型，包括：

• A 记录（映射到 IPv4 地址）和 AAAA 记录（映射到 IPv6 地址）。
  
  
• 邮件交换器记录（MX 记录），为域指定 SMTP 电子邮件服务器。
  
  
• 规范名称记录（CNAME 记录），用于将主机名从一个别名重定向到另一个域 （“规范域”）。
  
  
• 名称服务器记录（NS 记录），表示 DNS 服务器连接到特定的权威名称服务器。
  
  
• 指针记录（PTR 记录），用于指定 DNS 反向查询。
  
  
• 文本记录（TXT 记录），表示用于电子邮件验证的发件人策略框架记录。

主 DNS 区域存储主区域文件以及该区域的所有 DNS 记录。它是一个读/写副本，区域更新是针对主要区域进行的，然后在辅助区域中复制。一台 DNS 服务器上同一时间只能有一个主区域。

辅助区域是主区域的只读副本，用于创建冗余并为 DNS 查询实施负载均衡。

DNS 请求通常分布在主服务器和辅助服务器之间。如果主服务器宕机，辅助服务器可以通过使用区域传输（使主服务器和辅助服务器交换区域的事务）来承担全部或部分负载。辅助区域还会与主服务器进行检查，以确保副本是最新的。

正向查找区域将域名转换为 IP 地址。当 DNS 解析器收到对人类可读域名的查询时，它会查阅正向查找区域中的 A 或 AAAA 映射记录以查找相应的 IP 地址。

与正向查找区域相对，反向查找区域使用 PTR 记录（指针记录）将 IP 地址映射回域名。

当团队需要了解与 IP 地址关联的域（例如故障排除和垃圾邮件过滤）时，此过程对于部署需要域验证的服务或用于日志记录目的非常有用。反向 DNS 查找区域中的查询使用 in-addr.arpa 或 ip6.arpa 域。

存根区域只包含系统识别区域的权威名称服务器所需的记录。它们充当指针，减少对递归服务器的依赖，以查询上层区域来找到权威服务器。存根区域靠近权威服务器有助于减少 DNS 查询流量并缩短解析时间。

DNS 区域传输可使系统功能处于最佳状态，尤其是在冗余和高可用性为优先考虑的环境中。

全区域传输将区域文件的全部内容从主 DNS 服务器复制到辅服务器，从而创建该区域的精确副本。在初始配置辅服务器或辅服务器长时间停机后需要重新同步时，通常会使用全区域转移。 

增量区域传输仅包含自上次传输以来区域的更改。由于增量区域传输需要较少的带宽和处理能力来维护同步进程，因此在频繁更改的动态区域中可能很有用。