SDWAN的智能DNS
发布时间:2021-08-10 13:10:11作者:zartbot阅读:0
最近处理一些客户的案例,发现在应用进行动态选路的时候,DNS通常并没有识别SaaS的CDN能力,最后流量调度南辕北辙. 所以最近基于ZaDNS项目写了一些DNS多出口并行解析和CDN发现的功能.
项目地址: github.com/zartbot/zadns
很多CDN业务的DNS会根据请求的源地址不同响应不同的业务地址,一个SDWAN Fabric通常跨越多地并且有多个运营商出口,将DNS解析结构收集归纳,并通过反查AS号来识别CDN或者使用GeoIP查询来计算物理距离。然后将最优的结果反馈给终端并且控制SDWAN转发平面的路径配置。
例如访问思科可以得到如下列表
| IP | ASN | City | Country | Lat/Long | Distance(km) |
|---|---|---|---|---|---|
| 96.16.179.237 | GTT Communications Inc. | San Jose | United States | 37.33,-121.88 | 9977.29 |
| 72.163.4.161 | CISCOSYSTEMS | Richardson | United States | 32.94,-96.70 | 11860.22 |
| 104.111.198.247 | AKAMAI-AS | Hong Kong | China | 22.29,114.15 | 1199.81 |
| 104.95.63.78 | AKAMAI-AS | Dallas | United States | 32.77,-96.80 | 11870.65 |
| 104.76.12.36 | AKAMAI-AS | Osaka | Japan | 34.68,135.51 | 1390.96 |
或者某网站:
| IP | ASN | City | Country | Lat/Long | Distance(km) |
|---|---|---|---|---|---|
| 157.240.11.35 | Los Angeles | United States | 34.05,-118.24 | 10464.99 | |
| 157.240.218.35 | Singapore | Singapore | 1.30,103.85 | 3778.04 | |
| 179.60.194.35 | Kuala Lumpur | Malaysia | 3.16,101.70 | 3714.48 | |
| 31.13.93.35 | Dallas | United States | 32.77,-96.80 | 11870.65 |
SDWAN应该内置一个DNS服务器来实现这些功能,并且和SDWAN控制器和本地网关联动实现动态的基于性能的选路,例如对每个路径进行HTTPS Ping或者TCP ping 80、443、UDP-QUIC等计算RTT,然后和网关间的SLA整合一起计算出最优路径来。ZaDNS在Cisco SDWAN路由器上可以直接通过Container安装运行,然后配合API控制vSmart或者本地Local Policy即可完成路径选择
基于DNS的ZTNA
很多云原生业务都有DNS实现业务发现和注册,这些在K8s里面已经很普遍了,而针对广域网侧或者用户端侧,例如SDWAN、SDA,我们的实现是LISP动态加载Overlay地址进转发表实现的,或者在SDWAN路由器上构建防火墙实现广域网的安全隔离。为了将整个链路拉通对齐,传统的零信任网络架构需要一个控制器,那么不干脆把这些东西全部整合进DNS里面。但是DNS无法对终端进行鉴权,还好DNS over TLS和DNS over HTTPS的出现可以解决这些问题了、这样我们就可以通过DNS知道客户端需要访问某个服务,然后自动的通过DNS鉴权客户后修改网关的ACL和路由表实现动态的策略通行。
这个功能架构设计已经完成,以后会在ZaDNS中实现。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:SDWAN的智能DNS
TAG标签:SDWAN的智能DNSSD-WAN
地址:http://www.vecloud.com.cn/article/335.html
客服
电话
微信
