浙江大学智能DNS集群建设与应用

文／单康康 王佶 张华

背景需求

浙江大学目前有紫金港、玉泉、西溪、华家池、之江、舟山、海宁等7个校区，师生6万多名，校园网同时在线日均3万余用户，在线终端数日均4万余部，校内DNS解析请求平均达到1万QPS。随着移动互联网迅速发展以及智能终端的广泛使用，在线域名请求并发量急剧上升，对校园网络基础设施DNS设备压力逐年增加，构建一套安全稳定且支撑大规模流量的DNS系统成为校园网安全稳定运行的迫切需求。

浙江大学早期使用单台实体服务器作为主DNS，后来采用主辅两台DNS服务器， 浙江大学DNS历史架构如图1所示。由于主服务器存在单点故障，后续对主服务器利用LVS+KeepAlived负载均衡架构进行提升，达到双机负载均衡，较大提高整体可用性，但上述几种DNS架构仍存在以下不足：

1.缺少对各服务器的集中式Web管控；

2.软件负载均衡架构容易受服务器自身性能局限；

3.无法对递归线路进行智能检测与切换。

图1 浙江大学DNS历史架构

智能DNS集群建设

建设思路

浙江大学新一代智能DNS集群架构的设计思路和原则，有以下几个方面：

1.开源软件架构：要求除了前端负载均衡采用硬件产品，DNS集群其他所有功能与软件平台都采用开源软件构建，以满足可管、可控、可自定义扩展以及成本控制等。

2.流量负载均衡：前端采用硬件负载均衡设备，同时实现双机在线冗余，将接收的域名请求根据策略分摊至下联权威DNS服务器集群，硬件负载均衡设备可根据策略将校内用户流量导向各权威实体DNS服务器，同时对服务器进行服务实时监测和故障服务器剔除和流量切换功能。

3.准电信级高可用性：单集群中的一台或多台服务器出现故障，无法提供业务，自动将用户流量转移至其他正常服务器，业务达到99.999%可用率，全年业务中断时间不超过5分钟，一年故障率不超过1次（见表1）。

表1 可用性量化

4.Web界面统一管控：提供用户友好的UI界面，对所有DNS实体服务器进行集中管控，主要实现域名更新、修改等操作同步下发、域名变更实时生效、实时监控服务器压力负载、域名解析状态、服务器日志统一存储与大数据分析用户行为等。

5.递归链路故障智能转移：递归DNS集群策略对递归链路进行实时健康监测，当某个校区递归链路出现故障，自动将导向故障区域的DNS流量转移到其他校区正常出口链路，当故障校区链路恢复正常，自动将用户请求流量迁回，要求故障智能处理时长不超过6秒。

技术架构

浙江大学新一代智能DNS集群采用4层架构，如图2所示。

图2 总体技术架构

1.负载均衡层：采用2台国际主流硬件负载均衡硬件设备，实现双机实时冗余，可扩展架构，学校DNS地址绑定到负载均衡设备做为VIP，负责接收学校所有域名请求包，转发分摊请求包至权威服务器层。

2.权威服务层：采用3台以上实体服务器，利用BIND开源软件建设权威服务器群，权威服务器之间域名数据实现同步更新，负责均衡层接收域名解析包，解析学校权威域名，将缓存中的权威与递归域名解析结果返回用户，将缓存中没有的递归域名转发到递归服务层。

3.递归服务层：在学校各校区各自独立建设至少1台递归服务器，利用UNBOUND开源软件，负责接收处理权威服务层转发的递归解析请求，在多校区建设在线冗余链路出口，以实现异地灾备。

4.统一管控层：利用Apache/PHP等组件搭建统一管控平台，对所有权威服务器进行统一管控与配置同步，主要实现域名编辑、统一下发、大数据统计、实时性能监控等功能。

图3 管控平台核心功能模块

应用成效

浙江大学新一代基于统一管控的智能DNS集群自建成运行以来，实现了每年零业务中断次数、零业务中断时间。集群目前可支撑10万QPS，且能根据需求在线扩容，可实现在线域名管理与实时生效、域名访问统计、用户流量分析、QPS实时监测、DNS解析成功率实时监控、恶意域名监测等基本功能和大数据分析模块，如图3所示。

浙江大学基于统一管控的高可用智能DNS集群根据可管、可控、可查整体设计思路，深入用户需求与安全挑战，建设了一套基于集中式统一管控的分布式、可扩展、智能链路切换、流量负载均衡、Web界面统一管控、大数据用户行为分析、网络安全监测等的准电信级智能DNS服务云平台，能较好应对移动互联网与物联网快速发展中面临的安全问题与核心设施压力，较大提升网络核心运维应用设施稳定安全，加快推进浙江大学智慧校园信息化建设，助力学校“双一流”跨越发展。