中国移动可连接DNS体系研究和实践_中国移动用什么dns

通信世界网消息（CWW）域名解析系统（Domain Name System，DNS）是互联网的核心组成部分，负责将域名转化为对应的IP地址。当根、顶级域及本地域名服务器（Local DNS，LDNS）等关键节点发生故障时，互联网就会陷入瘫痪。DNS作为用户访问互联网的控制入口，对经济发展和日常生活有举足轻重的影响。

基于20多年的运维经验，笔者创新性地提出可连接DNS理论体系，组织构建新型DNS，以期对互联网持续稳定运行起到重要作用。

连接与非连接技术

面向连接的通信要求在发送数据前设备之间先建立连接，具备通信质量好和安全可保障的优点；但其强调通信的确定性，缺点是不能灵活适配。

互联网是非连接的，在建立通信的过程中，所有沿途节点不需要资源预留，不记录通信状态，具备网络对接简单、灵活支持多种业务、生存能力极强的优点；但其缺乏控制机制，难以有效保障通信的质量和安全。连接与非连接技术特点对比见表1。

表1 连接与非连接技术模型的典型区别

不可控的互联网DNS

DNS采用典型的非连接技术模型构建，因此，如何跨界借鉴连接模型理念，增加解析确定性、可控性，成为研究的技术起点。

DNS解析过程存在多个不可控环节，一旦发生故障将对业务产生较大影响。常见故障如下。

根故障：根处于倒状解析树的最顶端，一旦发生故障将严重影响互联网安全。

重要域故障：COM顶级域具备超高聚集的使用热度，是互联网安全最关键的保障目标。但顶级域的分散管理方式会导致不可预测的威胁。

解析机制滞后效应的影响：递归解析报文中携带存活时间（Time To Live，TTL），域名TTL逐秒递减，到0递归，此解析机制会导致域名记录变化无法实时生效。

可连接DNS体系架构

作为连接用户与业务的关键桥梁，运营商的LDNS负责手机和家宽用户的互联网域名解析工作，解析业务量高达1.6万次/用户/日，远高于公共递归业务量，对互联网的安全运行至关重要。

通过借鉴面向连接理论，我们基于运营商现网LDNS服务节点，构建了可连接DNS新型域名解析体系，如图1所示。

图1 可连接DNS新型域名解析体系

可连接DNS体系架构分为四层（应用管理层、连接控制层、数据信息层、服务节点层），主要实现两个目标：一是创新打造互联网业务开放运营功能，支持VR、元宇宙、大视频等新兴互联网业务调度需求；二是构建长效应急能力，为13亿互联网用户提供持续稳定的DNS解析服务能力。

作为可连接DNS体系结构的顶层，应用管理层负责面向各类互联网业务系统，提供域名急救、域名精准调度、域名可信交互等管理和服务功能。

连接控制层是可连接DNS体系结构的中枢，负责对全局DNS的连接、调度和决策。向上对接应用管理层，接收任务列表清单；向下全连接所有DNS相关系统和设备，发送控制指令，完成策略执行。

数据信息层是可连接DNS体系结构的智库，一是实现域名权威信息的采集、存储和分析，为内循环体系构建域名索引库；二是实现对DNS日志数据的热度、频度等属性的分析，为应急和运营提供数据支撑，实现大数据价值转化；三是基于区块链技术建立高可靠、高安全的域名解析连接，支撑重要数据上链能力。

服务节点层是可连接DNS体系结构的基座，包括全网缓存、递归、权威、应急节点等。缓存作为业务承载主体，以省为单位分布式部署，应答了98%以上的用户解析请求；递归不直接响应用户，承担从权威服务器获取域名解析结果的重任；权威负责管理本级域名权威解析，包括A/AAAA/CNAME/TXT等类型结果；当发生全网大面积解析故障时，应急节点将起到容灾的关键作用。

可连接DNS运营实践

基于上述理论架构体系，对现网进行全方位改造，可进一步提升互联网DNS的连接控制能力，满足更多新业务需要。以下为成熟案例，以飨读者。

自解析内循环长效应急能力

可连接DNS体系融合探测和大数据技术，动态遴选热点价值域名，获取域名权威信息，构建索引库。在域名被篡改或故障时，依托连接控制层，可跳过中间环节直达末端权威服务器，快速获取域名解析信息。

中国移动已建立两级索引库并完成全网部署，总连接域名数超2亿，经规模验证，系统解析成功率超过99%，持续达到现网同等运营水平。

域名急救

当域名被“污染”或故障时，受制于TTL设置、CNAME机制等影响，业务变更期间会出现数分钟业务中断。通过可连接DNS控制台，直接下发指令到LDNS，秒级生效，实现域名急救。该功能已应用300多个域名，得到广泛好评。面对互联网用户的急迫需求，中国移动将通过标准API接口开放能力。

域名精准调度

运营商的LDNS分省部署，业务调度往往只能精确到省。可连接DNS掌控城域网拓扑信息，通过传递用户位置标签，支持“1ms时延圈”的区县级调度。该功能对于VR/AR、云游戏等超低时延、超高速率的应用加速效果显著。当前中国移动CDN使用域名精准调度技术，服务抖音等业务流量已超10Tbit/s，获得了超低访问时延的质量增益。

域名可信交互

常规递归解析方式存在传输不安全、“污染”难抵制等问题。域名可信交易功能支持金融、政府等互联网内容提供方作为主权实体，重保域名作为区块链交易对象，在共识机制和智能合约共同约束下，建立高可靠、高安全、高保障的新型DNS解析体系。

结语

构建可连接DNS体系，对于应对互联网大面积解析故障、增强和改善网络安全，具有重要意义。想要真正发挥可连接DNS的运营效能，任重而道远，还需业界加强合作，联合创新，共同促进可连接DNS发展。