对DNS主从服务器进行key认证

在配置DNS主从服务器同步的时候，bind服务默认是允许任何人进行同步的，但是这样容易造成安全隐患。bind服务支持通过限制IP和key认证两种方式来对同步的来源Ip进行限制，限制IP的方法已经在此前的文章中演示多次，因此本文着重描述如何使用key认证来限制从服务器的来源。

本次实验我使用了两台虚拟机进行测试，分别是：

相关的主从服务器的配置此处不多细说，可参考我此前的文章； https://wwwjianshucom/p/e8b5866802d1

在DNS主服务器上生成认证key：

编辑/etc/namedconf文件：

编辑/etc/namedrfc1912zones文件：

随后分别创建/var/named/handwellcomzone和/var/named/1888888zone文件：

随后检查相关的配置文件，如无报错后，重新加载named服务即可：

此时没通过key认证的服务器尝试来同步相关的区域数据时，通过systemctl status named 或查看 /var/log/messages日志可看到以下的拒绝报错：

或者如果从服务器的认证key不正确，也会出现以下报错：

编辑从服务器的/etc/namedconf 文件：

编辑/etc/namedrfc1912zones文件：

配置完成后，验证检查相应的配置文件后重启服务即可：

此时查看对应的日志文件应能看到相应的同步信息如：

15台服务器不少也不算太多，搭建一个基于LAMP技术的网站绰绰有余了。我的建议是

选择其中的两台硬盘较大，内存还可以的两台作为数据库服务器。搭建一套主从热备的主从数据库，实现系统的读写分离。提高数据访问的速度。

选择硬盘最大的一台作为文件服务器，放置系统需要使用的等静态资源。这里可以看情况而定，如果文件数据量大的话可以考虑多用一两台的搭建分布式文件系统。选择内存较大的一或两台搭建缓存服务器，将网站上满足二八定律的、访问量集中的、那百分之二十的数据缓存起来。内存的访问速度比硬盘快太多。剩下的用于搭建应用服务器集群。使用一台作为负载均衡调度服务器。当请求访问时根据既定的策略将请求分发到集群中去。

如有不对请斧正。欢迎评论讨论。

1921681100 (电信)

1921681101 (电信)

1921681102 (电信)

101010100 (网通)

101010101 (网通)

并且5台服务器都在为www提供服务。

本例子再假设域名为qicaispacecom

为电信用户实现负载均衡

根据前面的资料，电信一共有3台www服务器，分别是

1921681100

1921681101

1921681102

首先登陆DNSPod的後台，添加一个qicaispacecom的域名。

然後在 管理域名记录 中添加一条记录

主机记录 www记录类型 A线路类型 电信

记录值 1921681100点击增加接着，再分别添加两条记录

主机记录 www记录类型 A线路类型 电信

记录值 1921681101

主机记录 www记录类型 A线路类型 电信

记录值 1921681102

为网通用户实现负载均衡

电信用户的记录添加完毕後，接着添加网通的。

网通的添加方法跟电信的没太大分别

主机记录 www记录类型 A线路类型 网通

记录值 101010100

主机记录 www记录类型 A线路类型 网通至此，所有记录添加完毕