Azure 上的 DNSSEC：我的私有预览版体验

在我目前工作的政府组织中，有一个不成文的规定：如果你不在 Internet.nl 的名人堂上榜，那么你就跟不上现代互联网标准。Internet.nl 是一个帮助组织检查其互联网标准是否最新且符合最新安全协议的平台。它评估从 DNSSEC 到 IPv6 的一切，确保网站和服务不仅功能齐全，而且安全且面向未来。

过去几年，在 Internet.nl 上勾选所有项目（尤其是 DNSSEC 和 IPv6 支持）的压力一直很大。处理 IPv6 很有挑战性，但借助 Azure Front Door 等工具，它变得可以管理。您可以在我之前的博客这里阅读更多关于我如何使用 Azure Front Door 集成 IPv6 的内容。此外，在另一个博客文章中，我介绍了如何在不需要 Azure Front Door 的情况下将 Application Gateway 用作面向公众的服务。

但房间里的大象依然存在：DNSSEC。对于初学者来说，DNSSEC（域名系统安全扩展）通过确保 DNS 查询的响应是真实的，增加了额外的安全层，从而保护用户免受缓存中毒等攻击。

最近，一位同事和我进行了一次谈话，让我有了一个有趣的发现：Microsoft 的私有 DNSSEC 配置，目前正处于私有预览阶段。现在，我通常不愿涉足软件的私有版本——它们存在一定程度的不确定性。然而，在 Azure 中配置 DNSSEC 的想法，尤其是在新的技术栈中，实在太诱人了，无法忽视。

探索 Azure 的私有 DNSSEC 配置

对于准备好深入研究的人来说，以下是如何使用 Azure PowerShell 在 DNS 区域上启用 DNSSEC 的方法。命令非常简单。

New-AzDnsDnssecConfig -ResourceGroupName <ResourceGroupName> -ZoneName <ZoneName>

这一行简单的代码即可创建或更新您指定 DNS 区域上的 DNSSEC 配置。它可能看起来很基础，但在底层，这是保护您的域安全迈出的重要一步。

以下是该命令的作用：

• ResourceGroupName：此参数指定您的资源组的名称。
• ZoneName：这是将启用 DNSSEC 的 DNS 区域名称。

运行命令后，您将收到类似如下的输出：

Etag                         : 7fbca8a9-849e-48cc-a006-7843bd1e4b7f
Id                           : /subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/dnszones/<ZoneName>/dnssecConfigs/default
Name                         : default
ProvisioningState            : Succeeded
...

此输出表明 DNSSEC 已成功启用，您的 DNS 区域现在更加安全。您希望看到的 ProvisioningState 为 Succeeded，这意味着一切都按计划进行。

最终，一个 Azure 的 B2C 解决方案，以及一个在 Internet.nl 名人堂上的 Azure Front Door，真是太棒了！

结论：拥抱 DNSSEC 的未来

虽然我通常会因为私有版本固有的不可预测性而避免使用它们，但 Azure 的私有 DNSSEC 配置已被证明是一个强大的解决方案。它无缝集成到基础设施即代码 (IaC) 方法中，这对我很重要。

配置 DNSSEC 过程出奇地简单，而且它现在是我 Azure 技术栈的一部分，这意味着在实现 Internet.nl 的完全合规性方面少了一个障碍。如果您处于类似的位置，在先进的安全需求与简化、符合 IaC 的解决方案之间进行权衡，我强烈建议尝试一下这个私有预览版。

DNSSEC 可能是缺失的最后一块拼图，但借助 Azure 的工具，它终于就位了。这次经历强化了一个重要的教训：有时，尝试私有预览领域可能会带来意想不到但非常有益的结果。

有关如何在您的环境中实现 DNSSEC 的更多详细信息，您可以参考Microsoft 文档这里。

最终想法和建议

与任何私有预览功能一样，存在风险。我的建议是谨慎行事。如果您的开发实践采用主干开发，并且您乐于管理功能切换，那么预览版和最终发布之间发生小变化的风险是可以管理的。考虑潜在影响——如果 DNSSEC 更新导致短暂停机是可以接受的，尤其是在非业务关键环境中，我认为您可以大胆尝试。

但是，如果您的环境对业务至关重要且不允许停机，您可能需要三思。在这种情况下，虽然我通常是 Azure 生态系统内部支持者，但我不得不承认：Cloudflare 在这方面表现出色。凭借其对 IPv6 的强大支持、高级安全功能、机器人防护和有竞争力的价格，Cloudflare 是云市场上的有力竞争者。

对于那些管理业务关键型应用程序，DNSSEC 停机可能造成灾难性后果的人来说，我的建议是在您的 Azure Front Door 前面配置一个 Cloudflare 解决方案。这将确保您获得所需的 DNSSEC 支持，同时还能满足 Internet.nl 的所有要求，而不会影响您环境的稳定性。

最终，最佳解决方案是符合您的运营需求和业务优先事项的解决方案。明智地选择，不要犹豫利用可用的最佳工具来保护您的基础设施。

如果您对 Cloudflare 解决方案的想法感兴趣，或者正在探索多云策略，请随时与我联系。我很乐意与您合作，并付出努力帮助您设计一个健壮的、面向未来的架构。无论您是考虑深入研究 Cloudflare，还是仅仅寻求关于管理多云环境的建议，我都在这里提供帮助。让我们确保您的基础设施不仅合规，而且具有弹性，并为未来做好准备。