Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Route 53的DNSSEC对于us-east-1的故障有多强健?

0

【以下的问题经过翻译处理】 Route 53控制平面供客户使用,运行在us-east-1。在区域性中断期间,无法进行配置更改,但现有配置仍然可以继续工作(至少从我记得的来看),我不知道是否有离线备份?启用DNSSEC显然增加了对Route 53控制平面和us-east-1 KMS的持续依赖,因为DNSKEY记录集必须由KSK重新签名,每8小时分发到边缘PoP,这会使Route 53区域更少弹性吗?DNSKEY记录集显然是提前签名并分配到PoP的,但是缓冲区有多少?几分钟?一天?一周?如果在23:59 UTC开始或持续时间超过8小时的故障怎么办?是否有某种离线密钥导出和灾难恢复计划,可以在us-east-1中断期间继续进行Route 53 DNSSEC操作?

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon Route 53
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten0 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 启用DNSSEC明显会增加对Route 53控制平面和us-east-1 KMS的持续依赖,因为DNSKEY记录集必须每8小时由KSK重新签名并分发到边缘PoP。DNSSEC的依赖关系被设计成非常慢地成为一个问题,有点类似于根域名服务器的运行方式。Route 53提前预签名新的ZSK,并复制到 DNS数据平面,使得我们可以在数周内不断轮换和签名ZSKs,这样依赖关系才成为一个问题。密钥存储在跨多个可用区(相距数英里的数据中心)的KMS中以实现冗余。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt