Route 53的DNSSEC对于us-east-1的故障有多强健?
0
【以下的问题经过翻译处理】 Route 53控制平面供客户使用,运行在us-east-1。在区域性中断期间,无法进行配置更改,但现有配置仍然可以继续工作(至少从我记得的来看),我不知道是否有离线备份?启用DNSSEC显然增加了对Route 53控制平面和us-east-1 KMS的持续依赖,因为DNSKEY记录集必须由KSK重新签名,每8小时分发到边缘PoP,这会使Route 53区域更少弹性吗?DNSKEY记录集显然是提前签名并分配到PoP的,但是缓冲区有多少?几分钟?一天?一周?如果在23:59 UTC开始或持续时间超过8小时的故障怎么办?是否有某种离线密钥导出和灾难恢复计划,可以在us-east-1中断期间继续进行Route 53 DNSSEC操作?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 启用DNSSEC明显会增加对Route 53控制平面和us-east-1 KMS的持续依赖,因为DNSKEY记录集必须每8小时由KSK重新签名并分发到边缘PoP。DNSSEC的依赖关系被设计成非常慢地成为一个问题,有点类似于根域名服务器的运行方式。Route 53提前预签名新的ZSK,并复制到 DNS数据平面,使得我们可以在数周内不断轮换和签名ZSKs,这样依赖关系才成为一个问题。密钥存储在跨多个可用区(相距数英里的数据中心)的KMS中以实现冗余。
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 7 个月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前