创建域名系统容器镜像用于创建域名系统容器实例的制作方法

1.本发明涉及一种用于存储域名系统容器镜像用以在域名系统基础设施中创建至少一个域名系统容器实例的方法。本发明此外涉及计算机程序产品和计算机可读介质。


背景技术：

2.在域名系统（domain name system dns）中，经由dns服务器在网络中分散式地提供用于dns域的信息。各个终端设备或其应用程序可以读出并且使用这些信息，其方式是所述终端设备或其应用程序要么直接在为dns域存放的dns服务器处询问（anfragen）所述信息，要么为此使用例如由提供商提供的dns解析器，所述dns解析器然后将询问转发给dns域的dns服务器。
3.在dns基础设施中提供的dns信息包括将dns名称解析成ip地址，或者例如发布电子邮件基础设施的输入和输出，由dns域的发送方或接收方使用所述输入和输出。此外，可以经由dns基础设施在网络中分布用于dns域的任意其他dns信息。经由端口53 udp和tcp提供所述dns信息。
4.在无由dns基础设施提供的这些dns信息的情况下，可靠的通信是不可能的。因此，在可用性和完整性方面高的要求适用于dns信息。使用非对称加密方法用于保护完整性。在保护完整性情况下使用的密钥对包括私钥和公钥。签名利用私钥进行，使用公钥用于验证签名。尤其是，因为私钥被用于保证完整性，所以不应使所述私钥失去dns域所有者的控制（nicht aus der kontrolle
…
gegeben werden）。
5.特别是，由攻击者充分利用经由udp对dns服务的提供，其方式是dns域的dns服务器有针对性地借助于僵尸网络等等利用询问盲目地被轰击，并且从而ddos攻击可以相对简单地被执行，并且近来也经常发生。dns域的所有dns服务器特别是在互联网中可能简单地被攻击，因为存放在外部dns寄存器中的dns服务器数量特别地大多数限制于四个dns服务器，在某些情况下限制于八个或十个，并且（只要存在存放在dns区域中的其他dns服务器），攻击这些在外部注册的服务器并且从而禁止用于dns域的dns信息的可用性就足够了。
6.当前，可以经由以下机制保护dns域的dns服务器免受攻击，并且可以获得用于dns域的dns信息的可用性：
‑
给dns域的dns服务器装备足够大的计算容量。
7.‑
经由负载均衡器以集群的方式向外提供多个dns服务器。
8.‑
在dns服务器之前放置缓存代理或防火墙，所述防火墙阻止已知攻击者的询问，并且不允许其通过到达dns服务器。
9.‑
dns协议本身提供缓存机制，所述缓存机制引起：dns解析器可以在由dns域所有者定义的时间间隔内中间存储已经询问的dns信息。然而，该机制不阻止：攻击者能够直接攻击dns服务器。
10.此外，可以经由协议dnssec保护dns域的dns服务器免受攻击，并且可以保证dns信息的真实性和完整性。经由协议dnssec，可以对每个单独条目经由密码签名保护完整性和
真实性，并且从而由dns解析器对其进行验证。因此，dnssec可以被看作是对获得用于dns域的dns信息的可用性的机制的补充。dnssec保证可以鉴于正确性检验所转交的dns信息。
11.本发明的任务在于，提供一种用于确保dns信息的完整性和真实性以及在过载的情况下保证用于dns域的dns信息的可用性的改善的解决方案。


技术实现要素：

12.本发明由独立权利要求的特征得出。有利的改进方案和构型是从属权利要求的主题。本发明的其他改进方案、应用可能性和优点由随后的描述和附图得出。
13.本发明涉及一种用于存储至少一个域名系统容器镜像（dns容器镜像）的方法，其中所述域名系统容器镜像被构造用于在域名系统基础设施（dns基础设施）中创建至少一个域名系统容器实例（dns容器实例）。所述方法具有以下步骤：
‑
创建至少一个经签名的域名系统信息（经签名的dns信息），其中通过域名系统信息的密码签名创建所述至少一个经签名的域名系统信息，其中所述密码签名在域名系统服务器基础设施之外、尤其是在域名系统域所有者（dns域所有者）处被创建，
‑
创建至少一个域名系统容器镜像，其中所述至少一个域名系统容器镜像具有经签名的域名系统信息和至少一个域名系统服务器软件，以及
‑
将至少一个域名系统容器镜像存储在容器注册表中。
14.本发明的一个方面在于，通过至少一个域名系统容器实例在基于容器的域名系统基础设施中提供经签名的域名系统信息，其中经签名的域名系统信息在域名系统基础设施之外被创建。非对称加密方法被用于对域名系统信息进行签名（域名系统信息的完整性保护）。在保护完整性情况下使用的密钥对包括私钥和公钥。利用私钥（证书）进行签名，使用公钥用于验证签名。尤其是，因为私钥被用于保证完整性，所以不应使所述私钥失去dns域所有者的控制。因此，经签名的域名系统信息在域名系统基础设施之外被创建。
15.域名系统（dns）是许多基于ip的网络中的服务。其主要任务是应答用于名称解析的询问。dns与电话问询类似地起作用。用户知道域（互联网中的计算机的对于人可觉察的（merkbaren）名称），例如example.org。所述用户将该域作为询问发送到互联网中。然后，在那里由dns将域转换成所属的ip地址（互联网中的“连接号码”），例如形式为192.0.2.42的ipv4地址或诸如2001：db8：85a3：8d3：1319：8a2e：370：7347之类的ipv6地址，并且从而通向正确的计算机。域名系统基础设施是dns所基于的基础设施，其具有dns名称空间、dns服务器、dns解析器和dns协议。域名系统基础设施为网络的名称空间提供dns信息。它包含dns软件、用于dns域的dns区域文件，并且出于可用性原因在多个地理上分布的计算机系统（dns服务器）上被运行。dns解析器可以询问用于dns域的dns基础设施，并且从而为询问客户端实施名称解析。
16.本发明提供不同的优点。通过创建域名系统容器实例，可以动态地实现用于应答dns询问的计算容量的极端升高，而利用基于虚拟机的解决方案不能以这种速度提供所述计算容量的极端升高。这是由基于容器的架构引起的，所述基于容器的架构在资源方面是虚拟机的完整操作系统的几分之一（um ein vielfaches ressourcen
ä
rmer als
…
）。此外，可以有利地充分利用：云提供商通常可以提供比典型的本地计算中心（on
‑
premise
‑
rechenzentren）高得多的带宽和计算机资源。因此动态地强烈提高用于对dns基础设施的
ddos攻击的耗费，使得攻击的成功希望下降，并且从而保证dns服务的可用性。
17.由于在dns容器实例中已经包含用于dns域的所有dns信息，因此不需要区域传送（zonentransfer），所述区域传送以dns主/从方法分布dns信息。由此，dns容器实例仅仅能够负责为询问客户端提供dns信息。取消在常见的dns主/从方法中必须经由区域传送实施的同步耗费，由此节省在dns容器实例中运行的dns服务器应用程序中的资源。
18.通过加密签名借助于dnssec以保护完整性和真实性的方式转交（ausliefern）dns信息。用于保护完整性所需要的私有签名密钥在dns服务器环境之外被维持在dns域所有者处的安全区域中，并且在任何时间均不离开dns域所有者的领土。因此防止例如由云运营商/提供商进行的未经授权的改变。
19.通过加密签名和保护完整性可以接受：云运营商/提供商（如在容器即服务基础设施情况下常见的那样）不提供关于由其运行的云架构的信息，并且对于dns服务器基础设施不实施详细化风险检验。此外，通过保护完整性，可以购买成本更低的、不太受保护的基础设施。
20.在本发明的一种改进方案中，在域名系统服务器基础设施之外创建密码签名或经签名的域名系统信息意味着：在dns域所有者处实施密码签名。
21.根据本发明的一个方面，可以在域名系统容器实例/域名系统容器镜像中为不同dns名称空间维持多个dns信息，其也可以称为dns区域文件。然而，必须是至少一个dns信息。
22.根据本发明的一个方面，域名系统基础设施至少存在一次，但是典型地在不同的地点以多次实施的方式相同地构建，并且尤其是由云提供商提供。
23.根据本发明的一个方面，容器注册表是软件仓库，在所述软件仓库中存放有域名系统容器镜像。容器注册表要么可以为所有域名系统基础设施集中地被提供，要么可替代地可以在构造有域名系统基础设施的每个地点处被提供。
24.密码签名具有以下优点：对dns信息进行完整性和真实性保护，并且因此确保dns信息是真实的，并且不以未经授权的方式改变。
25.在本发明的另一改进方案中，该方法具有其他方法步骤：
‑
访问容器注册表中的至少一个域名系统容器镜像，以及
‑
执行至少一个域名系统容器镜像，其中通过执行至少一个域名系统容器镜像，在域名系统基础设施中创建至少一个域名系统容器实例。
26.访问至少一个域名系统容器镜像并且执行至少一个域名系统容器镜像的根据本发明的步骤可以由dns域所有者自身执行，或者在可替代实施方式中，由云提供商或容器基础设施的供应商执行。
27.执行至少一个域名系统容器镜像也可以被称为启动dns容器实例或被称为编排。
28.编排软件执行编排。编排软件不仅可以对于构建有域名系统基础设施的每个单个地点处单独地被构建，或者可以集中地控制在不同地点处的所有所构建的运行时环境/域名系统基础设施。
29.如果访问至少一个域名系统容器镜像并且执行至少一个域名系统容器镜像的根据本发明的步骤由云提供商/提供商执行，则该云提供商/提供商仅需要访问容器注册表。在这种情况下，传递点将会是容器注册表。在这种情况下，dns域所有者将具有经签名的域
名系统信息的域名系统容器镜像安放到容器注册表中。容器注册表要么可以位于dns域所有者侧上，要么可以处于云提供商处。
30.只要dns域所有者不访问编排软件来实施访问至少一个域名系统容器镜像并且执行至少一个域名系统容器镜像的根据本发明的步骤，提供商就周期性地（例如每小时一次地）检验：是否存在域名系统容器镜像的新版本，并且必要时加载域名系统容器镜像的当前版本。
31.在另一改进方案中，dns域所有者访问编排软件或访问编排软件处的相关功能，并且对访问至少一个域名系统容器镜像并且执行至少一个域名系统容器镜像的根据本发明的步骤的实施可以由dns域所有者触发。
32.在本发明的另一改进方案中，该方法具有其他方法步骤：应答对至少一个域名系统容器实例的询问和/或从至少一个域名系统容器实例中转交数据。各个终端设备或其应用程序可以从域名系统容器实例中读出dns信息，并且使用所述dns信息，其中所述各个终端设备或其应用程序要么直接询问为dns域存放的dns服务器或域名系统容器实例，要么为此使用例如由提供商提供的dns解析器，所述dns解析器然后将询问转发给dns域的dns服务器或域名系统容器实例。
33.在另一改进方案中，在访问保护下创建至少一个经签名的域名系统信息。可以例如在计算中心中通过安全地点、例如安全区域建立访问保护。这具有以下优点：域名系统信息是受完整性保护的，并且是不可操纵的。这具有以下优点：不能由攻击者或未经授权者改变数据。
34.在另一改进方案中，访问保护通过防火墙创建。这具有以下优点：至少一个经签名的域名系统信息在受防火墙保护的地点处被创建。
35.在另一改进方案中，通过硬件安全模块保护访问保护的密钥。可替代地，可以例如通过密码离线签名来保护密钥。在此情况下使用经加密的数据分区，所述经加密的数据分区仅在签名的过程期间被挂上（eingeh
ä
ngt）。在其处实施签名的服务器的管理员输入密码用于解密。
36.可替代地，通过以下方式确保访问保护：可以例如经由跃点服务器（hop
‑
server）和/或vpn隧道到达在其处实施密码签名的地点，其中vpn隧道可以借助于双因素认证构建并且连接只能由域名系统信息侧发起。
37.可替代地，通过以下方式确保访问保护，即在其处实施密码签名的地点不向外（例如向互联网）暴露。
38.在另一改进方案中，借助于至少一个云网络来提供域名系统服务器基础设施。云网络可以在所有位置处由同一云提供商提供，或者也可以在每个所在地处由不同的云提供商提供。这具有以下优点：可以实现可变数量的域名系统容器实例的缩放和使用。
39.在另一改进方案中，将密码签名创建为dnssec签名。dnssec签名具有以下优点：由此创建dns信息的完整性保护。为了保护完整性所需要的签名密钥在dns服务器环境之外在dns域所有者处被维持在安全区域中，并且在任何时间均不离开dns域所有者的领土。从而防止例如由云运营商/提供商进行的未经授权的改变。
40.在另一改进方案中，确定域名系统容器实例的利用度。也可以称为各个dns容器实例的利用率的利用度持续地或在预先给定的时间点重复地和/或周期性地通过编排软件检
验。这具有以下优点：利用度在预先给定的时间点是已知的。从而，可以迅速地识别即将来临的过载。
41.在另一改进方案中，根据利用度来确定多个域名系统容器实例。这具有以下优点：对利用度作出反应，并且可以避免过载。
42.根据本发明的一个方面，在攻击的情况下，对于dns基础设施的每个位置自动地在攻击的持续时间内增加域名系统容器实例的数量，并且因此与这在基于服务器的解决方案情况下将会出现的情况相比暂时提供多得多的容量。在极端情况下，通过基于容器的基础设施可以暂时将容量选择得如此高，使得在负载峰值时所提供的计算容量超过否则对于常见的基本负载所需要的容量的多倍（um ein vielfaches
ꢀü
bersteigt）。
43.在另一改进方案中，通过接通（zuschalten）和断开(abschalten）域名系统容器实例来设定所述数量。因此，为每个单个dns基础设施位置建议基于容器的基础设施，所述基于容器的基础设施与负载有关地来放大和缩小dns容器实例。
44.在另一改进方案中，通过编排程软件实施所述接通和/或断开。dns容器实例的放大和缩小（hoch
‑ꢀ
und runterskalierung）从而经由编排软件在dns基础设施的每个位置处进行，所述编排软件也持续地检验各个dns容器实例的利用率。
45.根据本发明的一个方面，负载均衡器在每个所在地将到来的询问分布到域名系统容器实例上。在每次放大和缩小或接通和/或断开域名系统容器实例时，使负载均衡器的配置独立地适配于编排软件。如果编排软件将不会执行这一点，则不能从外部响应（angesprochen）/询问新接上的域名系统容器实例，或者如果不再存在域名系统容器实例，则到来的询问将会变为空（ins leere laufen）。
46.在本发明的另一改进方案中，通过容器即服务（container
‑
as
‑
a
‑
service）解决方案来实施接通和/或断开。可替代的将会是在专用地设置的机器上作为容器运行域名系统容器实例。
47.本发明此外包括一种计算机程序产品，所述计算机程序产品包括计算机程序，其中计算机程序可加载到计算单元的存储装置中，其中当在计算单元上执行计算机程序时，利用计算机程序执行根据本发明的方法的步骤。
48.本发明此外包括其上存储有计算机程序的计算机可读介质，其中该计算机程序可加载到计算单元的存储装置中，其中当在计算单元上执行计算机程序时，利用计算机程序执行根据本发明的方法的步骤。
附图说明
49.本发明的特点和优点根据示意性附图从多个实施例的随后阐述中变得清楚。
50.图1示出根据本发明的方法的流程图，和图2示出域名系统的示意图。
具体实施方式
51.图1示出根据本发明的方法的流程图。该方法具有以下步骤：
‑
步骤s1：创建至少一个经签名的域名系统信息，其中通过域名系统信息的密码签名来创建至少一个经签名的域名系统信息，其中在域名系统服务器基础设施之外创建所述
密码签名，
‑
步骤s2：创建至少一个域名系统容器镜像，其中至少一个域名系统容器镜像具有经签名的域名系统信息和至少一个域名系统服务器软件，和
‑
步骤s3：将至少一个域名系统容器镜像存储在容器注册表中。
52.这些步骤用于存储至少一个域名系统容器镜像，其中所述域名系统容器镜像被构造用于在域名系统基础设施中创建至少一个域名系统容器实例。
53.在用于在域名系统基础设施中创建至少一个域名系统容器实例的优选变型中，可以给所述方法补充以下步骤：
‑
步骤s4：访问容器注册表中的至少一个域名系统容器镜像，以及
‑
步骤s5：执行至少一个域名系统容器镜像，其中通过执行至少一个域名系统容器镜像在域名系统基础设施中创建至少一个域名系统容器实例。
54.在用于应答询问的优选变型中，可以给所述方法补充以下步骤：
‑
步骤s6：应答对至少一个域名系统容器实例的询问和/或从至少一个域名系统容器实例中转交数据。为此，在每个所在地构造至少一个域名系统容器实例。
55.图2示出两个区域：在左侧示出云网络p的提供商/云提供商的区域，而在右侧示出域名系统域所有者e的区域。
56.域名系统dns位于云网络p的提供商/云提供商的区域中。域名系统dns具有域名系统服务器s。域名系统服务器s管理不同位置处的四个域名系统基础设施if。域名系统基础设施if例如在法兰克福、新加坡、纽约、布宜诺斯艾利斯以多次实施的方式相同地构建，并且由云网络p的提供商提供。云网络p的提供商可以在每个地点处是不同的提供商或在每个地点处是相同的提供商。
57.每个域名系统基础设施if具有至少一个域名系统容器实例c（在图1中，仅对于一个域名系统基础设施if示出了域名系统容器实例c）。
58.每个域名系统基础设施if此外具有负载均衡器l和编排软件o。负载均衡器l测量域名系统容器实例c的利用度（auslastungsgrad）。由编排软件o根据利用度来调节域名系统容器实例c的数量的缩放（skalierung）。在域名系统容器实例c的高利用率情况下，增加域名系统容器实例c的数量；在域名系统容器实例c的低利用率情况下，降低域名系统容器实例c的数量。
59.编排软件o和负载均衡器l不仅可以对于构建有域名系统基础设施if的每个单个地点单独地构建，或者可以集中地控制不同地点处的所有所构建的运行时环境/域名系统基础设施if。在图2中，在每个域名系统基础设施if中单独地构造编排软件o和负载均衡器l（仅针对一个域名系统基础设施if示出）。
60.图2此外示出访问保护（zugriffssicherung）z。访问保护z将图2中左侧的云网络p的提供商的区域与图2中右侧的域名系统域所有者e的区域分开。域名系统域所有者e是域名系统基础设施if内的域名系统域的所有者。在域名系统域所有者e的侧上以通过访问保护z保护的方式给域名系统信息i配备密码签名k、例如dnssec，并且因此对其保护完整性。由此创建经签名的域名系统信息si。经签名的域名系统信息si与域名系统容器镜像ci形式的域名系统软件共同地被存储在容器注册表r中。
61.容器注册表r要么可以如图2中所示的那样位于dns域所有者e的侧上要么可以处
于云网络p的提供商处。在云提供商p的侧上，要么可以为所有域名系统基础设施if集中地提供容器注册表，要么可替代地可以在构造有域名系统基础设施if的每个地点处提供容器注册表。
62.通过访问容器注册表r中的域名系统容器镜像ci并且执行域名系统容器镜像ci，在域名系统基础设施中创建域名系统容器实例c。系统容器实例c的创建通过编排软件o执行。
63.对域名系统容器镜像ci的所述访问和对域名系统容器镜像ci的执行可以由dns域所有者e自身实施，或者在替代实施方式中，由云网络p的提供商/云提供商或容器基础设施的供应商实施。
64.执行至少一个域名系统容器镜像也可以被称为启动（inbetriebnahme）dns容器实例或被称为编排。编排软件o实施编排。
65.如果访问至少一个域名系统容器镜像ci和执行至少一个域名系统容器镜像ci的根据本发明的步骤由云网络p的提供商/云提供商实施，则所述云网络p的提供商/云提供商仅需要访问该容器注册表r，并且容器注册表r可能继续如在图2中所示的那样被构造在访问保护z右侧的dns域所有者e的提供商侧。在这种情况下，dns域所有者e将具有经签名的域名系统信息si的域名系统容器镜像ci安放到容器注册表r中。容器注册表r可以要么位于dns域所有者e的侧上，要么位于云提供商p处。
66.只要dns域所有者e不访问编排软件o来实施访问域名系统容器镜像ci和执行域名系统容器镜像ci的根据本发明的步骤，云网络p的提供商/云提供商就重复地或周期性地（尤其是每小时一次地）和/或在可预先给定的时间点检验：是否存在域名系统容器镜像ci的新版本，并且必要时加载域名系统容器镜像ci的新/当前版本。随后，编排软件o执行域名系统容器镜像ci并且创建域名系统容器实例c。
67.在另一改进方案中，dns域所有者访问编排软件或访问编排软件处的相关功能，并且对访问至少一个域名系统容器镜像并且执行至少一个域名系统容器镜像的根据本发明的步骤的实施可以由dns域所有者触发。
68.尽管已经在细节上通过实施例更详细地图解和描述了本发明，但是本发明不受所公开的示例限制，并且可以由本领域技术人员从中导出其他变体，而不脱离本发明的保护范围。
69.附图标记列表c 域名系统容器实例ci域名系统容器镜像dns 域名系统e 域名系统域所有者i 域名系统信息if 域名系统基础设施k 密码签名lb 负载均衡器o 编排软件p 云网络的提供商
r 容器注册表s 域名系统服务器si 经签名的域名系统信息z 访问保护sj 步骤1，j = [1; 6]。