Résoudre les noms¶
Le DNS (Domain Name System) interne est un service fondamental de production. Chaque application, chaque service, chaque composant d'infrastructure depend de la résolution de noms pour communiquer. Sans DNS interne fiable, rien ne fonctionne.
Pourquoi un DNS interne ?¶
Un DNS interne dedie offre des avantages critiques par rapport à l'utilisation de DNS publics :
- Contrôle : vous maitrisez les enregistrements, les zones et les politiques de résolution
- Sécurité : la topologie interne reste invisible depuis l'extérieur
- Performance : le caching local reduit la latence de résolution
- Service discovery : les services s'enregistrent et se trouvent dynamiquement
- Split-horizon : un même nom peut résoudre differemment selon la zone source
Classification¶
| Aspect | Niveau |
|---|---|
| Données manipulees | Interne (enregistrements DNS, topologie réseau) |
| Zone de déploiement | Production |
| Chiffrement | DNS-over-TLS entre zones, DNSSEC pour l'intégrité |
Les enregistrements DNS révèlent la topologie
Bien que classe Interne, le DNS merite une attention particulière : les enregistrements révèlent les noms de machines, les adresses IP internes et l'architecture des services. Un attaquant ayant accès au DNS interne peut cartographier l'infrastructure. Voir le chapitre Confidentialite.
Chapitres¶
| Chapitre | Sujet |
|---|---|
| Fondamentaux | DNS 101, types d'enregistrements, résolution, split-horizon, service discovery |
| Comparaison des solutions | CoreDNS vs BIND 9 vs PowerDNS vs Unbound — grille ADR |
| Architecture de référence | Resolvers recursifs, serveurs autoritatifs, integration Kubernetes |
| Installation et configuration | Déploiement CoreDNS standalone (Podman) et cluster Kubernetes |
| Integration | IAM, service mesh, VPN, Let's Encrypt, Ansible/OpenTofu |
| Confidentialite | Risques, DNS-over-TLS, DNSSEC, detection d'exfiltration |
| Bonnes pratiques | HA, caching, monitoring, troubleshooting, migration BIND → CoreDNS |