Was ist STACKIT DNS Resolver?
STACKIT DNS Resolver ist ein verwalteter, rekursiver DNS-Auflösungsdienst innerhalb der STACKIT Cloud. Er übersetzt Domainnamen in IP-Adressen und durchläuft dabei die vollständige rekursive Auflösungskette: vom Cache über die Root- und TLD-Server bis zum autoritativen Nameserver. Der Dienst ist auf Workloads innerhalb der STACKIT Cloud ausgerichtet und ist kein offener, öffentlicher Resolver für die allgemeine Internetnutzung.
Wichtig ist die Abgrenzung zu STACKIT DNS: STACKIT DNS ist ein autoritativer Hosting-Dienst, der Ihre eigenen DNS-Zonen verwaltet und beantwortet. Der DNS Resolver hostet hingegen keine Zonen, sondern löst Namen für Ihre Anwendungen auf. Beide Dienste ergänzen sich: Der Resolver liefert die rekursive Auflösung, das DNS-Hosting die autoritativen Antworten. Da alle Abfragen innerhalb der geografischen und rechtlichen Grenzen der STACKIT Cloud verarbeitet werden, eignet sich der Resolver für Organisationen mit strengen Anforderungen an Datenhoheit.
Kernfunktionen
- Rekursive Auflösung: Vollständige rekursive DNS-Auflösung von Cache über Root- und TLD-Server bis zum autoritativen Nameserver.
- Datenhoheit: Alle Abfragen werden innerhalb der geografischen und rechtlichen Grenzen der STACKIT Cloud verarbeitet, ausgelegt auf europäische Compliance-Anforderungen.
- DNSSEC-Validierung: Der Resolver prüft DNS-Antworten automatisch auf Authentizität und schützt so vor Spoofing und Cache-Poisoning.
- DNS over HTTPS (DoH): Abfragen werden in einem verschlüsselten HTTPS-Tunnel übertragen und sind vor Mitlesen geschützt.
Typische Anwendungsfälle
Namensauflösung für Cloud-Workloads: Anwendungen in den Regionen eu01 und eu02 nutzen den Resolver, um Domainnamen aufzulösen, ohne auf externe oder öffentliche Resolver auszuweichen. Häufig angefragte Domains werden zwischengespeichert und mit TTL-basierter Gültigkeit ausgeliefert.
Verschlüsselte DNS-Abfragen: Über DNS over HTTPS lassen sich Abfragen verschlüsselt übertragen, sodass Anfragen und Antworten nicht im Klartext über das Netzwerk laufen. Das senkt das Risiko von DNS-Hijacking und Mitlesen.
Souveräne Auflösung für regulierte Branchen: Finanzwesen, Gesundheit und öffentliche Verwaltung lösen Namen innerhalb der STACKIT Cloud auf und halten so Daten innerhalb der europäischen Infrastruktur. Die automatische DNSSEC-Validierung erhöht zusätzlich das Vertrauen in die Antworten.
Vorteile
- Kostenfrei und ohne separaten Bestellprozess nutzbar.
- Datenverarbeitung innerhalb der STACKIT Cloud für Datenhoheit in der EU.
- DNSSEC-Validierung und DNS over HTTPS für sichere, manipulationsgeschützte Auflösung.
- In redundanter, hochverfügbarer Konfiguration betrieben mit Caching für niedrige Latenz.
Integration mit innFactory
Als offizieller STACKIT Partner unterstützt innFactory Sie bei Einführung und Betrieb dieses Service.
Typische Anwendungsfälle
Häufig gestellte Fragen
Was ist STACKIT DNS Resolver?
STACKIT DNS Resolver ist ein verwalteter rekursiver DNS-Auflösungsdienst. Er übersetzt Domainnamen in IP-Adressen über die vollständige rekursive Kette und verarbeitet alle Abfragen innerhalb der STACKIT Cloud. Anders als STACKIT DNS hostet er keine eigenen Zonen, sondern löst Namen für Ihre Workloads auf.
Wann sollte ich STACKIT DNS Resolver einsetzen?
Setzen Sie ihn ein, wenn Ihre Workloads in der STACKIT Cloud Domainnamen auflösen müssen und Sie dafür einen souveränen Resolver statt eines externen oder öffentlichen Dienstes benötigen. Besonders relevant ist das für regulierte Branchen wie Finanzwesen, Gesundheit und öffentliche Verwaltung mit Anforderungen an Datenhoheit und verschlüsselte Abfragen.
Was kostet STACKIT DNS Resolver?
Der Dienst ist kostenfrei und erfordert keinen separaten Bestellprozess. Es fallen keine nutzungs- oder abfragebasierten Gebühren an. Beachten Sie, dass sich der Dienst in der Beta-Phase befindet und der Funktionsumfang noch erweitert wird.
Welche Sicherheitsfunktionen bietet STACKIT DNS Resolver?
Der Resolver führt automatisch eine DNSSEC-Validierung durch und verifiziert so die Authentizität von DNS-Antworten gegen Spoofing und Cache-Poisoning. Zusätzlich unterstützt er DNS over HTTPS (DoH), das Abfragen in einem verschlüsselten HTTPS-Tunnel überträgt und vor Mitlesen schützt.
