为满足对业务连续性的监管，降低系统故障风险，提升资源利用率，并支持弹性扩展以应对海量交易等需求，国内金融机构普遍采用多中心多活架构。这种架构下，金融机构通过‌域内流量闭环‌、‌白名单精细化管控‌‌、‌动态与静态解析结合‌‌、‌毫秒级容灾‌‌等机制，实现DNS服务在‌安全性‌、‌可用性‌、‌高性能‌等方面的平衡，支撑高并发、高可靠性的金融业务场景。

目前，金融机构内网大多采用递归、权威一体化DNS服务架构，在安全域内采用主从配置，并对互联域进行白名单转发。这种一体化DNS服务架构存在局限性：

【业务连续性问题】业务连续性主要依靠DNS主备切换，但重试时延高，难以满足金融业务对连续性的严苛要求。

【资源利用不足】多活业务域的主从配置虽然提供一定的冗余，但冗余过多反而导致资源无法充分利用，高峰期资源闲置与低谷期调配僵化矛盾并存。

【配置与管理难题】递归与权威一体化设计因安全策略不同、同步一致性风险及扩展伸缩性不足，导致配置与管理复杂化和运行风险提升。

【解析控制风险】递归、权威一体化导致业务解析控制风险增大。当出现异常情况，无法在区域内控制解析行为和结果，可能引发大面积解析错误或故障，乃至影响整个业务系统正常运行。

【异构场景管理困难】面对复杂的金融网络环境，异构策略是平衡设备、系统风险的常用方法，一体化架构下DNS服务难以对这些异构场景有效管理，增加运维难度和成本。

金融机构开始转向DNS分层架构

牙木科技推出企业级DDI（DNS-DHCP-IPAM，核心网络服务）解决方案，采用DNS分层架构设计以应对上述挑战。DNS分层架构既是一种设计策略，又是一种架构模式，即通过将递归和权威进行分层，针对域名资产和解析服务分别采用不同的安全策略，并结合Anycast部署递归、权威独立部署与优选、灵活伸缩的权威容量、缓存解析控制，以及简易的异构部署配置等特点，实现DNS服务的高稳定、高安全和高可用，特别适用于金融行业等对网络服务有极高要求的领域和场景。

牙木科技作为国内领先的互联网关键基础资源服务提供商，已在DDI领域深耕超过20年，根据牙木多年积累的行业洞察与最佳实践：基于对金融业务连续性、安全性及高效运维等方面的切实需求，国内金融机构正逐步从DNS一体化架构转向分层架构。

一、业务保障与连续性

1. ‌业务连续性保障：金融机构对网络服务连续性要求极高，特别是在线交易、支付等核心业务。针对连续性要求严苛的业务场景，可通过DNS分层架构实现解析策略的灵活部署，并通过Anycast方式部署节点，有效降低解析时延，提升业务连续性。

2. 资源优化与解析效率提升：DNS分层架构能够灵活伸缩权威容量，根据金融业务量进行资源的动态调整，有效提高资源利用率和解析效率。

二、风险管控与安全性

1. ‌安全策略细化‌：DNS分层架构对资产和服务采用不同的安全策略，递归和权威服务分层管理，能够更有效地控制域间流量白名单，提高整体安全性。

2. 风险管控能力增强‌：DNS分层架构通过递归缓存提高业务解析性能，并提供区域解析控制能力，即使权威服务出现局部故障，也能快速应急，避免大面积影响。

三、配置管理与便捷性

1. ‌配置简化‌：DNS分层架构下，递归侧基本无需变动配置，权威侧通过API实现异构统一配置管理，大大简化配置复杂度，降低运维成本。

2. 异构场景管理‌：金融机构网络环境中时常存在异构设备和系统，DNS分层架构能够更好地管理这些异构场景，提高运维效率和灵活性。

四、业务发展与扩展性

1. ‌适应业务发展‌：随着金融业务的发展和创新，对DNS服务的需求也在不断升级。DNS分层架构具有良好的扩展性，轻松适应业务的发展和变化。

2. 灵活应对新业务‌：当金融机构上线新业务时，DNS分层架构能够快速扩展权威服务的容量，满足新业务对DNS服务的需求。

3. 兼容原体系和无缝衔接迁移：DNS分层架构能够兼容原网络体系，支持无缝衔接迁移，金融机构无需对原有系统进行大规模改造或替换，实现平滑过渡和扩展升级。