Linux DNS缓存与Nginx DNS缓存运维文档

一、Linux DNS缓存机制与配置

1. Linux DNS缓存原理

Linux系统中的DNS缓存主要通过以下几种方式实现：

• ​** nscd(Name Service Caching Daemon)**​：系统级缓存服务，可缓存DNS解析、主机名解析等信息
• ​dnsmasq​：轻量级DNS转发器和缓存服务器，常用于小型网络环境
• ​systemd-resolved​：现代Linux发行版中常用的DNS解析服务，提供有限的缓存功能

DNS缓存的工作流程是：当应用程序请求域名解析时，系统会先检查本地缓存，若命中则直接返回结果；若未命中则向配置的DNS服务器发起查询，并将结果缓存
。

2. Linux DNS缓存配置方法

使用nscd配置DNS缓存

1. 安装nscd服务：

   # CentOS/RHEL
   yum install nscd
   # Debian/Ubuntu
   apt-get install nscd
   ​
   

2. 修改配置文件/etc/nscd.conf：

   enable-cache hosts yes
   positive-time-to-live hosts 3600  # 正向解析缓存时间(秒)
   negative-time-to-live hosts 20    # 负向解析缓存时间(秒)
   max-db-size hosts 33554432        # 缓存池大小(字节)
   ​
   

3. 启动并启用服务：

   systemctl start nscd
   systemctl enable nscd
   ​
   

使用dnsmasq配置本地缓存

1. 安装dnsmasq：

   # CentOS/RHEL
   yum install dnsmasq
   # Debian/Ubuntu
   apt-get install dnsmasq
   ​
   

2. 配置/etc/dnsmasq.conf：

   listen-address=127.0.0.1
   cache-size=1000
   server=8.8.8.8
   server=8.8.4.4
   ​
   

3. 启动服务并设置系统DNS：

   systemctl start dnsmasq
   echo "nameserver 127.0.0.1" > /etc/resolv.conf
   ​
   

3. Linux DNS缓存清理方法

根据使用的缓存服务不同，清理方法也有所差异：

1. ​nscd缓存清理​：

   systemctl restart nscd
   或
   nscd -i hosts
   ​
   

2. ​dnsmasq缓存清理​：

   systemctl restart dnsmasq
   ​
   

3. ​systemd-resolved缓存清理​：

   systemd-resolve --flush-caches
   ​
   

4. ​手动清理缓存文件​：

   rm -rf /var/cache/nscd/*
   ​
   

二、Nginx DNS缓存机制与配置

1. Nginx DNS缓存原理

当Nginx作为反向代理时，默认会对upstream中的域名进行DNS解析并缓存结果。这种缓存机制可能导致以下问题：

• ​缓存持久化​：Nginx可能会长时间缓存DNS结果，甚至达到一个月
• ​缓存更新延迟​：当后端服务IP变更时，Nginx可能继续使用旧的缓存结果
• ​故障转移问题​：在CDN或负载均衡场景下，错误的缓存可能导致请求被发送到已离线的节点

2. Nginx DNS缓存配置优化

基本配置方法

在Nginx配置中，应使用resolver指令指定DNS服务器并设置合理的缓存时间：

http {resolver 8.8.8.8 1.1.1.1 valid=30s;  # 使用Google和Cloudflare DNS，缓存30秒resolver_timeout 5s;                  # DNS查询超时时间upstream backend {server backend.example.com;}server {listen 80;location / {proxy_pass http://backend;}}
}
​

推荐的最佳实践配置

为避免DNS缓存问题，应采用变量方式配置proxy_pass：

server {resolver 8.8.8.8 valid=10s ipv6=off;  # 禁用IPv6解析，缓存10秒resolver_timeout 3s;set $backend " http://backend.example.com ";location / {proxy_pass $backend;proxy_set_header Host $host;}
}
​

​关键点说明​：

1. resolver必须放在server或http块中，不能放在location块内
2. 必须使用变量方式配置proxy_pass，直接使用域名会导致永久缓存
3. valid参数设置合理的缓存时间，通常建议10-60秒

3. Nginx DNS缓存问题排查与解决

常见问题及解决方案

1. ​Nginx使用旧的DNS记录​：

   • 解决方案：缩短valid时间或手动重载Nginx配置

   nginx -s reload
   ​
   

2. ​DNS解析超时导致502错误​：

   • 解决方案：调整resolver_timeout并检查DNS服务器可用性

   resolver_timeout 5s;  # 默认30秒可能过长
   ​
   

3. ​多域名解析冲突​：

   • 解决方案：为不同域名配置独立的resolver设置

   server {resolver 8.8.8.8;set $api "api.example.com";set $web "web.example.com";location /api {proxy_pass http://$api;}location / {proxy_pass http://$web;}
   }
   ​
   

调试技巧

1. 检查Nginx错误日志：

   tail -f /var/log/nginx/error.log
   ​
   

2. 使用dig测试DNS解析：

   dig @8.8.8.8 backend.example.com
   ​
   

3. 强制Nginx重新解析DNS：

   kill -HUP $(cat /var/run/nginx.pid)
   ​
   

三、综合运维建议

1. 缓存时间设置策略

2. 监控与告警配置

建议监控以下指标：

1. DNS解析延迟
2. DNS查询失败率
3. Nginx upstream响应时间异常
4. 502/504错误率突增

示例Prometheus监控规则：

- alert: HighDNSErrorRateexpr: rate(nginx_http_dns_errors_total[1m]) > 0.1for: 5mlabels:severity: warningannotations:summary: "High DNS error rate on {{ $labels.instance }}"description: "DNS error rate is {{ $value }} per second"
​

3. 自动化运维脚本

DNS缓存清理脚本

#!/bin/bash# 清理系统DNS缓存
if systemctl is-active --quiet nscd; thensystemctl restart nscdecho "Cleared nscd cache"
fiif systemctl is-active --quiet dnsmasq; thensystemctl restart dnsmasqecho "Cleared dnsmasq cache"
fiif command -v systemd-resolve &> /dev/null; thensystemd-resolve --flush-cachesecho "Cleared systemd-resolved cache"
fi# 重载Nginx配置以刷新DNS缓存
if systemctl is-active --quiet nginx; thennginx -s reloadecho "Reloaded Nginx to refresh DNS cache"
fi
​

Nginx DNS配置检查脚本

#!/bin/bash# 检查Nginx配置中是否有直接使用域名的proxy_pass
BAD_CONF=$(grep -r "proxy_pass http://[a-zA-Z0-9]" /etc/nginx/ | grep -v "\$")if [ -n "$BAD_CONF" ]; thenecho "WARNING: Found potential DNS caching issues in Nginx config:"echo "$BAD_CONF"echo "Recommend using variable-based proxy_pass with resolver"
elseecho "No DNS caching issues found in Nginx config"
fi
​

四、相关配置文件示例

1. 完整nscd配置示例 (/etc/nscd.conf)

# 日志调试选项
debug-level 0# 主机名缓存配置
enable-cache hosts yes
positive-time-to-live hosts 3600
negative-time-to-live hosts 20
suggested-size hosts 211
check-files hosts yes
persistent hosts yes
shared hosts yes
max-db-size hosts 33554432# DNS缓存配置
enable-cache services yes
positive-time-to-live services 28800
negative-time-to-live services 20
suggested-size services 211
check-files services yes
persistent services yes
shared services yes
max-db-size services 33554432
​

2. 完整Nginx反向代理DNS配置示例

http {# 全局DNS设置resolver 8.8.8.8 1.1.1.1 valid=30s ipv6=off;resolver_timeout 5s;# 缓存配置proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m inactive=60m;upstream backend_servers {zone backend 64k;server backend1.example.com resolve;server backend2.example.com resolve;}server {listen 80;server_name example.com;# API服务location /api {set $api_server "api.example.com";proxy_pass http://$api_server;proxy_cache my_cache;proxy_cache_valid 200 302 10m;}# 主网站location / {set $web_server "web.example.com";proxy_pass http://$web_server;proxy_cache_bypass $http_cache_control;}# 状态页location /nginx_status {stub_status;allow 127.0.0.1;deny all;}}
}
​

3. systemd-resolved配置示例 (/etc/systemd/resolved.conf)

[Resolve]
DNS=8.8.8.8 1.1.1.1
FallbackDNS=9.9.9.9 208.67.222.222
Domains=example.com
LLMNR=no
MulticastDNS=no
DNSSEC=allow-downgrade
Cache=yes
DNSStubListener=yes
​