<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><br>
Outsourcing stuff like DNS is just a continuation of the trend of sending<br>
your workloads onto someone else's cloud.  It seems easy -- right up until<br>
it isn't working the way you want it to.<br><br></blockquote><div><br></div><div>Outsourcing DNS recursion isn't a good trade-off IMHO, but outsourcing threat blocking via DNS is. So, my preferred recursive DNS setup is:</div><div>- Caching recursive server on ISP's premises</div><div>- Unbound or Knot Resolver based</div><div>- Root zone authoritatives to increase both privacy and performance</div><div>- Recursion done only for CDN zones (<a href="http://1e100.net">1e100.net</a>, <a href="http://akadns.net">akadns.net</a> etc.) in order to get the best CDN performance for the access customers</div><div>- Forwarding of all non-CDN traffic to security-focused DNS recursives link Umbrella, Cloudflare, Norton, Quad-9 etc.</div><div>- IGP-based anycast </div><div><br></div><div>This is also flexible enough to deal with DNSSEC signature expiration, AA missing on authoritative responses etc., either by configuration on the recursives themselves or by forwarding specific domains to specific outside recursives. </div><div><br></div><div>Maintaining it requires work, it's not a plug and forget solution; but it provides a good balance of performance, security and operational flexibility. </div><div><br></div><div><br></div><div>Rubens</div><div><br></div></div></div>