GH GambleHub

DNS idarəetmə və marşrutlaşdırma

Qısa xülasə

DNS "ad səviyyəsi marşrutlaşdırıcısı 'dır. Səriştəli TTL, zonalar və siyasətçilər istifadəçilərin istədikləri cəbhələrə/şlyuzlara nə qədər tez və proqnozlaşdırıla biləcəyindən asılıdır. Minimum dəsti: Anycast-provayder, sağlam TTL, avtomatik failover, DNSSEC + CAA, IaC-nəzarət və müşahidə ilə sağlamlıq yoxlamaları (cavablar və zamana görə SLO).

Əsas memarlıq

Nüfuzlu serverlər (zones) - şirkətin domenlərinə cavabdehdir.
Rekursiv rezolverlər (clients/ISP/öz) - kök → TLD → nüfuzlu soruşun.
Anycast - bir çox PoP-də eyni IP ünvanı: yaxın PoP daha sürətli cavab verir və qəzaları yaşayır.

Zonalar və nümayəndəlik

Nüfuzlu serverlərin provayderlərinə → 'NS' domen kök zonası.
Alt domenlər (məsələn, 'api. example. com ') müstəqil olmaq üçün ayrı-ayrı' NS '/provayderlərə həvalə edilə bilər.

Qeydlərin növləri (minimum)

'A '/' AAAA' - IPv4/IPv6 ünvanları.
'CNAME' - adına təxəllüs; kökündə zonaları istifadə etməyin (əvəzinə ALIAS/ANAME provayderləri).
'TXT' - yoxlama, SPF, xüsusi etiketlər.
'MX' - poçt (istifadə edilərsə).
'SRV' - xidmətlər (SIP, LDAP və s.).
'CAA' - domen üçün sertifikatlar verə bilər.
'NS '/' SOA' - nümayəndəlik/zona parametrləri.
'DS' - valideyn TLD-də DNSSEC açarları.

Zona nümunəsi (fraqment)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL və caching

Qısa TTL (30-300 c) - dinamika üçün (API cəbhələri, failover).
Orta TTL (300-3600 c) - CDN/statika üçün.
Uzun TTL (≥ 1 gün) - nadir dəyişikliklər üçün (MX/NS/DS).
Miqrasiya planlaşdırarkən TTL-ni 24-72 saat əvvəlcədən aşağı salın.
Negative Caching TTL (NXDOMAIN): «SOA MINIMUM» tərəfindən idarə olunur.

Marşrutlaşdırma siyasəti (GSLB-səviyyə)

Failover (active/passive) - əsas IP-ni fail health-check-ə veririk, sonra ehtiyat.
Weighted (traffic-split) - trafik paylanması (məsələn, canary 5/95).
Latency-based - şəbəkə gecikmələrinə ən yaxın RoR/region.
Geo-routing - ölkə/qitə üzrə; yerli qanunlar/PCI/PII üçün faydalıdır.
Multivalue - Hər kəsin sağlamlıq yoxlamaları ilə bir neçə 'A/AAAA'.

Məsləhətlər

Kritik API üçün latency-based + health-checks + qısa TTL birləşdirin.
Hamar buraxılışlar üçün - weighted və tədricən pay artımı.
Regional məhdudiyyətlər üçün - geo və icazə verilən provayderlərin siyahıları.

Sağlamlıq və avtomatik keçid

Health-checks: HTTP (S) (200 OK, bədən/başlıq), TCP (port), ICMP.
Reputasiya/parça çapı: yalnız liman deyil, həm də backend 'a (versiya, build-id) düzgünlüyünü yoxlayın.
Həssaslıq həddi: 'N' flapping qarşısını almaq üçün ardıcıl uğurlu/uğursuz yoxlamalar.
Metrik götürün: sağlamlıq nöqtələrinin payı, reaksiya vaxtı, keçid sayı.

Xüsusi zonalar və split-horizon

Private DNS: VPC/VNet/On-prem daxili zonaları (məsələn, 'svc. local. example`).
Split-horizon: daxili və xarici müştərilər üçün müxtəlif cavablar (daxili IP vs ictimai).
Sızma qorunması: «daxili» adları xaricdə istifadə etməyin; private zonaların ictimai provayderlər vasitəsilə idarə olunmadığını yoxlayın.

DNS təhlükəsizliyi

DNSSEC: zonaların imzaları (ZSK/KSK), ana zonada 'DS' nəşri, açar rolloveri.
CAA: Etibarlı CA ilə TLS sertlərinin buraxılışını məhdudlaşdırın.
Rekursorlar üçün DoT/DoH - müştərilərin sorğularının şifrələnməsi.
Avtoritetli ACL/Rate-limit: əks etdirən DDoS/ANY-sorğulara qarşı qorunma.
Subdomain Takeover: «asılı» CNAME/ALIAS-ı uzaqdan xidmətlərə mütəmadi olaraq tarayın (resursu silindi - CNAME qaldı).
NS/Glue yazıları: DNS registrator və provayder arasında uyğunluq.

SLO və müşahidə

SLO (nümunələr)

Avtoritar cavabların mövcudluğu: ≥ 99. 99 %/30 gün.
Repursor cavab vaxtı (p95): ≤ 50 ms yerli/ ≤ 150 ms qlobal.
Sağlamlıq yoxlamalarının uğuru: ≥ 99. 9%, saxta əməliyyatlar - ≤ 0. 1%.

Dəyişiklikdən sonra eniş vaxtı (propagation): TTL 60 s-də 5 dəq-ə ≤

Metrika

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 cavab vaxtı.
IPv6/IPv4 payları, EDNS ölçüsü, Truncated (TC) cavablar.
Health-check keçid sayı, flapping, DNSSEC imza səhvləri.
DoH/DoT sorğu payları (əgər rekursor nəzarət).

Logi

Sorğular (qname, qtype, rcode, client ASN/geo), anomaliyalar (ANY-fırtınalar, bir prefiks üzrə tez-tez NXDOMAIN).

IaC və avtomatlaşdırma

Terraform/DNS provayderləri: anbarda zonaları saxlayın, PR-review, plan/appruv.
ExternalDNS (K8s): Ingress/Service-dən qeydlərin avtomatik yaradılması/silinməsi.
Ara mühitlər: 'dev. '/' stg.' prefiksləri və fərdi DNS provayder hesabları.

Terraform (sadələşdirilmiş nümunə)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Rezolverlər, cache və performans

Öz rekursorları (Unbound/Knot/Bind) proqramlara daha yaxındır → p95-dən az.
Prefetch qaynar qeydləri, səlahiyyət əlçatmazsa serve-stale daxil edin.
EDNS (0) və düzgün bufer ölçüsü, DNS Cookies, minimal-responses.
Tətbiq axını və trafikini ayırın (QoS).
Negative TTL-ni nəzərə alın: «sınmış» müştəridən bir çox NXDOMAIN cache ala bilər.

DDoS və sabitlik

Qlobal PoP və bot trafik aqreqasiyası ilə Anycast provayderi.
Response Rate Limiting (RRL) avtoritar, amplification qarşı müdafiə.
«ANY» qadağası, EDNS buferinin məhdudlaşdırılması, «ağır» növlərə filtrlər.
Zonaların seqmentasiyası: ən yaxşı DDoS qalxanı olan provayderdə kritik; daha az kritik - ayrıca.
Qeydiyyat səviyyəsində AXFR/IXFR və avtomatik NS feyloveri ilə ehtiyat provayder (secondaries).

Əməliyyatlar və proseslər

Dəyişikliklər: PR-review, canary-qeydlər, cache isitmə (aşağı TTL → deploy → TTL qaytarmaq).
DNSSEC rollover: tənzimləmə, pəncərələr, etibarlılıq monitorinqi (RFC 8901 KSK/ZSK).
Runbook: PoP düşməsi, səhv NS nümayəndə heyəti, yıxılan sağlamlıq-yoxlama, kütləvi SERVFAIL.
DR planı: alternativ DNS provayderi, hazır zona şablonları, qeydiyyat giriş, NS əvəz SLA.

Giriş çek siyahısı

  • İki müstəqil avtoritar provayder/RoR (Anycast), düzgün «NS» registrator.
  • TTL strategiyası: dinamika üçün qısa, sabit qeydlər üçün uzun; negative TTL nəzarət altında.
  • Health-checks və siyasət: failover/weighted/latency/geo xidmət profili.
  • DNSSEC (KSK/ZSK/DS), 'CAA' sertifikatların buraxılışını məhdudlaşdırır.
  • Zonalar üçün IaC, K8s üçün ExternalDNS, ayrı-ayrı mühit/hesablar.
  • Monitorinq: rcode/QPS/latency/propagation, SERVFAIL/imzalar üzrə risklər.
  • DDoS: Anycast, RRL, EDNS məhdudiyyətləri, blok siyahıları/ACL.
  • 48-72 saat ərzində domen miqrasiyası və TTL azaldılması qaydaları.
  • «Asılı» müntəzəm audit CNAME/ALIAS, MX/SPF/DKIM/DMARC (poçt istifadə edildikdə).

Tipik səhvlər

Kritik 'A/AAAA' çox böyük TTL - uzun miqrasiyalar/feyloverlər.
Bir DNS/bir PoP provayderi - SPOF.
DNSSEC/CAA olmaması - saxta/nəzarətsiz sertifikatlar riski.
Qeyri-ardıcıl split-horizon → daxili adların sızması.
GSLB-də health-checks yoxdur - əl və gecikmələr.
Xarici xidmətlər üçün unudulmuş CNAME → risk takeover.
No IaC → «qar dənəsi» -konfiqlər və əl düzəlişləri zamanı səhvlər.

iGaming/Fintech üçün xüsusiyyətlər

Regional versiyalar və PSP: geo/latency-routing, IP/ASN partnyorların ağ siyahıları, sürətli şlüzlər.
Piklər (matçlar/turnirlər): qısa TTL, CDN isitmə, tədbirlər üçün ayrı adlar ('event-N. example. com ') ilə idarə olunur.
Hüquqi düzgünlük: kritik dəyişikliklər zamanı və zonaların versiyasını qeyd edin (audit jurnalı).
Antifrod/BOT qorunması: tiebreakers/kapça/çek nöqtələri üçün ayrı-ayrı adlar; hücumlar zamanı «qara dəlik» (sinkhole) üçün sürətli geri çəkilmə.

Mini playbuklar

Kanarya Cəbhə Release (weighted):

1. `api-canary. example. com '→ 5% trafik; 2) p95/p99/səhvləri izləmək; 3) 25/50/100% -ə qədər artırın; 4) deqradasiya zamanı bükülür.

Təcili failover:

1. TTL 60 s; 2) health-check regionu aşağı qeyd → GSLB cavablardan çıxarıldı; 3) xarici rezolverlərin yoxlanılması; 4) status kommunikasiyası.

DNS provayderinin miqrasiyası:

1. Yeni provayderə zonanın idxalı; 2) köhnə ilə sinxron secondary daxil; 3) «sakit» pəncərə qeydiyyat 'NS' dəyişdirmək; 4) SERVFAIL/val-səhvləri müşahidə edirik.

Yekun

Etibarlı DNS dövrəsi Anycast səlahiyyətləri + ağlabatan TTL + sağlamlıq/gecikmə marşrutu + DNSSEC/CAA + IaC və müşahidə qabiliyyətidir. Miqrasiya və rollover proseslərini qeyd edin, ehtiyat provayderi saxlayın, «asılı» qeydlər üçün zonanı müntəzəm olaraq yoxlayın - və istifadəçiləriniz ən «isti» saatda da istədiyiniz cəbhələrə sabit şəkildə düşəcəklər.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.