GH GambleHub

مسیریابی DNS و شکست

1) نقش DNS در تحمل خطا

DNS اولین «روتر» کاربر است. موارد زیر به طراحی آن بستگی دارد:
  • در دسترس بودن (شکست سریع/قابل اعتماد) ؛
  • عملکرد (مسیریابی جغرافیایی/تأخیر) ؛
  • هزینه (به حداقل رساندن خروج بین منطقه ای و تماس های شخص ثالث) ؛
  • امنیت (DNSSEC، ضد ربودن، کنترل CAA/DMARC/SPF).

کلید: TTL های کوتاه که در آن پویایی مهم است و معماری منطقه ای پایدار (عمومی + خصوصی، تقسیم افق).

2) انواع سوابق و شیوه ها

A/AAAA - آدرس های اصلی همیشه IPv6 را در صورت امکان منتشر کنید.
CNAME در مقابل ALIAS/ANAME: در ریشه دامنه، از ALIAS/ANAME (یا ارائه دهنده apex-flattening) استفاده کنید.
TXT - SPF/DMARC/DKIM، تأیید ؛ CAA - محدودیت صادر کنندگان گواهی.
SRV/NS - کشف خدمات و نمایندگی.
SVCB/HTTPS یک مکانیزم جایگزین مدرن با اولویت بندی و پارامترها (ALPN، پورت ها) است.

توصیه: استانداردهای TTL را بر اساس کلاس (edge/API/static) اصلاح کنید.

3) سیاست های مسیریابی

وزن - سهام کنترل ترافیک (قناری/آبی سبز).
Latency-based: استخری را انتخاب کنید که به Latency نزدیکتر است.

مسیریابی جغرافیایی - بر اساس کشور/قاره/منطقه ؛ مهم برای اقامت داده ها

Failover (اولیه/ثانویه) - نظارت فعال و سوئیچینگ.
چند ارزش - چند A/AAAA ؛ مشتری خود را انتخاب می کند (چک های بهداشتی را جایگزین نمی کند).
مسیریابی Proximity/ASN - برای برخی از ارائه دهندگان: بیش از شبکه مشتری.

ترکیب: geo → latency → سلامت

4) TTL، ذخیره و انتشار

TTL API/بلندگو: 30-120 ثانیه (تعادل بین سرعت feiler و بار).
استاتیک/CDN: 1-24 ч.
TTL منفی (حداقل «SOA») - ≤ 60-300 ثانیه، در غیر این صورت NXDOMAIN «چسبنده» خواهد بود.
به یاد داشته باشید: resolvers لازم نیست فورا کش را بیرون بکشد ؛ «دم کثیف» را در نظر بگیرید.

5) سلامت و بررسی نقاط پایانی

چک های بهداشتی از مناطق مختلف: TCP/443 + HTTP 2xx/3xx و بررسی معیارهای کسب و کار لامبدا (به عنوان مثال موفقیت/سلامت ؟ deep = true 'با چک کردن وابستگی).
مصنوعی (RUM/فعال): نمونه API در امتداد مسیرهای اصلی، چک TLS/OCSP، چک DNSSEC.
افشای «/ready »(عمیق) و «/live» (سطحی) ؛ استخر DNS را به/ready متصل کنید.

6) DNS عمومی در مقابل خصوصی (تقسیم افق)

منطقه عمومی - دسترسی مشتری.
منطقه خصوصی - رزولوشن داخلی به نقاط انتهایی خصوصی (VPC/VNet، on-prem).
حمل و نقل مشروط между on-prem ↔ ابر، منطقه ↔ منطقه.
نامگذاری: 'api. <brand>. <region>. داخلی API 'и' corp. <brand> .com '.

7) امنیت: DNSSEC و سیاست دامنه

DNSSEC: امضای منطقه (KSK/ZSK) را فعال کنید، چرخش کلید و زنجیره اعتماد را نظارت کنید.
CAA: لیست CA های معتبر ؛ شامل 'iodef' برای هشدار.

SPF/DMARC/DKIM: شهرت ایمیل و حفاظت در برابر فیشینگ

قفل ثبت کننده و MFA برای حساب های ارائه دهنده DNS ؛ ثبت تغییر (فروشگاه WORM).

8) طراحی شکست خورده

8. 1 مدل ها

فعال فعال: دو + استخر سالم ؛ تعادل از طریق تاخیر/وزن، چک های بهداشتی، ناسالم را رد می کند.
فعال منفعل: استخر اصلی + ذخیره (0٪ وزن قبل از تصادف).
حلقه منطقه ای: ترافیک به منطقه «همسایه» در یک فاجعه محلی.
حالت تنزل: ارسال به سایت «آسان »/فرود اگر باطن در دسترس نیست.

8. 2 سناریو گام به گام

1. نظارت بر سوابق تخریب «/آماده ».
2. DNS پاسخ ها را تغییر می دهد (استخر را حذف می کند یا وزن را تغییر می دهد).
3. ترافیک به یک منطقه سالم می رود، TTL سرعت را تعیین می کند.
4. پس از تثبیت - دوره فضل (15-30 دقیقه) و تنها پس از بازگشت مقیاس.

9) نمونه های پیکربندی

9. 1 AWS مسیر 53 - تاخیر + سلامت + وزن

hcl
Two latency aliases for different regions resource "aws_route53_record" "api_latency_eu" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "eu1"
latency_routing_policy { region = "eu-central-1" }
alias { name = aws_lb. api_eu. dns_name zone_id = aws_lb. api_eu. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_eu. id ttl = 60
}

resource "aws_route53_record" "api_latency_us" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "us1"
latency_routing_policy { region = "us-east-1" }
alias { name = aws_lb. api_us. dns_name zone_id = aws_lb. api_us. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_us. id ttl = 60
}

Canary in EU: 10% of the weight of the resource "aws_route53_record" "api_weighted_canary" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "eu1-canary"
weighted_routing_policy { weight = 10 }
alias { name = aws_lb. api_eu_canary. dns_name zone_id = aws_lb. api_eu_canary. zone_id evaluate_target_health = true }
ttl = 30
}

9. 2 Cloudflare - geo/ASN و استخر شکست (ایده)

Load Balancer Pools c health-checks (HTTP/TCP), Load Balancer with Geo Steering (قاره ها/کشورها) و Session affinity.
Fallback: قانون صفحه/قانون تبدیل به یک backend ساده در قله 5xx.

9. 3 لاجورد/GCP

Azure Traffic Manager: اولویت/وزن/عملکرد/جغرافیایی.
Google Cloud Load Balancing + سیاست ابر DNS: سیاست جغرافیایی + بررسی سلامت через خارجی HTTP (S) LB.

10) قابلیت مشاهده و DNS SLO

SLI: رزولوشن نرخ موفقیت، درصد 95 زمان رزولوشن، نسبت پاسخ های تازه (غیر پایدار) در TTL.
SLO: به عنوان مثال، 99. 95٪ از پاسخ های موفق 100 میلی ثانیه ≤.
معیارها: نرخ NXDOMAIN، نرخ SERVFAIL، استخرهای بهداشتی، سهم ترافیک بر اساس منطقه، سهم قناری.
نمونه ها: SLI را با ردیابی HTTP از طریق «trace _ id» در مصنوعی مرتبط کنید.

11) آزمایش و بهره برداری

مصنوعی از ASN/مناطق مختلف (RIPE اطلس، Catchpoint، K6-DNS).
dnsviz/' delv 'برای بررسی DNSSEC ؛' حفاری + ردیابی 'برای ناهنجاری ها.
منطقه مرحله بندی ("STG. به عنوان مثال. com ') برای تمرینات feilover ؛ اسکریپت تمرین وزن/اولویت ها و بازده ها را تغییر می دهد.
Runbook: چه کسی و چگونه به صورت دستی وزن/وزن را کاهش می دهد، چگونه استخر را خاموش می کند، چگونه «یخ زدن» را انجام می دهد.

12) ضد گلوله

TTL = 3000 + در A/AAAA بحرانی → آهسته/هرج و مرج feilover.
بدون چک کردن سلامت و یا TCP تنها چک پورت بدون invariants کسب و کار.
یک دسته از زنجیره های CNAME → قطعنامه های آهسته، هرج و مرج کش.
تنها ارائه دهنده DNS بدون پشتیبان گیری ثانویه/axfr.

منطقه بدون علامت زمانی که DNSSEC مورد نیاز است CAA های بی ربط

مدخلهایی که به IP عمومی پشتیبانهای خصوصی/پایگاههای داده اشاره میکنند.

13) ویژگی های iGaming/امور مالی

حوزه های قضایی: جغرافیایی/مسیریابی کشور برای انطباق (تغییر مسیر به دامنه محلی/جلو).
PSP/KYC: زیر دامنه های اختصاصی با TTL فردی و سیاست های feilover ؛ انتقال سریع به PSP آماده به کار.
بازی مسئول: زیر دامنه با صفحات قانونی همیشه در دسترس هستند (پشتیبان گیری استاتیک/CDN).
حسابرسی - تغییرات منطقه را به فروشگاه WORM وارد کنید، تغییرات را امضا کنید و به طور مرتب بررسی کنید.
لیست بلوک: قوانین انطباق DNS بر اساس منطقه (فیلتر لبه + مسیریابی DNS).

14) تولید لیست آمادگی

  • پروفایل TTL توسط کلاس ؛ TTL منفی ≤ 300 ثانیه.
  • دو شبکه مستقل DNS (اولیه/ثانویه)، قفل MFA/ثبت کننده.
  • سیاست ها: جغرافیایی/تاخیر/وزن + بررسی سلامت از مناطق مختلف.
  • DNSSEC فعال، CAA/DMARC/DKIM/SPF تا به امروز.
  • تقسیم افق (عمومی/خصوصی)، مناطق خصوصی برای ترافیک داخلی.
  • بروشور/بازگشت کتاب اجرا، اسکریپت تمرین، دامنه قناری.
  • نظارت SLI/SLO، هشدار در رشد NXDOMAIN/SERVFAIL/RTT.
  • منطقه مرحله بندی و به طور منظم شکست «دریل».
  • برای iGaming: مسیریابی توسط صلاحیت، دامنه های جداگانه برای PSP/KYC، حسابرسی غیر قابل تغییر.

15) TL ؛ دکتر متخصص

یک سیاست ترکیبی ایجاد کنید: geo/latency + health-checks + weights، با TTL 30-120 s در بلندگو. عمومی/خصوصی جداگانه (تقسیم افق)، DNSSEC و CAA را فعال کنید، DNS ثانویه را نگه دارید. یک تمرین-feilover انجام دهید و SLI/SLO DNS را مشاهده کنید. برای iGaming، حوزه های قضایی و رزرو دامنه PSP/KYC را با قوانین جداگانه و ورود به سیستم تغییرات در WORM در نظر بگیرید.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.