GH GambleHub

ניהול וניתוב DNS

סיכום קצר

DNS הוא "נתב ברמת שם. "זה תלוי ב TTL מוכשר, אזורים ומדיניות כמה מהר וצפוי משתמשים להגיע לחזיתות/שערים הרצויים. סט מינימלי: Anycast spect, TTL בריא, בדיקות בריאות עם כשלים אוטומטיים, DNSEC + CAA, ניהול IAC ויכולת תצפית (SLO על ידי זמן תגובה ורזולוציה).

ארכיטקטורה בסיסית

שרתים סמכותיים (אזורים) אחראים לתחומי החברה.
החלטות רקורסיביות (לקוחות/ISPs/own) - שאל את השורש # TLDs + סמכותי.
Anycast היא אותה כתובת IP על פופ רבים: PoP הקרוב מגיב מהר יותר ושורד תאונות.

אזורים ומשלחת

אזור השורש של התחום = NS 'to ספקים של שרתים סמכותיים.
תת ־ דמיות (למשל: 'אפי. דוגמא. com ') ניתן להאציל לפרט' NS '/ספקים לעצמאות.

סוגי תקליטים (מינימום)

א '/א '- כתובות IPv4/IPv6.
'CNAME' - כינוי לשם; אין להשתמש בשורש האזור (במקום ALIAS/ANAME בספקים).
'TXt' - אימות, SPF, תוויות מותאמות אישית.
אם-אקס - דואר (אם משתמשים בו).
'SRV' - שירותים (לגימה, LDAP, וכו ').
'CAA' - שיכול להנפיק תעודות לתחום.
'נ '/' SoA' - פרמטרים משלחת/אזור.
מפתחות DS - DNSEC להורים TLD.

אזור דגימה (שבר)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL ומזומנים

TTL קצר (30-300 ש "ח) - עבור דינמיקה (חזיתות API, כשל).
TTL בינוני (300-3600 ש "ח) עבור CDN/Statics.
TTL ארוך (1 יום) - לשינויים נדירים (MX/NS/DS).
כאשר מתכננים נדידה, להפחית TTL 24-72 שעות מראש.

תן דעתך ל ־ TTL (NXDOMAIN): מנוהל על ־ ידי "SOA MINIMUMS &pos

מדיניות ניתוב (שכבת GSLB)

כשל (פעיל/פסיבי) - ניתן את האיי-פי הראשי לבדיקת כשל בריאות, ואז את השמורה.
משוקלל (תנועה-פיצול) - התפלגות תנועה (לדוגמה, קנרית 5/95).
Latency-מבוסס הוא הקרוב ביותר PoR/אזור על ידי השהיית רשת.
ניתוב גיאו - על ידי מדינה/יבשת; שימושי עבור חוקי PCI/PII מקומיים.
מולטי - כמה 'A/AAA' עם בדיקות בריאות של כל אחד.

מועצות

עבור API קריטי, להתחבר מבוסס latency + בדיקות בריאות + TTL קצר.
עבור שחרור חלק - משוקלל וצמיחה הדרגתית של שיתוף.
להגבלות אזוריות - גיאו ורשימות של ספקים מורשים.

החלפה בריאה ואוטומטית

בדיקות בריאות: HTTP (S) (200 OK, גוף/כותרת), TCP (יציאה), ICMP.
מוניטין/טביעת אצבע: בדוק לא רק את היציאה, אלא גם את תקינות ה-backend 'a (גרסה, מבנה-זיהוי).
סף הרגישות: ”N” צ 'קים מוצלחים/לא מוצלחים ברצף כדי להימנע מנפנוף.
לוקח מדדים: נתח של קצה בריא, זמן תגובה, מספר מתגים.

אזורים פרטיים ואופק מפוצל

Private DNS: אזורים פנימיים ב ־ VPC/VNet/On-Prem (למשל. 'svc. מקומי. דוגמה ".
פיצול אופק: תגובות שונות ללקוחות פנימיים וחיצוניים (IP פנימי נגד ציבורי).
הגנה מפני הדלפה: אל תשתמש בשמות ”פנימיים” בחוץ; בדוק כי שטחים פרטיים אינם נפתרים באמצעות ספקים ציבוריים.

אבטחת DNS

DNSSEC: חתימות אזור (ZSK/KSK), פרסום DS באזור האם, גלגול מפתח.
הגבל את שחרורם של סריטי TLS למפקדים מהימנים.
DOT/DOH עבור בקשות לקוח מוצפנות.
ACL/Rate-limit על סמכותי: הגנה מפני בקשות DDOS/כל.
Subdomain Takover: סרוק באופן קבוע את CNAME/ALIAS עבור שירותים מרוחקים (משאב שנמחק - CNAME נשאר).
רשומות NS/דבק: עקביות בין הרשם לספק DNS.

SLO ויכולת תצפית

SLO (דוגמאות)

זמינות של תשובות סמכותיות: 99. 99 %/30 ימים.
זמן תגובת רקורסיה (p95): 50 ms local/loodn 150 ms global.
הצלחה בבדיקות בריאות: 99. 9%, חיובי כוזב - 0. 1%.
זמן התפשטות: 5 דקות ב-TTL 60 אס.

מדדים

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95.
IPv6/IPv4 שברים, גודל EDNS, תגובות TC.
מספר שגיאות של בדיקת בריאות, נפיחות, חתימת DNSSEC.
מניות של שאילתות DoH/DoT (אם אתה שולט ברקורסיה).

יומנים

שאילתות (qname, qtype, rode, client ASN/geo), חריגות (כל סופות, תכופות NXDOMAIN על ידי קידומת אחת).

IC ואוטומציה

ספקי Terraform/DNS: שמרו אזורים במאגר, סקירת יחסי ציבור, תוכנית/אפליקציה.
DNs (K8): יצירה אוטומטית/מחיקה של רשומות מאינגרס/שירות.
סביבות ביניים: 'דב. '/' stg. 'קדימות וחשבונות ספק DNS בודדים.

Terraform (דוגמה מפושטת)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

נחרצות, מטמון וביצועים

Unbound/Knot/Bind קרוב יותר ליישומים = = פחות מ ־ p95.
הפעל רשומות חמות טרום fetch, לשרת-מעופש כאשר סמכות אינה זמינה.
(EDNS (0) וגודל חוצץ נכון, עוגיות DNS, מינימום-תגובות.
זרימות ברזולוציה נפרדת ותנועת יישומים (QOS).
שקול TTL שלילי: הרבה NXDOMAIN מלקוח שבור יכול לסתום את המטמון.

DDOS והתאוששות

כל ספק עם פקולטה גלובלית וצבירה של רובוטים.
שיעור תגובה מגביל (RRL) על סמכותי, הגנה מפני הגברה.
'כל איסור', הגבלת חוצץ EDNS, מסננים על סוגים ”כבדים”.
פיצול אזור: קריטי - בספק עם מגן DDOS הטוב ביותר; פחות קריטי - בנפרד.
ספק גיבוי (שני) עם 'AXFR/IXFR' ופילובר NS אוטומטי ברמת הרשם.

פעולות ותהליכים

שינויים: PR-review, canary-records, hoom-up caches (low TTL # presloye = TTL).
Rollover DNSEC: תקנה, חלונות, ניטור תקפות (RFC 8901 KSK/ZSK).
טיפת פופ, משלחת NS שגויה, נפל מבדיקת בריאות, מסיבי SERVFAIL.
ד "ר תוכנית: ספק DNS חלופי, תבניות שטח מוכנות, גישה לרשם, SLA להחליף NS.

רשימת בדיקות מימוש

[ ] שני ספקים סמכותיים עצמאיים/RoP (Anycast), נכון 'NS' ברשם.
[ ] אסטרטגיית TTL: קיצור של דינמיקה, משתוקקת לשיאים יציבים; TL שלילי תחת שליטה.
[ ] בדיקות בריאות ומדיניות: כשל/משוקלל/latency/geo על ידי פרופיל שירות.
[ ] DNSEC (KSK/ZSK/DS), CAA מגבילה את שחרור הסרטנים.
[ ] IAC עבור אזורים, SocietDNS עבור K8s, סביבות/חשבונות נפרדים.
[ ניטור ]: rcode/QPS/latency/everation, התראות על ידי SERVFAIL/חתימות.
[ ] DDOS: Anycast, RRL, EDNS, רשימה בלוק/ACL.
[ תקנות ] לנדידת שטחים וציוני TTL תוך 48-72 שעות.
[ ] הביקורת הרגילה של CNAME/ALIAS, MX/SPF/DKIM/DMARC (אם משתמשים בדואר).

טעויות נפוצות

יותר מדי TTL על קריטי 'A/AAA' - נדודים ארוכים/מאהבים.
ספק DNS/PoP אחד הוא SPOF.
היעדר DNSEC/CAA - סיכון להחלפה/סרטים לא מבוקרים.
לא עקבי פיצול אופק * שמות פנימיים לדלוף החוצה.
אין בדיקות רפואיות על החלפת ידיים ועיכובים.
CNU נשכח על שירותים חיצוניים = הסיכון להשתלטות.
היעדר IAC = ”פתית שלג” תצורות וטעויות במהלך עריכה ידנית.

פרטים עבור iGaming/fintech

גרסאות אזוריות ו-PSP: geo/latency-routing, IP/ASN partner whitelists, כשלים מהירים.
Picks (התאמות/טורנירים): TTL קצר, לחמם את CDN, שמות נפרדים לאירועים ('Event-N. דוגמא. com ') עם מדיניות מנוהלת.
תקינות משפטית: רשמו את הזמן והגרסה של אזורים במהלך שינויים קריטיים (רישום ביקורת).
הגנת Antifraud/BOT: שמות נפרדים ל-tiebreakers/captcha/check endpoints; נסיגה מהירה ל ”חור השחור” (בולען) בהתקפות.

ספרי משחק קטנים

שחרור קנרי של החזית (משוקלל):

1. אפי-קנרית. דוגמא. com '# 5% מהתנועה; 2) לפקח על p95/p99/שגיאות; 3) עלייה ל ־ 25/50/100%; 4) להתגלגל במהלך השפלה.

כשל חירום:

1. TL 60 s; 2) בדיקת בריאות מסומנת אזור מטה = GSLB הוסר מתגובות; 3) בדיקת החלטות חיצוניות; 4) תקשורת סטטוס.

נדידת ספק DNS:

1. ייבוא אזור לספק חדש; 2) להפעיל את המשני הסינכרוני עבור הישן; 3) לשנות את ה-NS' של המקליט לחלון ”שקט”; 4) התבונן בשגיאות SERVFAIL/val.

תוצאות

לולאת DNS אמינה היא Anycast Authority + TTL + relatency/latency routing + DNSEC/CAA + IAC. רשמו את תהליכי הנדידה והחובבים, החזיקו ספק גיבוי, בדקו באופן קבוע את רישומי ”התלייה” - והמשתמשים שלכם יגיעו לחזיתות הרצויות, אפילו בשעה החמה ביותר.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.