GH GambleHub

डीएनएस प्रबंधन और अनुमार्गण

संक्षिप्त सारांश

DNS एक "नाम-स्तर राउटर है। "यह सक्षम टीटीएल, ज़ोन और नीतियों पर निर्भर करता है कि उपयोगकर्ता वांछित मोर्चों/गेटवे पर कितनी जल्दी और अनुमानित रूप से प्राप्त करते हैं। न्यूनतम सेट: Anycast प्रदाता, स्वस्थ TTL, स्वचालित विफलता के साथ स्वास्थ्य-जांच, DNSSEC + CAA, IaC प्रबंधन और अवलोकन (प्रतिक्रिया और संकल समय से SLLO O O O)।

बुनियादी वास्तुकला

आधिकारिक सर्वर (ज़ोन) - कंपनी के डोमेन के लिए जिम्मेदार हैं।

पुनरावर्ती रिज़ॉल्वर (क्लाइंट/आईएसपी/अपना) - रूट → TLD → आधिकारिक पूछें।

Anycast एक ही IP है जो कई PoP पर संबोधित करता है: निकट PoP तेजी से जवाब देता है और दुर्घटनाओं से बच जाता है।

ज़ोन और प्रतिनिधिमंडल

डोमेन का मूल क्षेत्र → 'NS' to आधिकारिक सर्वर के प्रदाता।

उपडोमेन (उदा। 'आपी। उदाहरण। कॉम ') को स्वतंत्रता के लिए व्यक्तिगत' एनएस '/प्रदाताओं को सौंपा जा सकता है।

रिकॉर्ड प्रकार (न्यूनतम)

'ए '/' एएएए' - IPv4/IPv6 पते।

'CNAME' - नाम के लिए उर्फ; ज़ोन की जड़ पर उपयोग न करें (प्रदाताओं पर ALIAS/ANAME के बजाय)।

'TXT' - सत्यापन, SPF, कस्टम लेबल।

'एमएक्स' - मेल (यदि उपयोग किया जाता है)।

'एसआरवी' - सेवाएं (एसआईपी, एलडीएपी, आदि)।

'सीएए' - जो डोमेन के लिए प्रमाणपत्र जारी कर सकता है।

'एनएस '/' एसओए' - प्रतिनिधिमंडल/ज़ोन मापदंड।

'डीएस' - मूल टीएलडी के लिए डीएनएसएसईसी कुंजी।

नमूना क्षेत्र (टुकड़ा)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

टीटीएल और कैशिंग

शॉर्ट टीटीएल (30-300 एस) - डायनेमिक्स (एपीआई मोर्चों, फेलओवर) के लिए।

मध्यम टीटीएल (300-3600 s) - सीडीएन/स्टेटिक्स के लिए।

लॉन्ग टीटीएल (≥ 1 दिन) - दुर्लभ परिवर्तनों (एमएक्स/एनएस/डीएस) के लिए।

पलायन की योजना बनाते समय, टीटीएल को 24-72 घंटे पहले कम करें।

नकारात्मक कैशिंग टीटीएल (NXDOMAIN) पर विचार करें: 'SOA MINIMUMUM' द्वारा प्रबंधित

रूटिंग नीतियां (जीएसएलबी परत)

फेलओवर (सक्रिय/निष्क्रिय) - हम मुख्य आईपी को असफल स्वास्थ्य-जांच, फिर रिजर्व देते हैं।

भारित (यातायात-विभाजन) - यातायात वितरण (उदाहरण के लिए, कैनरी 5/95)।

लेटेंसी-आधारित नेटवर्क देरी से निकटतम पीओआर/क्षेत्र है।

भू-मार्ग - देश/महाद्वीप द्वारा; स्थानीय/पीसीआई/पीआईआई कानूनों के लिए उपयोगी।

मल्टीवेल्यू - प्रत्येक की स्वास्थ्य जांच के साथ कई 'ए/एएएए'।

परिषदें

महत्वपूर्ण एपीआई के लिए, विलंबता-आधारित + स्वास्थ्य-जांच + लघु टीटीएल कनेक्ट करें।

चिकनी रिलीज के लिए - भारित और क्रमिक शेयर विकास।

क्षेत्रीय प्रतिबंधों के लिए - भू और अनुमत प्रदाताओं की सूची।

स्वास्थ्य और स्वचालित स्विचिंग

स्वास्थ्य-जांच: HTTP (S) (200 ओके, बॉडी/हेडर), TCP (पोर्ट), ICMP।

प्रतिष्ठा/फिंगरप्रिंट: न केवल पोर्ट की जांच करें, बल्कि बैकेंड 'a (संस्करण, बिल्ड-आईडी) की शुद्धता भी देखें।

संवेदनशीलता सीमा: फड़फड़ाने से बचने के लिए एक पंक्ति में 'एन' सफल/असफल जांच।

मैट्रिक्स लेना: स्वस्थ-समापन बिंदुओं का हिस्सा, प्रतिक्रिया समय, स्विच की संख्या।

निजी क्षेत्र और विभाजन-क्षितिज

निजी डीएनएस: वीपीसी/वीएनईटी/ऑन-प्रेम (जैसे) में आंतरिक क्षेत्र। 'svc। स्थानीय। उदाहरण ')।

स्प्लिट-क्षितिज: आंतरिक और बाहरी ग्राहकों के लिए विभिन्न प्रतिक्रियाएं (आंतरिक आईपी बनाम सार्वजनिक)।

रिसाव सुरक्षा: बाहर "आंतरिक" नामों का उपयोग न करें; जांच करें कि निजी क्षेत्र सार्वजनिक प्रदाताओं के माध्यम से हल

DNS सुरक्षा

DNSSEC: ज़ोन हस्ताक्षर (ZSK/KSK), मूल क्षेत्र में 'DS' प्रकाशित करना, प्रमुख रोलओवर।

सीएए: विश्वसनीय सीएएस के लिए टीएलएस सर्ट की रिहाई को सीमित करें।

Recursors के लिए DoT/DoH - एन्क्रिप्टिंग क्लाइंट अनुरोध।

आधिकारिक पर एसीएल/दर-सीमा: चिंतनशील डीडीओएस/किसी भी अनुरोध के खिलाफ सुरक्षा।

सबडोमेन टेकओवर: दूरस्थ सेवाओं के लिए नियमित रूप से "हैंगिंग" CNAME/ALIAS स्कैन करें (संसाधन हटाए गए - CNAME रहता है)।

NS/Glue रिकॉर्ड: रजिस्ट्रार और DNS प्रदाता के बीच स्थिरता।

एसएलओ और अवलोकन

एसएलओ (उदाहरण)

आधिकारिक उत्तरों की उपलब्धता: ≥ 99। 99 %/30 दिन।

पुनरावृत्ति प्रतिक्रिया समय (p95): ≤ 50 ms स्थानीय/ ≤ 150 ms वैश्विक।

सफलता स्वास्थ्य-जांच: ≥ 99। 9%, झूठी सकारात्मकता - ≤ 0। 1%.

प्रसार समय: TTL 60 s में ≤ 5 मिनट।

मेट्रिक्स

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 प्रतिक्रिया समय।

अंश IPv6/IPv4, EDNS आकार, कटा हुआ (TC) प्रतिक्रियाएँ।

स्वास्थ्य-जांच स्विच, फ्लैपिंग, DNSSEC हस्ताक्षर त्रुटियों की संख्या।

DoH/DoT प्रश्नों के शेयर (यदि आप पुनरावृत्ति को नियंत्रित करते हैं)।

लॉग्स

प्रश्न (qname, qtype, rcode, क्लाइंट ASN/geo), विसंगतियाँ (कोई भी तूफान, अक्सर एक उपसर्ग द्वारा NXDOMAIN)।

आईएसी और स्वचालन

Terraform/DNS प्रदाता: भंडार, PR समीक्षा, योजना/ऐप में क्षेत्र रखें।

DNS (K8s): इंग्रेस/सेवा से रिकॉर्ड का स्वचालित निर्माण/विलोपन।

मध्यवर्ती वातावरण: 'देव। '/' stg। 'उपसर्ग और व्यक्तिगत डीएनएस प्रदाता खाते।

Terraform (सरलीकृत उदाहरण)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

रिज़ॉल्वर, कैश और परफॉर्मेंस

अनबाउंड/नॉट/बिंद अनुप्रयोगों के करीब है - p95 से कम।

अनुपलब्ध होने पर प्रीफेच हॉट रिकॉर्ड, सर्व-बासी चालू करें।

EDNS (0) और सही बफर आकार, DNS कुकीज़, न्यूनतम-प्रतिक्रियाएं।

अलग संकल्प प्रवाह और अनुप्रयोग यातायात (QoS)।

नकारात्मक TTL पर विचार करें: एक टूटे हुए क्लाइंट से बहुत सारे NXDOMAIN कैश को क्लॉग कर सकते हैं।

DDoS और लचीलापन

वैश्विक PoP और बॉट ट्रैफिक एकत्रीकरण के साथ Anycast प्रदाता।

प्रवर्धन पर प्रतिक्रिया दर सीमित (आरआरएल), प्रवर्धन के खिलाफ सुरक्षा।

'कोई भी' निषेध, EDNS बफर प्रतिबंध, "भारी" प्रकारों पर फ़िल्टर।

ज़ोन विभाजन: महत्वपूर्ण - सर्वश्रेष्ठ DDoS ढाल के साथ प्रदाता पर; कम महत्वपूर्ण - अलग से।

रजिस्ट्रार स्तर पर 'AXFR/IXFR' और स्वचालित फ़ाइलओवर NS के साथ बैकअप प्रदाता (सेकेंडरी)।

संचालन और प्रक्रियाएँ

परिवर्तन: पीआर-रिव्यू, कैनरी-रिकॉर्ड, वार्म-अप कैश (कम टीटीएल → तैनात → रिटर्न टीटीएल)।

रोलओवर DNSSEC: विनियमन, खिड़कियां, वैधता निगरानी (RFC 8901 KSK/ZSK)।

रनबुक: PoP ड्रॉप, गलत NS प्रतिनिधिमंडल, स्वास्थ्य-जांच से गिर गया, बड़े पैमाने पर SERVFAIL।

डीआर योजना: वैकल्पिक डीएनएस प्रदाता, रेडी-मेड ज़ोन टेम्पलेट, रजिस्ट्रार तक पहुंच, एनएस को बदलने के लिए एसएलए।

कार्यान्वयन चेकलिस्ट

  • दो स्वतंत्र आधिकारिक प्रदाता/RoP (Anycast), रजिस्ट्रार पर 'NS' सही करें।
  • टीटीएल रणनीति: गतिशीलता के लिए छोटा, स्थिर रिकॉर्ड के लिए लंबा; नियंत्रण में नकारात्मक टीटीएल।
  • स्वास्थ्य-जांच और नीतियां: सेवा प्रोफ़ाइल द्वारा विफल/भारित/विलंबता/भू।
  • DNSSEC (KSK/ZSK/DS), 'CAA' सर्ट की रिहाई को प्रतिबंधित करता है।
  • क्षेत्रों के लिए IaC, के लिए DNS, अलग वातावरण/खाते।
  • निगरानी: rcode/QPS/विलंबता/प्रसार, SERVFAIL/हस्ताक्षर द्वारा अलर्ट।
  • DDoS: Anycast, RRL, EDNS प्रतिबंध, सूची ब्लॉक/ACL।
  • 48-72 घंटे में डोमेन माइग्रेशन और टीटीएल डाउनग्रेड के लिए विनियम।
  • CNAME/ALIAS, MX/SPF/DKIM/DMARC (यदि मेल का उपयोग किया जाता है) का नियमित ऑडिट।

सामान्य गलतियाँ

महत्वपूर्ण 'A/AAAA' पर बहुत अधिक TTL - लंबे प्रवास/फ़ाइलओवर।

एक DNS प्रदाता/एक PoP SPOF है।

DNSSEC/CAA की अनुपस्थिति - प्रतिस्थापन/अनियंत्रित सर्ट का जोखिम।

असंगत विभाजन-क्षितिज - आंतरिक नाम लीक करने के लिए।

जीएसएलबी पर कोई स्वास्थ्य-जांच नहीं - हाथ स्विचिंग और देरी।

बाहरी सेवाओं पर भूल गए CNAMEs - अधिग्रहण का जोखिम।

मैनुअल एडिट्स के दौरान IaC → "स्नोफ्लेक" कॉन्फ़िग और त्रुटियों की अनुपस्थिति।

IGaming/fintech के लिए विशिष्टता

क्षेत्रीय संस्करण और PSP: जियो/लेटेंसी-रूटिंग, IP/ASN पार्टनर व्हाइटलिस्ट, फास्ट फेलओवर गेटवे।

पिक्स (मैच/टूर्नामेंट): शॉर्ट टीटीएल, वार्म अप सीडीएन, इवेंट के लिए अलग-अलग नाम ('इवेंट-एन। उदाहरण। कॉम ') प्रबंधित नीति के साथ।

कानूनी शुद्धता: महत्वपूर्ण परिवर्तनों (ऑडिट लॉग) के दौरान क्षेत्रों का समय और संस्करण रिकॉर्ड क

Antifraud/BOT सुरक्षा: टाईब्रेकर्स/कैप्चा/चेक एंडपॉइंट के लिए अलग-अलग नाम; हमलों में "ब्लैक होल" (सिंकहोल) पर तेजी से वापसी।

मिनी प्लेबुक

सामने की कैनरी रिलीज़ (भारित):

1. 'एपी-कैनरी। उदाहरण। कॉम '→ 5% यातायात; 2) p95/p99/त्रुटियों की निगरानी करें; 3) 25/50/100% की वृद्धि; 4) गिरावट के दौरान रोल अप।

आपातकालीन विफलता:

1. टीटीएल 60 एस; 2) स्वास्थ्य-जांच क्षेत्र नीचे चिह्नित → GSLB प्रतिक्रियाओं 3) बाहरी समाधानकर्ताओं की जांच; 4) स्थिति संचार।

DNS प्रदाता माइग्रेशन:

1. एक क्षेत्र को एक नए प्रदाता में आयात करें; 2) पुराने के लिए तुल्यकालिक माध्यमिक को चालू करें; 3) रिकॉर्डर को "शांत" खिड़की में बदलें; 4) SERVFAIL/val त्रुटियों का निरीक्षण करें।

परिणाम

एक विश्वसनीय DNS लूप Anycast प्राधिकरण + उचित TTL + स्वास्थ्य/विलंबता मार्ग + DNSSEC/CAA + IaC और अवलोकन है। माइग्रेशन और रोलओवर की प्रक्रियाओं को रिकॉर्ड करें, एक बैकअप प्रदाता रखें, नियमित रूप से "हैंगिंग" रिकॉर्ड के लिए ज़ोन की जांच करें - और आपके उपयोगकर्ता सबसे गर्म घंटे में भी वांछित मोर्चों पर पहुंचेंगे।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।