IV միկրոակտիվացում և failover
1) ՌՍՖՍՀ դերը անկայունության մեջ
III-ը օգտագործողի առաջին «ռոտերն» է։ Նրա դիզայնից կախված են
Հասանելիություն (արագ/հուսալի failover);
Արտադրողականությունը (geo/latency-routing);
Արժեքը (միջտարածաշրջանային egress և 3rd-party զանգեր);
Անվտանգությունը (DNSSEC, anti-hijack, CAA/DMARC/SPF)։
Բանալին 'կարճ TTL, որտեղ դինամիկան կարևոր է, և կայուն զոնալ ճարտարապետությունը (public + private, split-horizon)։
2) Ձայնագրությունների և պրակտիկայի տեսակներ
A/AAAA-ը հիմնական ինստիտուտներն են։ միշտ հրատարակեք IPv6 որտեղ հնարավոր է։
CNAME vs ALIAS/ANAME 'տիրույթի արմատի վրա օգտագործեք ALIAS/ANAME (կամ պրովայդերական apex-flattening)։
TXT-ը SPF/DMARC/DKEA-ն է, CAA-ը հավաստագրերի արտադրողների սահմանափակումն է։
MSV/NS-ը սկավառակի ծառայությունն է և տեղադրումը։
SVCB/HTTPS-ը ժամանակակից այլընտրանքային մեխանիզմ է, որն ունի գերակայություն և կայունություն (ALPN, 2019)։
Առաջարկություն. Գրանցեք TTL ստանդարտները դասարաններում (edge/API/ստատիկ)։
3) Ուղղորդման քաղաքականությունը
Weighted (կշռված) - վերահսկվող բաժնետոմսեր (canaraks/blue-green)։
Latency-based-ը մոտակա փամփուշտի ընտրությունն է։
Geo-routing - երկրի/մայրցամաքի/տարածաշրջանի; կարևոր է ռուսական residency-ի համար։
Failover (primary/secondary) - ակտիվ լուծումը և անցումը։
Multi-value - մի քանի A/AAAA; հաճախորդը ընտրում է (չի փոխարինում health-winks)։
Proximity/ASN routing-ը որոշ պրովայդերների մոտ 'հաճախորդի ցանցով։
Բրանդենբուրգի 'geo weight weight weight։
4) TTL, cashing և քարոզչություն
TTL API/դինամիկան ՝ 30-120 c (հավասարակշռությունը ֆեյլերի և բեռի արագության միջև)։
Static/CDN: 1–24 ч.
Բացասական TTL (SOA 'Minimum ") - 3660-300 s, հակառակ դեպքում NXDOMAIN-ը կլինի" լիպիկ "։
Հիշու՞ մ եք, որ ռեզոլիվները պարտավոր չեն անմիջապես նետել քեշը։ հաշվի առեք «կեղտոտ պոչը»։
5) Էնդպոինտների առողջությունն ու ստուգումը
Health-winks մի քանի տարածաշրջաններից 'TCP/443 + HTTP 2xx/3xx և լամբդի ստուգումներ բիզնես չափանիշներից (օրինակ, հաջողակ '/health? deep = dig '- կախվածության ստուգմամբ)։
Սինթեզիկան (RUM/action) 'API թեստերը հիմնական ուղղություններով, TMS/OCEC ստուգումը, DNSSEC ստուգումները։
Էքսպոնիրալացրեք '/ready '(խորը) և '/108' (մակերեսային); MS-Pull-ը կապեք/ready-ի հետ։
6) Հանրային vs մասնավոր RF (split-horizon)
Public zone-ը հաճախորդների հասանելիությունն է։
Private zone-ը ներքին միացում է private endpoinae (SDC/VNet, on-35m)։
Conditional forwarding между on-prem ↔ cloud, region ↔ region.
Անվանումը '<api։ <brand>.<region>.internal. corp` и `api. <brand>.com`.
7) Անվտանգություն: DNSSEC և տիրույթի քաղաքականություն
DNSSEC: Միացրեք գոտու ստորագրությունը (KSK/ZSK), հետևեք կոդավորման լուծարմանը և վստահության շղթային։
CAA: Թվեք թույլատրելի CA; միացրեք «iodef» ալտերտերի համար։
SPF/DMARC/DKEA 'փոստի հեղինակություն և պաշտպանություն ֆիշինգից։
Registrar-lok և MFA-ը պրովայդերի VI-ի վրա։ Փոփոխությունների ամսագիր (WORM պահեստ)։
8) Failover նախագծումը
8. 1 Մոդելներ
Active-Action: Երկու + առողջ փամփուշտներ; հավասարակշռությունը latency/weight, health-winks բացառում են անառողջ։
Active-Passive: հիմնական փամփուշտը + պահեստը (0 տոկոսը քաշը մինչև ավտովթարը)։
Regional ring: Ռուսական «հարևան» տարածաշրջանին տեղական պատահարի ժամանակ։
Degraded mode: ձայնագրությունը «թեթև» կայքում/lending, եթե backend անհասանելի է։
8. 2 Գայթակղիչ տեսարան
1. Մոսկվան արձանագրում է «/ready »դեգրադացիան։
2. ԲԿՄԱ-ն փոխում է պատասխանները (բացառում է փամփուշտը կամ փոխում քաշը)։
3. Մոսկվան գնում է առողջ տարածք, TTL-ը որոշում է արագությունը։
4. Դեպքից հետո 'grace ժամանակահատվածը (15-30 րոպե) և միայն հետո քաշի ավելացումը։
9) Միգրացիայի օրինակներ
9. 1 AWS Route 53 — latency + health + weighted
hcl
Two latency aliases for different regions resource "aws_route53_record" "api_latency_eu" {
zone_id = var. zone_id name = "api. example. com"
type = "A"
set_identifier = "eu1"
latency_routing_policy { region = "eu-central-1" }
alias { name = aws_lb. api_eu. dns_name zone_id = aws_lb. api_eu. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_eu. id ttl = 60
}
resource "aws_route53_record" "api_latency_us" {
zone_id = var. zone_id name = "api. example. com"
type = "A"
set_identifier = "us1"
latency_routing_policy { region = "us-east-1" }
alias { name = aws_lb. api_us. dns_name zone_id = aws_lb. api_us. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_us. id ttl = 60
}
Canary in EU: 10% of the weight of the resource "aws_route53_record" "api_weighted_canary" {
zone_id = var. zone_id name = "api. example. com"
type = "A"
set_identifier = "eu1-canary"
weighted_routing_policy { weight = 10 }
alias { name = aws_lb. api_eu_canary. dns_name zone_id = aws_lb. api_eu_canary. zone_id evaluate_target_health = true }
ttl = 30
}9. 2 Cloudflare - geo/ASN և failover pool (գաղափար)
Load Balancer Poome-ը health-winks (HTP/TCP), Load Balancer-ը Geo Steering (մայրցամաքներ/երկրներ) և Session affinity-ը։
Fallback: Page Rule/Transform Rule-ը պարզեցված backend 5xx գագաթներով։
9. 3 Azure/GCP
Azure Traffic Manager: Priority/Weighted/Performance/Geographic.
Google Cloud Load Balancing + Cloud DNS policy: geo-policy + health-checks через External HTTP(S) LB.
10) Դիտարկումը և SLO IV
SLI: success-rate ռեզոլվա, ռետոլի ժամանակի 95-րդ պերցենտիլ, TTL-ում թարմ (ոչ stale) պատասխանների մասնաբաժինը։
SLO: Օրինակ '99։ 95% "հաջողակ պատասխանները 100 մզ են։
Metriks: NXDOMAIN-rate, SERFAIL-rate, health-state փամփուշտներ, տարածքների մասնաբաժինը, կանարյան մասնաբաժինը։
Exemplars: SLI-ը կապեք HTTP-ի ուղիների հետ սինթեզում։
11) Փորձարկում և գործողություն
Սինթեզիկան տարբեր ASN/տարածաշրջաններից (RIPE Atlas, Catchpoint, k6-IV)։
dnsviz/' v "ստուգելու համար DNSSEC;" www.g + trace "անոմալիաների ժամանակ։
Staging գոտի ('stg. example. com ') ֆեյլերի փորձերի համար; rehearsal-ջութակը փոխում է քաշը/գերակայությունները և վերադառնում։
Runbook: Ով և ինչպես ձեռքով բարձրացնում է քաշը, ինչպես անջատել փամփուշտը, ինչպես կատարել «freeze»։
12) Անտիպատերնի
TTL = 3000 + քննադատական A/AAAA-ի վրա տեղադրվում է դանդաղ/հաոտիկ ֆեյլեր։
Health-winks-ի կամ միայն TCP-ի ստուգման բացակայությունը առանց բիզնեսի ինվարանտների։
CNAME շղթայի կույտը պարունակում է դանդաղ ռետոլներ, քաշ-քաոս։
Միակ RF պրովայդերը առանց secondary/axfr-պահեստի։
Չհրապարակված տարածքը, երբ DNSSEC-ը պահանջում էր; ոչ ակտուալ CAA-ն։
Գրառումները, որոնք ցույց են տալիս մասնավոր backends/BD հանրային IP-ը։
13) iGaming/ֆինանսական առանձնահատկությունները
Իրավասությունները 'geo-/country-routing-ը պահանջների ավելացման համար (ուղղումը տեղական տիրույթին/ճակատին)։
PMS/KYC 'առանձնացված ենթաբաժիններ առանձին TTL-ի և ֆեյլերի քաղաքական գործիչների հետ։ արագ թարգմանություն PSA-ին։
Պատասխանատու խաղը 'իրավաբանական էջերի փոխարինումները միշտ հասանելի են (պահուստային կարգավիճակներ/CDN)։
Աուդիտ 'գոտու փոփոխության ամսագիրը WORM-պահեստում, փոփոխությունների ստորագրությունը և հակադարձումը։
Բլոկի թերթերը ՝ RF-կանոնները տարածաշրջաններում (edge-ֆիլտրում + RF-միկրոակտիվացում)։
14) Չեկ-թուղթ պատրաստակամության համար
- TTL դասարաններում։ բացասական TTL-ն 300 ս է։
- Երկու անկախ anycript-ցանցեր III (primary/secondary), MFA/գրանցող-լոկ։
- Քաղաքական գործիչներ ՝ geo/latency/weight + health-winks մի քանի տարածաշրջաններից։
- DNSSEC-ն միացված է, CAA/DMARC/DKJ/SPF-ն արդիական է։
- Split-horizon (public/private), private zones ներքին ինտեգրման համար։
- Runbook failover/2019, rehearsal-ջութակը, kanareeks-ը։
- SLI/SLO, NXDOMAIN/SERFAIL/RTT աճը։
- Հոստինգի գոտի և «ուսմունքների» պաշտպանություն։
- iGaming: Routing-ը, PMS/KYC-ի համար, անփոփոխ աուդիտ։
15) TL; DR
Կառուցեք համակցված քաղաքականություն 'geo/latency + health-corks + քաշը, TTL 30-120 դինամիկայի վրա։ Կիսեք public/private (split-horizon), միացրեք DNSSEC և CAA, պահեք secondary III։ Արեք rehearsal-ֆեյլերը և դիտեք SLI/SLO III-ը։ iGaming-ի համար հաշվի առեք PFC/KYC օրինագծերի իրավասությունները և լոգիստիկ փոփոխությունները WORM-ում։