GH GambleHub

RF կառավարումը և երթուղայնացումը

Ռուսական ռեզյումե

III-ը «անունների մակարդակի ռոտեր» է։ Գրագետ TTL-ից, գոտիներից և քաղաքականությունից կախված է, թե որքան արագ և կանխատեսելի օգտագործողները կհայտնվեն ճիշտ ճակատների/դարպասի վրա։ Նվազագույն հավաքածու ՝ Anycript-պրովայդեր, առողջ TTL, health-misks ավտոմատ failover, DNSEC + CAA, IaC կառավարումը և դիտարկումը (SLO պատասխաններով և ռետոլով)։

Ռուսական ճարտարապետություն

Հեղինակավոր սերվերները (zones) պատասխանատու են ընկերության մրցույթների համար։

Ռեքսուրսիվ ռեզոլիվները (clients/ISP/սեփական) հարցնում են TLD ռուսական հեղինակավոր արմատը։

Anycript-ը նույն IP հասցեն է PoP-ի հավաքածուի վրա, մոտակա PoP-ն ավելի արագ է պատասխանում և անհանգստացնում է վթարները։

Գոտիները և տեղայնացումը

«NS» տիրույթի արմատային տարածքը հեղինակավոր պարամետրերի պրովայդերի վրա։

Ենթաբաժիններ (օրինակ ՝ "api. example. com ') կարող եք տեղադրել առանձին' NS '/պրովայդերներ անկախության համար։

Գրառումների տեսակները (նվազագույն)

"A '/" AAAA" -ը IPv4/IPv6 է։

«CNAME» անունը կեղծանունն է։ մի օգտագործեք գոտու արմատի վրա (փոխարենը ALIAS/ANAME-ը պրովայդերների մոտ)։

«TXT» -ը, SPF, custum-2019։

«MX» - փոստ (եթե օգտագործվում է)։

«DRV» - ծառայություններ (SIP, LDAP և այլն)։

«CAA» -ը, ով կարող է տպագրել տիրույթի վկայագրերը։

"NS '/" SOA" - գոտու կոդավորումը/պարամետրերը։

«DS» - DNSSEC բանալիները ծնողական TLD-ի վրա։

Գոտու օրինակ (հատված)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL և cashing

Կարճ TTL (30-300 c) - դինամիկայի համար (API-fronts, failover)։

Միջին TTL (300-3500 c) - CDN/կարգավիճակի համար։

Երկար TTL (241 օր) - հազվագյուտ փոփոխությունների համար (MX/NS/DS)։

Պլանավորելով հաճախորդներին, իջեցրեք TTL-ը 24-72 ժամվա ընթացքում նախօրոք։

Հաշվի առեք Negative Caching TTL (NXDOMAIN), ղեկավարվում է «SOA MINIMUM»։

Ուղղման քաղաքականությունը (GSLB մակարդակ)

Failover (active/passive) - մենք տալիս ենք հիմնական IP-ը մինչև ֆեյլ health-codk-ը, ապա պահուստը։

Weighted (traffic-split) - կոդերի բաշխումը (օրինակ, canary 5/95)։

Latency-based-ը RoR/տարածաշրջանի ամենամոտ ցանցային ուշացումն է։

Geo-routing - երկրում/մայրցամաքում; օգտակար է տեղական օրենքների համար/PCI/PII։

Multivalue-ը մի քանի 'A/AAAA "է բոլորի առողջության ստուգումներով։

Խորհուրդներ

Քննադատական API-ի համար միացրեք latency-based + health-winks + կարճ TTL-ը։

Լողացող ածխաջրածինների համար 'weighted և մասնաբաժնի աստիճանական աճը։

Տարածաշրջանային սահմանափակումների համար 'geo և թույլատրված պրովայդերների ցուցակները։

Առողջություն և ավտոմատ փոխակերպում

Health-winks: HTTP (S) (200 OK, մարմինը/վերնագիրը), TCP (նավահանգիստ), ICTS։

Հեղինակություն/fingerprint: Ստուգեք ոչ միայն նավահանգիստը, այլ նաև backend 'a (տարբերակը, build-id)։

Զգայունության շեմն է '«N» հաջողակ/անհաջող ստուգումներ անընդմեջ, որպեսզի խուսափեն ֆլամպինգից։

Մենք ուտում ենք մետրիկ 'healthy-endpoints մասնաբաժինը, արձագանքի ժամանակը, փոխանցման քանակը։

Մասնավոր գոտիներ և split-horizon

Private III: ներքին գոտիները SDC/VNet/On-24m (օրինակ 'svc. local. example`).

Split-horizon: տարբեր պատասխաններ ներքին և արտաքին հաճախորդների համար (ներքին IP vs հանրային)։

Պաշտպանություն արտահոսքից 'մի օգտագործեք «ներքին» անունները։ նշվում է, որ մասնավոր տարածքները չեն կտրվում հանրային պրովայդերների միջոցով։

RF անվտանգությունը

DNSSEC: գոտիների ստորագրությունները (ZSK/KSK), «DS» հրատարակությունը ծնողական գոտում, ռոլովեր։

CAA: Սահմանափակեք TIM սերտերի արտադրությունը վստահելի CA-ով։

DoT/DoH ռեկուրսորների համար հաճախորդների հարցումների կոդավորումը։

ACL/Rate-limit հեղինակավոր 'պաշտպանություն արտացոլող DDoS/ANY հարցումներից։

Windomain Takeover: Պարբերաբար սկանավորեք CNAME/ALIAS-ը հեռավոր ծառայությունների վրա (հեռավոր ռեսուրսը - CNAME)։

NS/Glue-ձայնագրությունները 'կոնսիստենտալ գրանցողի և RF պրովայդերի միջև։

SLO և դիտարկումը

SLO (օրինակներ)

Հեղինակավոր պատասխանների հասանելիությունը 3699 է։ 99 %/30 օր։

Ռեքուրսորի պատասխանը (p95): 3850 ms տեղական/55150 ms գլոբալ է։

Health-winks-ի հաջողությունը 3699 է։ 9 տոկոսը, կեղծ գործադուլները ՝ 240։ 1%.

Քայլելու ժամանակը փոփոխությունից հետո (propagation): 355 րոպե TTL 60 C-ում։

Մետրիկները

RCODE (MSERROR/NXDOMAIN/SERFAIL), QPS, p50/p95 պատասխանը։

IPv6/IPv4, EDNS չափսը, Truncated (TC) պատասխանները։

Col-ը health-prok, fluping, DNSSEC ստորագրությունների սխալները։

DoH/DoT հատվածները (եթե վերահսկում եք ռեքսուրսորը)։

Լոգի

Հարցումներ (qname, qtype, rcode, client ASN/geo), անոմալիաներ (ANY փոթորիկներ, հաճախակի NXDOMAIN-ը մեկ նախածանցով)։

IaC և ավտոմատիզացիա

Terraform/Proiders III 'պահեք գոտիները, PR-revew, պլանը/appruve։

ExternalIII (K8s) 'ավտոմատ ստեղծում/հեռացում Ingress/Lenta.ru։

Միջանկյալ միջավայրերը '«dev. »/« stg.» և առանձին հաշիվներ RF-պրովայդերի համար։

Terraform (պարզեցված օրինակ)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Ռեզոլվերները, քեշը և արտադրողականությունը

Սեփական նորարարությունները (Unbound/Knot/Bind) ավելի մոտ են p95-ից ավելի քիչ դիմումներին։

Միացրեք wwww.fetch տաք ձայնագրությունները, serve-stale-ը, երբ հեղինակությունը անհասանելի է։

EDNS (0) և ճիշտ չափսը, MSCookies, minimal-responses։

Կիսեք ռետոլևի և դիմումների հոսքերը (QoS)։

Հաշվի առեք Negative TTL-ը, շատ NXDOMAIN-ը «բիթանոց» հաճախորդից կարող է քեշը։

DDoS և կայունություն

Anycript-պրովայդերը գլոբալ PoP-ի և բոտ-105 ագրեգացիայի հետ։

Response Rate Limiting (RRL) հեղինակավոր, պաշտպանություն amplifox-ից։

Արգելքը 'ANY ", EDNS-ռոտորի սահմանափակումը, ֆիլտրերը" ծանր "տեսակների վրա։

Գոտիների սեգմենտացիան 'քննադատական, պրովայդերի մոտ լավագույն DDoS վահանակով։ ավելի քիչ քննադատական 'առանձին։

Պահեստային պրովայդերը (secondaries) '«AXFR/IXFR» և NS ավտոմատ ֆեյլերը գրանցման մակարդակում։

Վիրահատություններ և գործընթացներ

Փոփոխությունները ՝ PR-review, canary-ձայնագրություններ, տաքացնելով (ցածր TTL deploy)։

ROllover DNSSEC: Կանոնակարգ, պատուհաններ, շարժունակություն (RFC 8901 KSK/ZSK)։

Runbook: PoP-ի անկում, NS-111, որը ծածկված է health-71 k, զանգվածային SERVFAIL-ը։

DR պլանը 'այլընտրանքային MS-պրովայդեր, տարածքների պատրաստի ձևանմուշներ, գրանցման հասանելիությունը, SLA-ը NS-ի փոփոխության վրա։

Ներդրման չեկի ցուցակ

  • Երկու ռուսական հեղինակավոր պրովայդեր/RoR (Anycript), ճիշտ «NS» գրանցողի մոտ։
  • TTL ռազմավարություն 'կարճ դինամիկայի համար, երկար կայուն ձայնագրությունների համար։ negative TTL-ն վերահսկողության տակ է։
  • Health-winks և քաղաքական գործիչներ 'failover/weighted/latency/geo ծառայություններով։
  • DNSSEC (KSK/ZSK/DS), «CAA» սահմանափակում է սերմերի արտադրությունը։
  • IaC գոտիների համար, ExternalIII-ը K8s-ի համար, առանձին թաղամասեր/հաշիվներ։
  • Pro: rcode/QPS/latency/propagation, SERFAIL/ստորագրություններ։
  • DDoS: Anycrim, RRL, EDNS սահմանափակումները, ցուցակների բլոկը/ACL։
  • Օրինագծերի խմբագիրները և TTL-ի նվազումը 48-72 ռուբլիների համար
  • CNAME/ALIAS, MX/SPF/DKSA/DMARC (եթե օգտագործվում է փոստը)։

Տիպիկ սխալներ

Չափազանց մեծ TTL-ը կրիտիկական 'A/AAAA-ի վրա երկար կոմպոզիցիաներ/ֆեյլերներ են։

Մեկ պրովայդեր RF/մեկ PoP - SPOF։

DNSSEC/CAA-ի բացակայությունը փոխարինման/անվերահսկելի շարքի ռիսկն է։

Չհիմնավորված split-horizon-ը բացատրում է ներքին անունների արտահոսքը արտաքին։

GSLB-ի վրա ոչ մի health-disks 'ձեռքերի և ձգձգումների տեղափոխումը։

Մոռացված CNAME-ը արտաքին ծառայությունների վրա ցույց է տալիս takeover ռիսկը։

IaC-ի բացակայությունը բացատրում է «ձյունը» -կոնֆիգները և սխալները ձեռքով աջերում։

Հատուկ iGaming/fintech

Տարածաշրջանային տարբերակները և PBS: geo/latency-routing, IP/ASN գործընկերների սպիտակ ցուցակները, արագ failover։

Պիկի (խաղեր/մրցույթներ): կարճ TTL, տաքացնելով CDN, առանձին անուններ ivent-N. example. com ') կառավարվող քաղաքականությամբ։

Իրավաբանական ճկունություն 'գրանցեք գոտիների ժամանակը և տարբերակը կրիտիկական փոփոխություններով (ամսագիրը մրցույթի համար)։

Անտիֆրոդ/BOT-պաշտպանություն 'առանձին անուններ tiebreakers/capchi/chek-endpoints; արագ շարժվում է «սև անցքի» վրա (sinkhole) հարձակման ժամանակ։

Մինի պլեյբուկներ

Ճակատի կանարեքային ռելիզը (weighted)

1. `api-canary. example. com '245% ռուբլիներ; 2) վերահսկում ենք r95/r99/սխալները; 3) մենք ավելացնում ենք 25/50/100 տոկոսը; 4) մենք քայքայվում ենք։

Արտակարգ failover

1. TTL 60 s; 2) health-71 k-ը ներշնչեց down no GSLB-ը հանեց պատասխաններից։ 3) արտաքին ռեզոլվերների ստուգումը. 4) կարգավիճակի հաղորդակցումը։

Պրովայդերի միգրացիան RF

1. Տարածքը նոր պրովայդերի մեջ։ 2) Միացնենք համաժամանակյա secondary հին։ 3) Փոխենք «NS» -ը գրանցողի մոտ «հանգիստ» պատուհանի մեջ։ 4) Մենք դիտում ենք SERFAIL/val սխալները։

Արդյունքը

Վստահելի RF-2019-ը Anycript-հեղինակներն են + խելացի TTL + առողջության/ձերբակալման միկրոակտիվացումը + DNSSEC/CAA + IaC և դիտարկումը։ Ամրագրեք խմբակցությունների և ռոլովերների գործընթացները, պահեք պրովայդերի պարամետրերը, պարբերաբար ստուգեք տարածքը «կախված» ձայնագրությունների վրա, և ձեր օգտագործողները կայուն կհասնեն անհրաժեշտ ճակատներին նույնիսկ ամենաթեժ ժամին։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։