GH GambleHub

DNS башкаруу жана багыттоо

Кыскача резюме

DNS - бул "аттардын деңгээл роутер". компетенттүү TTL тартып, аймактар ​ ​ жана саясатчылар колдонуучулар канчалык тез жана алдын ала зарыл frontes/кулпулары түшүп көз каранды. Минималдуу топтому: Anycast-провайдер, дени сак TTL, ден соолук-текшерүүлөр менен автоматтык failover, DNSSEC + CAA, IaC башкаруу жана байкоо (SLO жооптор жана убакытты текшерүү).

Базалык архитектура

Авторитеттүү серверлер (zones) - компаниянын домендери үчүн жооптуу.
Рекурсивдүү резолверлер (clients/ISP/өздүк) - түбүн сурайт → TLD → абройлуу.
Anycast - көп PoP боюнча бир IP дареги: жакын PoP тез жооп жана кырсыктан аман.

Зоналар жана делегациялоо

Domain → 'NS' тамыр аймагы абройлуу серверлердин провайдерлерине.
Поддомендер (мисалы, 'api. example. com ') көз карандысыздык үчүн айрым' NS '/провайдерлерге берилиши мүмкүн.

Жазуулардын түрлөрү (минимум)

'A '/' AAAA' - IPv4/IPv6 даректер.
'CNAME' - ысымга псевдоним; Түпкү зонаны колдонбогула (анын ордуна провайдерлерден ALIAS/ANAME).
'TXT' - текшерүү, SPF, атайын белгилер.
'MX' - почта (колдонулса).
'SRV' - кызматтар (SIP, LDAP ж.б.).
'CAA' - домен үчүн күбөлүк бере алат.
'NS '/' SOA' - өкүлчүлүк/зонанын параметрлери.
'DS' - ата-эне TLD үчүн DNSSEC ачкычтары.

Зонанын үлгүсү


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL жана кэш

Кыска TTL (30-300 C) - динамикасы үчүн (API-Frontes, failover).
Ортоңку TTL (300-3600 c) - CDN/статика үчүн.
Long TTL (≥ 1 күн) - сейрек өзгөрүүлөр үчүн (MX/NS/DS).
Миграцияны пландаштырууда TTLди алдын ала 24-72 саатка кыскартыңыз.
Negative Caching TTL (NXDOMAIN) эске алуу: 'SOA MINIMUM' тарабынан башкарылат.

Багыттоо саясаты (GSLB-деңгээл)

Failover (active/passive) - негизги IP Fail ден соолук-текшерүү чейин берип, андан кийин камдык.
Weighted (traffic-split) - трафикти бөлүштүрүү (мисалы, canary 5/95).
Latency-based - тармактык кечигүү PoR/аймак жакын.
Geo-routing - өлкө/континент боюнча; жергиликтүү мыйзамдар/PCI/PII үчүн пайдалуу.
Multivalue - ар бир адамдын ден соолугун текшерүү менен бир нече 'A/AAAA'.

Кеңештер

критикалык API үчүн кошуу latency-based + health-checks + кыска TTL.
жылмакай релиздер үчүн - салмактуу жана акырындык менен үлүшү өсүшү.
Аймактык чектөөлөр үчүн - geo жана уруксат берилген провайдерлердин тизмелери.

Ден соолук жана автоматтык которуу

Health-checks: HTTP (S) (200 OK, дене/аталышы), TCP (порт), ICMP.
кадыр-баркы/fingerprint: порт гана эмес, текшерүү, ошондой эле туура backend 'a (версия, build-id).
Сезгичтиктин босогосу: 'N' ийгиликтүү/ийгиликсиз текшерүүлөр катары менен флаппингден качуу.
Метрика жеп: ден соолук-enponts үлүшү, жооп убактысы, которуу саны.

Жеке зоналар жана split-horizon

Private DNS: VPC/VNet/On-prem ички зоналары (мисалы, 'svc. local. example`).
Split-horizon: ички жана тышкы кардарлар үчүн ар кандай жооптор (ички IP vs коомдук).
агып коргоо: сырттан "ички" аттарын колдонбогула; жеке аймактар коомдук провайдерлер аркылуу байланышпасын текшериңиз.

DNS коопсуздук

DNSSEC: кол зоналары (ZSK/KSK), жарыялоо "DS" ата-зонасында, rollover ачкычтар.
CAA: Ишенимдүү CA TLS-сертификаттарын чыгарууну чектөө.
Рекурсорлор үчүн DoT/DoH - кардарлардын суроо-талаптарын шифрлөө.
Авторитеттүү боюнча ACL/Rate-limit: чагылдыруучу DDoS/ANY-суроо коргоо.
Subdomain Takeover: дайыма алыскы кызматтарга "илинип" CNAME/ALIAS сканерлөө (алынып салынган ресурс - CNAME калган).
NS/Glue жазуулар: каттоочу жана DNS провайдери ортосундагы консистенция.

SLO жана байкоо

SLO (мисалдар)

Авторитеттүү жооптордун болушу: ≥ 99. 99 %/30 күн.
жооп убакыт (p95): ≤ 50 ms жергиликтүү/ ≤ 150 ms глобалдык.
Ден соолук текшерүүлөрдүн ийгилиги: ≥ 99. 9%, жалган ачылыштар - ≤ 0. 1%.
өзгөртүү (propagation) кийин түшүү убактысы: ≤ 5 мин TTL 60 б.

Метрика

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 жооп убактысы.
IPv6/IPv4 үлүштөрү, EDNS көлөмү, Truncated (TC) жооптор.
Health-check, флаппинг, DNSSEC кол тамгаларынын каталары боюнча которуулардын саны.
DoH/DoT суроо-үлүштөрү (эгерде сиз рекурсорду көзөмөлдөсөңүз).

Логи

Суроо-талаптар (qname, qtype, rcode, client ASN/geo), аномалиялар (ANY-бороон-чапкын, бир префикс боюнча тез-тез NXDOMAIN).

IaC жана автоматташтыруу

Terraform/DNS провайдерлери: репозиторийдеги аймактарды, PR-review, plan/appruv.
ExternalDNS (K8s): Ingress/Service жазууларды автоматтык түрдө түзүү/өчүрүү.
Аралык чөйрөлөр: префикстер 'dev. '/' stg.' жана жеке DNS-провайдер эсептери.

Терраформ (жөнөкөйлөштүрүлгөн мисал)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Резолверлер, кэш жана аткаруу

Өздүк рекурсорлор (Unbound/Knot/Bind) тиркемелерге жакын → аз p95.
Prefetch ысык жазууларды күйгүзүү, авторитет жеткиликсиз болсо, serve-stale.
EDNS (0) жана туура буфер көлөмү, DNS Cookies, minimal-responses.
Scroll агымдарын жана тиркемелердин трафигин бөлүшүү (QoS).
Терс TTL эске алуу: "сынган" кардардын көп NXDOMAIN кэш балл алат.

DDoS жана туруктуулук

Глобалдык PoP жана бот-трафик агрегациясы менен Anycast-провайдер.
Response Rate Limiting (RRL) боюнча авторитеттүү, amplification коргоо.
Тыюу 'ANY', EDNS-буфер чектөө, "оор" түрлөрү үчүн чыпкалар.
Зоналардын сегментациясы: критикалык - мыкты DDoS калканы менен провайдерде; анча маанилүү эмес - өзүнчө.
Резервдик провайдер (secondaries) менен 'AXFR/IXFR' жана автоматтык NS фейловери менен каттоо деңгээлинде.

Операциялар жана процесстер

Өзгөртүүлөр: PR-review, canary-жазуу, жылытуу кэш (төмөн TTL → deploy → кайра TTL).
DNSSEC Rollover: регламент, терезелер, тактык мониторинг (RFC 8901 KSK/ZSK).
Runbook: PoP кулашы, туура эмес NS делегациясы, кулап health-check, массалык SERVFAIL.
DR-план: Альтернатива DNS-провайдер, даяр зоналардын үлгүлөрү, каттоочуга кирүү, NS алмаштыруу үчүн SLA.

Киргизүүнүн чек-тизмеси

  • Эки көз карандысыз авторитеттүү провайдер/RoR (Anycast), туура 'NS' каттоо.
  • TTL стратегиясы: динамикасы үчүн кыска, туруктуу жазуулар үчүн узак; negative TTL көзөмөлдө.
  • Health-текшерүү жана саясат: failover/weighted/latency/geo кызматы.
  • DNSSEC (KSK/ZSK/DS), "CAA" сертификаттарды чыгарууну чектейт.
  • зоналар үчүн IaC, K8s үчүн ExternalDNS, жеке чөйрөлөр/эсептер.
  • Мониторинг: rcode/QPS/latency/propagation, SERVFAIL/кол коюу боюнча алерталар.
  • DDoS: Anycast, RRL, EDNS чектөөлөрү, блок тизмелери/ACL.
  • 48-72 саат ичинде домендердин жана TTL кыскартуу миграциясынын регламенттери.
  • Үзгүлтүксүз аудит "илинип" CNAME/ALIAS, MX/SPF/DKIM/DMARC (почта колдонулган болсо).

Типтүү каталар

критикалык боюнча өтө чоң TTL 'A/AAAA' - узак көчүрүү/Failovers.
Бир DNS/бир PoP - SPOF.
DNSSEC/CAA жоктугу - алмаштыруу/көзөмөлдөнбөгөн сертификаттар коркунучу.
Бири-бирине дал келбеген split-horizon → ички ысымдарды сыртка агып.
GSLB боюнча эч кандай ден соолук текшерүүлөр - колун которуу жана кечигүү.
унутулган CNAME тышкы кызмат → тобокелдик takeover.
Жок IaC → "кар" -конфига жана кол менен оңдоо каталар.

iGaming/Fintech үчүн өзгөчөлүктөрү

Аймактык версиялары жана PSP: geo/latency-routing, IP/ASN өнөктөштөрдүн ак тизмелери, тез failover шлюздары.
чокулары (дан/турнир): кыска TTL, CDN жылытуу, иш-чаралар үчүн өзүнчө аттары ('event-N. example. com ') башкарылуучу саясат менен.
Юридикалык тууралык: критикалык өзгөрүүлөр болгон учурда аймактардын убактысын жана версиясын жазыңыз (аудит журналы).
Antifrod/BOT-коргоо: tiebreakers/капчыктар/чек-пункттары үчүн өзүнчө ысымдар; кол салууларда тез "кара тешик" (sinkhole).

Mini Playbook

Канар бошотуу Front (weighted):

1. `api-canary. example. com '→ 5% трафик; 2) мониторинг p95/p99/каталар; 3) 25/50/100% чейин жогорулатуу; 4) деградация учурунда кыскартуу.

Шашылыш failover:

1. TTL 60 с; 2) ден соолук-текшерүү аймак down → GSLB жооптордон алынып белгиленген; 3) тышкы толкундарды текшерүү; 4) статус коммуникациясы.

DNS провайдери:

1. Жаңы провайдерге аймакты импорттоо; 2) эски синхрондуу secondary кирет; 3) "тынч" терезеден жазуучунун 'NS' өзгөртүү; 4) SERVFAIL/val-каталарды байкоо.

Жыйынтык

Ишенимдүү DNS схемасы - бул Anycast бийлик + акылга сыярлык TTL + ден соолук/кечигүү багыттоо + DNSSEC/CAA + IaC жана байкоо. Миграция жана rollover процесстерин жаздырыңыз, резервдик провайдерди кармап туруңуз, аймакты "илинип турган" жазуулар үчүн такай текшерип туруңуз - жана сиздин колдонуучуларыңыз эң "ысык" саатта да керектүү фронтторго такай түшөт.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.