GH GambleHub

Administrare şi rutare DNS

Scurt rezumat

DNS este un "router de nivel nume. "Depinde de TTL competente, zone și politici cât de repede și previzibil utilizatorii ajunge la fronturile/gateway-uri dorite. Set minim: furnizor Anycast, TTL sănătos, controale de sănătate cu failover automat, DNSSEC + CAA, managementul IaC și observabilitate (SLO de răspuns și timp de rezoluție).

Arhitectura de bază

Servere autoritare (zone) - sunt responsabile pentru domeniile companiei.
Soluționări recursive (clienți/ISP/proprii) - cereți autoritate rădăcinii → TLD-uri →.
Anycast este același IP care se adresează multor PoP: PoP-ul apropiat răspunde mai repede și supraviețuiește accidentelor.

Zone și delegații

Zona de rădăcină a domeniului → "NS' la furnizorii de servere cu autoritate.
Subdomenii (ex. "api. exemplu. com ") pot fi delegate individuale" NS "/furnizori de independență.

Tipuri de înregistrări (minim)

„A ”/„ AAAA” - adrese IPv4/IPv6.
„CNAME” - alias pentru nume; nu se utilizează la rădăcina zonei (în loc de ALIAS/ANAME la furnizori).
"TXT' - verificare, SPF, etichete personalizate.
„MX” - e-mail (dacă este utilizat).
„SRV” - servicii (SIP, LDAP etc.).
„CAA” - care poate elibera certificate pentru domeniu.
„NS ”/„ SOA” - parametrii de delegare/zonă.
"DS' - chei DNSSEC la TLD părinte.

Zona de probă (fragment)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL și cache

Scurt TTL (30-300 s) - pentru dinamică (fronturi API, failover).
TTL mediu (300-3600 s) - pentru CDN/statică.
TTL lung (≥ 1 zi) - pentru modificări rare (MX/NS/DS).
Atunci când planificați migrațiile, reduceți TTL cu 24-72 de ore înainte.

Luați în considerare TTL Caching negativ (NXDOMAIN): gestionat de „SOA MINIMUM”

Politici de rutare (strat GSLB)

Failover (activ/pasiv) - dăm IP-ul principal pentru verificarea sănătății eșuate, apoi rezerva.
Ponderat (trafic-split) - distribuția traficului (de exemplu, canar 5/95).
Bazat pe latență este cel mai apropiat PoR/regiune de întârzierea rețelei.
Geo-rutare - pe țări/continente; utile pentru legile locale/PCI/PII.
Multivalue - mai multe „A/AAAA” cu controale de sănătate ale fiecăruia.

Consilii

Pentru API-urile critice, conectați verificări de sănătate bazate pe latență + TTL scurt.
Pentru eliberări netede - creștere ponderată și treptată a ponderii.
Pentru restricțiile regionale - geo și liste de furnizori permise.

Sănătate și comutare automată

Verificări de sănătate: HTTP (S) (200 OK, corp/antet), TCP (port), ICMP.
Reputație/amprentă digitală: verificați nu numai portul, ci și corectitudinea backend 'a (versiune, build-id).
Prag de sensibilitate: verificări de succes/nereușite la rând pentru a evita claparea.
Luarea de valori: cota de puncte finale sănătoase, timpul de reacție, numărul de comutatoare.

Zone private și split-orizont

DNS privat: zone interne în VPC/VNet/On-prem (ex. "svc. local. exemplu ").
Split-horizon: răspunsuri diferite pentru clienții interni și externi (IP intern vs public).
Protecție împotriva scurgerilor: nu utilizați denumiri „interne” în exterior; verifică dacă zonele private nu se rezolvă prin intermediul furnizorilor publici.

Securitate DNS

DNSSEC: semnături zonale (ZSK/KSK), publicarea "DS' în zona mamă, rollover cheie.
CAA: Limitați eliberarea de serturi TLS la CA de încredere.
DoT/DoH pentru recursori - criptarea cererilor clienților.
ACL/Rate-limită pentru autoritate: protecție împotriva solicitărilor reflectorizante DDoS/ANY.
Preluare subdomeniu: scanați în mod regulat „agățat” CNAME/ALIAS pentru servicii la distanță (resursă ștearsă - rămâne CNAME).
Înregistrările NS/Lipici: coerența între registrator și furnizorul DNS.

SLO și observabilitate

SLO (exemple)

Disponibilitatea răspunsurilor autoritare: ≥ 99. 99 %/30 zile.
Timp de răspuns la recursivitate (p95): ≤ 50 ms local/ ≤ 150 ms global.
Succesul controalelor de sănătate: ≥ 99. 9%, fals pozitive - ≤ 0. 1%.
Timp de propagare: ≤ 5 min la TTL 60 s.

Măsurători

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 timp de răspuns.
Fracțiile IPv6/IPv4, dimensiunea EDNS, răspunsurile trunchiate (TC).
Numărul de comutatoare de verificare a sănătății, clapare, erori de semnătură DNSSEC.
Acțiuni ale interogărilor DoH/DoT (dacă controlați recursivitatea).

Busteni

Interogări (qname, qtype, rcode, client ASN/geo), anomalii (orice furtuni, frecvente NXDOMAIN de un prefix).

IaC și automatizare

Furnizori Terraform/DNS: păstrați zonele în depozit, revizuire PR, plan/aplicație.
ExternDNS (K8s): crearea automată/ștergerea înregistrărilor din Ingress/Service.
Medii intermediare: 'dev. „/” stg. "prefixe și conturi individuale ale furnizorilor DNS.

Terraform (exemplu simplificat)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Rezolvatoare, memorie cache şi performanţă

Unbound/Knot/Bind este mai aproape de aplicații → mai puțin de p95.
Activați prefetch înregistrări fierbinți, servi-vechi atunci când autoritatea nu este disponibilă.
EDNS (0) și dimensiunea corectă a tamponului, cookie-uri DNS, răspunsuri minime.
Fluxuri separate de rezoluție și trafic de aplicații (QoS).
Luați în considerare TTL negativ: O mulțime de NXDOMAIN de la un client rupt poate bloca memoria cache.

DDoS și reziliență

Furnizor Anycast cu PoP global și agregarea traficului bot.
Limitarea ratei de răspuns (RRL) privind autoritatea, protecția împotriva amplificării.
„ORICE” interdicție, EDNS restricție tampon, filtre pe tipuri „grele”.
Segmentarea zonei: critică - la furnizorul cu cel mai bun scut DDoS; mai puțin critică - separat.
Furnizor de backup (secundare) cu „AXFR/IXFR” și NS automată de filover la nivel de registrator.

Operațiuni și procese

Modificări: PR-review, canar-records, warm-up caches (low TTL → implementa → retur TTL).
Rollover DNSSEC: reglementare, ferestre, monitorizarea valabilității (RFC 8901 KSK/ZSK).
Runbook: picătură PoP, delegație NS incorectă, căzut de pe controlul de sănătate, SERVFAIL masiv.
Planul DR: furnizor alternativ DNS, șabloane de zonă gata făcute, acces la registrator, SLA pentru a înlocui NS.

Lista de verificare a implementării

  • Doi furnizori independenți de autoritate/RoP (Anycast), corectă „NS” la registrator.
  • Strategia TTL: prescurtarea de la dinamică, mult timp pentru înregistrări stabile; TL negativă sub control.
  • Health-checks and policies: failover/pondered/latency/geo by service profile.
  • DNSSEC (KSK/ZSK/DS), „CAA” restricționează eliberarea de serturi.
  • IaC pentru zone, ExternDNS pentru K8s, medii/conturi separate.
  • Monitorizare: rcode/QPS/latență/propagare, alerte prin SERVFAIL/semnături.
  • DDoS: Anycast, RRL, restricții EDNS, bloc listă/ACL.
  • Reglementări pentru migrațiile de domenii și downgrade-uri TTL în 48-72 de ore.
  • Audit regulat al „agățat” CNAME/ALIAS, MX/SPF/DKIM/DMARC (dacă se utilizează poșta).

Greșeli comune

Prea mult TTL pe critic 'A/AAAA' - migrații lungi/fylovers.
Un furnizor DNS/un PoP este SPOF.
Absența DNSSEC/AAC - risc de substituție/sere necontrolate.
Split-orizontul inconsecvent → numele interne să se scurgă.
Nu există controale de sănătate pe GSLB - comutarea mâinilor și întârzieri.
CNAME-urile uitate pe servicii externe → riscul de preluare.
Absența configurațiilor și erorilor IaC → „fulg de zăpadă” în timpul editărilor manuale.

Specificitate pentru iGaming/fintech

Versiuni regionale și PSP: geo/latență-rutare, lista albă a partenerilor IP/ASN, gateway-uri rapide failover.
Ponturi (meciuri/turnee): scurt TTL, încălzire CDN, nume separate pentru evenimente ('event-N. exemplu. com ') cu politică gestionată.
Corectitudinea juridică: înregistrați timpul și versiunea zonelor în timpul modificărilor critice (jurnalul de audit).
Protecție antifraudă/BOT: denumiri separate pentru tiebreakers/captcha/criterii finale de verificare; retragere rapidă la „gaura neagră” (groapă de gunoi) în atacuri.

Mini cărți de redare

Eliberarea canară a frontului (ponderată):
  • 1 api-canar. exemplu. com' → 5% din trafic; 2) monitor p95/p99/erori; 3) creșterea la 25/50/100%; 4) rola în timpul degradării.
Eroare de urgenţă:

1. TTL 60 s; 2) regiunea de control de sănătate marcată în jos → GSLB eliminat din răspunsuri; 3) verificarea rezolvătorilor externi; 4) comunicarea stării.

Migrarea furnizorilor DNS:

1. Importul unei zone într-un nou furnizor; 2) Porniți secundarul sincron pentru cel vechi; 3) Schimbați 'NS' a înregistratorului într-o fereastră „liniștită”; 4) Observați erorile SERVFAIL/val.

Rezultat

O buclă DNS de încredere este autoritatea Anycast + TTL rezonabilă + rutare de sănătate/latență + DNSSEC/CAA + IaC și observabilitate. Înregistrați procesele de migrații și role, păstrați un furnizor de backup, verificați în mod regulat zona pentru înregistrările „agățate” - iar utilizatorii dvs. vor ajunge în mod stabil la fronturile dorite chiar și în cea mai fierbinte oră.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.