Масири DNS ва нокомӣ

1) Нақши DNS дар таҳаммулпазирии гуноҳ

• Мавҷудият (нокомии зуд/боэътимод);
• Иҷро (geo/latency-routing);
• Арзиш (кам кардани зангҳои байниминтақавӣ ва зангҳои тарафи сеюм);
• Амният (назорати DNSSEC, зидди дуздӣ, назорати CAA/DMARC/SPF).

Калид: TTL-ҳои кӯтоҳ, ки динамика муҳим аст ва меъмории устувори минтақавӣ (давлатӣ + хусусӣ, уфуқӣ).

2) Намудҳои сабтҳо ва амалия

A/AAAA - суроғаҳои асосӣ; ҳамеша IP pv6-ро ба қадри имкон нашр кунед.
CNAME vs ALIAS/ANAME: Дар решаи домен, ALIAS/ANAME (ё провайдери апекс-ҳамвор) -ро истифода баред.
TXT - SPF/DMARC/DKIM, санҷиш; CAA - маҳдудияти эмитентҳои сертификат.
SRV/NS - кашф ва ҳайати хидматӣ.
SVCB/HTTPS механизми муосири алтернативӣ бо афзалият ва параметрҳо (ALPN, бандарҳо) мебошад.

Тавсия: стандартҳои TTL-ро аз рӯи синф ислоҳ кунед (канор/API/статикӣ).

3) Сиёсати масир

Саҳмҳои вазншуда - назоратшавандаи трафик (канарейка/кабуд-сабз).
Дар асоси таъхир - Ҳавзро интихоб кунед, ки дар ниҳонӣ наздиктарин аст.
Масири гео - аз рӯи кишвар/қитъа/минтақа; барои истиқомати маълумот муҳим аст.
Нокомӣ (ибтидоӣ/миёна) - мониторинг ва гузариши фаъол.
Бисёр арзиш - якчанд A/AAAA; муштарӣ худро интихоб мекунад (санҷишҳои тиббиро иваз намекунад).
Масири наздикӣ/ASN - барои баъзе провайдерҳо: тавассути шабакаи муштарӣ.

Комбинат: geo → latency → вазн → саломатӣ.

4) TTL, кэш ва тарғиб

TTL API/баландгӯякҳо: 30-120 с (тавозун байни суръати feiler ва сарборӣ).
Статикӣ/CDN: 1-24 ч.
TTL манфӣ (SOA 'ҳадди аққал') - 60-300 с, вагарна NXDOMAIN "часпанда" хоҳад буд.
Дар хотир доред: аз ҳалкунандаҳо талаб карда намешавад, ки кэшро фавран партоянд; "думи ифлос" -ро баррасӣ кунед.

5) Нуқтаҳои саломатӣ ва санҷиш

Санҷишҳои тиббӣ аз минтақаҳои сершумор: TCP/443 + HTTP 2xx/3xx ва меъёрҳои тиҷорати ламбда (масалан. муваффақ '/саломатӣ? чуқур = ҳақиқат 'бо санҷиши вобастагӣ).
Синтетикӣ (RUM/фаъол): Намунаҳои API дар масирҳои асосӣ, санҷишҳои TLS/OCSP, санҷиши DNSSEC.
Фош кардани '/тайёр '(амиқ) ва '/зинда' (сатҳӣ); Ҳавзи DNS-ро ба/омода кунед.

6) Давлатӣ ва DNS хусусӣ (тақсимшавӣ)

Минтақаи ҷамъиятӣ - дастрасии мизоҷон.
Минтақаи хусусӣ - ҳалли дохилӣ ба нуқтаҳои ниҳоӣ (VPC/VN et, on-prem).
Интиқоли шартии между дар абр, минтақа минтақа.
Номгузорӣ: 'api. <бренди>. <минтақа> .internal. corp 'i' api. <бренди> .com '.

7) Амният: DNSSEC ва сиёсати домейн

DNSSEC: имзои минтақаро фаъол созед (KSK/ZSK), гардиши калидҳо ва занҷири эътимодро назорат кунед.
CAA: рӯйхати CA-ҳои эътиборнок; барои огоҳиҳо 'йодеф' -ро дохил кунед.
SPF/DMARC/DKIM: эътибори почта ва муҳофизат аз фишинг.
Қулфи бақайдгиранда ва ВКХ барои ҳисобҳои провайдери DNS; рӯйхати тағирот (мағозаи WORM).

8) Тарҳрезии нокомӣ

8. 1 Модел

Фаъол-фаъол: ду + ҳавзҳои солим; тавозун тавассути таъхир/вазн, санҷишҳои тиббӣ носолимро истисно мекунанд.
Фаъол-Пассив: ҳавзи асосӣ + захира (0% вазн пеш аз садама).
Ҳалқаи минтақавӣ: ҳаракати нақлиёт ба минтақаи "ҳамсоя" дар офати маҳаллӣ.
Ҳолати таназзул: ба сайти "осон" нависед/фуруд оед, агар ақиб мавҷуд набошад.

8. 2 Сенарияи қадам ба қадам

1. Мониторинг таназзули '/тайёр '-ро сабт мекунад.
2. DNS ҷавобҳоро тағир медиҳад (ҳавзро бартараф мекунад ё вазнро иваз мекунад).
3. Ҳаракати нақлиёт ба минтақаи солим мегузарад, TTL суръатро муайян мекунад.
4. Баъди эътидол - давраи имтиёзнок (15-30 дақ.) ва танҳо баъд аз он бозгашти тарозу.

9) Намунаҳои конфигуратсия

9. 1 Роҳи AWS 53 - таъхир + саломатӣ + вазн

hcl
Two latency aliases for different regions resource "aws_route53_record" "api_latency_eu" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "eu1"
latency_routing_policy { region = "eu-central-1" }
alias { name = aws_lb. api_eu. dns_name zone_id = aws_lb. api_eu. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_eu. id ttl = 60
}

resource "aws_route53_record" "api_latency_us" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "us1"
latency_routing_policy { region = "us-east-1" }
alias { name = aws_lb. api_us. dns_name zone_id = aws_lb. api_us. zone_id evaluate_target_health = true }
health_check_id = aws_route53_health_check. api_us. id ttl = 60
}

Canary in EU: 10% of the weight of the resource "aws_route53_record" "api_weighted_canary" {
zone_id = var. zone_id name  = "api. example. com"
type  = "A"
set_identifier = "eu1-canary"
weighted_routing_policy { weight = 10 }
alias { name = aws_lb. api_eu_canary. dns_name zone_id = aws_lb. api_eu_canary. zone_id evaluate_target_health = true }
ttl = 30
}

9. 2 Cloudflare - geo/ASN ва ҳавзи ноком (идея)

Ҳавзаҳои Balancer c санҷиши саломатӣ (HTTP/TCP), сарбории мувозинат бо Geo Steering (қитъаҳо/кишварҳо) ва наздикии сессия.
Бозгашт: Қоидаи саҳифа/Қоидаро ба қуллаи соддакардашуда дар қуллаҳои 5xx табдил диҳед.

9. 3 Azure/GCP

Менеҷери трафики Azure: Афзалият/Вазн/Иҷро/Ҷуғрофӣ.
Сиёсати Google Cloud Load Balancing + Cloud DNS: гео-сиёсат + санҷиши саломатӣ через берунӣ HTTP (S) LB.

10) Мушоҳида ва DNS SLO

SLI: ҳалли муваффақият, 95 фоизи вақти ҳалли, таносуби посухҳои нав (кӯҳна) дар дохили TTL.
SLO: масалан, '99. 95% 'посухҳои бомуваффақият ≤ 100 мс.
Нишондиҳандаҳо: Меъёри NXDOMAIN, сатҳи SERVFAIL, ҳавзҳои давлатӣ, ҳиссаи трафик аз рӯи минтақа, ҳиссаи канарӣ.
Намунаҳо: SLI-ро бо HTTP пайгирӣ кунед тавассути 'trace _ id' дар синтетика.

11) Озмоиш ва амалиёт

Синтетика аз ASN/минтақаҳои гуногун (RIPE Atlas, Catchpoint, k6-DNS).
dnsviz/' delv 'барои санҷиши DNSSEC;' кофтан + пайгирӣ 'барои аномалияҳо.
Минтақаи саҳна ('stg. намуна. com ') барои репетицияи feilover; скрипти репетитсионӣ вазн/афзалиятҳоро иваз мекунад ва бармегардад.
Runbook: кӣ ва чӣ тавр ба таври дастӣ вазнҳоро баланд мекунад/паст мекунад, чӣ гуна ҳавзро хомӯш кардан, чӣ гуна "ях кардан" -ро иҷро кардан мумкин аст.

12) Антипаттернҳо

TTL = 3000 + оид ба feilover интиқодӣ A/AAAA → суст/хаотикӣ.
Ягон санҷиши саломатӣ ё танҳо порти TCP бидуни инвариантҳои корӣ тафтиш карда намешавад.
Як қатор занҷирҳои CNAME → қарорҳои суст, бетартибиҳои кэш.
Ягона провайдери DNS бидуни захираи дуввум/axfr.
Минтақаи имзонашуда ҳангоми DNSSEC лозим аст; CAA-ҳои номарбут.
Воридот ба IP-и ҷамъиятии пуштибони/пойгоҳи додаҳо ишора мекунад.

13) Хусусиятҳои IGaming/Finance

Қаламравҳо: масири гео/кишвар барои мувофиқат (равона кардан ба домени маҳаллӣ/фронт).
PSP/KYC: зербахшҳои бахшидашуда бо сиёсати инфиродӣ TTL ва feilover; интиқоли зуд ба интизории PSP.
Бозии масъул: subdomains бо саҳифаҳои ҳуқуқӣ ҳамеша дастрасанд (нусхаи эҳтиётии статикӣ/CDN).
Аудит - Тағироти минтақаи сабти ном дар мағозаи WORM, тағир додани аломатҳо ва баррасии мунтазам.
Рӯйхати блок: Қоидаҳои мутобиқати DNS аз рӯи минтақа (филтри канорӣ + масири DNS).

14) Рӯйхати санҷиши омодагии Prod

• Профилҳои TTL аз рӯи синф; манфии TTL ≤ 300 с.
• Ду шабакаи мустақили DNS (ибтидоӣ/миёна), MFA/қулфи бақайдгиранда.
• Сиёсатҳо: гео/дермонӣ/вазн + санҷиши саломатӣ аз минтақаҳои гуногун.
• DNSSEC фаъол аст, CAA/DMARC/DKIM/SPF то ба имрӯз.
• Тақсимшавӣ (давлатӣ/хусусӣ), минтақаҳои хусусӣ барои трафики дохилӣ.
• Дафтарчаи парвоз/бозгашт, скрипти репетиция, доменҳои канарӣ.
• Мониторинги SLI/SLO, огоҳиҳо дар бораи афзоиши NXDOMAIN/SERVFAIL/RTT.
• Майдони саҳна ва нокомии мунтазам "машқҳо".
• Барои IGaming: масир аз рӯи юрисдиксия, доменҳои алоҳида барои PSP/KYC, аудити тағйирнопазир.

15) TL; ДР

Сиёсати омехта созед: гео/ниҳонӣ + санҷиши саломатӣ + вазн, бо TTL 30-120 с дар баландгӯяк. DNSSEC ва CAA-и алоҳидаи давлатӣ/хусусӣ (тақсимшавӣ), DNSSEC ва CAA-ро имкон диҳед, DNS-и дуюмдараҷаро нигоҳ доред. Репетиция кунед ва SLI/SLO DNS-ро риоя кунед. Барои IGaming, қаламравҳо ва фармоишҳои домени PSP/KYC-ро бо қоидаҳои алоҳида ва сабти тағирот дар WORM баррасӣ кунед.