GH GambleHub

Идоракунии DNS ва масир

Хулосаи мухтасар

DNS "роутер дар сатҳи ном аст. "Ин аз TTL салоҳиятдор, минтақаҳо ва сиёсатҳо вобаста аст, ки чӣ тавр корбарон зуд ва пешгӯишаванда ба ҷабҳаҳои дилхоҳ/дарвозаҳо мерасанд. Маҷмӯи ҳадди аққал: Провайдери Anycast, TTL-и солим, санҷишҳои тиббӣ бо нокомии автоматӣ, DNSSEC + CAA, идоракунӣ ва мушоҳидаи Ia

Меъмории асосӣ

Серверҳои бонуфуз (минтақаҳо) - барои доменҳои ширкат масъуланд.
Ҳалкунандаҳои рекурсивӣ (мизоҷон/ISP/худ) - решаи → TLDs → бонуфузро пурсед.
Anycast ҳамон IP аст, ки ба бисёр ТҶ муроҷиат мекунад: ПО-и наздик зудтар вокуниш нишон медиҳад ва аз садамаҳо наҷот меёбад.

Минтақаҳо ва ҳайат

Минтақаи решаи домен → 'NS' to провайдерҳои серверҳои бонуфуз.
Субдомайнҳо (масалан, 'апи. намуна. com ') метавонад ба' NS '/провайдерҳои инфиродӣ барои истиқлолият супорида шавад.

Намудҳои сабт (ҳадди аққал)

'A '/' AAAA' - суроғаҳои IPv4/IPv6.
'CNAME' - тахаллус барои ном; дар решаи минтақа истифода набаред (ба ҷои ALIAS/ANAME дар провайдерҳо).
'TXT' - санҷиш, SPF, тамғакоғазҳои фармоишӣ.
'MX' - почта (агар истифода шавад).
'SRV' - хидматҳо (SIP, LDAP ва ғайра).
'CAA' - кӣ метавонад барои домен шаҳодатнома диҳад.
'NS '/' SOA' - параметрҳои ҳайат/минтақа.
Калидҳои 'DS' - DNSSEC ба волидони TLD.

Минтақаи намуна (порча)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL ва кэш

TTL кӯтоҳ (30-300 с) - барои динамика (ҷабҳаҳои API, ноком).
TTL миёна (300-3600 с) - барои CDN/статикӣ.
TTL дароз (≥ 1 рӯз) - барои тағйироти нодир (MX/NS/DS).
Ҳангоми банақшагирии муҳоҷират, TTL 24-72 соатро пешакӣ кам кунед.

TTL манфии Caching TTL (NXDOMAIN) -ро дида бароед: аз ҷониби 'SOA MINIMUM..apos; идора карда мешавад

Сиёсати масир (қабати GSLB)

Нокомӣ (фаъол/ғайрифаъол) - мо IP-и асосиро ба муоинаи нокомонаи тиббӣ ва сипас захира медиҳем.
Вазн (тақсимоти трафик) - тақсимоти трафик (масалан, канари 5/95).
Latency-асоси наздиктарин POR/минтақа бо таъхири шабака мебошад.
Масири гео - аз рӯи кишвар/қитъа; барои қонунҳои маҳаллӣ/PCI/PII муфид аст.
Multivalue - якчанд 'A/AAAA' бо санҷиши саломатии ҳар яки онҳо.

Шӯроҳо

Барои API-ҳои интиқодӣ, ба санҷиши ниҳоӣ + санҷиши саломатӣ + TTL кӯтоҳ пайваст шавед.
Барои нашри ҳамвор - афзоиши вазн ва тадриҷан саҳмияҳо.
Барои маҳдудиятҳои минтақавӣ - гео ва рӯйхати провайдерҳои иҷозатдодашуда.

Саломатӣ ва коммутатсияи автоматӣ

Санҷишҳои саломатӣ: HTTP (S) (200 OK, бадан/сарлавҳа), TCP (порт), ICMP.
Эътибори/изи ангушт: на танҳо бандарро санҷед, балки дурустии backend 'a (версия, build-id) -ро санҷед.
Ҳадди ҳассосият: 'N' санҷишҳои бомуваффақият/номуваффақ дар як саф барои пешгирӣ кардани часпидан.
Андозагирӣ: ҳиссаи нуқтаҳои солим, вақти реаксия, шумораи коммутаторҳо.

Минтақаҳои хусусӣ ва уфуқи тақсимшуда

DNS хусусӣ: минтақаҳои дохилӣ дар VPC/VN et/On-prem (масалан, 'svc. маҳаллӣ. намуна ').
Тақсимшавӣ: ҷавобҳои гуногун барои муштариёни дохилӣ ва хориҷӣ (IP дохилӣ ва ҷамъиятӣ).
Муҳофизати ихроҷ: берун аз номҳои "дохилӣ" истифода набаред; санҷед, ки минтақаҳои хусусӣ тавассути провайдерҳои давлатӣ ҳал намешаванд.

Амнияти DNS

DNSSEC: имзоҳои минтақавӣ (ZSK/KSK), нашри 'DS' дар минтақаи волидайн, гардиши калидӣ.
CAA: Нашри сертҳои TLS-ро ба CA-ҳои боэътимод маҳдуд кунед.
ДО/ДО барои рекурсорҳо - рамзгузории дархостҳои муштарӣ.
ACL/Меъёри маҳдудият ба эътибор: муҳофизат аз дархостҳои инъикоси DD OS/ANY.
Subdomain Takeover: мунтазам CNAME/ALIAS-ро барои хизматрасониҳои дурдаст скан кунед (манбаъ нест карда шудааст - CNAME боқӣ мемонад).
Сабтҳои NS/Glue: мувофиқати байни бақайдгиранда ва провайдери DNS.

SLO ва мушоҳида

SLO (намунаҳо)

Мавҷудияти ҷавобҳои бонуфуз: ≥ 99. 99 %/30 рӯз.
Вақти вокуниш ба рекурсия (саҳ. 95): ≤ 50 мс маҳаллӣ/ ≤ 150 мс глобалӣ.
Санҷиши муваффақият: ≥ 99. 9%, мусбатҳои бардурӯғ - ≤ 0. 1%.
Вақти паҳнкунӣ: ≤ 5 дақиқа дар TTL 60 с.

Метрика

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, вақти посухи p50/p95.
Фраксияҳои IPv6/IPv4, андозаи EDNS, ҷавобҳои буридашуда (TC).
Шумораи коммутаторҳои санҷиши саломатӣ, флапинг, хатогиҳои имзои DNSSEC.

Саҳмҳои дархостҳои Do

Гузоришҳо

Дархостҳо (qname, qtype, rcode, муштарӣ ASN/geo), аномалияҳо (тӯфони ANY, зуд-зуд NXDOMAIN аз ҷониби як префикс).

IC ва автоматизатсия

Провайдерҳои Terraform/DNS: минтақаҳоро дар анбор нигоҳ доред, баррасии PR, нақша/барнома.
Берунаи DNS (K8s): эҷоди худкор/нест кардани сабтҳо аз Ingress/Service.
Муҳитҳои мобайнӣ: 'дев. '/' stg. 'префиксҳо ва ҳисобҳои инфиродӣ DNS.

Terraform (мисоли соддакардашуда)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Resolvers, кэш ва иҷрои

Unbound/Knot/Bind ба барномаҳо камтар аз p95 наздиктар аст.
Сабтҳои гармии prefetch-ро фурӯзон кунед, вақте ки қудрат дастнорас аст, кӯҳна мешавад.
EDNS (0) ва андозаи дурусти буферӣ, кукиҳои DNS, посухҳои ҳадди аққал.
Ҷараёни ҳалли ҷудогона ва трафики барномаҳо (QOS).
TTL-и манфиро баррасӣ кунед: Бисёре аз NXDOMAIN аз муштарии шикаста метавонанд кэшро халалдор кунанд.

DD mocol ва устуворӣ

Провайдери Anycast бо маҷмӯи глобалии ТҶ ва бот.
Маҳдудияти меъёри вокуниш (RRL) оид ба бонуфуз, муҳофизат аз тақвият.
Манъи 'ANY', маҳдудияти буферии EDNS, филтрҳо дар бораи намудҳои "вазнин".
Ҷудосозии минтақа: интиқодӣ - дар провайдер бо сипари беҳтарини DD jo камтар интиқодӣ - алоҳида.
Провайдери эҳтиётӣ (дуюм) бо 'AXFR/IXFR' ва fylover NS автоматӣ дар сатҳи бақайдгиранда.

Амалиётҳо ва равандҳо

Тағирот: баррасии PR, сабтҳои канарӣ, кэшҳои гармидиҳӣ (TTL-и паст → ҷойгиркунӣ → TTL).
Rollover DNSSEC: танзим, тирезаҳо, мониторинги эътибор (RFC 8901 KSK/ZSK).
Runbook: Тарки тарки ТҶ, ҳайати нодурусти NS, аз муоинаи тиббӣ, SERVFAIL-и оммавӣ афтод.
Нақшаи DR: провайдери алтернативии DNS, қолабҳои минтақаи тайёр, дастрасӣ ба бақайдгиранда, SLA барои иваз кардани NS.

Рӯйхати санҷиши амалисозӣ

  • Ду провайдери бонуфузи мустақил/ROP (Anycast), 'NS' -ро дар бақайдгиранда дуруст кунед.
  • Стратегияи TTL: кӯтоҳ барои динамика, дароз барои сабтҳои устувор; TTL манфӣ таҳти назорат.
  • Санҷишҳо ва сиёсатҳо: нокомӣ/вазн/таъхир/гео аз рӯи профили хидмат.
  • DNSSEC (KSK/ZSK/DS), 'CAA' баровардани морҳоро маҳдуд мекунад.
  • IA C барои минтақаҳо, берунии DNS барои K8s, муҳитҳо/ҳисобҳои алоҳида.
  • Мониторинг: rcode/QPS/дермонӣ/паҳнкунӣ, огоҳиҳо аз ҷониби SERVFAIL/имзоҳо.
  • Маҳдудиятҳои DD: Anycast, RRL, EDNS, рӯйхати блок/ACL.
  • Низомнома оид ба муҳоҷирати домейнҳо ва TTL дар 48-72 соат коҳиш меёбад.
  • Аудити мунтазами "овезон" CNAME/ALIAS, MX/SPF/DKIM/DMARC (агар почта истифода шавад).

Хатогиҳои умумӣ

TTL аз ҳад зиёд дар 'A/AAAA' - муҳоҷирати дароз/fylovers.
Як провайдери DNS/як ПО SPOF мебошад.
Набудани DNSSEC/CAA - хатари иваз кардан/сертҳои идоранашаванда.
Уфуқи номувофиқ → номҳои дохилӣ барои ихроҷ шудан.
Не санҷиши саломатӣ дар GSLB - коммутатсияи дастӣ ва таъхирҳо.
CNAME-ҳои фаромӯшшуда оид ба хизматрасониҳои беруна → хатари забт кардан.
Набудани конфигуратсияҳои "барфпӯши барфӣ" ва хатогиҳо ҳангоми таҳрири дастӣ.

Хусусияти IGaming/fintech

Версияҳои минтақавӣ ва PSP: geo/latency-routing, whitelists шарики IP/ASN, дарвозаҳои зуд ноком.
Интихобҳо (мувофиқатҳо/мусобиқаҳо): TTL кӯтоҳ, CDN-ро гарм кунед, номҳои алоҳида барои чорабиниҳо ('ҳодиса-N.) намуна. com ') бо сиёсати идорашаванда.
Дурустии ҳуқуқӣ: вақт ва версияи минтақаҳоро ҳангоми тағироти интиқодӣ сабт кунед (сабти аудит).
Муҳофизати Antifraud/BOT: номҳои алоҳида барои tiebreakers/captcha/нуқтаҳои ниҳоӣ; хуруҷи зуд ба "сӯрохи сиёҳ" (sinkhole) дар ҳамлаҳо.

Китобҳои бозии хурд

Нашри канарии пеши (вазн):

1. 'апи-канарӣ. намуна. com '→ 5% трафик; 2) монитор p95/p99/хатогиҳо; 3) то 25/50/100% афзоиш меёбад; 4) ҳангоми таназзул меғелонад.

Нокомии фавқулодда:

1. TTL 60 с; 2) минтақаи аз муоинаи тиббӣ сабтшуда → GSLB аз ҷавобҳо хориҷ карда шуд; 3) санҷиши ҳалкунандаҳои беруна; 4) муоширати вазъ.

Муҳоҷирати провайдери DNS:

1. Ворид кардани минтақа ба провайдери нав; 2) Ба синхронизатсияи миёна барои кӯҳна фурӯзон шавед; 3) Сабткунакро ба тирезаи "ором" иваз кунед; 4) Хатогиҳои SERVFAIL/valро риоя кунед.

Натиҷа

Доираи боэътимоди DNS мақомоти Anycast + TTL + масири саломатӣ/таъхири давомнок + DNSSEC/CAA + Ia Равандҳои муҳоҷират ва роллерҳоро сабт кунед, провайдери эҳтиётиро нигоҳ доред, минтақаро барои сабти "овезон" мунтазам тафтиш кунед - ва корбарони шумо ҳатто дар соати гармтарин ба ҷабҳаҳои дилхоҳ мерасанд.

Contact

Тамос гиред

Барои саволҳо ё дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram ё WhatsApp — ихтиёрӣ.

Номи шумо ихтиёрӣ
Email ихтиёрӣ
Мавзӯъ ихтиёрӣ
Паём ихтиёрӣ
Telegram ихтиёрӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиёрӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.