GH GambleHub

DNS dolandyryşy we marşrut

Gysgaça gysgaça

DNS "at derejesi marşrutizatory". Başarnykly TTL, zonalar we syýasatçylar ulanyjylaryň zerur frontlara/şlýuzlara näderejede çalt we öňünden aýdyp biljekdigine baglydyr. Iň az toplum: Anycast-üpjün ediji, sagdyn TTL, awtomatiki faýlower bilen saglyk barlaglary, DNSSEC + CAA, IaC-dolandyryş we gözegçilik (jogaplar we rezolýasiýa wagty boýunça SLO).

Esasy arhitektura

Abraýly serwerler (zones) - kompaniýanyň domenleri üçin jogapkärdir.
Rekursiw rezolwerler (clients/ISP/öz) - kök → TLD → abraýly soraýar.
Anycast - PoP köplüginde şol bir IP salgysy: ýakyn PoP has çalt jogap berýär we heläkçilikleri başdan geçirýär.

Zonalar we wekilçilik etmek

Abraýly serwer üpjün edijilerinde → 'NS' domeniniň kök zolagy.
Alt domenler (mysal üçin, 'api. example. com ') garaşsyzlyk üçin aýry-aýry' NS '/üpjün edijilere geçirilip bilner.

Giriş görnüşleri (iň az)

'A '/' AAAA' - IPv4/IPv6 salgylary.
'CNAME' - adyň lakamy; zonany düýpden ulanmaň (ýerine üpjün edijilerden ALIAS/ANAME).
'TXT' - tassyklamalar, SPF, custom-bellikler.
'MX' - poçta (ulanylsa).
'SRV' - hyzmatlar (SIP, LDAP we ş.m.).
'CAA' - domen üçin şahadatnamalary kim çykaryp biler.
'NS '/' SOA' - ugrukdyrma/zolak parametrleri.
'DS' - DNSSEC esasy TLD açarlary.

Zona görelde (bölek)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL we kesmek

Gysga TTL (30-300 c) - dinamika üçin (API-frontlar, failover).
Orta TTL (300-3600 c) - CDN/statika üçin.
Uzyn TTL (≥ 1 gün) - seýrek üýtgeşmeler üçin (MX/NS/DS).
Migrasiýalary meýilleşdireniňizde, TTL-i öňünden 24-72 sagatda peseldiň.
Negative Caching TTL-ni (NXDOMAIN) göz öňünde tutuň: 'SOA MINIMUM' tarapyndan dolandyrylýar.

Ugrukdyryş syýasaty (GSLB derejesi)

Failover (active/passive) - esasy IP-ni feýl health-check-den öň berýäris, soň ätiýaçlyk.
Weighted (traffic-split) - traffigiň paýlanyşy (mysal üçin canary 5/95).
Latency-based - tor gijikdirilmegi boýunça iň ýakyn ROr/sebit.
Geo-routing - ýurt/yklymda; ýerli kanunlar/PCI/PII üçin peýdalydyr.
Multivalue - her kimiň saglygyny barlamak bilen birnäçe 'A/AAAA'.

Maslahatlar

Möhüm API üçin latency-based + health-checks + gysga TTL birikdiriň.
Tekiz neşirler üçin - weighted we paýyň kem-kemden ýokarlanmagy.
Sebitleýin çäklendirmeler üçin - geo we rugsat berlen üpjün edijileriň sanawlary.

Saglyk we awtomatiki geçiş

Health-checks: HTTP (S) (200 OK, beden/sözbaşy), TCP (port), ICMP.
Abraý/fingerprint: diňe bir porty däl, eýsem backend 'a (wersiýa, build-id) hem barlaň.
Duýgurlyk bosagasy: 'N' flappingden gaça durmak üçin yzly-yzyna üstünlikli/şowsuz barlaglar.
Metrikleri alyň: healthy-endpointleriň paýy, reaksiýanyň wagty, çalşyklaryň sany.

Hususy zolaklar we split-horizon

Private DNS: VPC/VNet/On-prem içerki zolaklar (mysal üçin 'svc. local. example`).
Split-horizon: içerki we daşarky müşderiler üçin dürli jogaplar (içerki IP vs köpçülige açyk).
Syzmakdan goramak: daşardan "içerki" atlary ulanmaň; hususy zolaklaryň köpçülige açyk üpjün edijiler arkaly jemlenmeýändigini barlaň.

DNS howpsuzlygy

DNSSEC: zolaklaryň gollary (ZSK/KSK), ene zonada 'DS' neşirleri, açarlar rolloveri.
CAA: TLS-sertleriň CA tarapyndan üpjün edilmegini çäklendiriň.
Rekursorlar üçin DoT/DoH - müşderileriň haýyşlaryny şifrlemek.
ACL/Rate-limit awtoritatiw: şöhlelendiriji DDoS/ANY-soraglardan goramak.
Subdomain Takeover: "asylan" CNAME/ALIAS-y uzakdaky hyzmatlara yzygiderli gözden geçiriň (çeşme aýryldy - CNAME galdy).
NS/Glue-ýazgylar: bellige alyjy bilen DNS üpjün edijisiniň arasyndaky yzygiderlilik.

SLO we gözegçilik

SLO (mysallar)

Awtoritatiw jogaplaryň elýeterliligi: ≥ 99. 99 %/30 gün.
Rekursora jogap wagty (p95): ≤ 50 ms ýerli/ ≤ 150 ms global.
Saglyk barlaglarynyň üstünligi: ≥ 99. 9%, ýalan täsirler - ≤ 0. 1%.
Üýtgeşmeden soň ýöremegiň wagty (propagation): TTL-de 5 minuda ≤ 60 s.

Metrikler

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 jogap wagty.
IPv6/IPv4 paýlary, EDNS ululygy, Truncated (TC) jogaplar.
Health-check, flapping, DNSSEC gollarynyň ýalňyşlyklary boýunça geçişleriň sany.
DoH/DoT soraglarynyň paýlary (eger rekursora gözegçilik etseňiz).

Logi

Soraglar (qname, qtype, rcode, client ASN/geo), anomaliýalar (ANY-tupanlar, bir prefiks boýunça ýygy-ýygydan NXDOMAIN).

IaC we awtomatlaşdyryş

Terraform/DNS üpjün edijileri: zolaklary ammarda saklaň, PR-revyu, meýilnama/appruv.
ExternalDNS (K8s): Ingress/Service -den ýazgylary awtomatiki döretmek/aýyrmak.
Orta gurşaw: 'dev. '/' stg.' prefiksleri we DNS-üpjün edijiniň aýry-aýry hasaplary.

Terraform

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Rezolwerler, kesiş we öndürijilik

Öz rekursorlary (Unbound/Knot/Bind) programmalara has ýakyn → az p95.
Prefetch gyzgyn ýazgylary açyň, ygtyýarlyk ýok bolsa serve-stale.
EDNS (0) we dogry bufer ululygy, DNS Cookies, minimal-responses.
Akym akymlaryny we programma trafigini bölüň (QoS).
Negative TTL-i göz öňünde tutuň: "döwülen" müşderiden köp NXDOMAIN nagt pul gazanyp biler.

DDoS we durnuklylyk

Global PoP we bot traffigi agregasiýasy bilen Anycast-üpjün ediji.
Response Rate Limiting (RRL) awtoritatiw, amplifikasiýa garşy gorag.
'ANY' gadaganlygy, EDNS buferini çäklendirmek, "agyr" görnüşlere süzgüçler.
Zolaklaryň segmentasiýasy: kritiki - iň oňat DDoS-galkany bolan üpjün edijide; az kritiki - aýratyn.
Ätiýaçlyk üpjün ediji (secondaries) 'AXFR/IXFR' we bellige alyjy derejesinde awtomatiki NS feýler bilen.

Amallar we amallar

Üýtgeşmeler: PR-gözden geçirmek, kanary-ýazgy, nagt pul gyzdyrmak (pes TTL → deploy → TTL-ni yzyna gaýtarmak).
DNSSEC rollover: düzgünler, penjireler, tassyklama gözegçiligi (RFC 8901 KSK/ZSK).
Runbook: PoP-iň ýykylmagy, nädogry NS-delegasiýa, ýykylan saglyk-barlag, köpçülikleýin SERVFAIL.
DR-meýilnamasy: alternatiw DNS-üpjün ediji, taýýar zona şablonlary, bellige alyja girmek, NS çalyşmak üçin SLA.

Giriş barlagy

  • Iki sany garaşsyz awtoritatiw üpjün ediji/RoR (Anycast), "NS" -den dogry.
  • TTL strategiýasy: dinamika üçin gysga, durnukly ýazgylar üçin uzyn; negative TTL gözegçilik astynda.
  • Saglyk-barlaglar we syýasatlar: hyzmatlaryň profiline görä failover/weighted/latency/geo.
  • DNSSEC (KSK/ZSK/DS), "CAA" sertleriň çykarylmagyny çäklendirýär.
  • Zonalar üçin IaC, K8s üçin ExternalDNS, aýratyn gurşaw/hasaplar.
  • Gözegçilik: rcode/QPS/latency/propagation, SERVFAIL/gollar boýunça aladalar.
  • DDoS: Anycast, RRL, EDNS çäklendirmeleri, sanawlar/ACL blogy.
  • Domen göçmegiň we TTL-ni 48-72 sagatda peseltmegiň düzgünleri.
  • "Asylýanlaryň" yzygiderli barlagy CNAME/ALIAS, MX/SPF/DKIM/DMARC (poçta ulanylsa).

Adaty ýalňyşlyklar

Kritiki 'A/AAAA' -da gaty uly TTL - uzyn göçmeler/feýlowerler.
Bir DNS/bir PoP - SPOF üpjün ediji.
DNSSEC/CAA-nyň ýoklugy - çalyşmak/gözegçiliksiz sertleriň töwekgelçiligi.
Gabat gelmeýän split-horizon → içerki atlaryň syzmagy.
GSLB-de saglyk barlaglary ýok - elleriňizi çalyşmak we gijikdirmek.
Daşarky hyzmatlara ýatdan çykarylan CNAME → takeover töwekgelçiligi.
IaC → "gar" -konfiganyň ýoklugy we el bilen düzedişlerde ýalňyşlyklar.

iGaming/fintech üçin aýratynlyklar

Sebitleýin wersiýalar we PSP: geo/latency-routing, IP/ASN hyzmatdaşlaryň ak sanawlary, çalt şlýuzlar.
Piki (oýunlar/ýaryşlar): Gysga TTL, CDN gyzdyrmak, wakalar üçin aýratyn atlar ('event-N. example. com ') bilen dolandyrylýar.
Hukuk taýdan dogrulygy: Möhüm üýtgeşmeler ýüze çykan halatynda zonalaryň wagtyny we görnüşini ýazga alyň (audit magazineurnaly).
Antifrod/BOT-gorag: tiebreakers/kapçi/çek-endpointler üçin aýratyn atlar; hüjümlerde "gara deşik" (sinkhole) üçin çalt yza çekilmek.

Kiçi pleýbuklar

Frontuň kanar çykyşy (weighted):

1. `api-canary. example. com '→ 5% traffik; 2) p95/p99/ýalňyşlyklara gözegçilik edýäris; 3) 25/50/100% -e çenli ýokarlandyrýarys; 4) pese gaçanda ýapýarys.

Gyssagly faýlower:

1. TTL 60 s; 2) health-check down sebitini belläpdir → GSLB jogaplardan aýryldy; 3) daşarky rezolwerleri barlamak; 4) statusyň aragatnaşygy.

DNS üpjün edijisiniň göçmegi:

1. Zonany täze üpjün edijä import etmek; 2) Eskisinden sinhron sekondary açýarys; 3) Bellige alyjynyň 'NS' -ini "asuda" penjireden üýtgedýäris; 4) SERVFAIL/val-ýalňyşlyklary synlaýarys.

Jemi

Ygtybarly DNS kontury - bu Anycast-authorities + akylly TTL + saglyk/gijikdirme marşruty + DNSSEC/CAA + IaC we gözegçilik ukyby. Migrasiýa we rollover proseslerini ýazga alyň, ätiýaçlyk üpjün edijini saklaň, "asylan" ýazgylar üçin zonany yzygiderli barlaň - ulanyjylaryňyz iň "yssy" sagatda-da zerur frontlara yzygiderli girerler.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.