GH GambleHub

DNS Yönetimi ve Yönlendirme

Kısa özet

DNS, isim düzeyinde bir yönlendiricidir. Yetkili TTL'ye, bölgelere ve politikalara, kullanıcıların istenen cephelere/ağ geçitlerine ne kadar hızlı ve tahmin edilebilir bir şekilde ulaştığına bağlıdır. Minimum set: Anycast sağlayıcı, sağlıklı TTL, otomatik yük devretme ile sağlık kontrolleri, DNSSEC + CAA, IaC yönetimi ve gözlemlenebilirlik (yanıt ve çözünürlük süresine göre SLO).

Temel mimari

Yetkili sunucular (bölgeler) - şirketin alanlarından sorumludur.
Özyinelemeli çözümleyiciler (istemciler/ISS'ler/kendi) - köküne sorun - TLD'ler - yetkili.
Anycast, birçok PoP'da aynı IP adresidir: yakın PoP daha hızlı tepki verir ve kazalardan kurtulur.

Bölgeler ve delegasyon

Etki alanının kök bölgesi - yetkili sunucuların sağlayıcılarına "NS".
Alt alanlar (örn. 'api. örnek. com ') bağımsızlık için bireysel' NS'/sağlayıcılara devredilebilir.

Kayıt türleri (minimum)

'A'/' AAAA' - IPv4/IPv6 adresleri.
'CNAME' - isim için takma ad; Bölgenin kökünde kullanmayın (bunun yerine sağlayıcılarda ALIAS/ANAME).
'TXT' - doğrulama, SPF, özel etiketler.
'MX' - posta (kullanılıyorsa).
'SRV' - hizmetler (SIP, LDAP, vb.).
'CAA' - etki alanı için sertifikalar verebilir.
'NS'/' SOA' - delegasyon/bölge parametreleri.
'DS' - DNSSEC anahtarları ana TLD'ye.

Örnek bölge (parça)


$TTL 300
@    IN SOA ns1.dns.example. noc.example. (2025110501 3600 600 604800 300)
IN NS ns1.dns.example.
IN NS ns2.dns.example.
@    IN A  203.0.113.10
@    IN AAAA 2001:db8::10 api   IN CNAME api-prod.global.example.
_www  IN CNAME cdn.example.net.
_caa  IN CAA 0 issue "letsencrypt.org"

TTL ve önbelleğe alma

Kısa TTL (30-300 s) - dinamikler için (API cepheleri, yük devretme).
Orta TTL (300-3600 s) - CDN/statik için.
Uzun TTL (≥ 1 gün) - nadir değişiklikler için (MX/NS/DS).
Göçleri planlarken 24-72 saat önceden TTL'yi azaltın.

Negatif Önbellekleme TTL'yi (NXDOMAIN) düşünün: 'SOA MINIMUM'tarafından yönetilir

Yönlendirme İlkeleri (GSLB katmanı)

Failover (aktif/pasif) - ana IP'yi başarısız sağlık kontrolüne, ardından rezerve veriyoruz.
Ağırlıklı (trafik-bölünmüş) - trafik dağılımı (örneğin, kanarya 5/95).
Gecikme tabanlı, ağ gecikmesine göre en yakın PoR/bölgedir.
Coğrafi yönlendirme - ülkeye/kıtaya göre; Yerel/PCI/PII yasaları için kullanışlıdır.
Multivalue - her birinin sağlık kontrolleri ile birkaç 'A/AAAA'.

Konseyler

Kritik API'ler için, gecikme tabanlı + sağlık kontrolleri + kısa TTL bağlayın.
Düzgün sürümler için - ağırlıklı ve kademeli hisse büyümesi.
Bölgesel kısıtlamalar için - izin verilen sağlayıcıların coğrafi ve listeleri.

Sağlık ve otomatik anahtarlama

Sağlık kontrolleri: HTTP (S) (200 OK, gövde/başlık), TCP (port), ICMP.
İtibar/parmak izi: sadece portu değil, aynı zamanda arka uç'a (sürüm, build-id) doğruluğunu da kontrol edin.
Duyarlılık eşiği: 'N', çırpmayı önlemek için üst üste başarılı/başarısız kontroller.
Metriklerin alınması: sağlıklı uç noktaların paylaşımı, reaksiyon süresi, anahtar sayısı.

Özel alanlar ve split-horizon

Özel DNS: VPC/VNet/On-prem'deki dahili bölgeler (örn. svc. yerel. Örnek ').
Split-horizon: Dahili ve harici istemciler için farklı yanıtlar (dahili IP ve genel).
Sızıntı koruması: dışarıda "dahili" isimler kullanmayın; Özel alanların kamu sağlayıcıları aracılığıyla çözülmediğini kontrol edin.

DNS güvenliği

DNSSEC: bölge imzaları (ZSK/KSK), üst bölgede 'DS' yayınlama, anahtar rollover.
CAA: TLS serlerinin serbest bırakılmasını güvenilir CA'larla sınırlayın.
Recursors için DoT/DoH - istemci isteklerini şifrelemek.
Yetkili ACL/Rate-limit: yansıtıcı DDoS/ANY isteklerine karşı koruma.
Subdomain Takeover: Uzak servisler için düzenli olarak "asılı" CNAME/ALIAS taranır (kaynak silinir - CNAME kalır).
NS/Tutkal kayıtları: kayıt sorumlusu ve DNS sağlayıcısı arasındaki tutarlılık.

SLO ve gözlemlenebilirlik

SLO (örnekler)

Yetkili cevapların mevcudiyeti: ≥ 99. %99/30 gün.
Özyineleme tepki süresi (p95): ≤ 50 ms yerel/ ≤ 150 ms global.
Başarı sağlık kontrolleri: ≥ 99. %9, yanlış pozitifler - ≤ 0. 1%.
Yayılma süresi: TTL 60 sn'de 5 dakika ≤.

Metrikler

RCODE (NOERROR/NXDOMAIN/SERVFAIL), QPS, p50/p95 yanıt süresi.
Kesirler IPv6/IPv4, EDNS boyutu, Kesikli (TC) yanıtları.
Sağlık kontrolü anahtarlarının sayısı, çırpma, DNSSEC imza hataları.
DoH/DoT sorgularının paylaşımları (özyinelemeyi kontrol ederseniz).

Günlükler

Sorgular (qname, qtype, rcode, client ASN/geo), anomaliler (ANY fırtınaları, bir önek ile sık NXDOMAIN).

IaC ve Otomasyon

Terraform/DNS sağlayıcıları: depoda bölgeleri tutun, PR incelemesi, plan/uygulama.
ExternalDNS (K8s): Kayıtların Giriş/Hizmet'ten otomatik olarak oluşturulması/silinmesi.
Ara ortamlar: 'dev. '/' stg. 'önekleri ve bireysel DNS sağlayıcı hesapları.

Terraform (basitleştirilmiş örnek)

hcl resource "dns_a_record_set" "api" {
zone = "example.com."
name = "api"
addresses = ["203.0.113.10","203.0.113.20"]
ttl = 60
}

resource "dns_caa_record" "caa" {
zone = "example.com."
name = "@"
ttl = 3600 record {
flags = 0 tag  = "issue"
value = "letsencrypt.org"
}
}

Çözümleyiciler, Önbellek ve Performans

Unbound/Knot/Bind, p95'ten daha az olan uygulamalara daha yakındır.
Prefetch sıcak kayıtları açın, otorite mevcut olmadığında servis yapın.
EDNS (0) ve doğru arabellek boyutu, DNS Çerezleri, minimal yanıtlar.
Ayrı çözünürlük akışları ve uygulama trafiği (QoS).
Negatif TTL'yi düşünün: Bozuk bir istemciden çok sayıda NXDOMAIN önbelleği tıkayabilir.

DDoS ve esneklik

Küresel PoP ve bot trafiği toplama özelliğine sahip Anycast sağlayıcısı.
Yanıt Hızı Sınırlaması (RRL) yetkili, amplifikasyona karşı koruma.
'ANY' yasağı, EDNS tampon kısıtlaması,'ağır "tiplerdeki filtreler.
Bölge segmentasyonu: kritik - en iyi DDoS kalkanına sahip sağlayıcıda; daha az kritik - ayrı ayrı.
Kayıt şirketi düzeyinde 'AXFR/IXFR've otomatik filover NS ile yedekleme sağlayıcısı (ikincil).

Operasyonlar ve Süreçler

Değişiklikler: PR incelemesi, kanarya kayıtları, ısınma önbellekleri (düşük TTL - dağıtma - TTL'yi döndürme).
Rollover DNSSEC: düzenleme, pencereler, geçerlilik izleme (RFC 8901 KSK/ZSK).
Runbook: PoP düşüşü, yanlış NS delegasyonu, sağlık kontrolünden düşmüş, büyük SERVFAIL.
DR planı: alternatif DNS sağlayıcısı, hazır bölge şablonları, kayıt şirketine erişim, NS'yi değiştirmek için SLA.

Uygulama kontrol listesi

  • İki bağımsız yetkili sağlayıcı/RoP (Anycast), kayıt şirketinde doğru 'NS'.
  • TTL stratejisi: dinamiklerin kısaltması, istikrarlı kayıtlar için uzun; Negatif TTL kontrol altında.
  • Sağlık kontrolleri ve politikaları: failover/weighted/latency/geo by service profile.
  • DNSSEC (KSK/ZSK/DS), 'CAA' sertlerin serbest bırakılmasını kısıtlar.
  • Bölgeler için IaC, K8s için ExternalDNS, ayrı ortamlar/hesaplar.
  • İzleme: rcode/QPS/latency/propagation, SERVFAIL/signatures ile uyarılar.
  • DDoS: Anycast, RRL, EDNS kısıtlamaları, liste bloğu/ACL.
  • 48-72 saat içinde etki alanı göçleri ve TTL indirimleri için düzenlemeler.
  • "Asılı" CNAME/ALIAS, MX/SPF/DKIM/DMARC'nin düzenli denetimi (posta kullanılıyorsa).

Yaygın hatalar

Kritik 'A/AAAA'da çok fazla TTL - uzun göçler/fitiller.
Bir DNS sağlayıcısı/bir PoP SPOF'tur.
DNSSEC/CAA yokluğu - ikame/kontrolsüz sert riski.
Tutarsız split-horizon - sızdırmak için dahili isimler.
GSLB'de sağlık kontrolü yok - el değiştirme ve gecikmeler.
Dış hizmetlerde unutulmuş CNAME'ler - devralma riski.
IaC yokluğu - Manuel düzenlemeler sırasında "kar tanesi" yapılandırmaları ve hataları.

İGaming/fintech için Özgüllük

Bölgesel sürümler ve PSP: coğrafi/gecikmeli yönlendirme, IP/ASN iş ortağı beyaz listeleri, hızlı yük devretme ağ geçitleri.
Seçmeler (maçlar/turnuvalar): Kısa TTL, ısınma CDN, etkinlikler için ayrı isimler ('event-N. örnek. com ') ile yönetilen politika.
Yasal doğruluk: Kritik değişiklikler sırasında bölgelerin zamanını ve sürümünü kaydedin (denetim günlüğü).
Antifraud/BOT koruması: tiebreakers/captcha/check endpoints için ayrı isimler; Saldırılarda'kara deliğe "(düden) hızlı çekilme.

Mini oyun kitapları

Ön kanarya serbest bırakılması (ağırlıklı):

1. 'api-kanarya. örnek. com '- trafiğin %5'i; 2) p95/p99/hatalarını izleyin; 3) %25/50/100'e yükselir; 4) bozulma sırasında yuvarlanır.

Acil durum yük devretme:

1. TTL 60 s; 2) sağlık kontrolü işaretli bölge aşağı - GSLB yanıtlardan kaldırıldı; 3) dış çözücülerin kontrolü; 4) durum iletişimi.

DNS sağlayıcısı geçişi:

1. Bir bölgeyi yeni bir sağlayıcıya içe aktarın; 2) Eski olan için senkron ikincisini açın; 3) Kayıt cihazının 'NS'sini "sessiz'bir pencereye değiştirin; 4) SERVFAIL/val hatalarını gözlemleyin.

Sonuç

Güvenilir bir DNS döngüsü Anycast otoritesi + makul TTL + sağlık/gecikme yönlendirme + DNSSEC/CAA + IaC ve gözlemlenebilirliktir. Geçiş ve rollover işlemlerini kaydedin, bir yedekleme sağlayıcısı tutun, "asılı" kayıtlar için bölgeyi düzenli olarak kontrol edin - kullanıcılarınız en sıcak saatlerde bile istenen cephelere istikrarlı bir şekilde ulaşacaktır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.