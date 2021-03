Поделиться

Технология DNS стара как мир, но это адресная книга интернета. Чтобы сайт был доступен для пользователей, не падал под большой нагрузкой и мог противостоять ряду сложных атак, необходимо правильно «готовить» DNS.

Сыграйте за нового сотрудника, которому предстоит запустить сайт маркетплейса и справиться с его растущей популярностью.

Сегодня ваш первый день в компании «МаркетПлейсЪ» на должности администратора веб-сайта. МаркетПлейсЪ — это новый сервис, на котором небольшие фермерские хозяйства могут предлагать натуральные продукты магазинам по всей стране и искать партнёров по сбыту. Руководство предполагает, что сервис в скором времени ждёт популярность, а его аудитория за год вырастет до миллионов пользователей. Вам поручили заняться запуском сайта. Также вас пригласили на мероприятие по DNS. Учитывая ваше новое место работы, было бы нелишним его посетить. Подробнее о мероприятии. Стартуем!

Скажите честно, как вы оцениваете свой реальный уровень навыков? Начальный — вы только недавно начали заниматься администрированием веб-сайта. Средний — вы уверенно справляетесь с большинством задач, связанных с администрированием сайта. Экспертный — у вас многолетний опыт. Вы готовы к амбициозным задачам на проектах уровня Wildberries или Фонбет.

МаркетПлейсЪ запускает новый портал для своего сервиса. Для него уже зарезервировали домен domain.tld . Для того, чтобы портал работал на новом доменном имени, вначале нужно: Делегировать зону на серверы доменных имён через регистратора. Обратиться в координационный центр домена tld для делегирования зоны на серверы доменных имён. Направить доменное имя на IP-адрес нашего веб-сервера прямо в панели управления регистратора, чтобы можно было избежать делегирования.

Правильно, тут нужен регистратор. Зона на DNS-сервере прописана. Теперь мне нужно прописать наши серверы DNS в нашей же зоне. Сделать это нужно через панель управления регистратора следующим образом: ns1.domain.tld

ns2.domain.tld Нужно ли после этого сделать что-то ещё? Нет, уже всё готово. Да, нужно вместе с именами указать IP-адреса NS’ов. Да, необходимо завести как минимум 3 нейм-сервера.

Неправильно. Делегирование домена выполняется через регистратора. Зона на DNS-сервере прописана. Теперь мне нужно прописать наши серверы DNS в нашей же зоне. Сделать это нужно через панель управления регистратора следующим образом: ns1.domain.tld

ns2.domain.tld Нужно ли после этого сделать что-то ещё? Нет, уже всё готово. Да, нужно вместе с именами указать IP-адреса NS’ов. Да, необходимо завести как минимум 3 нейм-сервера.

Правильно. Это называется Glue Records — запись, в которой хранится IP-адрес, присвоенный домену или поддомену. Без Glue Records не обойтись, когда сервер имён домена находится на поддомене этого же домена. IP-адреса прописаны, делегирование выполнено. Хочу проверить работоспособность. Для этого использую команду: nslookup domain.tld whois domain.tld dig domain.tld @8.8.8.8 Попросить помощи у руководителя.

Неправильно. Проблему зацикливания это не решит. Нужно вместе с именами указывать IP-адреса NS-ов (Glue Records). IP-адреса прописаны, делегирование выполнено. Хочу проверить работоспособность. Для этого использую команду: nslookup domain.tld whois domain.tld dig domain.tld @8.8.8.8 Попросить помощи у руководителя.

Правильно. Нужно проверять публичный резолвер Google. Ведь если даже он знает о нашем домене, то и все остальные тоже. C делегированием разобрались. Теперь нужно настроить балансировку нагрузки. У меня есть 4 сервера с IP-адресами A.B.C.[1-4] . Как нужно прописать запись для www.domain.tld , чтобы нагрузка DNS по ним распределялась равномерно? www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4.

Руководитель сказал, что нужно проверять публичный резолвер Google. Ведь если даже он знает о нашем домене, то и все остальные тоже. C делегированием разобрались. Теперь нужно настроить балансировку нагрузки. У меня есть 4 сервера с IP-адресами A.B.C.[1-4] . Как нужно прописать запись для www.domain.tld , чтобы нагрузка DNS по ним распределялась равномерно? www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4.

Неправильно. Это может дать ложный результат. Коллега сказал, что нужно было через dig проверять на публичном сервере Google. C делегированием разобрались. Теперь нужно настроить балансировку нагрузки. У меня есть 4 сервера с IP-адресами A.B.C.[1-4] . Как нужно прописать запись для www.domain.tld , чтобы нагрузка DNS по ним распределялась равномерно? www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4. www IN A A.B.C.1,A A.B.C.2,A A.B.C.3,A A.B.C.4 www IN A A.B.C.1

www IN A A.B.C.2

www IN A A.B.C.3

www IN A A.B.C.4 www IN A A.B.C.1.

www IN A A.B.C.2.

www IN A A.B.C.3.

www IN A A.B.C.4.

Верно. Этот вариант простой и правильный. Далее.

Неправильно. Нужны были просто 4 отдельные записи. Далее.

Верно. Этот вариант простой и правильный. Наш сервис бурно развивается, работы стало больше. Поэтому в отдел наняли стажера, который возьмёт на себя часть задач. Сегодня он подошёл ко мне и спросил: обязательно ли увеличивать серийный номер в SOA-записи при изменении зоны? Что ему ответить? Да, иначе резолверы пользователей не узнают об изменениях. Нет, это просто информационное поле для администратора. Да, иначе secondary-серверы не узнают об изменениях зоны.

Неправильно. Нужны были просто 4 отдельные записи. Наш сервис бурно развивается, работы стало больше. Поэтому в отдел наняли стажера, который возьмёт на себя часть задач. Сегодня он подошёл ко мне и спросил: обязательно ли увеличивать серийный номер в SOA-записи при изменении зоны? Что ему ответить? Да, иначе резолверы пользователей не узнают об изменениях. Нет, это просто информационное поле для администратора. Да, иначе secondary-серверы не узнают об изменениях зоны.

Верно. Увеличивать серийный номер просто необходимо, если вы используете схему primary/secondary. Secondary-серверы проверяют обновление зоны по SOA, и если номер увеличился, то они скачивают новую версию. Далее.

Неправильно. Увеличивать серийный номер просто необходимо, если вы используете схему primary/secondary. Secondary-серверы проверяют обновление зоны по SOA, и если номер увеличился, то они скачивают новую версию. Далее.

Верно. Этот вариант простой и правильный. Прилетел новый таск. Мне нужно минимизировать вероятность отказа сервиса DNS при отказе сервера доменных имён. Для этого нужно: Сделать несколько серверов на разных адресах. Настроить время и параметры кэширования записей на других серверах так, чтобы было время восстановить работу серверов при отказе. Резервирование не требуется, так как DNS является только первичным источником информации.

Прилетел новый таск. Мне нужно минимизировать вероятность отказа сервиса DNS при отказе сервера доменных имён. Для этого нужно: Сделать несколько серверов на разных адресах. Настроить время и параметры кэширования записей на других серверах так, чтобы было время восстановить работу серверов при отказе. Резервирование не требуется, так как DNS является только первичным источником информации.

Неправильно. Оказывается, нужны просто 4 отдельные записи. Прилетел новый таск. Мне нужно минимизировать вероятность отказа сервиса DNS при отказе сервера доменных имён. Для этого нужно: Сделать несколько серверов на разных адресах. Настроить время и параметры кэширования записей на других серверах так, чтобы было время восстановить работу серверов при отказе. Резервирование не требуется, так как DNS является только первичным источником информации.

Правильно. Если откажет один сервер, то запрос пойдёт на другой. Теперь мне нужно оптимально зарезервировать наши серверы на уровне сети. Как это сделать? Нужно сделать несколько DNS-серверов в разных сетях. Создать несколько DNS-серверов на одном и том же адресе и настроить BGP anycast. Сделать много DNS-серверов и настроить BGP anycast с разными сетями. Отдать специализированному провайдеру. Он сделает всё за меня.

Неправильно. Лучше всего сделать несколько серверов на разных адресах. Если откажет один сервер, то запрос пойдёт на другой. Теперь мне нужно оптимально зарезервировать наши серверы на уровне сети. Как это сделать? Нужно сделать несколько DNS-серверов в разных сетях. Создать несколько DNS-серверов на одном и том же адресе и настроить BGP anycast. Сделать много DNS-серверов и настроить BGP anycast с разными сетями. Отдать специализированному провайдеру. Он сделает всё за меня.

Правильный вариант, пусть и не дешёвый. Придётся развернуть много серверов в разных точках присутствия и обеспечить подключение к сетям различных операторов. Далее.

Неправильно. Лучший вариант — сделать много DNS-серверов и настроить BGP anycast с разными сетями. Далее.

Наш сервис стал дико популярным: нагрузка растёт, число серверов стабильно идёт к сотне. Могу ли я использовать прежний подход для DNS-балансировки? Да, без проблем. Это в принципе невозможно. Да, но только если DNS-сервер умеет выдавать несколько записей за раз.

Правильно. Помните, что некоторые DNS-серверы умеют ограничивать кол-во одновременно выдаваемых записей. Атаки на DNS — это серьёзная угроза. На серверы приходит огромное количество запросов с поддельных IP-адресов. А если перестанет работать DNS-сервер — перестанет работать и сайт. Можно ли для защиты от атак использовать протокол TCP? Да, это сработает. Нет, DNS работает только по UDP. Лучше решать эту проблему при помощи специализированных сервисов.

Неправильно. Количество записей не поместится в UDP-пакет, а с TCP намного медленнее. Тем более не все резолверы это поддерживают. Нужно возвращать одновременно по несколько записей. Атаки на DNS — это серьёзная угроза. На серверы приходит огромное количество запросов с поддельных IP-адресов. А если перестанет работать DNS-сервер — перестанет работать и сайт. Можно ли для защиты от атак использовать протокол TCP? Да, это сработает. Нет, DNS работает только по UDP. Лучше решать эту проблему при помощи специализированных сервисов.

Правильно. Здесь помогут либо сервисы защиты от атак, либо использование высокозащищённых и производительных сервисов DNS, которые не подвержены таким примитивным атакам. Ставить 100 серверов — это долго, сложно и дорого. Лучше уже переезжать в CDN. Нужно делегировать в CDN DNS-зону. Нас просят направить наш домен www.domain.tld на домен s123.cdn.tld , а IP-адрес не хотят сообщать. Как мне направить домен? Написать скрипт, который будет регулярно резолвить s123.cdn.tld и вписывать нужный вариант в запись www IN A <IP> . Прописать CNAME-запись: www IN CNAME s123.domain.tld. Пускай просто сделают BGP anycast и дадут мне единый IP. Попросить помощи у коллег.

Неправильно. Лучшим вариантом в такой ситуации является использование специализированных сервисов. Ставить 100 серверов — это долго, сложно и дорого. Лучше уже переезжать в CDN. Нужно делегировать в CDN DNS-зону. Нас просят направить наш домен www.domain.tld на домен s123.cdn.tld , а IP-адрес не хотят сообщать. Как мне направить домен? Написать скрипт, который будет регулярно резолвить s123.cdn.tld и вписывать нужный вариант в запись www IN A <IP> . Прописать CNAME-запись: www IN CNAME s123.domain.tld. Пускай просто сделают BGP anycast и дадут мне единый IP. Попросить помощи у коллег.

Правильно. Просто и быстро! Всё работает. Теперь надо и сам домен второго уровня ( domain.tld ) тоже отдать в CDN. Как мне лучше поступить? Тоже пропишу CNAME — это очевидно. Отдам всю зону CDN-оператору, это их зона ответственности. Заодно и за DNS пусть отвечают. Сделаю HTTP-редирект на www.domain.tld . Тоже пропишу CNAME — это очевидно. Отдам всю зону CDN-оператору, это их зона ответственности. Заодно и за DNS пусть отвечают. Сделаю HTTP-редирект на www.domain.tld .

Неправильно. В таком случае страдает балансировка. Руководитель говорит, что нужно было прописать CNAME-запись. Теперь надо и сам домен второго уровня ( domain.tld ) тоже отдать в CDN. Как мне лучше поступить? Тоже пропишу CNAME — это очевидно. Отдам всю зону CDN-оператору, это их зона ответственности. Заодно и за DNS пусть отвечают. Сделаю HTTP-редирект на www.domain.tld . Тоже пропишу CNAME — это очевидно. Отдам всю зону CDN-оператору, это их зона ответственности. Заодно и за DNS пусть отвечают. Сделаю HTTP-редирект на www.domain.tld .

Верно! Правильное делегирование — залог успеха. Отказал один из web-серверов, пришлось убрать его из DNS. Проходит час, а пользователи всё ещё к нему обращаются. Как это исправить? Настроить у таких записей маленький TTL (скажем, 60 секунд). Это не решается на уровне DNS, необходимо ставить отдельный load balancer. Ничего страшного, если браузер не сможет достучаться до одного из IP-адресов — запрос просто пойдёт на следующий.

Неправильно. Нужно было отдать всю зону CDN-оператору. Ведь правильное делегирование — залог успеха. Отказал один из web-серверов, пришлось убрать его из DNS. Проходит час, а пользователи всё ещё к нему обращаются. Как это исправить? Настроить у таких записей маленький TTL (скажем, 60 секунд). Это не решается на уровне DNS, необходимо ставить отдельный load balancer. Ничего страшного, если браузер не сможет достучаться до одного из IP-адресов — запрос просто пойдёт на следующий.

Верно! Правильное делегирование — залог успеха. Далее.

Неправильно. Нужно было отдать всю зону CDN-оператору. Ведь правильное делегирование — залог успеха. Далее.

Правильно. Так информация будет быстрее обновляться. Далее.

Неправильно. Мне посоветовали настроить у таких записей маленький TTL. Так информация будет обновляться быстрей. Далее.

На этом всё — портал запущен.

Результат / Запуститься без проблем у вас явно не получилось. Вы не смогли вовремя исправить то, что поломали. Перебои с работой сайта случаются постоянно. Хорошо, что это лишь тест — всегда можно попробовать ещё раз! Но перед этим рекомендуем прокачать свои знания по настройке и управлению DNS, посетив мероприятие NGENIX. Посетить мероприятие Пройти ещё раз

Результат / Сначала всё работало, но затем начали вылезать какие-то проблемы, сайт регулярно падает или тормозит. Нехорошо. Для того, чтобы уверенно справляться с подобными задачами, рекомендуем посетить мероприятие NGENIX по настройке и управлению DNS. Посетить мероприятие Пройти ещё раз

Результат / Сайт запустился, работает и привлекает всё больше пользователей! Приходите на мероприятие, посвящённое настройке и управлению DNS — можете узнать что-то новое! NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз

Результат / Запуск прошёл успешно. Несмотря на то, что вы в деле новичок, вы отлично справились с поставленной задачей. Чтобы быстрей прокачать свои навыки настройки и управления DNS, приходите на мероприятие NGENIX. NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз

Результат / Плохая попытка. С самого начала были проблемы с доступом. Иногда приходилось долго разбираться, в чем дело. Перебои в работе сайта всё ещё случаются. Хорошо, что это лишь тест — всегда можно попробовать ещё раз! Но перед этим рекомендуем прокачать свои знания по настройке и управлению DNS, посетив мероприятие NGENIX. Посетить мероприятие Пройти ещё раз

Результат / Плохая попытка. Сайт регулярно «лежит», страшно подумать, что будет с ростом нагрузки. Руководство ждало от вас большего профессионализма. Для того, чтобы уверенно справляться с подобными задачами, рекомендуем посетить мероприятие по DNS. Посетить мероприятие Пройти ещё раз

Результат / В целом, запуск проекта прошёл удачно. Время от времени возникают небольшие проблемы, но это наверняка поправимо, нужно лишь найти причину. Вы хорошо справились с этой задачей, чем заслужили одобрение коллег. Хотите подискутировать о лучших практиках настройки и управления DNS? Регистрируйтесь на мероприятие NGENIX! NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз

Результат / Запуск прошёл весьма успешно! Всё прошло как по маслу, и даже с ростом аудитории вы обеспечиваете стабильную работу веб-ресурса. Руководство не ошиблось, когда поручило вам задачу. Хотите подискутировать о лучших практиках настройки и управления DNS? Регистрируйтесь на мероприятие NGENIX! NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз

Результат / Плохая попытка. С самого начала были проблемы с доступом. Иногда приходилось долго разбираться, в чем дело. Перебои в работе сайта всё ещё случаются. Хорошо, что это лишь тест — всегда можно попробовать ещё раз! Но перед этим рекомендуем прокачать свои знания о DNS, посетив мероприятие NGENIX о правильной настройке и управлении DNS. Посетить мероприятие Пройти ещё раз

Результат / Плохая попытка. Сайт регулярно «лежит», страшно подумать, что будет с ростом нагрузки. Руководство ждало от вас большего профессионализма. Для того, чтобы уверенно справляться с подобными задачами, рекомендуем посетить мероприятие NGENIX о правильной настройке и управлении DNS. Посетить мероприятие Пройти ещё раз

Результат / В целом, запуск проекта прошёл удачно. Время от времени возникают небольшие проблемы, но это наверняка поправимо, нужно лишь найти причину. Руководство не ошиблось в вас! Хотите подискутировать о лучших практиках настройки и управления DNS? Регистрируйтесь на мероприятие NGENIX! NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз

Результат / Поздравляем с успешным запуском проекта! Всё прошло как по маслу, и даже с ростом аудитории вы обеспечиваете стабильную работу веб-ресурса. Неудивительно, что вы справились с этим таском, чем порадовали руководство. Хотите подискутировать о лучших практиках настройки и управления DNS? Регистрируйтесь на бесплатное мероприятие! NGENIX всегда рады профессионалам. Посмотрите их вакансии. Вдруг найдёте что-нибудь для себя? Посетить мероприятие Посмотреть вакансии Пройти ещё раз