Comments 49
Используем 1cloud так как они дают API для управления зоной. Нам API необходим для подтверждения сертификатов let’s encrypt.
Интересно, что за АПИ-шка. Если не секрет - объясните как работает, плиз.
Наверняка выпускаются wildcard сертификаты, которые подтверждаются через создание txt записи на время проверки.
certbot умеет работать со многими dns хостингами через api.
В моем случае, я использую clodflare, но api использую для управления dns через terraform и k8s external-dns
Для выпуска сертификатов Let's Encrypt нужно подтверждение домена. Так как у нас сервера не доступны из интернет, то HTTP-challenge нам не доступен, поэтому используем DNS-challenge.
Как работает: запускается certbot, ему в параметрах передается manual-auth-hook - powershell скрипт, который ловит токен и публикует его в DNS через то самое API.
Выложил полные скрипты на GitHub, пользуйтесь если нужно: https://github.com/archimed7592/certbot-1cloud
У яндекса тоже можно DNS для делегированых доменов менять через API. Также acme.sh умеет яндекс и может подтверждать wildcard сертификаты
по субъективным ощущением сихронизация dns записей с яндексвоского сервера по миру идет очень медленно, причем даже на их публичные сервера. Поэтому при первоначальной настройке надо закладывать сутки.
Почта для домена: днс синхронизируется от 5 до 30 минут, из-за этого, использовать DNS-challenge не возможно(
На самом деле никакой API для управления зоной не нужен, достаточно делегированной субзоны и одного CNAME.
Есть даже готовый пакет: https://pypi.org/project/certbot-dns-standalone/
Amazon route 53, хотя это и не про прогибающееся "Primary DNS в РФ".
- "Миллионы леммингов не могут ошибаться" - как будто читаем мы в статье. Но нет, ошибаются. Нужно детальнее подходить к анализу каждого сервиса.
Например, r01, судя по всему, лишь реселлер услуг Руцентра:
domain: R01.RU
nserver: ns1-cloud.nic.ru.
nserver: ns2-cloud.nic.ru.
nserver: ns5.nic.ru.
nserver: ns6.nic.ru.
nserver: ns9.nic.ru.
Или, например, TimeWeb, все его DNS живут в пусть даже распределенной, но одной AS 9123:
domain: TIMEWEB.RU
nserver: ns1.timeweb.ru. 92.53.116.200
nserver: ns2.timeweb.ru. 92.53.98.100
nserver: ns3.timeweb.org.
nserver: ns4.timeweb.org.
Такая же ситуация у Beget, все завязано на AS 198610:
domain: BEGET.RU
nserver: ns1.beget.ru. 5.101.159.11
nserver: ns2.beget.ru. 185.50.27.12
Сколько-нибудь продуманным примером может явится Руцентр, у которого каждый из используемых DNS находится на разной инфраструктуре, включая стороннюю (Netnod):
domain: NIC.RU
nserver: ns1-cloud.nic.ru. 185.42.137.111, 2a01:3f0:400::62
nserver: ns2-cloud.nic.ru. 194.58.196.62, 2a01:3f1:862::53
nserver: ns5.nic.ru. 31.177.67.100, 2a02:2090:e800:9000:31:177:67:100
nserver: ns6.nic.ru. 31.177.74.100, 2a02:2090:ec00:9040:31:177:74:100
nserver: ns9.nic.ru. 31.177.85.186, 2a02:2090:e400:7000:31:177:85:186
все так. Но вообще существование днс в одной AS - это не означает прям, что все плохо. В принципе ведь есть BGP, есть резервирование каналов...
существование днс в одной AS - это не означает прям, что все плохо
Согласен. Хорошо, что хотябы есть своя AS. Если это полносвязная AS с единой политикой маршрутизации, то это не гарантирует доступность извне каждого из узлов внутри ее. Например, клиент влил FV, трафик улетел в никуда, там дропнулся.
Согласен с необходимостью подходить детально. Единственное, что отметил бы, что, наверное, стоит смотреть не на NS-сервера, обслуживающие основной сайт DNS-хостинга (хотя это тоже показательно), которые привели вы, но те, что выдаются клиентам.
Да, результаты могут совпадать, но на примере spaceweb.ru не совсем. Сам их домен:
spaceweb.ru. 300 IN NS ns1.sweb.ru.
spaceweb.ru. 300 IN NS ns2.sweb.ru.
spaceweb.ru. 300 IN NS ns4.sweb.ru.
ns1.sweb.ru 31.177.67.100 31.177.64.0/22 AS48287 (RU-CENTER)
ns2.sweb.ru 31.177.74.100 31.177.72.0/21 AS48287 (RU-CENTER)
ns4.sweb.ru 31.177.85.186 31.177.85.0/24 AS48287 (RU-CENTER)
DNS-сервера, которые они предлагают указывать клиентам:
ns1.spaceweb.ru 77.222.50.244 77.222.50.0/23 AS44112 (SWEB-AS)
ns2.spaceweb.ru 89.111.160.68 89.111.160.0/20 AS39494 (RU-CENTER-AS)
ns3.spaceweb.pro 77.222.51.244 77.222.50.0/23 AS44112 (SWEB-AS)
ns4.spaceweb.pro 89.111.167.100 89.111.160.0/20 AS39494 (RU-CENTER-AS)
В статье я указал, что spaceweb, r01, reg и nic принадлежат теперь одному собственнику из чего можно сделать вывод: если даже сейчас инфраструктура разная, то в будущем она может быть объединена.
По приведенным выше хостерам:
ns01.r01.ru 109.70.27.110 109.70.26.0/23 AS48287 (RU-CENTER)
ns02.r01.ru 194.226.96.110 194.226.96.0/24 AS48287 (RU-CENTER)
ns03.r01.ru 193.232.130.110 193.232.130.0/24 AS48287 (RU-CENTER)
ns1.timeweb.ru 92.53.116.26 92.53.116.0/24 AS9123 (TimeWeb-AS)
ns2.timeweb.ru 92.53.98.100 92.53.98.0/24 AS9123 (TimeWeb-AS)
ns3.timeweb.org 92.53.116.200 92.53.116.0/24 AS9123 (TimeWeb-AS)
ns4.timeweb.org 92.53.98.42 92.53.98.0/24 AS9123 (TimeWeb-AS)
ns1.beget.com 5.101.159.11 5.101.159.0/24 AS198610 (BEGET-AS)
ns2.beget.com 185.50.27.12 185.50.27.0/24 AS198610 (BEGET-AS)
ns1.beget.pro 5.101.159.11 5.101.159.0/24 AS198610 (BEGET-AS)
ns2.beget.pro 185.50.27.12 185.50.27.0/24 AS198610 (BEGET-AS)
ns3-l2.nic.ru 193.232.146.1 193.232.146.0/24 AS48287 (RU-CENTER)
ns4-l2.nic.ru 91.217.20.1 91.217.20.0/24 AS48287 (RU-CENTER)
ns8-l2.nic.ru 91.217.21.1 91.217.21.0/24 AS48287 (RU-CENTER)
ns4-cloud.nic.ru 185.42.137.111 185.42.136.0/23 AS8674 (NETNOD-IX)
ns8-cloud.nic.ru 194.58.196.62 194.58.196.0/24 AS8674 (NETNOD-IX)
Про Anycast на Хабре: 1, 2, 3
Касательно ремарки про "леммингов" - изначально в черновике была такая же фраза, но про мух :). В статье описаны допущения, почему именно так: всё-таки хотелось бы выбирать из распространенных среди популярных сайтов сервисов, ведь риски есть не только инфраструктурные.
стоит смотреть не на NS-сервера, обслуживающие основной сайт DNS-хостинга (хотя это тоже показательно), которые привели вы, но те, что выдаются клиентам.
Конечно, это очевидно. Обычно "сапожник без сапог" и у клиентов услуга лучше, чем у самого хостера.
Если проект международный, я бы смотрел на https://www.dnsperf.com/ и выбирал. В РФ лучше брать по опыту работы с техподдержкой, по субъективной оценке экспертизы, вовлеченности и т.п.
dig NS google.ru +noall +answer
google.ru. 345600 IN NS ns1.google.com.
google.ru. 345600 IN NS ns2.google.com.
google.ru. 345600 IN NS ns3.google.com.
google.ru. 345600 IN NS ns4.google.com.
216.239.32.10 216.239.32.0/24 AS15169 (GOOGLE)
216.239.34.10 216.239.34.0/24 AS15169 (GOOGLE)
216.239.36.10 216.239.36.0/24 AS15169 (GOOGLE)
216.239.38.10 216.239.38.0/24 AS15169 (GOOGLE)
?
В эпоху «суверенного чебурнета» хочется иметь Primary DNS в РФ. Вдруг опять забанят Cloudflare?
именно поэтому - его надо иметь зарубежом. И клаудфлерь - это прекрасный DNS хостинг. Всем рекомендую.
Чего в статье не хватило - критерия наличия API...
DNS-хостинг может (должен?) быть платный. Если ты не платишь за услугу, то либо она некачественная, либо ты переплатил в другом месте
не должен быть он платным. Как минимум потому что это дополнительная услуга, а не основная. Это как с банками и смс уведомлениями - странно платить за смс, если ты картой банка не пользуешься. И к тому же как правило эти уведомления бесплатны, потому что это способ завлечь клиента. Если уж хочется платно - говно-вопрос. Можно самому развернуть PowerDNS на виртуалках и его обслуживать. Кстати, я не в курсе, а амазоновский Route53 - бесплатный или нет? Но то, что он образцовый ДНС хостинг - это факт
Чего в статье не хватило - критерия наличия API...
Исходя из этих вводных я протестировал шорт-лист из 13 популярных сервисов и собрал в сравнительную таблицу со следующими критериями: наличие бесплатного тарифа, наличие и стоимость платного тарифа, возможность трансфера зоны и использования как Secondary, минимальный TTL, возможность импорта и экспорта зоны, наличие API, наличие защиты от DDoS и использование Anycast, наличие поддержки и дата последнего падения.
Route платный как за каждую зону так и за запросы пользователей. Но цены там на самом деле мизерные.
https://aws.amazon.com/ru/route53/pricing/
Из существенных плюсов то что он умеет в приватные зоны в пределах AWS VPC. Можно спокойно делать приватный ДНС для внутренних сервисов
Как минимум потому что это дополнительная услуга, а не основная.
в моём случае у HE это у меня основная услуга, и всё равно бесплатно.
Выбрав nic.ru, можно быть уверенным, что если упадет ваш DNS – упадет и большая часть рунета. А исходя из допущений про «импортозамещение» выше: альтернатива Яндексу – лишь nic.ru и reg.ru, которые (вместе с r01.ru и spaceweb.ru) теперь есть одно и то же.Получается теперь, что 2 крупнейших регистратора (Ру-Центр и Рег.Ру) с недавнего времени принадлежат теперь холдингу РБК (читайте — олигарху Березкину; а до 2017г. РБК принадлежал Прохорову).
cloudns.net не советую если что. Ушёл оттуда после того, как он лежал неделю.
dns.he.net ни разу не подвел за 10 лет
cloudns.net не советую если что. Ушёл оттуда после того, как он лежал неделю.
А можете уточнить, когда это было и есть какая-нибудь публичная информация об инциденте? Последнее, что я нашел (указано в таблице), датировано 2014 годом.
Спасибо!
Это в апреле 14-го и было, лежали они недели две, сначала DDoS'ом смыло сервера в Elvsoft и BSB-SERVICE, примерно за неделю они их заменили, потом накрыло сервера в хвалёном VOXILITY.
Я их тогда терпел до 29-го апреля, потом ушёл на Яндекс, но лет 6 как вернулся обратно и проблем с падением с тех пор не было, но в целом бывают разные глюки - смену владельца домена так ни разу без обращения в саппорт сделать не удалось.
«Ну это же Яндекс, он-то не упадет!»
Забавно выглядит на фоне того, что у них сейчас легла почта. :)
С яндексовым ДНС лично у меня пока проблем не было, рабочие сайты там держу.
Личное же обычно держал у регистратора, но когда reg.ru лежал пару дней — я ушел тогда на cloudns.net
С ними за два года проблем не было, но недавно перешел на cloudflare, они некоторые плюшки полезные предлагаются в комплекте с доменом.
А вообще для полного счастья надо резервного провайдера DNS иметь или вообще у себя поднять резервный сервер.
И правда, снова упал.
nserver: ns-1159.awsdns-16.org.
nserver: ns-1776.awsdns-30.co.uk.
nserver: ns-433.awsdns-54.com.
nserver: ns-771.awsdns-32.net.
Или нет?
У вас верное наблюдение: действительно их имена выбиваются из модели, которая использовалась.
Однако, я осознанно решил из-за них не править алгоритм, поскольку в общем зачёте предельное количество вхождений: 5*2+4*16+3*22+2*57+1*94=348
`
Даже с этим значением они уступают webnames, которые занимают последнее место в шорт-листе с 421
Hetzner.de отсутствует в списке.
и по работе, и для халтурок, и в личных целях сталкивался наверное со всеми возможными DNS провайдерами.. и единственный кто ни разу не подвёл за 10 лет это dns.he.net
а ещё они позволяют бесплатно на своём домене/поддомене сделать dyndns с обновлением адреса простым bash скриптом с curl, и у них же можно взять ipv6 тоннель если ваш провайдер не расщедрился тут tunnelbroker.net
действительно рекомендую как самого штабильного (по моему опыту) диназавра интернетов..
P.S.: и для всех кто напишет что реклама: нет, не реклама, они помоему вообще не рекламируются, покрайней мере на русскоязычных площадках.
Как по мне - если вы достаточно крупная ИТ-компания, то поднять несколько DNSов в разных местах и поддерживать их не стоит практически ничего. При этом у вас будут все "ключи" и нет зависимости от сторонних сервисов.
Какой-нибудь PowerDNS (у него есть HTTP API) в бэке + сколько душе угодно NSD к нему слейвами и немножечко обвязки чтобы slave-зоны добавлять в них.
Нагрузку это потянет любую почти (в разумных пределах)
Это в теории — если никто не атакует зоны на этих серверах. На практике, если кто-то начнёт DDoS, то упадут все сервера — со всеми вытекающими. При этом если это были бюджетные VPS/DS (с каналами до 1 Gb), даже с анонсированным "DDoS protection", это не поможет, более того, их могут просто отключить или как минимум вежливо попросить уйти куда-то в очень сжатые сроки.
А пока идёт атака — то все ваши зоны будут лежать, PowerDNS, даже в комплекте с dnsdist для митигации и кэша, банально не вытянет даже 100K qps на бюджетных серверах, и хорошо если траффик безлимитный (реально, а не "fair use") — а то получите нехилый счёт.
У меня уже было несколько таких случаев — клиенты чисто конкретно попадали, в итоге после нескольких итераций с апгрейдами серверов плюнули и ушли в Cloudflare, это оказался самый бюджетный вариант с реальной защитой от DDoS и без учёта траффика, без риска что ткнут носом в T&C и сошлются на "fair use".
Вообще же это увы большая проблема (DDoS), эффективно бороться с ними реально могут только несколько больших провайдеров, сделать "непробиваемую" свою сетку с NS стоит очень много бабла (это мощные очень многоядерные DS с сеткой от 10 Gbit, причём их нужно много и в разных DC), гораздо больше чем если взять готовый сервис, соответственно имеет смысл только если вы собираетесь это продавать как услугу большому числу клиентов, а не хостите с десяток корпоративных зон.
И ещё один плюс в пользу "китов" — сам факт того что NS находится у кого-то большого обычно отбивает охоту у большинства любителей DDoSить, ибо бесполезно. Профессионалы, конечно, могут попытаться, но это очень дорогая атака получается.
Это зависит от того неуловимый вы Джо или нет.
Понятное дело что если есть возможность - можно уйти на клаудфлер, но автор боится что чекисты его завтра закроют.
Можно просто держать слейвы и там и в Яндексе и ещё где - в крайнем случае они ответят, не обязательно все яйца в одну корзину класть.
Это в теории — если никто не атакует зоны на этих серверах. На практике, если кто-то начнёт DDoS, то упадут все сервера — со всеми вытекающими. При этом если это были бюджетные VPS/DS (с каналами до 1 Gb), даже с анонсированным "DDoS protection", это не поможет, более того, их могут просто отключить или как минимум вежливо попросить уйти куда-то в очень сжатые сроки.
Мы говорим тут про хостеров и тех у кого есть свои ДЦ и железо, а не просто среднюю контору которая VDS/VPS арендует - ITSOFT себя позиционируют как таковых. Если у вас свой ДЦ и толстые аплинки - никто вас не отключит.
А пока идёт атака — то все ваши зоны будут лежать, PowerDNS, даже в комплекте с dnsdist для митигации и кэша, банально не вытянет даже 100K qps на бюджетных серверах
А не надо PowerDNS жопой к клиенту поворачивать - он не для этого, он чтобы зоны хранить и управлять ими по API.
Поэтому я написал про NSD - я имею некоторый опыт с большой нагрузкой на DNS. NSD на паре ядер ксеонов (последний раз тестировал лет 5 назад) выдавал мне без проблем >500к запросов в секунду и почти линейно скейлится по количеству CPU. Так что даже на недорогом, но грамотно настроенном (нума и прочие привязки тредов к ядрам), железе можно обрабатывать миллионы запросов в секунду.
А так DDOS - очень широкая тема конечно и серебряной пули тут нет.
Ответ от Яндекса спустя 5 дней:
?♂️
А как же с этим:
Бесплатная почта для домена, бесплатный DNS для доменов от любого регистратора, «Метрика» и« Вебмастер» – все в одном аккаунте.
Больше всего интересует бесплатная почта для домена...
Если я правильно понимаю вопрос, то чтобы пользоваться почтой необязательно полностью делегировать управление доменом на Яндекс.
Если вы не хотите делегировать домен на серверы Яндекса, настройте DNS-записи для вашего домена на сайте компании, которая предоставляет вам услуги DNS-хостинга. Обычно это компания-регистратор вашего домена.
чтобы пользоваться почтой необязательно полностью делегировать управление доменом на Яндекс.
Не обязательно. Я только для рабочей почты держу ДНС у яндекса.
Своя личная почта у меня тоже на ПДД, но вот на яндексовый ДНС я её никогда не заводил. Сперва была у reg.ru, потом у cloudns, сейчас у cloudflare.
Использовал cloudflare раньше, а теперь тем более. В прошлом году при мониторинге доступности сайтов клиентов наблюдались как раз проблемы с DNS. Яндекс аналогично пожимал плечами в чатике, так что перевел их на cloudflare, не став копаться в причинах.
В итогде nic.ru лежит второй раз за месяц и что делать не совсем понятно - secondary dns нет ни у кого из местных, да и в Cloudflare он заявлен только на тарифе enteprise.
nic.ru совсем умер
Здравствуйте!
Периодическая недоступность сайтов и почты вызвана техническими проблемами в работе DNS-серверов RU-CENTER из-за DDoS-атаки.
Сроки устранения проблем в работе DNS-серверов сейчас не определены, это может занять несколько дней.
Наши специалисты делают всё возможное для обеспечения стабильной работы сервисов.
Примите наши извинения за доставленные неудобства!
так чё там платный стал у них DNS hosting или нет? и какие на данный момент бесплатные?
Выбор DNS-хостинга после 10 лет с Яндексом