Как перестать зависеть от Cloudflare в DNS и не выстрелить себе в ногу

Вот важная новость с фронта ИИ: kamuzon 4 минуты назад Как перестать зависеть от Cloudflare в DNS и не выстрелить себе в ногу Простой 4 мин 1 DNS * DevOps * IT-инфраструктура * Доменные имена * Кейс DNS — это та штука, которую замечаешь только когда она падает. Весь твой трафик, почта, сертификаты, доступ к админкам — всё висит на том, что кто-то корректно ответит на запрос «а где example. У меня этим «кем-то» был Cloudflare.

Для большинства это правильный выбор — удобно, быстро, бесплатно. Но в какой-то момент я поймал себя на мысли, что фундамент всей моей инфраструктуры я не контролирую: он живёт в чужом дашборде, по чужим правилам и лимитам. Я перенёс все свои зоны — несколько десятков доменов — на собственную DNS-инфра- структуру.

Технические детали

Ниже — зачем, какая получилась архитектура, и обо что я споткнулся по дороге. TL;DRPowerDNS как скрытый мастер, пул авторитативных NSD-edge’ов в разных странах, автоматический экспорт зон каждые 5 минут, wildcard-сертификаты через ACME DNS-01 и разделение доменов по юрисдикциям. Всё описано как код, добавление зоны — пара API-вызовов.

Грабли — в конце, они интереснее архитектуры. Зачем вообще уходить с CloudflareЧтобы сразу снять вопрос: я не агитирую уходить. Если у вас пара доменов и нет особых требований — оставайтесь на managed-DNS, это разумно и дёшево.

Мои причины были конкретными:Контроль. DNS — точка, через которую проходит вообще весь трафик. Я хотел владеть ею целиком: своя логика, свои TTL, свои записи без оглядки на лимиты и капризы дашборда.

Отраслевые последствия

Разделение по юрисдикциям. Часть доменов российские, часть международные. Я хотел разные пулы авторитативных серверов в соответствующих регионах, а не один общий провайдер на всех.

Отказоустойчивость на своих условиях. Несколько независимых edge-нод, которые я контролирую, вместо «доверьтесь, у нас всё хорошо». Образовательный интерес.

Поднять production-grade authoritative DNS — лучший способ перестать бояться этой темы. АрхитектураКлассическая схема hidden master + authoritative slaves, но с парой нюансов. ┌─────────────────────┐ │ PowerDNS (master) │ ← скрытый, не виден извне │ API + БД зон │ └─────────┬───────────┘ │ экспорт зон (BIND-формат) каждые 5 мин ▼ ┌─────────────────────┐ │ узел раздачи │ ← rsync архива зон + sha256 └─────────┬───────────┘ ┌─────────────┼──────────────┐ ▼ ▼ ▼ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ NSD edge │ │ NSD edge │ … │ NSD edge │ ← авторитативные, публичные │ (RU) │ │ (не-RU) │ │ (не-RU) │ └──────────┘ └──────────┘ └──────────┘ PowerDNS держит зоны в БД и отдаёт API.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.