Funktion

Express Zone Acceleration

Autoritatives DNS aus einem Hidden Master gezogen und aus dem Speicher serviert — schnelle Antworten, ohne den Master öffentlich freizulegen.

Öffentlich erreichbare autoritative DNS-Server sind ein ständiges Ziel: Query-Floods, Amplification-Angriffe, Versions-Disclosures, Konfigurations-Churn. TR7 GTM Express Zone Acceleration isoliert den Master-DNS-Server vom öffentlichen Pfad und liefert DNS-Antworten aus einem schnellen lokalen Cache, der den Master per AXFR/IXFR spiegelt. Als Express markierte Domains werden nicht direkt in TR7 bearbeitet — TR7 agiert als Slave zu einem oder mehreren Upstream-Master-Servern, zieht beim ersten Sync die gesamte Zone per AXFR, folgt inkrementellen IXFR-Updates und aktualisiert per NOTIFY, sobald der Master eine Änderung signalisiert. Records werden im Prozessspeicher gehalten; Anfragen werden ohne Disk- oder Master-Zugriff beantwortet. Express-Profile pro DC erlauben es, unterschiedliche Rechenzentren auf unterschiedliche Master zu zeigen, was Split-Master-Architekturen (regionale Master, Hot-Standby-Master, Signing-Master) auf derselben TR7-Flotte unterstützt. Identifier-Patterns mappen Domains automatisch auf Express-Profile — Operatoren müssen nicht Domain für Domain manuell zuordnen. Das Ergebnis: eine gehärtete öffentliche DNS-Edge, die Anfragevolumen nahezu mit Line Rate absorbiert, den autoritativen Master unsichtbar hält und durch standardbasierten Zonentransfer mit dem Master synchron bleibt.

Speicher

Zone-Serving — Disk und Master nicht im Query-Pfad

AXFR + IXFR + NOTIFY

Standard-Zonentransfer-Pipeline

Multi-Master

Master-Liste pro Profil mit automatischem Failover

Pro DC

Profilzuweisung — unterschiedliche DCs, unterschiedliche Master

Autoritatives DNS, das von einem einzigen Primary-Server veröffentlicht wird, ist eine Sollbruchstelle.

Die meisten Unternehmen betreiben DNS in einer von zwei suboptimalen Formen. Entweder ist der Master-DNS-Server gleichzeitig der öffentlich exponierte autoritative Server — was Versionsbanner, Konfigurationsdateien und eine Angriffsfläche im öffentlichen Internet freilegt — oder der Master steht hinter einer von Hand gepflegten Secondary-Liste, die schwer aktuell zu halten, schwer zu skalieren und noch schwerer zu auditieren ist.

Beide Formen lassen die CPU des Master-Servers rohe öffentliche Anfragen beantworten. Unter volumetrischen Angriffen sättigt der Master; bei starkem Wachstum kann er nicht horizontal skalieren; unter Änderungsdruck muss der Operator manuelle Slave-Updates koordinieren. Jeder dieser Fehlermodi tritt während Vorfällen auf, wenn das Team es sich am wenigsten leisten kann.

Die richtige Architektur ist das Hidden-Master/Serving-Slave-Muster: Der Master läuft innerhalb der gesicherten Zone, akzeptiert AXFR/IXFR-Anfragen von autorisierten Slaves und sendet bei Änderungen NOTIFY-Nachrichten; öffentlich erreichbare Serving-Knoten ziehen die Zone nach Zeitplan, halten sie im Speicher und beantworten Anfragen, ohne den Master zu konsultieren.

TR7 GTM Express Zone Acceleration setzt dieses Muster nativ um: Express-Profile pro Domain, Multi-Master-Unterstützung, Profilauswahl pro DC, NOTIFY-gesteuertes Refresh und In-Memory-Serving.

Unser Ansatz

Der Express-Modus arbeitet auf Domain-Ebene — ausgewählte Zonen werden per AXFR von vom Operator definierten Master-Servern gezogen und im TR7-Prozessspeicher gehalten, mit NOTIFY-gesteuerten inkrementellen Updates, die den Cache aktuell halten.

Hidden-Master, Serving-Slave-Architektur

Der autoritative Master-DNS-Server wird niemals direkt öffentlichem Datenverkehr ausgesetzt. TR7 steht vor dem Master, absorbiert das Anfragevolumen und isoliert den Master von Angriffsfläche, Versions-Disclosure und Betriebsdruck.

Native AXFR-/IXFR-/NOTIFY-Pipeline

Der erste Sync zieht per AXFR die gesamte Zone; nachfolgende Updates nutzen inkrementelles IXFR. Master-seitige NOTIFY-Nachrichten lösen sofortige Aktualisierungen aus — Operatoren warten nicht auf das nächste Polling-Intervall, bis eine Record-Änderung wirkt.

Multi-Master-Unterstützung pro Profil

Das Express-Profil listet mehrere Master-Adressen (IP+Port). TR7 rotiert oder fällt automatisch über Master zurück. Operatoren betreiben Hot-Standby-Master oder eigene regionale Master und überlassen TR7 das Failover.

Identifier-Pattern ordnet Domains Express-Profilen zu

Das Identifier-Pattern eines Express-Profils (Regex oder Wildcard) verknüpft Domains automatisch mit dem richtigen Master-Satz. Operatoren binden nicht Domain für Domain manuell; neue Domains, die dem Pattern entsprechen, fallen unter das Profil.

Funktionen

Express Zone Acceleration bringt die Hidden-Master/Serving-Slave-Architektur mit nativer AXFR/IXFR/NOTIFY-Unterstützung und flexibler Profilzuweisung pro DC in die TR7-GTM-Datenebene.

Express-Opt-in pro Domain

Jede DNS-Domain in TR7 GTM kann unabhängig entscheiden, ob sie im Express-Modus oder im direkt editierbaren Modus läuft. Mixed-Mode-Betrieb wird auf derselben Flotte voll unterstützt — einige Zonen werden master-gefüttert über AXFR, andere direkt über die Record-Management-UI von TR7 editiert.

Multi-Master-Adressliste pro Profil

Das Express-Profil trägt ein Array von Master-Adressen — IP und Port pro Eintrag. TR7 versucht jeden Master der Reihe nach für AXFR/IXFR und ermöglicht automatisches Failover bei nicht erreichbarem Master. Operatoren betreiben Hot-Standby-Master-Paare oder geografisch verteilte Master-Flotten hinter einem Profil.

Express-Profilzuweisung pro DC

Verschiedene TR7-Rechenzentren können für dieselbe Domain unterschiedliche Express-Profile abonnieren. Regionale Master-Architekturen, Signing-Master-Trennung und Read-Only-Edge-Master sind ausdrückbar, ohne die Domain-Konfiguration zu forken.

Identifier-Pattern-Auto-Binding

Jedes Express-Profil definiert ein Identifier-Pattern. Zum Pattern passende Domains erben das Profil automatisch und eliminieren manuelle Per-Domain-Bindungen. Neue Domains, die am Master hinzukommen und zum Pattern passen, werden ohne Operator-Eingriff übernommen.

In-Memory-Zone-Serving für den Query-Pfad

Nach Synchronisation werden Zone-Records im Prozessspeicher gehalten und ohne Disk-Zugriff, Datenbank-Lookup oder Upstream-Master-Abfrage beantwortet. Der Query-Pfad ist auf Tail-Latency-Konsistenz unter Last optimiert.

NOTIFY-gesteuertes inkrementelles Refresh

Wenn der Upstream-Master eine NOTIFY-Nachricht über eine Zonen-Änderung sendet, initiiert TR7 sofort ein IXFR, um das Delta zu ziehen. Operatoren warten nicht auf das Ablaufen von SOA-Refresh-Timern — die Propagation ist ereignisgesteuert im Sekundenbereich.

AXFR/IXFR über TCP mit operator-gesteuertem Timing

Der Zonentransfer erfolgt über Standard-DNS-Protokolle. Refresh-/Retry-/Expire-/Minimum-TTL-Verhalten folgt den SOA-Record-Werten, mit Operator-Override pro Express-Profil. Bandbreitenbewusstes Scheduling vermeidet Transfer-Stürme über große Flotten.

AXFR-Stream-Filter für Record-Level-Transformation

Ein fortgeschrittener Lua-Filter läuft auf dem eingehenden AXFR-Stream und transformiert Records, bevor sie in die lokale Zonen-Kopie committed werden. Anwendungsfälle: Säubern interner Records vor dem öffentlichen Serving, Anwenden regionaler Substitutionsregeln oder Entfernen experimenteller Record-Typen.

DR-Modus mit Express-bewusstem Failover

Im Disaster-Recovery-Modus verhalten sich Express-Zonen beim Failover korrekt: Wird der Master eines DC nicht erreichbar, fällt TR7 auf Backup-Master zurück und serviert weiterhin die zuletzt synchronisierten Records — niemals leere Antworten, nur weil der Master offline ist.

Sichtbarkeit des Sync-Zustands

Operatoren sehen den Synchronisationszustand pro Zone: Zeitpunkt des letzten erfolgreichen AXFR/IXFR, aktuelle SOA-Serial, Eingangszeitstempel von NOTIFY und etwaige Sync-Fehler. Drift zwischen der lokalen TR7-Kopie und dem Master wird sichtbar, bevor sie einen Produktionsvorfall verursacht.

Betriebliche Tiefe

Der Express-Modus arbeitet zusammen mit der Master-Auswahl, SOA-gesteuerten Refresh-Timern, NOTIFY-Listener-Konfiguration, AXFR-Stream-Filtern und dem DR-Fallback-Verhalten.

Master-Auswahl und Failover

TR7 versucht Master-Adressen in der konfigurierten Reihenfolge. Bei AXFR-Fehler wird automatisch der nächste Master ausprobiert. Die Health der Master-Endpunkte kann mit der TR7-GTM-Health-Check-Infrastruktur gepaart werden, sodass ein unhealthy Master ohne Retry-Strafe übersprungen wird.

Refresh, Retry, Expire, Minimum-TTL

Der SOA-Record der Zone liefert die Standard-Semantik für Refresh, Retry, Expire und Minimum-TTL. Operatoren überschreiben diese pro Express-Profil, wenn die master-seitigen SOA-Werte für die Serving-Infrastruktur unpassend sind (z. B. Master-SOA-Refresh von 4 Stunden, während die Serving-Infrastruktur 5-Minuten-Refresh benötigt).

NOTIFY-Listener und Source-IP

TR7 lauscht auf NOTIFY-Nachrichten vom Master. Source-IP-Filter stellen sicher, dass nur die registrierten Master-Adressen ein ungeplantes Refresh auslösen können. Unautorisierte NOTIFY-Versuche werden für die Sicherheitsprüfung protokolliert.

Ausführung des AXFR-Stream-Filters

Der Lua-basierte Stream-Filter läuft in-process gegen eingehende AXFR-Records. Filter-Skripte können Records umschreiben, verwerfen oder annotieren, bevor sie committed werden. Status bleibt über Syncs hinweg erhalten (z. B. vorheriger Record-Inhalt zur Änderungserkennung).

Verhalten der Profilzuweisung pro DC

Wenn verschiedene DCs für dieselbe Domain unterschiedliche Express-Profile haben, zieht jedes DC unabhängig von seinem zugewiesenen Master. Cross-DC-Drift ist erwartet und wird nachverfolgt; Operatoren entscheiden, ob sie auf Drift alarmieren oder ihn als Design-Absicht behandeln.

Disaster-Recovery-Koordination

Im DR-Modus tragen Express-Zonen zu Failover-Entscheidungen bei. Das DR-Szenario kann die Master-Erreichbarkeit als Bedingung nutzen. Ist der Master des lokalen DC nicht erreichbar, kann das DR-Szenario den Datenverkehr zu einem Backup-DC lenken, dessen Master noch serviert.

Wann einsetzen

Hidden Master, Public-Edge-Serving

Der Master-DNS-Server läuft in einer privaten Sicherheitszone und ist nie direkt exponiert. TR7-GTM-Knoten agieren als öffentlich erreichbare Slaves, absorbieren den gesamten Anfrageverkehr und isolieren den Master von der Internet-Angriffsfläche.

Multi-Region-Master mit regionalen Express-Profilen

Jede Region (EU, US, APAC) betreibt einen eigenen Master-DNS-Server. TR7-GTM-Knoten in jeder Region verwenden ein regionales Express-Profil, das auf den lokalen Master zeigt, was Transfer-Latenz und Cross-Region-Bandbreite minimiert.

DDoS-resistentes autoritatives DNS

Das In-Memory-Zone-Serving von TR7 absorbiert Query-Floods, die andernfalls einen klassischen datenbankgestützten Master sättigen würden. Der Master sieht den Angriffsverkehr nie; der TR7-Query-Pfad skaliert unabhängig.

Propagation von Zone-Änderungen in Sekunden

Der Master-Operator ändert einen Record. Der Master sendet NOTIFY an die TR7-Flotte. TR7 initiiert sofort IXFR. Der neue Record wird innerhalb von Sekunden aus dem Speicher serviert — ohne Operator-Eingriff auf TR7-Seite.

Häufig gestellte Fragen

Wie unterscheidet sich der Express-Modus von F5 DNS Express?

Funktional lösen die beiden dasselbe Problem mit derselben Architektur: eine Zone aus einem Hidden Master per AXFR/IXFR/NOTIFY ziehen und aus dem Speicher servieren. TR7 Express fügt Profilzuweisung pro DC, Identifier-Pattern-Auto-Binding für Domains und einen Lua-basierten AXFR-Stream-Filter hinzu — durchgängig operator-freundliche Konfigurationsflächen statt Skripting.

Kann ich Express- und direkt editierte Zonen auf derselben TR7-Flotte betreiben?

Ja. Express gilt pro Domain. Einige Domains können im Express-Modus laufen (master-gefüttert über AXFR), während andere direkt über die Record-Management-UI von TR7 editiert werden. Die Flotte serviert beide Modi aus demselben Query-Pfad.

Was passiert, wenn der Master-Server nicht erreichbar ist?

TR7 serviert weiterhin die zuletzt synchronisierte Kopie der Zone. Der Query-Pfad ist unabhängig von der Master-Verfügbarkeit. Wird der Master wieder erreichbar, nimmt TR7 inkrementelle IXFR-Pulls wieder auf und bringt die lokale Kopie auf den aktuellen Stand. In Disaster-Recovery-Szenarien kann eine Master-Unerreichbarkeit auch ein DR-Failover zu einem Backup-DC auslösen.

Wird DNSSEC auf Express-Zonen unterstützt?

Ja. DNSSEC-Records (DNSKEY, DS, NSEC, NSEC3, RRSIG, CDS, CDNSKEY) werden per AXFR/IXFR übertragen und neben dem Rest der Zone serviert. TR7 muss Express-Zonen nicht neu signieren — das Signieren geschieht am Master, und signierte Records propagieren über die Transfer-Pipeline.

Wie funktioniert der AXFR-Stream-Filter?

Ein fortgeschrittener Lua-Filter läuft auf dem eingehenden AXFR-Stream. Jeder Record durchläuft den Filter, bevor er in die lokale Zone-Kopie committed wird. Filter-Skripte können Inhalte umschreiben, Records verwerfen oder Metadaten annotieren. Häufige Anwendungen: Entfernen rein interner Records vor dem öffentlichen Serving, Anwenden regionaler Substitutionsregeln oder Erkennen verdächtiger Upstream-Änderungen.

Wie schnell propagiert ein NOTIFY-gesteuertes Refresh?

Master sendet NOTIFY → TR7 empfängt innerhalb von Millisekunden Netzwerk-Propagation → TR7 initiiert IXFR → Master antwortet mit Delta → Records werden im Speicher aktualisiert. Die End-to-End-Propagation für eine Single-Record-Änderung liegt typischerweise im Sekundenbereich und hängt nur von der Round-Trip-Zeit und der IXFR-Generierungsgeschwindigkeit des Masters ab.

Verstecken Sie den Master. Servieren Sie aus dem Speicher.

Sehen Sie Express Zone Acceleration live: ein autoritativer Master in der gesicherten Zone, TR7-Knoten am öffentlichen Edge, Zonen-Änderungen, die in Sekunden propagieren.