多くの企業はDNSを2つの最適でない形のいずれかで運用しています。マスターDNSサーバーが公開向けの権威サーバーである場合(バージョンバナー、設定ファイル、公衆インターネットに置くべきでない攻撃面を晒す)、あるいはマスターが手作りのセカンダリリストの背後に置かれ、最新状態を維持することも、スケーリングすることも、監査することも困難です。
どちらの形もマスターサーバーのCPUに生のパブリッククエリへの応答を担わせます。ボリューム攻撃下ではマスターが飽和し、急激な成長下ではマスターは水平にスケールできず、変更圧力下では運用者は手動でスレーブ更新を調整しなければなりません。これらの障害モードはチームが最も対応しづらいインシデント中に発生します。
正しいアーキテクチャはhidden master / serving slaveパターンです: マスターはセキュアゾーン内で動作し、認可されたスレーブからのAXFR/IXFR要求を受け付けて変更時にNOTIFYメッセージをブロードキャストし、公開向けの配信ノードがスケジュールに従ってゾーンを取得し、メモリに保持し、マスターに問い合わせずにクエリに応答します。
TR7 GTM Expressゾーンアクセラレーションはこのパターンをネイティブに実装します: ドメインごとのExpressプロファイル、マルチマスターサポート、DCごとのプロファイル選択、NOTIFY駆動の更新、インメモリ配信。
Expressモードはドメインレベルで動作します — 選択されたゾーンは運用者定義のマスターサーバーからAXFRで取得され、TR7プロセスメモリに保持され、NOTIFY駆動の増分更新でキャッシュが最新に保たれます。
権威マスターDNSサーバーは決して直接公衆トラフィックに晒されません。TR7はマスターの前面に立ち、クエリ量を吸収し、マスターを攻撃面、バージョン開示、運用圧力から分離します。
初回同期AXFRが完全ゾーンを取得し、後続の更新は増分IXFRを使用します。マスター側のNOTIFYメッセージが即時更新をトリガー — 運用者はレコード変更が反映されるのに次のポーリング間隔を待ちません。
Expressプロファイルは複数のマスターアドレス(IP+ポート)をリストします。TR7はマスターを自動的にサイクルまたはフェールバックします。運用者はホットスタンバイマスターや個別の地域マスターを運用し、TR7にフェイルオーバーを任せます。
Expressプロファイルの識別子パターン(正規表現またはワイルドカード)がドメインを正しいマスターセットに自動的に関連付けます。運用者は手動でドメインごとにバインドせず、パターンにマッチする新しいドメインはプロファイル下に入ります。
Expressゾーンアクセラレーションは、hidden master serving slaveアーキテクチャをTR7 GTMデータプレーンに持ち込み、ネイティブAXFR/IXFR/NOTIFYサポートとDCごとのプロファイル柔軟性を提供します。
TR7 GTMの各DNSドメインは、Expressモードで動作するか直接編集モードで動作するかを独立して選択できます。同じ群上で混合モード動作が完全にサポートされます — 一部のゾーンはAXFRでマスターから供給され、他のゾーンはTR7のレコード管理UIを通じて直接編集されます。
Expressプロファイルはマスターアドレスの配列を保持します — エントリごとにIPとポート。TR7はAXFR/IXFRを順番に各マスターに試行し、マスターが到達不能な場合は自動フェイルオーバーを提供します。運用者は1つのプロファイルの背後でホットスタンバイマスターペアや地理的に分散したマスター群を運用します。
異なるTR7データセンターは、同じドメインに対して異なるExpressプロファイルをサブスクライブできます。地域マスターアーキテクチャ、署名マスター分離、読み取り専用エッジマスターはすべてドメイン設定をフォークすることなく表現可能です。
各Expressプロファイルは識別子パターンを定義します。パターンにマッチするドメインは自動的にプロファイルを継承し、手動のドメインごとのバインド操作を不要にします。パターンにマッチするマスターに追加された新しいドメインは運用者のアクションなしに取り込まれます。
同期後、ゾーンレコードはプロセスメモリに保持され、ディスク経由、データベースルックアップ、上流マスタークエリなしに応答されます。クエリ経路は負荷下でのテールレイテンシ一貫性に最適化されています。
上流マスターがゾーン変更を示すNOTIFYメッセージを送信すると、TR7は即座にデルタを取得するIXFRを開始します。運用者はSOAリフレッシュタイマーの期限切れを待ちません — 伝搬は数秒オーダーのイベント駆動です。
ゾーン転送は標準DNSプロトコル上で発生します。リフレッシュ/リトライ/エクスパイア/最小TTL動作はSOAレコード値に従い、Expressプロファイルごとに運用者がオーバーライドできます。帯域認識スケジューリングにより大規模群における転送嵐を回避します。
高度なLuaフィルターは、受信AXFRストリームに対して実行され、レコードがローカルゾーンコピーにコミットされる前に変換します。ユースケース: 公開配信前に内部レコードをサニタイズ、地域別置換ルールの適用、実験的レコードタイプの除去。
災害復旧モードでは、ExpressモードゾーンはフェイルオーバーでI正しく動作します: DCのマスターが到達不能になると、TR7はバックアップマスターにフェールバックし、最も最近同期されたレコードを配信し続けます — マスターがオフラインなため空の応答を返すことはありません。
運用者はゾーンごとの同期状態を確認できます: 最後の成功したAXFR/IXFR時刻、現在のSOAシリアル、NOTIFY到着タイムスタンプ、同期エラー。TR7のローカルコピーとマスター間のドリフトは本番インシデントを引き起こす前に表面化されます。
Expressモードはマスター選択、SOA駆動のリフレッシュタイマー、NOTIFYリスナー構成、AXFRストリームフィルター、DRフォールバック動作と共に運用されます。
TR7は構成された順序でマスターアドレスを試行します。AXFR失敗時には次のマスターが自動的に試されます。マスターエンドポイントのヘルスはTR7 GTMヘルスチェックインフラとペアリングでき、健全でないマスターはリトライペナルティなしにスキップされます。
ゾーンのSOAレコードはデフォルトのリフレッシュ、リトライ、エクスパイア、最小TTLセマンティクスを提供します。マスター側SOA値が配信インフラに不適切な場合、運用者はExpressプロファイルごとにこれらをオーバーライドします(例: マスターSOAリフレッシュが4時間だが配信インフラには5分のリフレッシュが必要)。
TR7はマスターからのNOTIFYメッセージをリッスンします。ソースIPフィルターにより、登録されたマスターアドレスのみが計画外更新をトリガーできることを保証します。認可されていないNOTIFY試行はセキュリティレビュー用に記録されます。
Luaベースのストリームフィルターは入力AXFRレコードに対してインプロセスで実行されます。フィルタースクリプトはコミット前にレコードを書き換え、ドロップ、注釈付けできます。状態は同期間で永続化されます(例: 変更検出のための前のレコード内容)。
異なるDCが同じドメインに対して異なるExpressプロファイルを持つ場合、各DCは独立して割り当てられたマスターから取得します。DC間のドリフトは想定され追跡されます。運用者はドリフトをアラートするか設計意図として扱うかを選択します。
DRモードでは、ExpressゾーンはフェイルオーバーI判断に寄与します。DRシナリオはマスター到達性を条件として使用できます。ローカルDCのマスターが到達不能な場合、DRシナリオはマスターがまだ配信しているバックアップDCにトラフィックを向けることがあります。
マスターDNSサーバーはプライベートセキュリティゾーン内で動作し、決して直接晒されません。TR7 GTMノードは公開向けのスレーブとして機能し、すべてのクエリトラフィックを吸収し、マスターをインターネット攻撃面から分離します。
各地域(EU、米国、APAC)は独自のマスターDNSサーバーを運用します。各地域のTR7 GTMノードはローカルマスターを指す地域Expressプロファイルを使用し、転送レイテンシと地域間帯域を最小化します。
TR7のインメモリゾーン配信は、従来のデータベース基盤マスターを飽和させるクエリフラッドを吸収します。マスターは攻撃トラフィックを決して見ず、TR7のクエリ経路は独立してスケールします。
マスター運用者がレコードを編集します。マスターがTR7群にNOTIFYを送信します。TR7は即座にIXFRを開始します。新しいレコードは数秒以内にメモリから配信されます — TR7側での運用者アクションなしに。
Expressゾーンアクセラレーションをライブでご覧ください: セキュアゾーン内の権威マスター、公開エッジのTR7ノード、数秒で伝搬するゾーン変更。