Çoğu kurum DNS'i iki suboptimal şekilde işletir. Master DNS sunucusu doğrudan kamuya açık yetkili sunucudur — sürüm afişlerini, yapılandırma dosyalarını ve kamu internetinde işi olmaması gereken bir saldırı yüzeyini açığa çıkarır — ya da master, güncel tutulması zor, ölçeklenmesi daha zor, denetlenmesi en zor el-yapımı bir ikincil listenin arkasında durur.
Her iki şekil de master sunucusunun CPU'sunu ham kamu sorgularına yanıt vermekle meşgul eder. Hacimsel saldırı altında master doygunluğa ulaşır; ağır büyüme altında master yatay ölçeklenemez; değişiklik baskısı altında operatör manuel slave güncellemelerini koordine etmek zorundadır. Bu başarısızlık modlarının her biri, ekibin en az tahammül edebildiği olay anlarında ortaya çıkar.
Doğru mimari gizli master / sunan slave desenidir: master güvenli bölgenin içinde çalışır, yetkili slave'lerden AXFR/IXFR istekleri kabul eder ve değişiklikte NOTIFY mesajları yayınlar; kamuya bakan sunan düğümler zone'u planlı çeker, bellekte tutar ve sorgulara master'a danışmadan yanıt verir.
TR7 GTM Express Zone Hızlandırma bu deseni yerel olarak uygular: domain başına Express profilleri, çoklu master desteği, DC başına profil seçimi, NOTIFY-tetikli yenileme, bellek-içi sunma.
Express modu domain düzeyinde çalışır — seçilen zone'lar operatör tanımlı master sunuculardan AXFR ile çekilir ve TR7 süreç belleğinde tutulur; NOTIFY-tetikli artırımlı güncellemeler önbelleği güncel tutar.
Yetkili master DNS sunucusu kamu trafiğine doğrudan asla maruz kalmaz. TR7 master'ın önünde durur, sorgu hacmini emer ve master'ı saldırı yüzeyinden, sürüm ifşasından ve operasyonel baskıdan izole eder.
İlk senkronizasyon AXFR ile tüm zone'u çeker; sonraki güncellemeler artırımlı IXFR kullanır. Master tarafı NOTIFY mesajları anında yenilemeyi tetikler — operatörler bir kayıt değişikliğinin yansımasını bir sonraki yoklama aralığına kadar beklemez.
Express profili birden fazla master adresi (IP+port) listeler. TR7 master'lar arasında otomatik geçiş yapar veya sıraya alır. Operatörler sıcak-yedek master'lar veya farklı bölgesel master'lar çalıştırır; failover'ı TR7 üstlenir.
Express profilinin tanımlayıcı paterni (regex veya joker) domain'leri doğru master setine otomatik bağlar. Operatörler tek tek domain bağlamaz; paterne uyan yeni domain'ler profilin altına düşer.
Express Zone Hızlandırma, gizli-master sunan-slave mimarisini TR7 GTM veri düzlemine yerel AXFR/IXFR/NOTIFY desteği ve DC başına profil esnekliğiyle getirir.
TR7 GTM'deki her DNS domain'i bağımsız olarak Express modunda mı yoksa doğrudan-düzenlenen modda mı çalışacağını seçebilir. Karışık-mod operasyon aynı fleet'te tam desteklenir — bazı zone'lar master-besili AXFR ile, diğerleri TR7'nin kayıt yönetim arayüzü ile doğrudan düzenlenir.
Express profili master adresleri dizisi taşır — her girdi başına IP ve port. TR7 her master'ı AXFR/IXFR için sırayla dener, bir master erişilemediğinde otomatik failover sağlar. Operatörler bir profilin arkasında sıcak-yedek master çiftleri veya coğrafi olarak dağıtılmış master fleet'leri çalıştırır.
Farklı TR7 veri merkezleri aynı domain için farklı Express profillerine abone olabilir. Bölgesel master mimarileri, imzalama-master ayrımı ve salt-okunur kenar master'ları, domain yapılandırmasını çatallamadan ifade edilebilir.
Her Express profili bir tanımlayıcı patern tanımlar. Paterne uyan domain'ler profili otomatik miras alır, manuel domain başına bağlama operasyonlarını ortadan kaldırır. Master'a eklenen ve paterne uyan yeni domain'ler operatör eylemi olmadan alınır.
Senkronize edildikten sonra zone kayıtları süreç belleğinde tutulur ve disk geçişi, veritabanı araması veya yukarı akış master sorgusu olmadan yanıtlanır. Sorgu yolu, yük altında kuyruk-gecikme tutarlılığı için optimize edilmiştir.
Yukarı akış master, zone değişikliğini gösteren bir NOTIFY mesajı gönderdiğinde TR7 anında IXFR başlatır ve farkı çeker. Operatörler SOA refresh zamanlayıcılarının sona ermesini beklemez — yayılım saniyeler düzeyinde olay-tetiklidir.
Zone transferi standart DNS protokolleri üzerinden gerçekleşir. Refresh / retry / expire / minimum-TTL davranışı SOA kayıt değerlerini izler; Express profili başına operatör geçersiz kılma seçeneği vardır. Bant genişliği farkında zamanlama büyük fleet'lerde transfer fırtınalarını önler.
Gelen AXFR akışına karşı çalışan gelişmiş bir Lua filtre, kayıtları yerel zone kopyasına işlenmeden önce dönüştürür. Kullanım durumları: kamu sunmadan önce dahili kayıtları temizleme, bölgesel ikame kuralları uygulama veya deneysel kayıt tiplerini çıkarma.
Felaket Kurtarma modunda Express-modlu zone'lar failover altında doğru davranır: bir DC'nin master'ı erişilemez hâle geldiğinde TR7 yedek master'lara geri düşer ve son senkronize edilen kayıtları sunmaya devam eder — master çevrimdışı olduğu için asla boş yanıt döndürmez.
Operatörler zone başına senkronizasyon durumunu görür: son başarılı AXFR/IXFR zamanı, mevcut SOA seri numarası, NOTIFY varış zaman damgası ve herhangi bir senkronizasyon hatası. TR7'nin yerel kopyası ile master arasındaki kayma, üretim olayına yol açmadan görünür hâle gelir.
Express modu, master seçimi, SOA-tetikli yenileme zamanlayıcıları, NOTIFY dinleyici yapılandırması, AXFR akış filtreleri ve DR fallback davranışıyla birlikte işletilir.
TR7 master adreslerini yapılandırılan sırada dener. AXFR başarısızlığında bir sonraki master otomatik olarak denenir. Master endpoint'lerinin sağlığı TR7 GTM sağlık denetim altyapısıyla eşleştirilebilir; böylece sağlıksız bir master yeniden deneme cezası olmadan atlanır.
Zone'un SOA kaydı varsayılan refresh, retry, expire ve minimum TTL semantiğini sağlar. Master-tarafı SOA değerleri sunan altyapı için uygun olmadığında (örneğin master SOA refresh 4 saat ama sunan altyapı 5-dakika refresh gerektiriyor) operatörler bunları Express profili başına geçersiz kılar.
TR7 master'dan gelen NOTIFY mesajlarını dinler. Kaynak IP filtreleri yalnızca kayıtlı master adreslerinin planlanmamış bir yenilemeyi tetikleyebileceğini sağlar. Yetkisiz NOTIFY girişimleri güvenlik incelemesi için kaydedilir.
Lua tabanlı akış filtresi gelen AXFR kayıtlarına karşı süreç-içi çalışır. Filtre scriptleri kayıtları commit'ten önce yeniden yazabilir, düşürebilir veya açıklayabilir. Durum senkronizasyonlar arasında kalıcıdır (örn. değişiklik tespiti için önceki kayıt içeriği).
Farklı DC'ler aynı domain için farklı Express profillerine sahip olduğunda, her DC kendi atanmış master'ından bağımsız olarak çeker. DC'ler arası kayma beklenir ve izlenir; operatörler kayma üzerinde alarm vermeyi veya bunu tasarım niyeti olarak ele almayı seçer.
DR modunda Express zone'ları failover kararlarına katılır. DR senaryosu master erişilebilirliğini bir koşul olarak kullanabilir. Yerel DC'nin master'ı erişilemezse, DR senaryosu trafiği master'ı hâlâ sunan bir yedek DC'ye yönlendirebilir.
Master DNS sunucusu özel bir güvenlik bölgesinde çalışır, doğrudan asla maruz kalmaz. TR7 GTM düğümleri kamuya bakan slave'ler olarak hareket eder; tüm sorgu trafiğini emer ve master'ı internet saldırı yüzeyinden izole eder.
Her bölge (AB, ABD, APAC) kendi master DNS sunucusunu çalıştırır. Her bölgedeki TR7 GTM düğümleri yerel master'a işaret eden bölgesel bir Express profili kullanır; transfer gecikmesini ve bölgeler arası bant genişliğini en aza indirir.
TR7'nin bellek-içi zone sunması, aksi takdirde veritabanı tabanlı bir master'ı doyuracak sorgu sellerini emer. Master saldırı trafiğini hiç görmez; TR7'nin sorgu yolu bağımsız olarak ölçeklenir.
Master operatörü bir kayıt düzenler. Master TR7 fleet'ine NOTIFY gönderir. TR7 anında IXFR başlatır. TR7 tarafında operatör eylemi olmadan saniyeler içinde yeni kayıt bellekten sunulur.
Express Zone Hızlandırma'yı canlı görün: güvenli bölge içinde yetkili master, kamuya açık kenarda TR7 düğümleri, saniyeler içinde yayılan zone değişiklikleri.