Passer au contenu 
Une charge élevée touche chaque chaîne de résolution : qui performance dns a besoin de temps de réponse courts, de taux de cache élevés et d'une architecture qui absorbe les surcharges de manière fiable. Je montre de manière pratique comment réduire la latence, faire évoluer le débit et éliminer de manière ciblée les goulots d'étranglement dans le logiciel du résolveur, le matériel et le réseau.
Points centraux
- taux de cache maintenir un niveau élevé : Régler de manière ciblée le TTL, le prefetch et la mise en cache négative.
- Mise à l'échelle via anycast, plusieurs sites et un load-balancing propre.
- Mise au point du système pour le CPU, la RAM, le buffer UDP et les limites PPS.
- Suivi pour la latence, le taux d'erreur, le débit et les succès de la mémoire cache.
- Sécurité avec DNSSEC et des limites de taux sans perte de vitesse.
Comment un résolveur DNS gère les requêtes
Un résolveur vérifie d'abord le Cache, Le serveur de référence est le serveur de destination, et c'est précisément cet ordre qui détermine la vitesse et la charge du serveur. Chaque tour de réseau supplémentaire augmente la latence, c'est pourquoi je donne la priorité aux occurrences de cache et je fais en sorte que le chemin vers la racine, le TLD et les zones soit le plus court possible. Les chemins récursifs bénéficient de points de peering rapides en amont et de paramètres UDP optimisés pour que les réponses ne soient pas perdues à cause de la fragmentation ou des drops. Je veille à ce que le logiciel fonctionne de manière asynchrone et puisse déclencher en parallèle le plus grand nombre possible de requêtes, sans temps d'attente dans la boucle d'événements. Au final, ce qui compte, c'est la somme des petites vis de réglage par étape de la résolution qui, ensemble, permettent d'obtenir une réduction sensible de la taille des requêtes. Temps de réponse se produisent.
Chiffres clés pour une charge élevée
Je mesure en permanence la latence, le débit, les taux d'erreur, le taux de cache hit ainsi que les valeurs CPU, RAM et PPS, car celles-ci Métriques indiquer rapidement les limites de charge. L'objectif est d'obtenir des réponses en un nombre de millisecondes pour les entrées mises en cache et une capacité fiable dans un spectre de QPS à six ou sept chiffres, en fonction du matériel et de la configuration. Si le taux d'erreur augmente ou si le taux de cache chute, je réagis immédiatement en adaptant la configuration ou la capacité. Des tableaux de bord pertinents m'aident à identifier des modèles et à planifier à temps les pics saisonniers. Sans image chiffrée claire, toute optimisation reste un Jeu de devinettes.
| Chiffre clé | Valeurs cibles en charge | Remarque/action |
|---|---|---|
| Latence (mise en cache) | 1-9 ms | Augmenter la taille du cache, activer le prefetch, augmenter la proximité avec les clients |
| Débit (QPS) | 100k-1M+ selon le HW | Plus de cœurs, mise à l'échelle horizontale, logiciel résolveur efficace |
| Taux d'erreur | < 1-2% | Vérifier les délais d'attente, adapter les limites, assurer l'accessibilité en amont |
| Taux d'utilisation du cache | > 70% selon le profil | Ajustement fin du TTL, de la mise en cache négative, de la mise en cache NSEC/NSEC3 |
| PPS/charge de réseau | sous Limites d'interface | Activer RSS/RPS, vérifier MTU, décharger les chemins du pare-feu |
Pour prendre des décisions fiables, je classe tous les Valeurs par site, par instance de résolveur et par type de trafic, afin de séparer les vrais goulets d'étranglement des pics aléatoires. Je définis des seuils clairs pour les alertes et j'utilise des traces dès que des valeurs aberrantes apparaissent. Des tendances sur plusieurs semaines révèlent si de nouveaux filtres, la validation DNSSEC ou des TTL modifiés déplacent durablement la charge. C'est ainsi que je maintiens la résolution rapide et planifiable, même si la diversité des requêtes fait baisser le quota de cache. Seul celui qui comprend sa télémétrie s'adapte à temps et ne perd pas de temps. Utilisateur.
Les défis du DNS à haut débit
En cas de hausse vertigineuse des taux, la Latence souvent brusquement, car les files d'attente sont pleines et les retours génèrent une charge supplémentaire. Une grande diversité de domaines réduit les occurrences de cache, ce qui allonge les chaînes récursives et augmente l'impact des erreurs en amont. Les chemins réseau atteignent leurs limites en raison des limites PPS sur les pare-feux ou les NIC, même si la bande passante est théoriquement suffisante. Les listes de filtrage et de blocage ajoutent du travail à l'unité centrale par requête, ce qui entraîne un comportement de pointe en cas de charge. Le trafic DDoS se mêle en outre aux modèles légitimes, c'est pourquoi je garde les limites de débit et les analyses de source à des niveaux dédiés afin de libérer les threads du résolveur. tiennent.
Architecture : évoluer sans goulots d'étranglement
Je distribue des instances de résolveur sur plusieurs sites et j'utilise Anycast, Les demandes sont ainsi automatiquement dirigées vers le nœud le plus proche. Un équilibreur de charge léger par site permet de lisser les pics locaux, tandis que des contrôles de santé propres retirent rapidement les instances défectueuses du pool. Réseaux anycast raccourcissent les chemins, réduisent la latence et répartissent les risques en cas de panne ou d'attaque. En outre, je sépare les fonctions de résolveur par profil : Validation, filtrage et transfert là où la capacité et la télémétrie sont les mieux adaptées. Ainsi, la solution globale reste agile et adaptée aux besoins de l'utilisateur, même en cas de déplacement du trafic. rapide.
Des stratégies de mise en cache efficaces
Je calibre TTLs de manière à ce que les enregistrements populaires et relativement stables restent suffisamment longtemps en cache sans paraître obsolètes. Prefetch maintient les enregistrements fréquemment utilisés à jour en les renouvelant juste avant leur expiration, évitant ainsi les temps d'attente du client. La mise en cache négative permet d'éviter les répétitions inutiles de NXDOMAIN ou SERVFAIL, tandis que la mise en cache agressive de NSEC/NSEC3 dans les configurations DNSSEC élimine les demandes supplémentaires. La coordination avec les zones d'autorité est obligatoire pour assurer la cohérence entre les spécifications TTL et le comportement du cache. Pour une pratique plus approfondie, je vous renvoie à ma brochure compacte Stratégies de mise en cache, Les auteurs ont rédigé une série d'articles qui résument les modèles et les points de réglage courants et aident à éviter les sources d'erreur typiques.
Réglage du matériel et du système d'exploitation
Un débit élevé du résolveur consomme CPU, C'est pourquoi je prévois suffisamment de cœurs pour la validation parallèle, les filtres et la récursion. La RAM détermine la taille du cache, et les tas trop petits évincent trop tôt les entrées fréquemment utilisées. Au niveau du réseau, je mise sur des interfaces 10Gbit+, j'active RSS/RPS, je veille à une répartition propre des IRQ et je vérifie les paramètres MTU et Offloading. Côté système d'exploitation, je règle les tampons UDP, les limites des descripteurs de fichiers, les files d'attente du noyau et je réduis les règles de pare-feu inutiles dans le hotpath. Cette base permet d'éviter les drops, de réduire les temps de latence et de protéger contre les attaques soudaines. Spikes.
DNSSEC et sécurité sans perte de vitesse
La validation DNSSEC augmente la taille de la réponse et lie temps de calcul, C'est pourquoi je les concentre sur des résolveurs performants et je décharge les composants de bord. EDNS et un fallback TCP propre sécurisent les gros paquets sans provoquer de retours inutiles. La limitation de débit freine les abus, mais je place des limites de manière à ce que les pics de charge légitimes continuent à passer. En outre, je surveille les intervalles de signature et de changement de clé pour que le cache et la validation soient en harmonie. La sécurité ne doit pas coûter cher en termes de vitesse si l'architecture, les limites et les paramètres de transport sont combinés. jouer.
Tests de charge, benchmarks et monitoring
Je m'appuie sur des données reproductibles Tests au lieu de l'intuition, et je simule la charge avec des ensembles de requêtes réalistes à partir des logs. J'augmente progressivement le QPS jusqu'à la saturation afin de voir clairement le comportement en cas de surcharge et de quantifier les réserves. Des tableaux de bord me montrent les pics de latence, les taux de cache et les types d'erreurs en temps réel, tandis que des alarmes se déclenchent en cas d'écart. Les traces et les logs structurés aident à détecter les pannes rares et à y remédier de manière ciblée. Ceux qui veulent aller plus loin dans les limites de capacité trouveront des indications groupées sur Manipulation de charge en cas de charge élevée, La brochure de l'OFSP sur les méthodes de mesure et d'évaluation décrit de manière compacte les principales méthodes de mesure et d'évaluation.
Haute disponibilité : conception et fonctionnement
Je gère au moins deux Résolveur sur des sites distincts afin d'absorber les pannes locales sans intervention. Différents fournisseurs en amont et en transit réduisent le risque de pannes communes sur le chemin des serveurs faisant autorité. Je contrôle les déploiements par la gestion de la configuration afin que les modifications restent reproductibles et puissent être réintroduites à tout moment. Un plan d'urgence documenté décrit les étapes de repli, les résolveurs alternatifs et les voies de communication. Ces dispositions garantissent que les services restent accessibles, même si certains éléments de la chaîne tombent en panne ou subissent des changements imprévisibles. comportement.
Catalogue de la pratique : Pas à pas vers une résolution rapide
Tout d'abord, je saisis le Situation actuelle avec la latence, le débit, le taux d'erreur et le taux de réussite du cache, afin que les priorités soient claires. Ensuite, j'établis un monitoring permanent avec des alertes pertinentes qui reflètent l'impact réel sur les utilisateurs au lieu de simples variations de métriques. Dans un troisième temps, je mets à jour le logiciel du résolveur, j'active le prefetch et j'adapte la mise en cache négative et DNSSEC au profil du trafic. Quatrièmement, j'effectue une mise à l'échelle horizontale, j'utilise anycast et je définis des limites strictes mais raisonnables afin de contrôler la congestion. Cinquièmement, je répète les tests de charge après chaque changement important afin de mesurer les effets et d'ajuster la capacité à temps. élargir.
Sélection et réglage fin du logiciel du résolveur
Le choix de la Moteur de résolveur décide du parallélisme, de la consommation de mémoire et de la performance de validation. Je compare la conception des boucles d'événements, le modèle de thread, les stratégies de verrouillage et de cache et je teste avec des ensembles de requêtes représentatifs. Les structures de données efficaces pour le cache (par ex. sharding par noyau CPU), un faible niveau de contention de verrouillage et des fonctionnalités telles que serve-stale, Les réponses en amont sont anciennes, mais acceptables et limitées dans le temps. Je sépare les charges de travail : Validation et récursion sur des nœuds dotés de nombreux cœurs et d'une grande quantité de RAM ; des résolveurs de périphérie légers se chargent de la transmission, de la mise en cache et des limites de débit. Des normes de configuration avec des valeurs par défaut claires, des valeurs de timeout et de retry cohérentes ainsi que des limites défensives (récursions parallèles max., taille de réponse max.) empêchent que de rares aberrations ne bloquent le système. Il est ainsi possible d'exploiter la puissance du logiciel de manière réaliste sans perdre en stabilité.
Régler correctement le niveau de transport et les protocoles
Sur la Couche de transport je gagne souvent le plus de millisecondes. Je définis la taille du tampon EDNS de manière conservatrice (typiquement 1232 octets) afin d'éviter la fragmentation sur le chemin, et je veille à ce que le repli TCP soit fiable pour les réponses plus importantes. Je calibre les délais et les retours UDP de manière à atténuer les pertes sporadiques sans générer d'avalanches de demandes en double. Pour le transport crypté (DoT/DoH), je garde ouvertes quelques connexions à longue durée de vie par flux montant, j'utilise TLS 1.3 avec résomption de session et j'active Recours à la connexion, pour que les handshake ne réduisent pas le débit. Sur HTTP/2/3, je profite du multiplexage, à condition que le logiciel du résolveur le traite efficacement. Je mesure systématiquement l'impact du MTU, du déchargement et du GRO/GSO sur le PPS et les latences de queue et j'adapte les valeurs par site aux chemins réels. Ainsi, les paquets restent petits, les trajets avec peu de pertes et les retours sont rares.
Fonctionnalités de protection des données : minimisation QNAME, ECS et journalisation
Minimisation QNAME réduit la divulgation de données, mais augmente le nombre d'étapes récursives dans certains scénarios. Je vérifie si une latence en amont supplémentaire est perceptible dans mes chemins et je la compense par une bonne mise en cache au niveau du TLD/NS. EDNS Client Subnet (ECS) peut optimiser la livraison de contenu, mais fragmente le cache et réduit le taux de réussite - je n'utilise ECS que là où les avantages l'emportent sur les inconvénients en termes de coûts. Pour Enregistrement je fais attention à la protection des données et à la performance : échantillonnage plutôt que trace complète, délais de conservation courts et écriture asynchrone vers un collecteur central. J'évite une cardinalité élevée pour les étiquettes (par exemple par nom ou par client) sur les hot-paths ; à la place, j'agrège par TLD, code de réponse ou amont. Ainsi, la confidentialité et le débit restent équilibrés.
Forwarding vs. récurrence et autorités locales
Si je suis forwarde ou le résoudre moi-même de manière récursive, cela dépend du chemin. La récursivité propre me permet de contrôler les délais d'attente, le parallélisme et la mise en cache des étapes intermédiaires (racine, TLD, délégations). J'utilise le forwarding de manière ciblée, lorsque cela nécessite de meilleurs chemins de peering ou de meilleures politiques, par exemple vers des espaces de noms internes. Zones de stub pour les domaines fréquemment utilisés et les zones internes de reverse allègent la récursion. Les copies locales de la racine ou les enregistrements NS préchargés accélèrent l'étape d'amorçage. Il est important que les forwarders ne forment pas une nouvelle couche de goulots d'étranglement : Des contrôles de santé, plusieurs destinations et des limites conservatrices empêchent les refoulements lorsqu'un flux montant fluctue.
Gestion du cache au quotidien : démarrage à froid, persistance, partitionnement
A cache froid coûte sensiblement en latence et en QPS. Je sauvegarde régulièrement les snapshots du cache et les charge au redémarrage afin de rendre les enregistrements à chaud disponibles rapidement. Je dimensionne les configurations de prefetch de manière à ce que les entrées populaires restent fraîches de manière fiable, sans augmenter inutilement la charge upstream. TTL-Capping empêche les durées de vie extrêmement longues de remplir le cache avec des charges anciennes, tandis que les TTL minimum atténuent les rafraîchissements trop fréquents. Dans les configurations multi-locataires, je partitionne le cache de manière logique afin qu'aucun client ne supplante la mémoire des autres. J'observe la répartition du vieillissement des entrées et j'adapte les heuristiques (par ex. mélange LFU/LRU) pour privilégier les hot-sets. Une courte liste de contrôle aide à l'exploitation :
- Persistance de la mémoire cache activée et vérifiée
- Seuils de prefetch calibrés par classe de popularité
- TTL min/max adaptés aux profils de modification
- Mise en cache négative adaptée à des modèles d'erreurs réalistes
Observabilité et SLOs dans l'entreprise
Je définis SLIs comme la latence de réponse (P50/P95/P99), le taux d'erreur et le taux de réussite de la mémoire cache et en déduit SLOs avec des valeurs cibles claires. Les budgets d'erreur contrôlent les déploiements : tant que le budget est disponible, je teste de nouvelles fonctionnalités ; en cas de dépassement du budget, la stabilité est prioritaire. J'agrège les métriques par site, préfixe anycast et instance de résolveur afin de pouvoir identifier les effets de routage. Pour les événements à faible fréquence (p. ex. les pics SERVFAIL), j'utilise les logs et les traces avec une corrélation Query-ID et je les évalue dans leur contexte (délai d'attente en amont, erreur de validation, limite de taux). Outre les valeurs moyennes, les tableaux de bord me montrent surtout Latences de queue et les profondeurs de file d'attente ; c'est la seule façon de reconnaître à temps si un chemin bascule. Je lie les alertes à l'impact sur les utilisateurs (proportion de demandes > 50 ms, augmentation de SERVFAIL), et pas seulement aux valeurs brutes.
Le fonctionnement anycast dans la pratique
Anycast fait évoluer les requêtes et réduit la latence, mais exige un système propre. Signalisation de la santé. Je couple l'annonce BGP à plusieurs contrôles internes : Liveness du processus de résolveur, taux d'erreur, réservoir CPU/PPS et accessibilité en amont. Au lieu de valeurs de seuil dures, j'utilise l'hystérésis pour éviter le "route flapping". Pour les maintenances, j'abaisse la Pref locale ou retire le préfixe de manière contrôlée, j'observe le débit et je garde de la capacité à disposition sur les sites voisins. En cas de pics régionaux de DDoS, je peux cibler drainen, sans avoir d'influence sur le monde entier. Il est important que les nœuds anycast sans état travailler de manière autonome : Ne pas dépendre des sessions ou de la persistance locale, afin que les déplacements de charge restent possibles à tout moment.
Résilience aux DDoS sans fausse alerte
Je sépare Mécanismes de défense de la résolution proprement dite : les pare-feux en amont ou les filtres en amont atténuent les attaques de volume, tandis que les threads du résolveur restent réservés aux requêtes légitimes. Les limites de la banque de jetons sur la base de la source/du préfixe, l'étranglement des réponses pour les modèles NXDOMAIN répétés et les politiques de glissement ciblées empêchent les bots d'accaparer des ressources. Parallèlement, je mesure les taux d'acceptation pour les pics légitimes (dates de sortie, événements télévisés) afin de fixer des limites de manière à ne pas freiner les vrais utilisateurs. Je tiens à disposition des playbooks qui définissent, en cas d'attaque, quelles limites je dois appliquer en premier, quels sites doivent être drainés et comment je dois donner la priorité à la télémétrie pour que l'analyse reste disponible même sous charge.
Maîtriser les chemins IPv6 et la fragmentation
À l'adresse suivante : IPv6 la fragmentation est particulièrement délicate, car de nombreux chemins rejettent des fragments. Je m'en tiens à des tailles EDNS défensives (autour de 1232 octets), je vérifie les trous noirs PMTU et je m'assure que le TCP fallback fonctionne de manière fiable. Les politiques en amont devraient privilégier la v6 si les chemins sont stables ; en cas d'interruptions sporadiques, je repasse à la v4 de manière adaptative. Je surveille séparément v4/v6 : la latence, les taux d'erreur et la distribution de la taille des réponses montrent rapidement si les routes v6 fonctionnent proprement ou si certains chemins AS posent problème. Je profite ainsi des avantages d'IPv6 sans tomber dans de rares pièges de transport.
En bref
On maîtrise un nombre élevé de demandes en ayant une vue claire sur Métriques, Une stratégie de mise en cache intelligente et une architecture qui crée une proximité avec l'utilisateur. L'anycast, les sites multiples et les fonctions séparées empêchent les composants individuels de devenir un frein. Le réglage du matériel et du système d'exploitation maintient les flux PPS et IRQ propres, tandis que les DNSSEC restent fiables avec des paramètres de transport appropriés. Des tests de charge réguliers assurent la transparence sur les réserves, les valeurs seuils et le comportement en cas de surcharge. En abordant systématiquement ces éléments, on obtient des temps de réponse courts, de faibles taux d'erreur et une prévisible performance de la requête dns sous forte charge.
