21.02.2022 07:12
2naive 40 15000 Источник

Что не так с DNS от Яндекса?

Можно пропустить и сразу перейти к Анализу DNS топ-сайтов в зоне .RU

Так исторически сложилось, что с момента открытия Яндексом в 2010 году своего DNS-хостинга, сотни наших проектов размещались там. Тогда это была «Почта для домена», в 2017 это стал «Яндекс.Коннект», а уже сейчас в личном кабинете красуется надпись, что панель «Коннекта» будет закрыта и теперь это «Яндекс 360 для бизнеса»

Тогда выбор определили следующие доводы:

  1. Бесплатная почта для домена, бесплатный DNS для доменов от любого регистратора, «Метрика» и« Вебмастер» – все в одном аккаунте.

  2. Возможность выставить TTL в 90 секунд, что не раз спасало, когда нужно было быстро изменить А-запись.

  3. «Ну это же Яндекс, он-то не упадет!»

Проблемы начались в последние несколько лет. Главное даже не сам факт наличия проблем, а как в Яндексе на них реагировали. На днях снова произошла следующая история.

Примерно с 21:15 16.02.22 мониторинг начал фиксировать «невозможность разрешить удаленное имя» по сайтам, которые использовали DNS-сервера: dns1.yandex.net, dns2.yandex.net. Начали сыпаться ошибки вида cURL error 6: Could not resolve host, ответы от DNS чередовали статусы REFUSED, SERVFAIL и NOERROR, а клиенты – начали писать нам в поддержку.

Решил и я написать в техподдержку Яндекса, там меня встретил позитивный чат-бот, который сообщил, что с людьми позволено разговаривать только обладателям платного Яндекс 360. Ладно, думаю, информации о проблеме в публичных источниках найти не могу – надо ведь достучаться! Вдруг они и не знают о проблеме, а я первым им сообщу – быстрее устранят. Сказано – сделано: покупаю подписку на «Яндекс 360 для бизнеса». Открываю чат, а там меня ждёт уже другой бот, сообщающий, что в платной поддержке по будням люди работают с 09:00 до 18:00. Яндекс, ну вы же используете Slack? Поставьте Telebot, дайте пользователям писать в Telegram и оперативно получать ответы? Вон Beget ответил ночью в Telegram за 9 минут, в ITSOFT – 2 минуты, от вас ответ в чат мне так и не пришёл.

Написал в чат, написал на почту, приложил логи, скриншоты, пояснил, что проблема наблюдается абсолютно на всех, доступных мне, доменах, делегированных Яндексу.

В 09:37 17.02.22 пришло письмо с просьбой отправить результат mtr и telnet до mx.yandex.ru:

… отправил ????‍♂️. И всё, больше добавить нечего: DNS продолжил огорчать клиентов и восстановился примерно лишь к 21:00 17.02.22, Яндекс всё молчит, а последний ответ на мой запрос выглядит так:

Подобные ситуации наблюдались и ранее, из последнего: 2022.02.13 ~15:00-22:00. Хорошо запомнилось 2018.10.31 ~19:40-00:40, когда сайты нельзя было зарезолвить даже из подмосковных Химок, а их владельцы спешно меняли DNS.

Всё это побудило меня оглядеться и задаться вопросом: что изменилось за последние годы и какой DNS-хостинг используют наиболее посещаемые сайты. Тем более, самое свежее, что нашел на Хабре на эту тему: Список бесплатных DNS-сервисов – датирован 2013 годом.

Какой DNS-хостинг у топ-сайтов в зоне .RU?

Берём список наиболее посещаемых сайтов из Alexa (кстати, 2022.05.01 она «все»): этот от 2016 года мог немного устареть (альтернативы: 1, 2), но под нашу задачу, с учётом миллиона записей – достаточно. В списке нашлось 45457 сайтов в зоне .ru.

Пишем магический однострочник:

wget -q -O - https://raw.githubusercontent.com/zer0h/top-1000000-domains/master/top-1000000-domains | grep "^.*\.ru$" | xargs dig SOA +noall +answer +short | cut -d " " -f1 | cut -d "." -f2- | sort | uniq -c | sort -nr > ns_top1m.txt

– и отправляемся курить.

Если немного причесать результаты, то соотношение среди топ-20 списка будет выглядеть так:

Исходные данные результатов можно посмотреть на GitHub.

А если сравнить с распределением среди топ-100к и топ-10к Alexa (3600 и 300 сайтов в зоне .ru соответственно)?

Три сегмента на одном графике:

Интересные наблюдения:

  1. Хостинг от Яндекса всё ещё используется существенной частью сайтов.

  2. На фоне Cloudflare, регистраторов и хостинг-провайдеров открытием стала популярность cloudns.net.

  3. Доля nic.ru и cloudns.net среди наиболее посещаемых сайтов выше, чем на других отрезках (см. таблицу).

  4. Cloudflare.com и selectel.ru наиболее популярны среди топ-3600.

  5. Среди топ-300 часто используется nic.ru как Secondary.

Сравнение DNS-сервисов и выбор

Какими допущениями я руководствовался:

  1. В эпоху «суверенного чебурнета» хочется иметь Primary DNS в РФ. Вдруг опять забанят Cloudflare?

  2. Самостоятельно поднимать, администрировать и защищать DNS-сервер не хочется. Но и от возможностей сервиса ожидается большее, чем указать IP для A-записи.

  3. DNS-хостинг может (должен?) быть платный. Если ты не платишь за услугу, то либо она некачественная, либо ты переплатил в другом месте.

  4. Основная аудитория сайта находится в РФ. Но идеально – иметь возможность трансфера зоны, используя альтернативный (зарубежный?) Secondary.

  5. Возможность выставить минимальный TTL.

  6. Хорошо, если публичный «track record» без глобальных падений за последние 5 лет.

  7. Если DNS ляжет – импакт должен быть на существенную долю сайтов рунета. Бизнесу не так обидно, когда о падении пишут на всех новостных ресурсах.

Исходя из этих вводных я протестировал шорт-лист из 13 популярных сервисов и собрал в сравнительную таблицу со следующими критериями: наличие бесплатного тарифа, наличие и стоимость платного тарифа, возможность трансфера зоны и использования как Secondary, минимальный TTL, возможность импорта и экспорта зоны, наличие API, наличие защиты от DDoS и использование Anycast, наличие поддержки и дата последнего падения.

Что хотелось отметить отдельно:

В прошлом году у Яндекса появился платный Cloud DNS в составе «Яндекс.Облако». Но его нет в выборке выше, как и, например, DNS-хостинга от Mail.ru (ой, простите, VK?), в силу низкой распространенности. Но и он падает: 1, 2, 3.

Выбрав nic.ru, можно быть уверенным, что если упадет ваш DNS – упадет и большая часть рунета. А исходя из допущений про «импортозамещение» выше: альтернатива Яндексу – лишь nic.ru и reg.ru, которые (вместе с r01.ru и spaceweb.ru) теперь есть одно и то же. Однако, обе компании вызывают бурю негативных эмоций: nic.ru взвинтил цены, разогнал партнеров, навязывает услуги (я сам до сих пор не на всех доменах смог отключить всяких Персональных менеджеров и прочее мракобесие, которое они включили по умолчанию). Reg.ru оскандалился с Beget и продает «Премиум» DNS, который не отличается от бесплатного, о чем хорошо говорит заголовок на searchengines. При этом «премиум» не предоставляет возможность указать дополнительные сторонние Secondary: либо сервера reg.ru, либо чужие. В общем, если в сравнительную таблицу добавить колонку с модным нынче словом «токсичность», то и выбирать-то будет не из кого.

Зарегистрировавшись в Timeweb, я просто не смог добавить свой двухсимвольный домен :(

Beget прямо давит на тебя блокировкой с главной страницы своей панели управления. Надеюсь, DNS-то не заблокируют, если вовремя не оплатишь хостинг?

Выводы

Все данные и исходники выложены, чтобы каждый мог добавить свои критерии или методологию и выбрать сам. Для себя же я сделал следующий вывод с учётом вводных выше:

  1. Бесплатно лучше размещаться вместе с доменом на reg.ru.

  2. Платно – Primary на nic.ru с Secondary на cloudns.net.

Disclaimer: статья родилась из необходимости решить задачу выбора для себя и получить обратную связь от сообщества, в ней нет реферальных ссылок на сайты DNS-провайдеров, а упомянутые в тексте её не спонсировали.

Обновлено 2022.02.22: спустя 5 дней на повторный запрос деталей по инциденту Яндекс ответил, что «уже все работает, но почему и как долго не работало — не скажем»

Комментарии (40)


  1. archimed7592
    21.02.2022 08:02
    #24099019
    +2

    Используем 1cloud так как они дают API для управления зоной. Нам API необходим для подтверждения сертификатов let’s encrypt.


    1. scruff
      21.02.2022 08:38
      #24099083

      Интересно, что за АПИ-шка. Если не секрет - объясните как работает, плиз.


      1. numb
        21.02.2022 09:00
        #24099143

        Наверняка выпускаются wildcard сертификаты, которые подтверждаются через создание txt записи на время проверки.

        certbot умеет работать со многими dns хостингами через api.

        В моем случае, я использую clodflare, но api использую для управления dns через terraform и k8s external-dns


      1. archimed7592
        21.02.2022 09:28
        #24099197
        +10

        Для выпуска сертификатов Let's Encrypt нужно подтверждение домена. Так как у нас сервера не доступны из интернет, то HTTP-challenge нам не доступен, поэтому используем DNS-challenge.

        Как работает: запускается certbot, ему в параметрах передается manual-auth-hook - powershell скрипт, который ловит токен и публикует его в DNS через то самое API.

        Выложил полные скрипты на GitHub, пользуйтесь если нужно: https://github.com/archimed7592/certbot-1cloud


    1. easterism
      21.02.2022 10:46
      #24099559

      У яндекса тоже можно DNS для делегированых доменов менять через API. Также acme.sh умеет яндекс и может подтверждать wildcard сертификаты


      1. Saymon
        21.02.2022 11:36
        #24100055

        по субъективным ощущением сихронизация dns записей с яндексвоского сервера по миру идет очень медленно, причем даже на их публичные сервера. Поэтому при первоначальной настройке надо закладывать сутки.


      1. numb
        21.02.2022 11:44
        #24100091

        Почта для домена: днс синхронизируется от 5 до 30 минут, из-за этого, использовать DNS-challenge не возможно(


  1. 100chuk
    21.02.2022 08:19
    #24099041
    +10

    Amazon route 53, хотя это и не про прогибающееся "Primary DNS в РФ".


  1. Gansterito
    21.02.2022 08:50
    #24099121
    +19

    - "Миллионы леммингов не могут ошибаться" - как будто читаем мы в статье. Но нет, ошибаются. Нужно детальнее подходить к анализу каждого сервиса.

    Например, r01, судя по всему, лишь реселлер услуг Руцентра:

    domain: R01.RU
    nserver: ns1-cloud.nic.ru.
    nserver: ns2-cloud.nic.ru.
    nserver: ns5.nic.ru.
    nserver: ns6.nic.ru.
    nserver: ns9.nic.ru.

    Или, например, TimeWeb, все его DNS живут в пусть даже распределенной, но одной AS 9123:

    domain: TIMEWEB.RU
    nserver: ns1.timeweb.ru. 92.53.116.200
    nserver: ns2.timeweb.ru. 92.53.98.100
    nserver: ns3.timeweb.org.
    nserver: ns4.timeweb.org.

    Такая же ситуация у Beget, все завязано на AS 198610:

    domain: BEGET.RU
    nserver: ns1.beget.ru. 5.101.159.11
    nserver: ns2.beget.ru. 185.50.27.12

    Сколько-нибудь продуманным примером может явится Руцентр, у которого каждый из используемых DNS находится на разной инфраструктуре, включая стороннюю (Netnod):

    domain: NIC.RU
    nserver: ns1-cloud.nic.ru. 185.42.137.111, 2a01:3f0:400::62
    nserver: ns2-cloud.nic.ru. 194.58.196.62, 2a01:3f1:862::53
    nserver: ns5.nic.ru. 31.177.67.100, 2a02:2090:e800:9000:31:177:67:100
    nserver: ns6.nic.ru. 31.177.74.100, 2a02:2090:ec00:9040:31:177:74:100
    nserver: ns9.nic.ru. 31.177.85.186, 2a02:2090:e400:7000:31:177:85:186


    1. gecube
      21.02.2022 09:41
      #24099239

      все так. Но вообще существование днс в одной AS - это не означает прям, что все плохо. В принципе ведь есть BGP, есть резервирование каналов...


      1. Gansterito
        21.02.2022 14:16
        #24100887

        существование днс в одной AS - это не означает прям, что все плохо

        Согласен. Хорошо, что хотябы есть своя AS. Если это полносвязная AS с единой политикой маршрутизации, то это не гарантирует доступность извне каждого из узлов внутри ее. Например, клиент влил FV, трафик улетел в никуда, там дропнулся.


    1. 2naive Автор
      21.02.2022 09:50
      #24099257
      +2

      Согласен с необходимостью подходить детально. Единственное, что отметил бы, что, наверное, стоит смотреть не на NS-сервера, обслуживающие основной сайт DNS-хостинга (хотя это тоже показательно), которые привели вы, но те, что выдаются клиентам.

      Да, результаты могут совпадать, но на примере spaceweb.ru не совсем. Сам их домен:
      spaceweb.ru. 300 IN NS ns1.sweb.ru.
      spaceweb.ru. 300 IN NS ns2.sweb.ru.
      spaceweb.ru. 300 IN NS ns4.sweb.ru.
      ns1.sweb.ru 31.177.67.100 31.177.64.0/22 AS48287 (RU-CENTER)
      ns2.sweb.ru 31.177.74.100 31.177.72.0/21 AS48287 (RU-CENTER)
      ns4.sweb.ru 31.177.85.186 31.177.85.0/24 AS48287 (RU-CENTER)

      DNS-сервера, которые они предлагают указывать клиентам:
      ns1.spaceweb.ru 77.222.50.244 77.222.50.0/23 AS44112 (SWEB-AS)
      ns2.spaceweb.ru 89.111.160.68 89.111.160.0/20 AS39494 (RU-CENTER-AS)
      ns3.spaceweb.pro 77.222.51.244 77.222.50.0/23 AS44112 (SWEB-AS)
      ns4.spaceweb.pro 89.111.167.100 89.111.160.0/20 AS39494 (RU-CENTER-AS)

      В статье я указал, что spaceweb, r01, reg и nic принадлежат теперь одному собственнику из чего можно сделать вывод: если даже сейчас инфраструктура разная, то в будущем она может быть объединена.

      По приведенным выше хостерам:

      ns01.r01.ru 109.70.27.110 109.70.26.0/23 AS48287 (RU-CENTER)
      ns02.r01.ru 194.226.96.110 194.226.96.0/24 AS48287 (RU-CENTER)
      ns03.r01.ru 193.232.130.110 193.232.130.0/24 AS48287 (RU-CENTER)

      ns1.timeweb.ru 92.53.116.26 92.53.116.0/24 AS9123 (TimeWeb-AS)
      ns2.timeweb.ru 92.53.98.100 92.53.98.0/24 AS9123 (TimeWeb-AS)
      ns3.timeweb.org 92.53.116.200 92.53.116.0/24 AS9123 (TimeWeb-AS)
      ns4.timeweb.org 92.53.98.42 92.53.98.0/24 AS9123 (TimeWeb-AS)

      ns1.beget.com 5.101.159.11 5.101.159.0/24 AS198610 (BEGET-AS)
      ns2.beget.com 185.50.27.12 185.50.27.0/24 AS198610 (BEGET-AS)
      ns1.beget.pro 5.101.159.11 5.101.159.0/24 AS198610 (BEGET-AS)
      ns2.beget.pro 185.50.27.12 185.50.27.0/24 AS198610 (BEGET-AS)

      ns3-l2.nic.ru 193.232.146.1 193.232.146.0/24 AS48287 (RU-CENTER)
      ns4-l2.nic.ru 91.217.20.1 91.217.20.0/24 AS48287 (RU-CENTER)
      ns8-l2.nic.ru 91.217.21.1 91.217.21.0/24 AS48287 (RU-CENTER)
      ns4-cloud.nic.ru 185.42.137.111 185.42.136.0/23 AS8674 (NETNOD-IX)
      ns8-cloud.nic.ru 194.58.196.62 194.58.196.0/24 AS8674 (NETNOD-IX)

      Про Anycast на Хабре: 1, 2, 3

      Касательно ремарки про "леммингов" - изначально в черновике была такая же фраза, но про мух :). В статье описаны допущения, почему именно так: всё-таки хотелось бы выбирать из распространенных среди популярных сайтов сервисов, ведь риски есть не только инфраструктурные.


      1. Gansterito
        21.02.2022 14:27
        #24100935

        стоит смотреть не на NS-сервера, обслуживающие основной сайт DNS-хостинга (хотя это тоже показательно), которые привели вы, но те, что выдаются клиентам.

        Конечно, это очевидно. Обычно "сапожник без сапог" и у клиентов услуга лучше, чем у самого хостера.

        Если проект международный, я бы смотрел на https://www.dnsperf.com/ и выбирал. В РФ лучше брать по опыту работы с техподдержкой, по субъективной оценке экспертизы, вовлеченности и т.п.


    1. 2naive Автор
      21.02.2022 10:25
      #24099413
      +1

      dig NS google.ru +noall +answer
      google.ru. 345600 IN NS ns1.google.com.
      google.ru. 345600 IN NS ns2.google.com.
      google.ru. 345600 IN NS ns3.google.com.
      google.ru. 345600 IN NS ns4.google.com.
      216.239.32.10 216.239.32.0/24 AS15169 (GOOGLE)
      216.239.34.10 216.239.34.0/24 AS15169 (GOOGLE)
      216.239.36.10 216.239.36.0/24 AS15169 (GOOGLE)
      216.239.38.10 216.239.38.0/24 AS15169 (GOOGLE)

      ????


  1. gecube
    21.02.2022 09:38
    #24099231
    +5

    В эпоху «суверенного чебурнета» хочется иметь Primary DNS в РФ. Вдруг опять забанят Cloudflare?

    именно поэтому - его надо иметь зарубежом. И клаудфлерь - это прекрасный DNS хостинг. Всем рекомендую.

    Чего в статье не хватило - критерия наличия API...

    DNS-хостинг может (должен?) быть платный. Если ты не платишь за услугу, то либо она некачественная, либо ты переплатил в другом месте

    не должен быть он платным. Как минимум потому что это дополнительная услуга, а не основная. Это как с банками и смс уведомлениями - странно платить за смс, если ты картой банка не пользуешься. И к тому же как правило эти уведомления бесплатны, потому что это способ завлечь клиента. Если уж хочется платно - говно-вопрос. Можно самому развернуть PowerDNS на виртуалках и его обслуживать. Кстати, я не в курсе, а амазоновский Route53 - бесплатный или нет? Но то, что он образцовый ДНС хостинг - это факт


    1. 2naive Автор
      21.02.2022 09:55
      #24099283
      +3

      Чего в статье не хватило - критерия наличия API...

      Исходя из этих вводных я протестировал шорт-лист из 13 популярных сервисов и собрал в сравнительную таблицу со следующими критериями: наличие бесплатного тарифа, наличие и стоимость платного тарифа, возможность трансфера зоны и использования как Secondary, минимальный TTL, возможность импорта и экспорта зоны, наличие API, наличие защиты от DDoS и использование Anycast, наличие поддержки и дата последнего падения.


    1. sergeykons
      21.02.2022 10:44
      #24099537
      +1

      Route платный как за каждую зону так и за запросы пользователей. Но цены там на самом деле мизерные.
      https://aws.amazon.com/ru/route53/pricing/
      Из существенных плюсов то что он умеет в приватные зоны в пределах AWS VPC. Можно спокойно делать приватный ДНС для внутренних сервисов


    1. 13werwolf13
      21.02.2022 12:48
      #24100453

      Как минимум потому что это дополнительная услуга, а не основная.

      в моём случае у HE это у меня основная услуга, и всё равно бесплатно.


    1. Iwanowsky
      21.02.2022 15:35
      #24101251
      +1

      Продажа доменных имен и ДНС-хостинг — что торговля воздухом. Маржа у регистраторов — огромнейшая, даже с учетом затрат на инфраструктуру (сервера, связность систем, управление записями ДНС, юрподдержка и т.д.), т.к. мало того, что они продают доменные имена в розницу, но и еще продают домены в виде популярных коротких слов слова и аббревиатур, или совпадающие с известными торговыми марками, за огромные деньги, а также проводят аукционы доменных имен. Не зря же ДНС-хостинг в виде допуслуги предоставляется бесплатно.

      Выбрав nic.ru, можно быть уверенным, что если упадет ваш DNS – упадет и большая часть рунета. А исходя из допущений про «импортозамещение» выше: альтернатива Яндексу – лишь nic.ru и reg.ru, которые (вместе с r01.ru и spaceweb.ru) теперь есть одно и то же.
      Получается теперь, что 2 крупнейших регистратора (Ру-Центр и Рег.Ру) с недавнего времени принадлежат теперь холдингу РБК (читайте — олигарху Березкину; а до 2017г. РБК принадлежал Прохорову).


  1. vagonovozhaty
    21.02.2022 10:21
    #24099399
    +3

    cloudns.net не советую если что. Ушёл оттуда после того, как он лежал неделю.

    dns.he.net ни разу не подвел за 10 лет


    1. 2naive Автор
      21.02.2022 10:32
      #24099457
      +1

      cloudns.net не советую если что. Ушёл оттуда после того, как он лежал неделю.

      А можете уточнить, когда это было и есть какая-нибудь публичная информация об инциденте? Последнее, что я нашел (указано в таблице), датировано 2014 годом.
      Спасибо!


      1. simpleadmin
        21.02.2022 11:04
        #24099795
        +1

        Это в апреле 14-го и было, лежали они недели две, сначала DDoS'ом смыло сервера в Elvsoft и BSB-SERVICE, примерно за неделю они их заменили, потом накрыло сервера в хвалёном VOXILITY.

        Я их тогда терпел до 29-го апреля, потом ушёл на Яндекс, но лет 6 как вернулся обратно и проблем с падением с тех пор не было, но в целом бывают разные глюки - смену владельца домена так ни разу без обращения в саппорт сделать не удалось.


        1. nochkin
          22.02.2022 20:59
          #24105913

          Сам пользуюсь ClouDNS уже лет десять как минимум. Но у меня дополнительно стоят мои собственные DNS на случай вот таких глюков.

          Возможно, я просто уже запамятовал, но вроде я не заметил такой проблемы у них.


  1. aik
    21.02.2022 10:33
    #24099463
    +1

    «Ну это же Яндекс, он-то не упадет!»

    Забавно выглядит на фоне того, что у них сейчас легла почта. :)

    С яндексовым ДНС лично у меня пока проблем не было, рабочие сайты там держу.
    Личное же обычно держал у регистратора, но когда reg.ru лежал пару дней — я ушел тогда на cloudns.net
    С ними за два года проблем не было, но недавно перешел на cloudflare, они некоторые плюшки полезные предлагаются в комплекте с доменом.

    А вообще для полного счастья надо резервного провайдера DNS иметь или вообще у себя поднять резервный сервер.


    1. 2naive Автор
      21.02.2022 11:03
      #24099773
      +1

      И правда, снова упал.


      1. aik
        21.02.2022 11:09
        #24099861

        Вроде как примерно в 10:45 оживать начал.
        Впрочем, письма, отправленные с 9 до 10:30 пока что не пришли.


  1. ky0
    21.02.2022 11:48
    #24100119

    У вас из статистики выпал Амазон — видимо, потому, что у них разные домены используются, вида:

    nserver: ns-1159.awsdns-16.org.
    nserver: ns-1776.awsdns-30.co.uk.
    nserver: ns-433.awsdns-54.com.
    nserver: ns-771.awsdns-32.net.

    Или нет?


    1. 2naive Автор
      21.02.2022 12:16
      #24100273

      У вас верное наблюдение: действительно их имена выбиваются из модели, которая использовалась.

      Однако, я осознанно решил из-за них не править алгоритм, поскольку в общем зачёте предельное количество вхождений: 5*2+4*16+3*22+2*57+1*94=348`

      Даже с этим значением они уступают webnames, которые занимают последнее место в шорт-листе с 421


  1. cyprix
    21.02.2022 12:46
    #24100439

    Hetzner.de отсутствует в списке.


  1. 13werwolf13
    21.02.2022 12:47
    #24100443
    +3

    и по работе, и для халтурок, и в личных целях сталкивался наверное со всеми возможными DNS провайдерами.. и единственный кто ни разу не подвёл за 10 лет это dns.he.net

    а ещё они позволяют бесплатно на своём домене/поддомене сделать dyndns с обновлением адреса простым bash скриптом с curl, и у них же можно взять ipv6 тоннель если ваш провайдер не расщедрился тут tunnelbroker.net

    действительно рекомендую как самого штабильного (по моему опыту) диназавра интернетов..

    P.S.: и для всех кто напишет что реклама: нет, не реклама, они помоему вообще не рекламируются, покрайней мере на русскоязычных площадках.


    1. nochkin
      22.02.2022 21:03
      #24105923

      До того как перешёл на ClouDNS у меня были перебои в работе на he.net. Временами они иногда не отвечали или отвечали с ошибками. Кратковременные сбои, но всё равно неприятно, так как я терял своих пользователей.

      Это было больше 10 лет назад. Надеюсь, сейчас стало лучше.


  1. Geri4
    21.02.2022 18:00
    #24101821

    Есть еще бесплатный DNS от Gcorelabs https://gcorelabs.com/dns/
    У него латенси по РФ лучше чем у клаудфлер(https://www.dnsperf.com/#!dns-providers,Russia) и также нет лимитов на бесплатном тарифе


  1. blind_oracle
    21.02.2022 19:29
    #24102105
    -3

    Как по мне - если вы достаточно крупная ИТ-компания, то поднять несколько DNSов в разных местах и поддерживать их не стоит практически ничего. При этом у вас будут все "ключи" и нет зависимости от сторонних сервисов.

    Какой-нибудь PowerDNS (у него есть HTTP API) в бэке + сколько душе угодно NSD к нему слейвами и немножечко обвязки чтобы slave-зоны добавлять в них.

    Нагрузку это потянет любую почти (в разумных пределах)


    1. Tangeman
      21.02.2022 20:47
      #24102323
      +6

      Это в теории — если никто не атакует зоны на этих серверах. На практике, если кто-то начнёт DDoS, то упадут все сервера — со всеми вытекающими. При этом если это были бюджетные VPS/DS (с каналами до 1 Gb), даже с анонсированным "DDoS protection", это не поможет, более того, их могут просто отключить или как минимум вежливо попросить уйти куда-то в очень сжатые сроки.


      А пока идёт атака — то все ваши зоны будут лежать, PowerDNS, даже в комплекте с dnsdist для митигации и кэша, банально не вытянет даже 100K qps на бюджетных серверах, и хорошо если траффик безлимитный (реально, а не "fair use") — а то получите нехилый счёт.


      У меня уже было несколько таких случаев — клиенты чисто конкретно попадали, в итоге после нескольких итераций с апгрейдами серверов плюнули и ушли в Cloudflare, это оказался самый бюджетный вариант с реальной защитой от DDoS и без учёта траффика, без риска что ткнут носом в T&C и сошлются на "fair use".


      Вообще же это увы большая проблема (DDoS), эффективно бороться с ними реально могут только несколько больших провайдеров, сделать "непробиваемую" свою сетку с NS стоит очень много бабла (это мощные очень многоядерные DS с сеткой от 10 Gbit, причём их нужно много и в разных DC), гораздо больше чем если взять готовый сервис, соответственно имеет смысл только если вы собираетесь это продавать как услугу большому числу клиентов, а не хостите с десяток корпоративных зон.


      И ещё один плюс в пользу "китов" — сам факт того что NS находится у кого-то большого обычно отбивает охоту у большинства любителей DDoSить, ибо бесполезно. Профессионалы, конечно, могут попытаться, но это очень дорогая атака получается.


      1. blind_oracle
        21.02.2022 21:56
        #24102469

        Это зависит от того неуловимый вы Джо или нет.

        Понятное дело что если есть возможность - можно уйти на клаудфлер, но автор боится что чекисты его завтра закроют.

        Можно просто держать слейвы и там и в Яндексе и ещё где - в крайнем случае они ответят, не обязательно все яйца в одну корзину класть.

        Это в теории — если никто не атакует зоны на этих серверах. На практике, если кто-то начнёт DDoS, то упадут все сервера — со всеми вытекающими. При этом если это были бюджетные VPS/DS (с каналами до 1 Gb), даже с анонсированным "DDoS protection", это не поможет, более того, их могут просто отключить или как минимум вежливо попросить уйти куда-то в очень сжатые сроки.

        Мы говорим тут про хостеров и тех у кого есть свои ДЦ и железо, а не просто среднюю контору которая VDS/VPS арендует - ITSOFT себя позиционируют как таковых. Если у вас свой ДЦ и толстые аплинки - никто вас не отключит.

        А пока идёт атака — то все ваши зоны будут лежать, PowerDNS, даже в комплекте с dnsdist для митигации и кэша, банально не вытянет даже 100K qps на бюджетных серверах

        А не надо PowerDNS жопой к клиенту поворачивать - он не для этого, он чтобы зоны хранить и управлять ими по API.

        Поэтому я написал про NSD - я имею некоторый опыт с большой нагрузкой на DNS. NSD на паре ядер ксеонов (последний раз тестировал лет 5 назад) выдавал мне без проблем >500к запросов в секунду и почти линейно скейлится по количеству CPU. Так что даже на недорогом, но грамотно настроенном (нума и прочие привязки тредов к ядрам), железе можно обрабатывать миллионы запросов в секунду.

        А так DDOS - очень широкая тема конечно и серебряной пули тут нет.


  1. 2naive Автор
    22.02.2022 17:43
    #24105407

    Ответ от Яндекса спустя 5 дней:

    ????‍♂️


    1. aik
      22.02.2022 17:55
      #24105449
      +1

      Мне после вчерашнего робот написал, что меня за спам забанили — потому почта и не отправляется.


  1. savostin
    22.02.2022 22:31
    #24106151

    А как же с этим:

    Бесплатная почта для домена, бесплатный DNS для доменов от любого регистратора, «Метрика» и« Вебмастер» – все в одном аккаунте.

    Больше всего интересует бесплатная почта для домена...


    1. 2naive Автор
      22.02.2022 22:47
      #24106183

      Если я правильно понимаю вопрос, то чтобы пользоваться почтой необязательно полностью делегировать управление доменом на Яндекс.

      Если вы не хотите делегировать домен на серверы Яндекса, настройте DNS-записи для вашего домена на сайте компании, которая предоставляет вам услуги DNS-хостинга. Обычно это компания-регистратор вашего домена.

      https://yandex.ru/support/connect/add-domain.html


      1. aik
        23.02.2022 00:37
        #24106491

        чтобы пользоваться почтой необязательно полностью делегировать управление доменом на Яндекс.

        Не обязательно. Я только для рабочей почты держу ДНС у яндекса.
        Своя личная почта у меня тоже на ПДД, но вот на яндексовый ДНС я её никогда не заводил. Сперва была у reg.ru, потом у cloudns, сейчас у cloudflare.