ПредложениеЛендинг под ключ от $150
Все статьи
  • dns
  • infra
  • devops
Инфраструктура

DNS, который не врёт в три часа ночи

Записи, TTL и cutover, которые держат миграции спокойными — и проверки до правок в проде.

  • AK
Авторы

DNS-инциденты кажутся мистикой, пока записи не становятся контрактами. Тогда большинство «загадок» — это математика TTL и пропущенные проверки.

Сначала план cutover

До любых живых правок:

  1. Инвентаризируйте все имена, которые должны резолвиться после переезда.
  2. Зафиксируйте стратегию TTL на окно заморозки.
  3. Явно назовите набор записей для rollback.

TTL — это расписание

Если TTL равен tt секундам, планируйте так, будто клиенты могут кэшировать ответ ещё целые tt после публикации. Это и есть длина cutover — не момент нажатия «Save».

Проверки, которые ловят ложь рано

bash
# Смотрите ответ с разных резолверов
dig +short api.example.com @1.1.1.1
dig +short api.example.com @8.8.8.8

# Убедитесь, какую authority вы реально правите
dig NS example.com +short

И проверьте HTTPS с health через новое имя, прежде чем отпускать старое.

Типичные failure modes

СимптомЧастая причина
У половины мира «ок»Stale cache + смешанные записи
Ошибки сертификатаИмя живое раньше, чем cert его покрывает
«У меня работает»Локальный резолвер ещё на старом ответе

Итог

DNS скучен, когда есть план. Держите план на виду, TTL — честными, а cutover — не на надежде.