DNS para Provedores

DNS lento ou instável vira reclamação de "internet não funciona" mesmo com link perfeito. Resolver mal dimensionado, sem cache aquecido, sem redundância — o cliente sente antes de você ver no monitoramento.

O que é DNS no provedor

Todo provedor precisa de dois DNS distintos: o resolver recursivo (que os assinantes usam pra resolver nomes) e o autoritativo (que responde pela zona do próprio provedor). Resolver lento degrada a experiência do cliente mesmo com banda sobrando. Autoritativo mal configurado deixa serviços do provedor inacessíveis.

O que a RASYS faz

  • Resolver recursivo com Unbound — tuning de cache, prefetch, DNSSEC validating, rate-limit por IP pra evitar abuso.
  • Cluster ativo/ativo de resolvers — dois ou mais nós com anycast ou ECMP pra garantir disponibilidade.
  • DNS autoritativo com BIND ou NSD — zonas do provedor (rDNS de bloco IP, domínio interno) com DNSSEC assinar.
  • Anycast DNS via BGP — mesmo IP anunciado por múltiplos PoPs, client resolve no mais próximo.
  • RPZ (Response Policy Zone) — bloqueio judicial de domínios (ANATEL, decisão de TJ) sem impacto no resolver geral.
  • Monitoramento de latência e cache hit rate — alerta quando resolver começa a degradar antes de virar reclamação.
  • Migração de resolver — troca do DNS do provedor com rollout gradual por VLAN/pool de IP.
  • Hardening — resposta mínima (sem version.bind), rate-limit de respostas, desabilita recursão em autoritativo.

Tecnologias com que trabalhamos

Unbound, BIND9, NSD, PowerDNS. Anycast via Mikrotik RouterOS, Huawei NE, Juniper MX, Cisco. RPZ compatível com Unbound e BIND.

Quando faz sentido falar com a gente

Resolvers com latência alta ou instável em horário de pico; recebeu ordem judicial de bloqueio de domínio sem saber como implementar; quer DNSSEC validating ativo; vai abrir PoP novo e precisa de resolver local; rDNS do bloco IP não resolve direito.

Fale com a gente — conversa inicial sem compromisso. Veja também: BGP, Monitoramento.

PERGUNTAS FREQUENTES

Unbound ou BIND pra resolver recursivo?

Unbound pra resolver puro — mais simples de tunar, cache eficiente, DNSSEC nativo. BIND quando o mesmo servidor precisa ser autoritativo e recursivo (situação que a gente evita em produção, mas que existe em redes menores). Pra provedor com 10k+ clientes, Unbound em par dedicado é o padrão.

DNSSEC validating ativo quebra algum site?

Raramente, mas acontece: zonas com assinatura expirada ou configuração errada falham na validação. Ativamos com monitoramento de falhas de SERVFAIL, lista de exceções por domínio quando necessário, e alerta pro NOC antes de qualquer impacto percebido pelo cliente.

Anycast DNS com BGP compensa pra provedor regional?

Compensa quando você tem 2+ PoPs com BGP próprio. Um mesmo IP de resolver anunciado por cada PoP garante que o cliente resolve no PoP mais próximo e o failover é automático. Se você tem só um PoP, ECMP entre dois servidores no mesmo rack já resolve.

Como implementam bloqueio judicial sem afetar o resolver geral?

RPZ (Response Policy Zone) — zona local que substitui a resposta para domínios específicos por NXDOMAIN ou IP de página de aviso. A lista é mantida separada, pode ser atualizada sem reiniciar o resolver, e não afeta nenhuma outra resolução.