Neu: PostScale -- E-Mail-API für transaktionale, eingehende und maskierte Adressen. PostScale

    Was ist ein Anycast-DNS-Netzwerk?

    Erfahren Sie, wie Anycast-Networking funktioniert, warum es für DNS wichtig ist und wie es weltweit latenzarme, ausfallsichere Namensauflösung ermöglicht.

    Was ist ein Anycast-DNS-Netzwerk?

    Kurzfassung

    • Anycast ermöglicht es mehreren Servern an verschiedenen Standorten, dieselbe IP-Adresse zu teilen. Das Netzwerk leitet jede Anfrage automatisch zum nächstgelegenen Server.
    • Es ist der Standardansatz für leistungsstarkes autoritatives DNS, da DNS-Abfragen zustandslos und latenzempfindlich sind.
    • BGP (Border Gateway Protocol) ist das Routing-Protokoll, das Anycast über das öffentliche Internet ermöglicht.
    • Wenn ein Server ausfällt, zieht BGP seine Route zurück und der Datenverkehr wird ohne clientseitige Änderungen zum nächstgelegenen Server umgeleitet.

    Was ist Anycast?

    Jedes Gerät im Internet hat eine IP-Adresse. In einem traditionellen Unicast-Setup ist jede IP-Adresse genau einem Server zugeordnet. Wenn Sie ein Paket an diese Adresse senden, kommt es immer bei derselben Maschine an, egal wo Sie sich auf der Welt befinden.

    Anycast kehrt dieses Modell um. Dieselbe IP-Adresse wird Servern an mehreren physischen Standorten zugewiesen. Wenn ein Paket an eine Anycast-Adresse gesendet wird, liefert das Netzwerk es an den topologisch nächstgelegenen Server — basierend auf Routing-Entfernung statt geografischer Entfernung.

    Stellen Sie es sich vor wie eine nationale Hotline-Nummer: Sie wählen immer dieselbe Nummer, werden aber mit dem nächstgelegenen Callcenter verbunden.

    Unicast vs. Anycast

    UnicastAnycast
    IP-ZuordnungEine IP → ein ServerEine IP → viele Server
    RoutingErreicht immer dasselbe ZielErreicht das nächstgelegene Ziel
    FailoverErfordert DNS- oder Load-Balancer-ÄnderungenAutomatisch durch Route-Rückzug
    Ideal fürZustandsbehaftete Verbindungen (Web-Apps, Datenbanken)Zustandslose Dienste (DNS, CDN, NTP)

    Wie BGP Anycast antreibt

    Anycast basiert auf BGP (Border Gateway Protocol), dem Routing-Protokoll, das autonome Systeme (Netzwerke) im Internet verbindet. So arbeiten beide zusammen:

    1. Präfix-Ankündigung — Jeder Serverstandort kündigt dasselbe IP-Präfix (z. B. einen /24-Block) über BGP bei seinen Upstream-Netzwerkanbietern an.
    2. Routenverbreitung — Diese Ankündigungen verbreiten sich durch die Routing-Tabellen des Internets. Jeder Router auf dem Weg erfährt, dass dieses Präfix über mehrere Standorte erreichbar ist.
    3. Best-Path-Auswahl — Wenn ein Paket an eine Adresse in diesem Präfix gesendet wird, wählt jeder Router auf dem Weg die Route mit dem kürzesten AS-Pfad (wenigste Netzwerk-Hops), nicht unbedingt die geografisch nächstgelegene.
    4. Zustellung — Das Paket erreicht den Serverstandort, der die Routing-Entscheidung aus dieser bestimmten Position im Internet gewonnen hat.

    Topologische vs. geografische Entfernung — BGP routet basierend auf der Anzahl der autonomen Systeme, die ein Paket durchqueren muss, nicht nach physischen Kilometern. Ein Server in derselben Stadt kann in Routing-Begriffen „weiter" entfernt sein als einer in einem anderen Land, wenn der Netzwerkpfad mehr autonome Systeme durchquert. In der Praxis korrelieren kürzere AS-Pfade meist mit niedrigerer Latenz, aber nicht immer.

    Wie Anycast-DNS funktioniert

    DNS ist eine natürliche Anwendung für Anycast, da jede Abfrage ein kurzer, zustandsloser UDP-Austausch ist. Ein Resolver sendet eine Frage, erhält eine Antwort und geht weiter. Es gibt keine langlebige Verbindung aufrechtzuerhalten.

    Der Abfragepfad

    1. Die Anwendung eines Benutzers muss einen Domainnamen auflösen und fragt einen rekursiven Resolver (z. B. den ISP-Resolver oder einen öffentlichen Resolver wie 8.8.8.8).
    2. Der Resolver schlägt die NS-Einträge der Domain nach, um die autoritativen Nameserver zu finden. Diese NS-Einträge zeigen auf Anycast-IP-Adressen.
    3. Der Resolver sendet eine DNS-Abfrage an eine dieser Anycast-IPs.
    4. BGP-Routing liefert die Abfrage an den nächstgelegenen Point of Presence (POP), der dieses IP-Präfix ankündigt.
    5. Der autoritative Nameserver an diesem POP beantwortet die Abfrage.
    6. Der Resolver speichert die Antwort gemäß der TTL des Eintrags zwischen und gibt sie an den Benutzer zurück.

    Der Benutzer und der Resolver müssen nie wissen, welcher physische Server geantwortet hat. Aus ihrer Sicht haben sie mit einer einzelnen IP-Adresse kommuniziert und eine schnelle Antwort erhalten.

    Automatisches Failover

    Wenn ein POP offline geht oder fehlerhaft wird, zieht er seine BGP-Route für das Anycast-Präfix zurück. Upstream-Router konvergieren auf die verbleibenden Ankündigungen und beginnen, den Datenverkehr zum nächstgelegenen POP zu leiten. Dies geschieht auf der Netzwerkebene in Sekunden, ohne clientseitige Änderungen und ohne DNS-Propagierungsverzögerung.

    Vorteile von Anycast für DNS

    Niedrigere Latenz

    Abfragen werden vom nächstgelegenen POP beantwortet, anstatt zu einem einzigen entfernten Ursprung zu reisen. Für ein globales Publikum kann dies die Round-Trip-Zeiten von Hunderten von Millisekunden auf einstellige Werte reduzieren.

    Ausfallsicherheit und Hochverfügbarkeit

    Der Verlust eines POPs verursacht keinen Ausfall. BGP leitet den Datenverkehr automatisch um. Mehrere POPs können gleichzeitig ausfallen und der Dienst läuft weiter, solange mindestens ein gesunder POP verbleibt.

    DDoS-Abschwächung

    Ein volumetrischer Angriff auf eine Anycast-IP wird automatisch auf alle POPs verteilt, die dieses Präfix ankündigen. Jeder Standort absorbiert nur einen Bruchteil des Gesamtverkehrs, was es einem Angreifer erheblich erschwert, einen einzelnen Standort zu überlasten.

    Keine Client-Konfiguration nötig

    Da Anycast auf der Routing-Ebene arbeitet, benötigen Clients und Resolver keine spezielle Konfiguration. Sie fragen dieselben IP-Adressen unabhängig von ihrem Standort ab, und das Netzwerk erledigt den Rest.

    Aufbau eines Anycast-DNS-Netzwerks

    Ein typisches Anycast-DNS-Deployment besteht aus folgenden Komponenten an jedem Point of Presence:

    Am Edge (jeder POP)

    • BGP-Daemon — Kündigt die gemeinsamen Anycast-Präfixe bei Upstream-Anbietern an. Zieht Routen zurück, wenn lokale Health-Checks fehlschlagen.
    • DNS-Load-Balancer — Nimmt Abfragen auf den Anycast-IPs entgegen, führt Health-Checking gegen Backend-Nameserver durch und verteilt die Last. Speichert Antworten zwischen, um die Backend-Last zu reduzieren.
    • Anycast-IPs auf Loopback — Die gemeinsamen IP-Adressen sind auf dem Loopback-Interface mit /32 (IPv4) oder /128 (IPv6) Masken konfiguriert, damit sie lokal für den BGP-Daemon zum Ankündigen vorhanden sind.

    Hinter dem Edge

    • Autoritative Nameserver — Liefern die eigentlichen DNS-Einträge. Können am POP oder an einem zentralen Standort laufen, der über ein privates Netzwerk erreichbar ist.
    • Zonen-Datenreplikation — Hält alle Nameserver synchron. Gängige Ansätze umfassen Datenbankreplikation, AXFR/IXFR-Zonentransfers oder dateibasierte Synchronisation.
    • Monitoring und Telemetrie — Liefert Health-Signale an den BGP-Daemon zurück, damit der Route-Rückzug automatisch erfolgt, wenn etwas ausfällt.

    Datenfluss-Diagramm

    Das folgende Diagramm zeigt, wie eine DNS-Abfrage durch ein Anycast-Netzwerk fließt. Die Resolver-Abfrage wird per BGP an den nächsten gesunden POP geleitet, der im Namen der gemeinsamen Anycast-IP antwortet.

    Anycast DNS — AbfrageflussRekursiverResolverInternet(BGP-Routing)AbfragePOP — EuropaBGP · Load Balancer · Auth DNSGleiche Anycast-IP: 185.x.x.1POP — NordamerikaBGP · Load Balancer · Auth DNSGleiche Anycast-IP: 185.x.x.1nächsterPOP — Asien-PazifikBGP · Load Balancer · Auth DNSGleiche Anycast-IP: 185.x.x.1kürzester PfadFailoverFällt der nächste POP aus, zieht er seine BGP-Route zurück. Der Datenverkehr wird automatisch zum nächstbesten POP umgeleitet.Keine DNS-Änderungen, keine Client-Änderungen — das Netzwerk regelt es in Sekunden.

    Wie DNScale Anycast nutzt

    DNScale betreibt zwei separate Anycast-Netzwerke, um DNS-Abfragen weltweit zu beantworten und gleichzeitig regionale Compliance-Anforderungen zu erfüllen:

    • EU-Netzwerk — Dediziert für europäische Points of Presence. Zonen, die eine rein europäische DNS-Auflösung erfordern, werden ausschließlich über dieses Netzwerk bedient, wodurch Abfragen und Antworten innerhalb europäischer Carrier bleiben.
    • Globales Netzwerk — Erstreckt sich über Europa, Nordamerika und Asien-Pazifik. Bietet weltweite Abdeckung für Zonen ohne jurisdiktionelle Einschränkungen.

    Jeder Point of Presence kündigt die gemeinsamen Anycast-Präfixe über BGP an, verteilt eingehende Abfragen mit integriertem Health-Checking und liefert autoritative DNS-Antworten, die über alle Standorte konsistent bleiben.

    Diese Dual-Netzwerk-Architektur bedeutet, dass Kunden pro Zone wählen können, ob ihr DNS nur von EU-POPs oder vom gesamten globalen Netzwerk beantwortet werden soll — einfach durch Auswahl der entsprechenden Nameserver beim Registrar.

    Tiefer eintauchen — Für einen detaillierten Blick auf die Funktionsweise von DNScales Global DNS Resolution Balancing (GDRB) Pipeline — einschließlich Ingress-Sensing, Policy-Engine und Route-Signalisierung — lesen Sie den Leitfaden Global DNS Resolution Balancing.

    Wichtige Erkenntnisse

    • Anycast weist dieselbe IP Servern an mehreren Standorten zu. BGP-Routing liefert jede Abfrage an den nächstgelegenen.
    • Es ist der Industriestandard für autoritatives DNS, weil DNS zustandslos und latenzempfindlich ist und von automatischem Failover profitiert.
    • Failover wird auf der Netzwerkebene in Sekunden gehandhabt, nicht auf der DNS-Ebene über Minuten.
    • DDoS-Angriffe werden natürlich über alle POPs verteilt.
    • DNScale nutzt duale Anycast-Netzwerke (EU + Global), um Performance mit regionaler Compliance zu verbinden.

    Weiterführende Lektüre