Presentamos PostScale -- API de correo para envíos transaccionales, recepción y direcciones enmascaradas. PostScale

    ¿Qué es una Red DNS Anycast?

    Aprende cómo funciona la red anycast, por qué es importante para el DNS y cómo ofrece resolución de nombres con baja latencia y alta resiliencia a nivel mundial.

    ¿Qué es una Red DNS Anycast?

    Resumen

    • Anycast permite que múltiples servidores en diferentes ubicaciones compartan la misma dirección IP. La red dirige cada solicitud al servidor más cercano de forma automática.
    • Es el enfoque estándar para un DNS autoritativo de alto rendimiento porque las consultas DNS son sin estado y sensibles a la latencia.
    • BGP (Border Gateway Protocol) es el protocolo de enrutamiento que hace posible anycast en la Internet pública.
    • Cuando un servidor se cae, BGP retira su ruta y el tráfico se redirige al siguiente servidor más cercano sin cambios del lado del cliente.

    ¿Qué es Anycast?

    Cada dispositivo en Internet tiene una dirección IP. En una configuración unicast tradicional, cada dirección IP se asigna a exactamente un servidor. Cuando envías un paquete a esa dirección, siempre llega a la misma máquina, sin importar dónde estés en el mundo.

    Anycast invierte este modelo. La misma dirección IP se asigna a servidores en múltiples ubicaciones físicas. Cuando se envía un paquete a una dirección anycast, la red lo entrega al servidor que esté topológicamente más cerca, basándose en la distancia de enrutamiento en lugar de la distancia geográfica.

    Piénsalo como llamar a un número de atención al cliente nacional: siempre marcas el mismo número, pero te conectan con el centro de llamadas más cercano a ti.

    Unicast vs Anycast

    UnicastAnycast
    Asignación de IPUna IP → un servidorUna IP → muchos servidores
    EnrutamientoSiempre llega al mismo destinoLlega al destino más cercano
    FailoverRequiere cambios en DNS o balanceador de cargaAutomático mediante retiro de ruta
    Ideal paraConexiones con estado (aplicaciones web, bases de datos)Servicios sin estado (DNS, CDN, NTP)

    Cómo BGP impulsa Anycast

    Anycast se apoya en BGP (Border Gateway Protocol), el protocolo de enrutamiento que conecta sistemas autónomos (redes) a través de Internet. Así funcionan juntos:

    1. Anuncio de prefijo — Cada ubicación de servidor anuncia el mismo prefijo IP (por ejemplo, un bloque /24) a sus proveedores de red upstream a través de BGP.
    2. Propagación de rutas — Esos anuncios se propagan a través de las tablas de enrutamiento de Internet. Cada router en el camino aprende que este prefijo es alcanzable a través de múltiples ubicaciones.
    3. Selección de mejor ruta — Cuando se envía un paquete a una dirección en ese prefijo, cada router en el camino elige la ruta con el AS-path más corto (menor número de saltos de red), no necesariamente la geográficamente más cercana.
    4. Entrega — El paquete llega a la ubicación del servidor que ganó la decisión de enrutamiento desde ese punto de vista particular en Internet.

    Distancia topológica vs geográfica — BGP enruta basándose en el número de sistemas autónomos que un paquete debe cruzar, no en kilómetros físicos. Un servidor en la misma ciudad podría estar "más lejos" en términos de enrutamiento que uno en otro país si la ruta de red atraviesa más sistemas autónomos. En la práctica, los AS-paths más cortos generalmente se correlacionan con menor latencia, pero no siempre.

    Cómo funciona el DNS Anycast

    El DNS es una opción natural para anycast porque cada consulta es un intercambio UDP corto y sin estado. Un resolver envía una pregunta, obtiene una respuesta y sigue adelante. No hay una conexión de larga duración que mantener.

    La ruta de la consulta

    1. La aplicación de un usuario necesita resolver un nombre de dominio y consulta a un resolver recursivo (por ejemplo, el resolver del ISP o un resolver público como 8.8.8.8).
    2. El resolver busca los registros NS del dominio para encontrar los servidores de nombres autoritativos. Esos registros NS apuntan a direcciones IP anycast.
    3. El resolver envía una consulta DNS a una de esas IPs anycast.
    4. El enrutamiento BGP entrega la consulta al punto de presencia (POP) más cercano que está anunciando ese prefijo IP.
    5. El servidor de nombres autoritativo en ese POP responde la consulta.
    6. El resolver almacena en caché la respuesta según el TTL del registro y la devuelve al usuario.

    El usuario y el resolver nunca necesitan saber qué servidor físico respondió. Desde su perspectiva, hablaron con una sola dirección IP y obtuvieron una respuesta rápida.

    Failover automático

    Si un POP se desconecta o se vuelve inestable, retira su ruta BGP para el prefijo anycast. Los routers upstream convergen en los anuncios restantes y comienzan a dirigir el tráfico al siguiente POP más cercano. Esto ocurre en la capa de red en segundos, sin necesidad de cambios del lado del cliente y sin demoras en la propagación DNS.

    Beneficios de Anycast para DNS

    Menor latencia

    Las consultas son respondidas por el POP más cercano en lugar de viajar a un único origen distante. Para una audiencia global, esto puede reducir los tiempos de ida y vuelta de cientos de milisegundos a cifras de un solo dígito.

    Resiliencia y alta disponibilidad

    Perder un POP no causa una interrupción. BGP redirige el tráfico automáticamente. Múltiples POPs pueden fallar simultáneamente y el servicio continúa mientras al menos un POP saludable permanezca activo.

    Dilución de DDoS

    Un ataque volumétrico dirigido a una IP anycast se divide automáticamente entre todos los POPs que anuncian ese prefijo. Cada ubicación absorbe solo una fracción del tráfico total, lo que hace mucho más difícil para un atacante saturar un solo sitio.

    Sin configuración del cliente

    Debido a que anycast opera en la capa de enrutamiento, los clientes y resolvers no necesitan ninguna configuración especial. Consultan las mismas direcciones IP independientemente de su ubicación, y la red se encarga del resto.

    Anatomía de una Red DNS Anycast

    Un despliegue DNS anycast típico consta de estos componentes en cada punto de presencia:

    En el borde (cada POP)

    • Demonio BGP — Anuncia los prefijos anycast compartidos a los proveedores upstream. Retira rutas si las verificaciones de salud locales fallan.
    • Balanceador de carga DNS — Acepta consultas en las IPs anycast, realiza verificaciones de salud contra los servidores de nombres backend y equilibra la carga. Almacena en caché las respuestas para reducir la carga del backend.
    • IPs Anycast en loopback — Las direcciones IP compartidas se configuran en la interfaz loopback con máscaras /32 (IPv4) o /128 (IPv6) para que estén presentes localmente para que el demonio BGP las anuncie.

    Detrás del borde

    • Servidores de nombres autoritativos — Sirven los registros DNS reales. Pueden ejecutarse en el POP o en una ubicación centralizada accesible a través de una red privada.
    • Replicación de datos de zona — Mantiene todos los servidores de nombres sincronizados. Los enfoques comunes incluyen replicación de base de datos, transferencias de zona AXFR/IXFR o sincronización basada en archivos.
    • Monitoreo y telemetría — Envía señales de salud al demonio BGP para que el retiro de rutas ocurra automáticamente cuando algo falla.

    Diagrama de flujo de tráfico

    El siguiente diagrama muestra cómo fluye una consulta DNS a través de una red anycast. La consulta del resolver es enrutada por BGP al POP saludable más cercano, que responde en nombre de la IP anycast compartida.

    DNS Anycast — Flujo de consultaResolverRecursivoInternet(Enrutamiento BGP)consultaPOP — EuropaBGP · Balanceador · DNS AuthMisma IP Anycast: 185.x.x.1POP — NorteaméricaBGP · Balanceador · DNS AuthMisma IP Anycast: 185.x.x.1más cercanoPOP — Asia PacíficoBGP · Balanceador · DNS AuthMisma IP Anycast: 185.x.x.1ruta más cortaFailoverSi el POP más cercano falla, retira su ruta BGP. El tráfico se redirige automáticamente al siguiente POP más cercano.Sin cambios en DNS, sin cambios en el cliente — la red lo gestiona en segundos.

    Cómo DNScale utiliza Anycast

    DNScale opera dos redes anycast separadas para servir consultas DNS a nivel global mientras cumple con los requisitos de cumplimiento regional:

    • Red UE — Dedicada a los puntos de presencia europeos. Las zonas que requieren resolución DNS exclusivamente en la UE se sirven exclusivamente desde esta red, manteniendo las consultas y respuestas dentro de los operadores europeos.
    • Red Global — Abarca Europa, Norteamérica y Asia Pacífico. Proporciona cobertura mundial para zonas que no tienen restricciones jurisdiccionales.

    Cada punto de presencia anuncia los prefijos anycast compartidos a través de BGP, balancea la carga de las consultas entrantes con verificación de salud integrada y sirve respuestas DNS autoritativas que se mantienen consistentes en todas las ubicaciones.

    Esta arquitectura de doble red significa que los clientes pueden elegir por zona si su DNS debe ser respondido desde POPs exclusivos de la UE o desde la red global completa, simplemente seleccionando los servidores de nombres apropiados en su registrador.

    Profundiza más — Para una visión detallada de cómo funciona el pipeline de Balanceo Global de Resolución DNS (GDRB) de DNScale — incluyendo sensado de ingreso, motor de políticas y señalización de rutas — lee la guía de Balanceo Global de Resolución DNS.

    Conclusiones clave

    • Anycast asigna la misma IP a servidores en múltiples ubicaciones. El enrutamiento BGP entrega cada consulta al más cercano.
    • Es el estándar de la industria para DNS autoritativo porque el DNS es sin estado, sensible a la latencia y se beneficia del failover automático.
    • El failover se gestiona en la capa de red en segundos, no en la capa DNS durante minutos.
    • Los ataques DDoS se diluyen naturalmente entre todos los POPs.
    • DNScale utiliza redes anycast duales (UE + Global) para combinar rendimiento con cumplimiento regional.

    Lecturas adicionales