Infrastructure DNScale et operations UE

Cette page est la reference operationnelle pour l'infrastructure et le modele d'exploitation UE de DNScale — les faits auditables derriere ce que nous vendons. Elle existe pour deux audiences : les clients faisant la diligence chaine d'approvisionnement sous NIS2 Article 21(2)(d) ou reglementations equivalentes, et les ingenieurs evaluant si le reseau de DNScale repond a leurs exigences de latence, resilience et conformite.

Nous mettons a jour cette page a mesure que le reseau change — nouveaux PoP, nouveaux peers, nouvelles certifications. L'etat le plus actuel est toujours ici ; la page de statut DNScale et le blog post-incident couvrent l'etat operationnel en direct.

Deux reseaux anycast — UE et Global

DNScale exploite deux reseaux anycast distincts, chacun avec son propre numero d'Autonomous System (AS) :

Reseau UE

Le reseau UE annonce l'espace IP des serveurs de noms uniquement depuis des PoP situes dans l'Union europeenne et l'EEE, et uniquement aux peers qui routent les annonces dans ces juridictions. Resultat : une requete d'un resolveur recursif europeen atterrit sur un PoP DNScale europeen et la reponse est calculee sur un serveur sous juridiction europeenne. Aucun transit par des reseaux non-UE en operation normale.

Le reseau UE est le bon choix lorsque :

• Votre secteur exige un service DNS a juridiction unique (financier, administration publique, energie, sante sous NIS2)
• Votre DPA exige la residence des donnees pour le trafic de requetes
• Vous operez sous des mandats UE de concurrence ou de souverainete

Pour les details operationnels — noms de serveur, politique de routage, comportement regional — voir Delegation DNS pour les regions DNScale.

Reseau Global

Le reseau Global annonce un set distinct d'espace IP de serveurs de noms depuis des PoP repartis sur plusieurs continents. Il sert les requetes avec la latence la plus basse disponible mondialement — presence en Amerique du Nord, Amerique du Sud, Europe, Moyen-Orient, Afrique, Asie et Oceanie a mesure que le reseau s'etend.

Les clients qui ne sont pas soumis aux contraintes juridictionnelles UE — ou qui ont des clients dans le monde entier — utilisent typiquement le reseau Global ou le set combine EU_GLOBAL, qui prefere les PoP UE pour les resolveurs europeens et bascule vers les PoP globaux ailleurs.

Comment une requete circule

Chemin typique d'une requete sur le reseau UE :

1. Le resolveur envoie une requete UDP/53 vers une des IP de serveur de noms UE de DNScale (par ex. ns1.dnscale.eu).
2. BGP, annonce depuis chaque PoP UE sous l'AS UE de DNScale, route la requete vers le PoP topologiquement le plus proche — typiquement un saut sub-10ms depuis les principales metropoles europeennes.
3. Le serveur autoritaire du PoP repond avec la reponse en cache, signee.
4. Le RTT pour les reponses en cache est domine par le RTT reseau, typiquement 5–25ms en Europe.

Pour l'architecture en detail, voir Global DNS Resolution Balancing et Qu'est-ce qu'un reseau DNS Anycast ?.

Empreinte reseau

Les PoP de DNScale sont situes dans des metropoles choisies pour la densite IXP, la proximite des reseaux eyeball et la clarte reglementaire. Le set actuel couvre :

• Metropoles europeennes : Frankfurt, Amsterdam, London, Paris, Madrid, Milan, Stockholm, Warsaw (et expansion continue)
• Metropoles globales : New York, Ashburn, San Francisco, Sao Paulo, Singapour, Tokyo, Sydney (reseau Global)

Le statut en direct, y compris tout PoP en maintenance ou en expansion planifiee, est sur la page Reseau DNScale.

Peering

DNScale peer directement aux principaux IXP europeens :

• DE-CIX Frankfurt — le plus grand IXP d'Europe, ancrage de notre presence allemande et continentale plus large
• AMS-IX Amsterdam — principal echange neerlandais et nord-ouest europeen
• LINX London — portee Royaume-Uni et nord-ouest europeen
• IXP regionaux additionnels selon que l'expansion PoP le justifie

Le peering direct avec les principaux FAI europeens et reseaux de contenu raccourcit le chemin de requete pour le trafic eyeball residentiel et entreprise, supprime la dependance au transit pour le chemin chaud, et fournit un signal BGP que nous controlons directement pendant la reponse aux incidents.

Le reseau Global peer aux IXP strategiques sur chaque continent — IXP metro Equinix en Amerique du Nord, echanges region LACNIC en Amerique du Sud, echanges asiatiques et oceaniens a mesure que l'empreinte globale s'etend.

Numeros AS et verification publique

DNScale exploite ses propres numeros AS — un pour le reseau UE et un pour le reseau Global. L'operation au niveau AS (plutot que comme locataire dans l'AS d'un fournisseur plus grand) nous donne :

• Controle BGP direct pour nos annonces anycast
• Auditabilite independante via RIPE NCC, looking-glasses publics et registres de routes
• Reponse aux incidents par retrait — nous pouvons retirer un PoP malsain du BGP en quelques secondes sans coordonner via un upstream

Les numeros AS sont publies sur notre page Reseau et verifiables via les outils standard (whois -h whois.ripe.net AS{N}, bgp.tools, RIPE Stat). Les modeles de trafic entrant et les prefixes annonces sont des informations publiques par conception — c'est ainsi que fonctionne le systeme de routage.

Conformite et certifications

La posture de conformite de DNScale est construite autour de trois ancres :

RGPD

DNScale traite les metadonnees de requetes DNS comme sous-traitant pour les clients ; les cadres juridiques, conditions DPA et divulgations de finalites de traitement sont dans la politique de confidentialite. Choix notables :

• Le trafic de requetes DNS sur le reseau UE ne transite pas vers des PoP non-UE en operation normale
• La liste des sous-traitants est publiee et mise a jour ; les clients sont notifies avant les changements
• Les demandes d'acces aux donnees sont prises en charge via le canal de contact standard
• Les donnees fiscales et de facturation circulent via Stripe, un processeur de paiement actif dans l'UE

NIS2

NIS2 nomme explicitement les fournisseurs DNS dans l'annexe I comme entites essentielles. DNScale opere sous le regime de surveillance national applicable a son siege UE. Le guide NIS2 et DNS couvre les obligations en detail ; notre posture specifique :

• Mesures de gestion des risques documentees au titre de l'article 21 (gestion d'incidents, cryptographie, controles chaine d'approvisionnement)
• Workflow de notification d'incidents aligne sur les delais 24h / 72h / 1-mois
• Support DNSSEC avec algorithmes modernes et stockage de cles adosse a un HSM
• MFA sur les interfaces operateur et client, cles d'API restreintes, journaux d'audit complets
• Anycast multi-region pour la resilience ; pret pour multi-fournisseurs via Terraform / DNSControl

ISO 27001

ISO 27001 (Systemes de gestion de la securite de l'information) est la certification de securite fondatrice de DNScale. Le perimetre, le statut et la disponibilite du certificat sont publies sur le site. Les controles ISO 27001 se cartographient proprement sur l'article 21 NIS2, simplifiant la conformite pour les clients qui ont besoin des deux.

Autres certifications

Des certifications industrielles additionnelles (PCI DSS, HIPAA, SOC 2 Type II) sont poursuivies en fonction de la demande client. Le statut actuel est publie sur le site et mis a jour a mesure que les audits se cloturent. Si une certification specifique est une exigence contractuelle pour votre secteur, contactez-nous pour discuter du calendrier.

Posture de securite et artefacts publics

DNScale publie les artefacts de securite publics conventionnels :

• security.txt a /.well-known/security.txt — e-mail de divulgation de vulnerabilites et politique de divulgation
• Page de contact securite a /security — statut de publication PGP et consignes de signalement
• Politique de divulgation de vulnerabilites documentant le perimetre, les delais de reponse attendus et les dispositions de safe-harbour pour la recherche de bonne foi
• Rapports post-incident publies sur le blog lors d'incidents importants (reels, techniques, responsables)

Nous traitons la transparence post-incident publique comme porteuse de confiance. Quand nous nous trompons, nous disons ce qui s'est passe, pourquoi, ce que nous avons change, et ce que les clients devraient faire. Cette responsabilite remplace les bylines individuelles d'ingenieurs sur les contenus techniques — voir la discussion EEAT ci-dessous.

Transparence operationnelle plutot que bylines personnelles

DNScale ne publie pas de bylines individuelles d'auteurs ou de relecteurs sur les contenus Apprentissage et blog. L'autorite et la confiance chez DNScale sont construites au niveau organisationnel — par :

• L'empreinte reseau publique que chacun peut verifier via BGP
• Les certifications publiques et rapports d'audit
• Des rapports post-incident detailles et techniques
• Une communication de statut specifique et responsable
• Cette page — faits operationnels, pas des affirmations marketing

Nous pensons que c'est un meilleur signal de confiance pour un fournisseur d'infrastructure que les bios personnelles. Le travail parle pour lui-meme ; les operations sont auditables ; les incidents sont geres publiquement.

Modele d'exploitation UE

Le modele d'exploitation UE de DNScale est construit sur trois principes :

1. Domiciliation UE et droit de l'UE

DNScale opere comme entite domiciliee dans l'UE. Les contrats clients utilisent le droit de l'UE et la resolution des litiges UE. Cela simplifie la diligence pour les clients dans le perimetre : une juridiction, une autorite de surveillance, un default aligne RGPD.

2. L'isolation juridictionnelle UE comme option deliberee

Le reseau anycast UE existe pour que les clients puissent confiner le trafic de requetes DNS a l'espace juridictionnel europeen lorsqu'ils en ont besoin. Beaucoup de fournisseurs DNS offrent une "presence UE" ; peu offrent "uniquement UE". DNScale vous donne les deux — choisissez le reseau UE si vous avez besoin d'isolation, le reseau Global si vous avez besoin d'une faible latence mondiale, le set combine EU_GLOBAL si vous avez besoin des deux avec routage prefere UE.

3. Operations d'ingenierie independantes de tout groupe plus grand

DNScale est un fournisseur independant — non rattache a un plus grand groupe telecom, hyperscaler ou holding. L'ingenierie, l'astreinte et la reponse aux incidents sont menees par l'equipe DNScale. Cela signifie que nos incitations et celles de nos clients s'alignent directement : quand le DNS est casse, les memes personnes qui ont construit le systeme sont celles qui repondent au pager.

Ou regarder ensuite

• Page Reseau DNScale — statut PoP en direct, annonces BGP, capacites
• Page Statut DNScale — statut operationnel en temps reel
• Politique de confidentialite — divulgation RGPD complete
• Conditions de service — cadre contractuel
• Tarifs — plans, PAYG et ce qui est inclus
• Blog — notes de version, rapports post-incident, ecrits techniques
• security.txt — divulgation de vulnerabilites

Lectures complementaires

• NIS2 et conformite DNS — cartographie reglementaire pour les entites couvertes
• Meilleurs fournisseurs DNS UE — cadre d'evaluation
• Fournisseurs DNS conformes RGPD — cadre reglementaire adjacent
• DNScale vs Cloudflare — comparaison juridiction UE
• Reseau DNS Anycast — comment fonctionne le reseau sous-jacent
• Global DNS Resolution Balancing — comment les requetes sont guidees vers le PoP le plus proche