Vi presentiamo PostScale -- API email per invii transazionali, ricezione e indirizzi mascherati. PostScale

    Cos'è una rete DNS Anycast?

    Scopri come funziona il networking anycast, perché è importante per il DNS e come garantisce una risoluzione dei nomi a bassa latenza e resiliente in tutto il mondo.

    Cos'è una rete DNS Anycast?

    In breve

    • Anycast consente a più server in diverse posizioni di condividere lo stesso indirizzo IP. La rete instrada automaticamente ogni richiesta al server più vicino.
    • È l'approccio standard per il DNS autoritativo ad alte prestazioni, poiché le query DNS sono stateless e sensibili alla latenza.
    • BGP (Border Gateway Protocol) è il protocollo di routing che fa funzionare l'anycast su Internet pubblica.
    • Quando un server va offline, BGP ritira la sua rotta e il traffico si sposta verso il server più vicino successivo, senza alcuna modifica lato client.

    Cos'è l'Anycast?

    Ogni dispositivo su Internet ha un indirizzo IP. In una configurazione unicast tradizionale, ogni indirizzo IP corrisponde esattamente a un server. Quando invii un pacchetto a quell'indirizzo, arriva sempre alla stessa macchina, indipendentemente da dove ti trovi nel mondo.

    L'Anycast ribalta questo modello. Lo stesso indirizzo IP viene assegnato a server in più posizioni fisiche. Quando un pacchetto viene inviato a un indirizzo anycast, la rete lo consegna al server topologicamente più vicino, basandosi sulla distanza di routing anziché sulla distanza geografica.

    Immagina di chiamare un numero verde nazionale: componi sempre lo stesso numero, ma vieni collegato al call center più vicino a te.

    Unicast vs Anycast

    UnicastAnycast
    Mappatura IPUn IP → un serverUn IP → molti server
    RoutingRaggiunge sempre la stessa destinazioneRaggiunge la destinazione più vicina
    FailoverRichiede modifiche DNS o al load balancerAutomatico tramite ritiro della rotta
    Ideale perConnessioni stateful (web app, database)Servizi stateless (DNS, CDN, NTP)

    Come BGP alimenta l'Anycast

    L'anycast si basa su BGP (Border Gateway Protocol), il protocollo di routing che collega i sistemi autonomi (reti) attraverso Internet. Ecco come funzionano insieme:

    1. Annuncio del prefisso — Ogni posizione del server annuncia lo stesso prefisso IP (es. un blocco /24) ai propri fornitori di rete upstream tramite BGP.
    2. Propagazione delle rotte — Questi annunci si diffondono attraverso le tabelle di routing di Internet. Ogni router sul percorso apprende che questo prefisso è raggiungibile attraverso più posizioni.
    3. Selezione del percorso migliore — Quando un pacchetto viene inviato a un indirizzo in quel prefisso, ogni router lungo il percorso sceglie la rotta con l'AS-path più breve (minor numero di hop di rete), non necessariamente quella geograficamente più vicina.
    4. Consegna — Il pacchetto arriva alla posizione del server che ha vinto la decisione di routing da quel particolare punto di osservazione su Internet.

    Distanza topologica vs geografica — BGP instrada in base al numero di sistemi autonomi che un pacchetto deve attraversare, non ai chilometri fisici. Un server nella stessa città potrebbe essere "più lontano" in termini di routing rispetto a uno in un altro paese, se il percorso di rete attraversa più sistemi autonomi. In pratica, gli AS-path più brevi di solito corrispondono a una latenza inferiore, ma non sempre.

    Come funziona il DNS Anycast

    Il DNS è naturalmente adatto all'anycast perché ogni query è uno scambio breve, stateless e basato su UDP. Un resolver invia una domanda, riceve una risposta e prosegue. Non c'è nessuna connessione a lungo termine da mantenere.

    Il percorso della query

    1. L'applicazione di un utente deve risolvere un nome di dominio e interroga un resolver ricorsivo (es. il resolver dell'ISP o un resolver pubblico come 8.8.8.8).
    2. Il resolver cerca i record NS del dominio per trovare i nameserver autoritativi. Quei record NS puntano a indirizzi IP anycast.
    3. Il resolver invia una query DNS a uno di quegli IP anycast.
    4. Il routing BGP consegna la query al punto di presenza (POP) più vicino che sta annunciando quel prefisso IP.
    5. Il nameserver autoritativo in quel POP risponde alla query.
    6. Il resolver memorizza nella cache la risposta secondo il TTL del record e la restituisce all'utente.

    L'utente e il resolver non hanno mai bisogno di sapere quale server fisico ha risposto. Dal loro punto di vista, hanno comunicato con un singolo indirizzo IP e ottenuto una risposta rapida.

    Failover automatico

    Se un POP va offline o diventa non funzionante, ritira la propria rotta BGP per il prefisso anycast. I router upstream convergono sugli annunci rimanenti e iniziano a dirigere il traffico verso il POP più vicino successivo. Questo avviene a livello di rete in pochi secondi, senza modifiche richieste lato client e senza ritardi di propagazione DNS.

    Vantaggi dell'Anycast per il DNS

    Latenza inferiore

    Le query vengono elaborate dal POP più vicino invece di viaggiare verso un'unica origine distante. Per un pubblico globale, questo può ridurre i tempi di andata e ritorno da centinaia di millisecondi a cifre singole.

    Resilienza e alta disponibilità

    La perdita di un POP non causa un'interruzione del servizio. BGP reindirizza automaticamente il traffico. Più POP possono fallire contemporaneamente e il servizio continua finché almeno un POP funzionante rimane attivo.

    Diluizione DDoS

    Un attacco volumetrico diretto a un IP anycast viene automaticamente distribuito su ogni POP che annuncia quel prefisso. Ogni posizione assorbe solo una frazione del traffico totale, rendendo molto più difficile per un attaccante sovraccaricare un singolo sito.

    Zero configurazione client

    Poiché l'anycast opera a livello di routing, i client e i resolver non necessitano di alcuna configurazione speciale. Interrogano gli stessi indirizzi IP indipendentemente dalla loro posizione, e la rete si occupa del resto.

    Anatomia di una rete DNS Anycast

    Un tipico deployment DNS anycast è composto da questi componenti in ogni punto di presenza:

    Al margine (ogni POP)

    • Daemon BGP — Annuncia i prefissi anycast condivisi ai provider upstream. Ritira le rotte se i controlli di salute locali falliscono.
    • Load balancer DNS — Accetta le query sugli IP anycast, esegue il controllo di salute verso i nameserver backend e bilancia il carico. Memorizza nella cache le risposte per ridurre il carico del backend.
    • IP Anycast su loopback — Gli indirizzi IP condivisi sono configurati sull'interfaccia di loopback con maschere /32 (IPv4) o /128 (IPv6) in modo che siano presenti localmente per il daemon BGP da annunciare.

    Dietro il margine

    • Nameserver autoritativi — Servono i record DNS effettivi. Possono funzionare nel POP o in una posizione centralizzata raggiungibile tramite rete privata.
    • Replica dei dati di zona — Mantiene tutti i nameserver sincronizzati. Gli approcci comuni includono la replica del database, i trasferimenti di zona AXFR/IXFR o la sincronizzazione basata su file.
    • Monitoraggio e telemetria — Fornisce segnali di salute al daemon BGP in modo che il ritiro delle rotte avvenga automaticamente quando qualcosa si guasta.

    Diagramma del flusso di traffico

    Il diagramma seguente mostra come una query DNS fluisce attraverso una rete anycast. La query del resolver viene instradata tramite BGP al POP sano più vicino, che risponde per conto dell'IP anycast condiviso.

    DNS Anycast — Flusso della queryResolverricorsivoInternet(Routing BGP)queryPOP — EuropaBGP · Load Balancer · DNS AuthStesso IP Anycast: 185.x.x.1POP — Nord AmericaBGP · Load Balancer · DNS AuthStesso IP Anycast: 185.x.x.1nearestPOP — Asia PacificoBGP · Load Balancer · DNS AuthStesso IP Anycast: 185.x.x.1percorso più breveFailoverSe il POP più vicino fallisce, ritira la sua rotta BGP. Il traffico si sposta automaticamente al POP più vicino successivo.Nessuna modifica DNS, nessuna modifica client — la rete gestisce tutto in pochi secondi.

    Come DNScale utilizza l'Anycast

    DNScale gestisce due reti anycast separate per servire le query DNS a livello globale, rispettando al contempo i requisiti di conformità regionali:

    • Rete EU — Dedicata ai punti di presenza europei. Le zone che richiedono una risoluzione DNS esclusivamente in UE vengono servite esclusivamente da questa rete, mantenendo query e risposte all'interno dei carrier europei.
    • Rete globale — Si estende su Europa, Nord America e Asia Pacifico. Fornisce copertura mondiale per le zone che non hanno vincoli giurisdizionali.

    Ogni punto di presenza annuncia i prefissi anycast condivisi tramite BGP, bilancia il carico delle query in ingresso con controllo di salute integrato e serve risposte DNS autoritative che restano coerenti in tutte le posizioni.

    Questa architettura a doppia rete significa che i clienti possono scegliere per ogni zona se il loro DNS deve essere gestito da POP esclusivamente UE o dall'intera rete globale, semplicemente selezionando i nameserver appropriati presso il proprio registrar.

    Approfondimento — Per uno sguardo dettagliato su come funziona la pipeline Global DNS Resolution Balancing (GDRB) di DNScale — inclusi ingress sensing, policy engine e route signalling — leggi la guida Global DNS Resolution Balancing.

    Punti chiave

    • L'anycast assegna lo stesso IP a server in più posizioni. Il routing BGP consegna ogni query al più vicino.
    • È lo standard del settore per il DNS autoritativo perché il DNS è stateless, sensibile alla latenza e beneficia del failover automatico.
    • Il failover è gestito a livello di rete in pochi secondi, non a livello DNS in minuti.
    • Gli attacchi DDoS sono naturalmente diluiti su tutti i POP.
    • DNScale utilizza reti anycast duali (EU + globale) per combinare prestazioni e conformità regionale.

    Letture consigliate