Maak kennis met PostScale -- e-mail-API voor transactionele, inkomende en gemaskeerde adressen. PostScale

    Wat is een Anycast DNS-netwerk?

    Leer hoe anycast-netwerken werken, waarom het belangrijk is voor DNS, en hoe het wereldwijd snelle en veerkrachtige naamresolutie biedt.

    Wat is een Anycast DNS-netwerk?

    Samenvatting

    • Anycast laat meerdere servers op verschillende locaties hetzelfde IP-adres delen. Het netwerk routeert elk verzoek automatisch naar de dichtstbijzijnde server.
    • Het is de standaardaanpak voor hoogwaardige autoritatieve DNS omdat DNS-query's stateloos en latentiegevoelig zijn.
    • BGP (Border Gateway Protocol) is het routeringsprotocol dat anycast over het publieke internet mogelijk maakt.
    • Wanneer een server uitvalt, trekt BGP de route in en verschuift het verkeer naar de dichtstbijzijnde server zonder wijzigingen aan de clientzijde.

    Wat is Anycast?

    Elk apparaat op het internet heeft een IP-adres. In een traditionele unicast-configuratie wijst elk IP-adres naar precies één server. Wanneer je een pakket naar dat adres stuurt, komt het altijd bij dezelfde machine aan, ongeacht waar je je bevindt in de wereld.

    Anycast draait dit model om. Hetzelfde IP-adres wordt toegewezen aan servers op meerdere fysieke locaties. Wanneer een pakket naar een anycast-adres wordt gestuurd, bezorgt het netwerk het bij de server die topologisch het dichtst bij is, gebaseerd op routeringsafstand in plaats van geografische afstand.

    Zie het als het bellen van een landelijk servicenummer: je belt altijd hetzelfde nummer, maar je wordt verbonden met het callcenter dat het dichtst bij je is.

    Unicast vs Anycast

    UnicastAnycast
    IP-toewijzingEén IP → één serverEén IP → meerdere servers
    RouteringBereikt altijd dezelfde bestemmingBereikt de dichtstbijzijnde bestemming
    FailoverVereist DNS- of load-balancerwijzigingenAutomatisch via route-intrekking
    Geschikt voorStateful verbindingen (webapps, databases)Stateloze diensten (DNS, CDN, NTP)

    Hoe BGP Anycast aandrijft

    Anycast is gebaseerd op BGP (Border Gateway Protocol), het routeringsprotocol dat autonome systemen (netwerken) over het internet met elkaar verbindt. Zo werken de twee samen:

    1. Prefix-aankondiging — Elke serverlocatie kondigt hetzelfde IP-prefix (bijv. een /24-blok) aan bij zijn upstream-netwerkproviders via BGP.
    2. Routepropagatie — Die aankondigingen verspreiden zich door de routeringstabellen van het internet. Elke router op het pad leert dat dit prefix bereikbaar is via meerdere locaties.
    3. Best-path-selectie — Wanneer een pakket naar een adres in dat prefix wordt gestuurd, kiest elke router onderweg de route met het kortste AS-pad (minste netwerkhops), niet noodzakelijk de geografisch dichtstbijzijnde.
    4. Bezorging — Het pakket komt aan bij de serverlocatie die de routeringsbeslissing won vanuit dat specifieke punt op het internet.

    Topologische vs geografische afstand — BGP routeert op basis van het aantal autonome systemen dat een pakket moet passeren, niet op fysieke kilometers. Een server in dezelfde stad kan "verder" zijn in routeringstermen dan een server in een ander land als het netwerkpad meer autonome systemen doorkruist. In de praktijk correleren kortere AS-paden meestal met lagere latentie, maar niet altijd.

    Hoe Anycast DNS werkt

    DNS is van nature geschikt voor anycast omdat elke query een korte, stateloze UDP-uitwisseling is. Een resolver stuurt een vraag, krijgt een antwoord en gaat verder. Er is geen langlopende verbinding om te onderhouden.

    Het querypad

    1. De applicatie van een gebruiker moet een domeinnaam resolven en vraagt een recursieve resolver (bijv. de resolver van de ISP of een publieke resolver zoals 8.8.8.8).
    2. De resolver zoekt de NS-records van het domein op om de autoritatieve nameservers te vinden. Die NS-records wijzen naar anycast IP-adressen.
    3. De resolver stuurt een DNS-query naar een van die anycast IP's.
    4. BGP-routering bezorgt de query bij het dichtstbijzijnde point of presence (POP) dat dat IP-prefix aankondigt.
    5. De autoritatieve nameserver op dat POP beantwoordt de query.
    6. De resolver cachet het antwoord volgens de TTL van het record en retourneert het aan de gebruiker.

    De gebruiker en de resolver hoeven nooit te weten welke fysieke server heeft geantwoord. Vanuit hun perspectief hebben ze met één IP-adres gecommuniceerd en een snel antwoord gekregen.

    Automatische failover

    Als een POP offline gaat of ongezond wordt, trekt het zijn BGP-route in voor het anycast-prefix. Upstream-routers convergeren op de overgebleven aankondigingen en beginnen verkeer naar het dichtstbijzijnde POP te sturen. Dit gebeurt op de netwerklaag in seconden, zonder wijzigingen aan de clientzijde en zonder DNS-propagatievertraging.

    Voordelen van Anycast voor DNS

    Lagere latentie

    Query's worden beantwoord door het dichtstbijzijnde POP in plaats van naar een enkele verre oorsprong te reizen. Voor een wereldwijd publiek kan dit de round-trip-tijden terugbrengen van honderden milliseconden tot enkele cijfers.

    Veerkracht en hoge beschikbaarheid

    Het verlies van een POP veroorzaakt geen storing. BGP routeert verkeer automatisch om. Meerdere POP's kunnen tegelijkertijd uitvallen en de dienst blijft functioneren zolang er ten minste één gezond POP overblijft.

    DDoS-verdunning

    Een volumetrische aanval gericht op een anycast IP wordt automatisch verdeeld over elk POP dat dat prefix aankondigt. Elke locatie absorbeert slechts een fractie van het totale verkeer, waardoor het veel moeilijker wordt voor een aanvaller om een enkele locatie te overweldigen.

    Geen clientconfiguratie

    Omdat anycast op de routeringslaag werkt, hebben clients en resolvers geen speciale configuratie nodig. Ze bevragen dezelfde IP-adressen ongeacht hun locatie, en het netwerk doet de rest.

    Anatomie van een Anycast DNS-netwerk

    Een typische anycast DNS-implementatie bestaat uit de volgende componenten op elk point of presence:

    Aan de edge (elk POP)

    • BGP-daemon — Kondigt de gedeelde anycast-prefixen aan bij upstream-providers. Trekt routes in als lokale healthchecks falen.
    • DNS load balancer — Accepteert query's op de anycast IP's, voert healthchecks uit op backend-nameservers en verdeelt de belasting. Cachet antwoorden om de backendbelasting te verminderen.
    • Anycast IP's op loopback — De gedeelde IP-adressen worden geconfigureerd op de loopback-interface met /32 (IPv4) of /128 (IPv6) maskers zodat ze lokaal aanwezig zijn voor de BGP-daemon om aan te kondigen.

    Achter de edge

    • Autoritatieve nameservers — Serveren de daadwerkelijke DNS-records. Kunnen op het POP draaien of op een centrale locatie die bereikbaar is via een privénetwerk.
    • Zonedatareplicatie — Houdt alle nameservers gesynchroniseerd. Veelgebruikte benaderingen zijn databasereplicatie, AXFR/IXFR-zonetransfers of bestandsgebaseerde synchronisatie.
    • Monitoring en telemetrie — Stuurt gezondheidssignalen terug naar de BGP-daemon zodat route-intrekking automatisch plaatsvindt wanneer er iets misgaat.

    Verkeersstroomdiagram

    Het volgende diagram toont hoe een DNS-query door een anycast-netwerk stroomt. De query van de resolver wordt door BGP gerouteerd naar het dichtstbijzijnde gezonde POP, dat antwoordt namens het gedeelde anycast IP.

    Anycast DNS — QuerystroomRecursieveResolverInternet(BGP-routering)queryPOP — EuropaBGP · Load Balancer · Auth DNSZelfde Anycast IP: 185.x.x.1POP — Noord-AmerikaBGP · Load Balancer · Auth DNSZelfde Anycast IP: 185.x.x.1dichtsbijPOP — Azië-PacificBGP · Load Balancer · Auth DNSZelfde Anycast IP: 185.x.x.1kortste padFailoverAls het dichtstbijzijnde POP uitvalt, trekt het zijn BGP-route in. Verkeer verschuift automatisch naar het volgende POP.Geen DNS-wijzigingen, geen clientwijzigingen — het netwerk regelt het in seconden.

    Hoe DNScale Anycast gebruikt

    DNScale exploiteert twee afzonderlijke anycast-netwerken om wereldwijd DNS-query's te serveren en tegelijkertijd te voldoen aan regionale compliancevereisten:

    • EU-netwerk — Gewijd aan Europese points of presence. Zones die EU-only DNS-resolutie vereisen, worden uitsluitend vanuit dit netwerk bediend, waarbij query's en antwoorden binnen Europese carriers blijven.
    • Globaal netwerk — Bestrijkt Europa, Noord-Amerika en Azië-Pacific. Biedt wereldwijde dekking voor zones zonder jurisdictie-beperkingen.

    Elk point of presence kondigt de gedeelde anycast-prefixen aan via BGP, verdeelt inkomende query's met ingebouwde healthchecking en serveert autoritatieve DNS-antwoorden die consistent blijven over alle locaties.

    Deze dual-netwerkarchitectuur betekent dat klanten per zone kunnen kiezen of hun DNS beantwoord moet worden vanuit alleen EU-POP's of vanuit het volledige globale netwerk, simpelweg door de juiste nameservers te selecteren bij hun registrar.

    Meer lezen — Voor een gedetailleerde blik op hoe DNScale's Global DNS Resolution Balancing (GDRB)-pipeline werkt — inclusief ingress sensing, policy engine en route signalling — lees de gids Global DNS Resolution Balancing.

    Belangrijkste conclusies

    • Anycast wijst hetzelfde IP toe aan servers op meerdere locaties. BGP-routering bezorgt elke query bij de dichtstbijzijnde.
    • Het is de industriestandaard voor autoritatieve DNS omdat DNS stateloos en latentiegevoelig is en profiteert van automatische failover.
    • Failover wordt afgehandeld op de netwerklaag in seconden, niet op de DNS-laag in minuten.
    • DDoS-aanvallen worden van nature verdund over alle POP's.
    • DNScale gebruikt duale anycast-netwerken (EU + Globaal) om prestaties te combineren met regionale compliance.

    Verder lezen