Qu'est-ce que le basculement DNS ?

Généralement fournis par des fournisseurs DNS faisant autorité basés sur le cloud, les services de basculement utilisent des contrôles d'intégrité et des nœuds de surveillance pour évaluer l'état du serveur DNS. Si un serveur répond correctement aux nœuds de surveillance lors d'un contrôle d'intégrité, les requêtes des utilisateurs sont acheminées vers ce serveur et traitées par celui-ci. Toutefois, si le serveur n'est pas disponible (en raison d'un hôte qui ne répond pas ou d'une panne de serveur), les services de basculement retirent son adresse IP et redirigent le trafic réseau vers une nouvelle adresse IP avec un serveur opérationnel. 

Le basculement fonctionne via le système de noms de domaine (DNS), qui convertit les noms de domaine lisibles par l'homme en adresses IP lisibles par ordinateur que les appareils utilisent pour s'identifier mutuellement sur le réseau.

Dans une infrastructure DNS traditionnelle, les noms de domaine dirigent le trafic vers les adresses IP qui contiennent les ressources appropriées pour répondre aux requêtes des utilisateurs. Lorsqu'un utilisateur saisit un nom de domaine, son ordinateur communique avec un résolveur DNS. Le résolveur parcourt le DNS pour atteindre un serveur de noms faisant autorité (généralement le serveur DNS principal), qui contient l'adresse IP du site web demandé. Le serveur convertit ensuite les noms de domaine en adresses IP correspondantes et renvoie les informations demandées à l'utilisateur.

À bien des égards, les serveurs DNS de basculement ne sont pas indispensables au fonctionnement du réseau dans une infrastructure traditionnelle ; le DNS peut effectuer des tâches de résolution de requêtes lorsque seuls les serveurs principaux sont disponibles. Cependant, les serveurs de sauvegarde conservent des copies synchronisées des enregistrements DNS en cas de défaillance des serveurs principaux, ce qui les rend essentiels au basculement DNS. Sans basculement de serveurs, l’ensemble du DNS tomberait en panne si les serveurs principaux tombaient en panne ou devenaient inaccessibles. 

Ainsi, les services de basculement DNS sont essentiels pour maintenir des réseaux informatiques résilients, redondants et hautement disponibles.

Le DNS a été conçu avec une structure de base de données hiérarchique et distribuée qui facilite une approche plus dynamique de la résolution des noms de domaine, capable de suivre le rythme d'un réseau informatique en pleine expansion. Il est communément appelé « l'annuaire téléphonique d'Internet », mais une analogie plus appropriée serait de dire que le DNS gère les noms de domaine de la même manière que les smartphones gèrent les contacts. 

Les smartphones évitent aux utilisateurs de devoir se souvenir de tous les numéros de téléphone en les stockant dans des listes de contacts faciles à consulter. De même, le DNS permet aux utilisateurs de se connecter à des sites Web à l’aide de noms de domaine internet au lieu d’adresses IP. Plutôt que de devoir se souvenir du serveur web du type « 93.184.216.34 », les utilisateurs peuvent simplement se rendre sur la page web « www.example.com ».

Lorsqu’un domaine est enregistré, ses enregistrements de serveur de noms sont créés et stockés sur un serveur DNS principal. Le serveur DNS principal contient la version originale en lecture/écriture du fichier de zone et divers types d'enregistrements de ressources (notamment les enregistrements A, AAAA, MX, CNAME et autres) qui mappent et acheminent les données appropriées vers l'utilisateur. 

Les serveurs DNS de sauvegarde, ou serveurs de basculement, contiennent des répliques en lecture seule du fichier de zone. Ils fonctionnent comme des serveurs DNS secondaires qui traitent uniquement les requêtes pendant les périodes d'indisponibilité du serveur principal ou lorsque celui-ci est surchargé.

Bien que les serveurs DNS principaux soient essentiels au fonctionnement du DNS, ils constituent également un point de défaillance unique. S'ils tombent en panne et qu'aucun serveur de sauvegarde n'est désigné pour prendre le relais, l'ensemble du processus de résolution DNS peut en être affecté. À l'inverse, les serveurs de sauvegarde ne peuvent exister sans serveur DNS principal, mais en cas de panne du serveur principal, les serveurs de sauvegarde gèrent les protocoles de basculement et veillent à ce que les requêtes des utilisateurs soient résolues jusqu'à ce que le serveur principal soit rétabli.

Aujourd'hui, la plupart des principaux fournisseurs de DNS gérés proposent des adresses IP de serveurs de noms à utiliser. Derrière chacune de ces adresses IP se trouve un ensemble de serveurs DNS répartis géographiquement qui acheminent les requêtes à l'aide de la technologie Anycast. Contrairement à la dynamique de communication univoque associée au DNS classique, le DNS Anycast achemine les requêtes des utilisateurs vers un réseau de résolveurs (au lieu d'un seul résolveur) et vers le serveur disponible le plus proche pour la résolution, optimisant ainsi les fonctionnalités d'équilibrage de charge et la résilience globale du réseau.

Les protocoles de basculement DNS peuvent varier considérablement d'un réseau à l'autre, mais ils impliquent généralement quelques processus clés.

Les systèmes DNS doivent effectuer des vérifications de santé continues afin de déterminer le statut et les performances du fournisseur d’accès Internet (FAI), de tous les points de terminaison de l’API réseau et des serveurs IP principaux. Les vérifications de santé peuvent inclure des pings ICMP (Internet Control Message Protocol) au niveau du réseau, des vérifications HTTP/HTTPS pour évaluer les serveurs Web au niveau de l'application, des vérifications TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) au niveau des ports, ainsi que tout autre script personnalisé qu'une entreprise souhaite exécuter.

Les administrateurs personnalisent généralement les critères d'échec en fonction des besoins des applications et de l'importance critique des services. Quels que soient les critères, si les nœuds de surveillance détectent une défaillance (lorsque le serveur principal ne répond pas ou renvoie des erreurs), cela déclenche un événement de basculement et envoie des notifications de défaillance.

Les nœuds de surveillance retirent alors de manière dynamique l'adresse IP indisponible et transfèrent le nom d'hôte vers une adresse IP de secours (ou CNAME) afin que les routeurs dirigent les requêtes DNS vers une adresse IP secondaire jusqu'à ce que les serveurs principaux soient rétablis. Le DNS de basculement ajuste également les valeurs time-to-live (TTL) et les durées de cache DNS afin de garantir que les modifications se propagent rapidement aux résolveurs DNS sur l'ensemble du réseau et que les utilisateurs subissent un temps d'indisponibilité minimal, voire nul.

Lorsque les serveurs principaux sont restaurés et passent les contrôles de santé, le système se prépare pour la reprise après sinistre, au cours de laquelle les paramètres DNS et les processus de résolution reviennent à l'adresse IP principale. Les nœuds de surveillance supervisent le processus afin d'éviter les fluctuations (changements fréquents entre les serveurs principaux et de secours) et continuent d'effectuer des contrôles de santé pour garantir le fonctionnement optimal du réseau. 

De nombreuses entreprises mettent également en œuvre des stratégies de basculement avancées, telles que le basculement multirégional (où les politiques de routage entre plusieurs régions dirigent les utilisateurs vers le serveur le plus proche ou le plus performant) et le DNS Anycast (où la même adresse IP est diffusée à partir de plusieurs emplacements et les requêtes sont acheminées vers le meilleur serveur en fonction de la topologie du réseau).

De plus, les services de basculement DNS peuvent faciliter le DNS round-robin, qui répartit le trafic de manière uniforme entre chaque serveur et contribue à prévenir les attaques par déni de service distribué (DDoS). Les solutions de basculement hybrides, qui combinent le DNS de basculement avec d'autres solutions réseau à haute disponibilité (équilibrage de charge global des serveurs (GSLB) et réseaux de diffusion de contenu (CDN), par exemple), peuvent optimiser la gestion du trafic, minimiser la latence et s'adapter à des scénarios de basculement plus complexes.

• Haute disponibilité du réseau. Le basculement DNS est un élément essentiel des réseaux à haute disponibilité. Il fournit un mécanisme de commutation automatique du trafic afin que les services Web restent accessibles même en cas de défaillance du serveur ou de l'infrastructure.

• Reprise après sinistre Dans les scénarios de reprise après sinistre, le basculement DNS peut être utilisé pour rediriger le trafic vers des serveurs situés dans différentes régions géographiques ou centres de données afin d'atténuer l'impact des pannes régionales ou des événements catastrophiques.

• Équilibrage de charge et gestion du trafic. Les services de basculement DNS peuvent distribuer le trafic sur plusieurs serveurs, améliorant ainsi les performances du réseau et réduisant le risque de surcharge d’un serveur.

• Amélioration de l’expérience utilisateur. Des mécanismes de basculement DNS efficaces contribuent à créer une expérience utilisateur fluide, car les utilisateurs sont moins susceptibles de rencontrer des temps d'arrêt et d'autres interruptions de service.

• Redondance multirégions. Le basculement DNS permet le déploiement de serveurs de secours dans différentes zones géographiques, ce qui optimise la résilience du réseau face aux pannes régionales, facilite une meilleure répartition de la charge et améliore les temps de réponse pour les utilisateurs à travers le monde.

• La rentabilité. Par rapport à d'autres solutions à haute disponibilité telles que le basculement des centres de données, les options de basculement DNS peuvent s'avérer plus rentables. Elles utilisent l'infrastructure DNS existante, ce qui réduit les dépenses en matériel et les configurations architecturales complexes.