Ни один сервер не работает вечно: аппаратные сбои, программные ошибки, DDoS-атаки или даже плановое обслуживание могут временно остановить сервис. Для крупного бизнеса и интернет-магазинов каждая минута простоя — это потерянные деньги, клиенты и репутация. DNS Failover создан именно для решения этой проблемы: он постоянно отслеживает состояние основного сервера и при обнаружении ошибки направляет пользователей на резерв.
Как работает DNS Failover
Основная идея технологии проста: для DNS-сервера задаётся несколько A или AAAA записей, и система мониторинга регулярно проверяет состояние каждого IP-адреса. Проверка обычно выполняется через HTTP или HTTPS-запрос, и если ответ не приходит в течение определённого времени, сервер помечается как нерабочий. После этого DNS-запись автоматически меняется на резервный IP-адрес.
В процессе переключения значение TTL играет огромную роль. Если TTL установлен в 3600 секунд, пользователи могут не узнать о новой записи в течение часа и всё это время будут видеть неработающий сайт. Поэтому для зон с failover рекомендуется снижать TTL до 60-300 секунд, и эти изменения распространяются по всему интернету за несколько минут.
Мониторинг и проверки здоровья
Качественный failover-сервис проверяет состояние сервера каждые 30-60 секунд, причём проверки выполняются из разных регионов мира. Это очень важно, поскольку одна точка наблюдения ненадёжна: сервер может быть недоступен из Ташкента, но прекрасно работать из Франкфурта. Поэтому большинство сервисов проводят проверки из 3 и более точек, и failover срабатывает только при подтверждении ошибки несколькими источниками.
Методы проверки тоже могут быть разными: обычный пинг, сканирование TCP-порта, HTTP-код ответа, даже наличие определённой строки на странице. Для сложных проектов применяются умные проверки, например, оценивается одновременно открытие главной страницы и соединение с базой данных, и только потом делается вывод.
Режимы Active-Passive и Active-Active
Failover может работать в двух основных режимах. В режиме Active-Passive весь трафик идёт на основной сервер, а резервный включается только при его отказе. Это простое и дешёвое решение, но ресурсы резервного сервера обычно простаивают и это частично нерационально.
В режиме Active-Active оба сервера принимают трафик одновременно и нагрузка распределяется равномерно. Если один сервер выходит из строя, второй принимает всю нагрузку на себя и сервис не останавливается. Этот режим требует больше ресурсов и сложнее в настройке, но для высоконагруженных сайтов он идеален.
Ошибки при настройке failover
Самая частая ошибка — резервный сервер на самом деле не готов. Если основной падает, а резерв работает со старыми данными, пользователи увидят нефункциональный сайт. Поэтому резервный сервер должен постоянно обновляться, а база данных синхронизироваться.
Ещё одна ошибка — слишком чувствительная настройка failover. Если разовый сетевой сбой или временное замедление вызывают срабатывание, пользователи будут часто переключаться между серверами и сессии будут ломаться. Поэтому в правилах failover задают повторение ошибки несколько раз или сохранение проблемы в течение определённого времени.
Sayt.uz практика
Для клиентов Sayt.uz услуга DNS Failover включена в бизнес-пакеты и стоит 240 000 сумов в год. За прошлый год у 47 из 340 клиентов, использующих эту услугу, основной сервер вышел из строя, и в среднем за 18 секунд трафик переключался на резерв. Конфигурация Active-Active входит в премиум-пакет за 650 000 сумов в год и фактически обязательна для интернет-магазинов. Сайты этих клиентов показали надёжность 99,97 процента за год, а потери продаж были минимальными.