DNS — Doménový systém a jeho správa
DNS (Domain Name System) prekladá doménové mená na IP adresy. Keď napíšeš google.com, DNS ti povie, že server je na 142.250.x.x. Bez DNS by internet fungoval len s IP adresami.
Ako funguje DNS?
DNS je hierarchický distribuovaný systém. Dotaz prechádza cez viacero úrovní:
- Lokálna cache — prehliadač, OS
- Recursive resolver — ISP alebo 8.8.8.8 / 1.1.1.1
- Root nameserver — 13 root serverov celosvetovo
- TLD nameserver — .com, .sk, .io
- Authoritative nameserver — finálna odpoveď pre konkrétnu doménu
Celý proces trvá milisekundy vďaka cachingu na každej úrovni.
Typy DNS záznamov
| Záznam | Účel | Príklad |
|---|---|---|
| A | IPv4 adresa | example.com → 93.184.216.34 |
| AAAA | IPv6 adresa | example.com → 2606:2800:... |
| CNAME | Alias na inú doménu | www → example.com |
| MX | Mailový server | 10 mail.example.com |
| TXT | Textové záznamy (SPF, DKIM, verifikácia) | v=spf1 include:_spf.google.com ~all |
| NS | Nameserver pre doménu | ns1.cloudflare.com |
| SRV | Service discovery | _sip._tcp.example.com |
| CAA | Autorizácia CA pre certifikáty | 0 issue "letsencrypt.org" |
Praktické použitie a troubleshooting
# Základný DNS lookup
dig example.com
dig example.com +short
# Dotaz na konkrétny typ záznamu
dig example.com MX
dig example.com TXT
# Dotaz na konkrétny nameserver
dig @8.8.8.8 example.com
# Trace celej DNS cesty
dig +trace example.com
# Reverzný lookup
dig -x 93.184.216.34
# nslookup (jednoduchší)
nslookup example.com
host example.com
Propagácia DNS
Zmena DNS záznamu sa neprejaví okamžite. TTL (Time To Live) určuje, ako dlho resolvre cachujú odpoveď:
- Pred migráciou — znížiť TTL na 60s minimálne 48h vopred
- Po zmene — čakať, kým expiruje starý TTL
- Overenie propagácie —
dig @rôzne-dns-serveryalebo online nástroje ako whatsmydns.net
DNSSEC
DNSSEC pridáva digitálne podpisy k DNS záznamom, čím zabraňuje DNS spoofingu:
# Overenie DNSSEC
dig example.com +dnssec
dig example.com DS
# DNSSEC validácia
delv example.com
Väčšina DNS providerov (Cloudflare, Route53) podporuje DNSSEC jedným klikom.
Best Practices
- Nízky TTL pred zmenami — 60-300s, potom zvýšiť späť na 3600+
- Vždy nastav CAA záznamy — obmedz, kto môže vydať certifikát
- SPF + DKIM + DMARC — ochrana pred email spoofingom
- Používaj viac nameserverov — minimálne 2, ideálne od rôznych providerov
- Monitoruj DNS — alerting na zmeny záznamov, expiráciu domén
- Dokumentuj DNS záznamy — IaC (Terraform) > manuálne klikanie v paneli
DNS je neviditeľný, ale keď zlyhá, nefunguje nič. Pochop ho, rešpektuj TTL a automatizuj správu.