DNS

CatchpointによるDNSパフォーマンスの正しい監視法

2022年3月29日
翻訳: 島田 麻里子

この記事は米Catchpoint Systems社のブログ記事 Monitoring DNS Performance The Right Way With Catchpointの翻訳です。
Spelldataは、Catchpointの日本代理店です。
この記事は、Catchpoint Systemsの許可を得て、翻訳しています。


DNS(Domain Name System)は、インターネットを動かすエンジンの核となるものです。

DNSの仕組みと、なぜDNSがインターネットの機能にとって重要なのかについては、「Synthetic Monitoring Guide」で解説しています。

DNSの解決は、DNSリゾルバ、ネームサーバ、権威サーバ、ゾーンファイルなど、様々なコンポーネントに依存して適切に機能し、通常、処理が完了するまでにミリ秒を要します。
ネットワークにエラーや問題が発生した場合、Webサイトの読み込みに時間がかかったり、アクセスできなくなることがあります。

DNSパフォーマンスを監視することで、DNS解決プロセスのために必要とされる洞察が得られ、遅延、マッピングの異常、およびアプリケーション配信チェーンにおける他のエンドユーザに影響を与える問題を特定することが可能になります。
また、DNSの監視は、DDoS攻撃や中間者攻撃などのサイバー攻撃時の第一線の防衛手段として機能することもできるのです。

監視プラットフォームが提供するDNS監視の種類や方法論には、いくつかの違いがあります。
これらの監視ソリューションはすべて「パフォーマンス」データを提供しますが、データをどこからどのように収集するかによって、DNSのパフォーマンス分析に大きな違いが生じます。
では、あなたが行うDNS監視は正しいやり方なのでしょうか?

データは正確か

DNSを監視する方法そのものに間違いはないのか、と思われるかもしれませんが、あります。
ある監視ベンダーが提供するDNSテストタイプの1つは、オープンDNSリゾルバを利用して可用性をチェックし、パフォーマンスを測定していたため、最近非推奨となりました。
パブリックまたはオープンDNSリゾルバを使用するこのようなDNS監視戦略は、いくつかの重要な指標を見落とします。

理想的な状況では、エンドユーザは最も近いサーバにリダイレクトされますが、パブリックDNSリゾルバが関与している場合、最適なマッピングを表すことはできません。

例えば、下の画像(図1)は、台湾(TW)にいるエンドユーザが、米国にあるCDNサーバにリダイレクトされる様子を示しています。
エンドユーザのクエリは米国のオープンDNSにヒットし、これに基づいてユーザの所在地が台湾ではなく米国であると判定されます。
最終的には、米国にあるCDNサーバから応答が提供されます。

その結果、遅延が大きくなり、パフォーマンスが低下します。

図1(出典:Akamai)
図1(出典:Akamai)

パブリックDNSリゾルバに依存するDNSテストタイプを使用して監視している場合、データは疑わしいです。
DNSのパフォーマンス、可用性、信頼性を正確に把握できるものではありません。

さて、ここで次の疑問が生じます。
DNSの監視戦略を効果的に行うにはどうしたらよいのでしょうか。

効果的なDNS監視

DNSは、複数のルーティングオプション(エニーキャストとユニキャスト)、パブリックリゾルバ、マルチDNS設定など、多層的で複雑な構成になっています。
監視戦略を定義する前に、組織で使用されているDNSアーキテクチャを理解することが重要です。

マネージドDNSサービスは、サービスプロバイダによって完全に管理・維持されるグローバルなインフラへのアクセスを提供するため、ほとんどの企業やビジネスで好まれているサービスです。
DNSプロバイダも、より高速な結果を得るためにエッジに移行しています。
CDNプロバイダはエンドユーザを最適なエッジサーバにマッピングし、インターネットサービスプロバイダはエンドユーザ体験を向上させるためにDNSの設定を操作するという、同様のプロセスを踏んでいます。

様々なDNSコンポーネント、サードパーティプロバイダ、DNS設定、マッピングの可能性は、デジタルエンドユーザの体験に大きな影響を及ぼします。
DNS監視戦略では、DNS解決プロセスの各ステップを可視化するために、これらのサードパーティの変数を考慮する必要があります。

DNS監視には、サーバー、ネットワーク、サービスなどの複雑な階層を効果的にトレースできる高度なツールが必要です。
DNSの監視で重要なポイントは3つです。

それぞれをテストする場合、DNSテストの仕組みを理解することが重要です。
説明した例に戻ると、テストはオープンなDNSリゾルバにクエリしているか?
もしそうなら、性能データは正確でない可能性があり、どんなデータ分析も無駄になってしまうでしょう。

DNSの解決は、エンドユーザ体験に即座に影響を与えることができるエンドユーザ・ジャーニーにおける重要なステップです。
安全でシームレスなデジタル体験を維持・保証するためには、DNSのパフォーマンスを積極的に監視することが必要です。
しかし、具体的にどのように監視しているのかを理解せずにDNSを積極的に監視しても、残念なデータ分析になるだけです。

効果的なDNSモニタリングのためには、収集したデータが正確であり、真のエンドユーザ体験を表すものであることが重要です。

Catchpointは、解決プロセス全体を複数の視点から完全に可視化するために、さまざまなDNSモニターを提供しています。
Catchpointのラストマイル・ノードとバックボーン・ノードにより、エンドユーザの視点からDNSのパフォーマンスを測定することができます。

DNSレコードが正しくマッピングされているかどうかの検証だけでなく、DNSリゾルバの監視や、特定のDNSリゾルバを上書きして公開DNSリゾルバを評価することも可能です。
また、DNSSECが正しく設定されていることを検証し、Trace Routeテストですべてのホップを分析することで、セキュリティを確保することができます。

DNSに関する動画シリーズでは、CatchpointによるDNS監視について詳しくご紹介しています。