ix.Cloud Edge
Service-Beschreibung: Public DNS Service ix.Cloud Edge
Der Public DNS Service ist Teil des Internet-Perimeters ix.Cloud Edge und ermöglicht die autoritative Namensauflösung öffentlicher Zonen. Die Zonen-Verteilung erfolgt global über ein Anycast Network. Der Service erfüllt regulatorische Vorgaben (revDSG / FINMA) durch lokalisierte Datenhaltung und revisionssichere Prozesse.
Der Service steht ausschliesslich im SLA Rhodium zur Verfügung und muss via "Generic Request" bestellt werden.
Service Architektur
Die Verwaltung der Zonendaten erfolgt zentral auf der Inventx-Infrastruktur über einen nicht aus dem Internet erreichbaren Server (Hidden-Primary). Die Beantwortung der weltweiten DNS-Anfragen wird über ein vorgeschaltetes Anycast Network ausgeliefert.
Diese verteilte Architektur eliminiert Single Points of Failure und reduziert Latenzen.
Service Umfang
| Leistungsmerkmal | SLA Rhodium |
|---|---|
| Initiales Setup | ◼ |
| Hidden-Primary Architektur | ◼ |
| Anycast Zonen-Verteilung | ◼ |
| GeoLoad-Balancing | ◼ |
| Security (DNSSEC & RPC Listen) | ◼ |
| Revisionssicherheit & Compliance | ◼ |
(◼ = Im Standard-Service enthalten, ◻ = Projektbasierte / Einmalige Leistung)
Service Optionen
Die folgenden Leistungselemente definieren den Service und seinen Betrieb:
Initiales Setup
Die initiale Spezifikation, Konfiguration sowie die Migration bestehender öffentlicher Zonen erfolgen im Rahmen eines initialen Setups in Zusammenarbeit mit dem Kunden.
Hidden-Primary & Zonen-Verteilung
Die Zonenverwaltung erfolgt auf einem internen Primärserver (Hidden-Primary) zur Reduzierung der Angriffsfläche. Die Verteilung der Zonen-Informationen an Clients erfolgt ausschliesslich über das Anycast Network. Souveräner Fallback läuft über den Hidden-Primary.
GeoLoad-Balancing
DNS-Anfragen können dynamisch an Internet-Endpunkte über verschiedene Standorte hinweg delegiert werden. Dies umfasst ix.Cloud-Standorte sowie angebundene Public Cloud Provider zur verteilten Lastensteuerung.
Security & Administration
- DNSSEC: Kryptografische Absicherung der DNS-Antworten gegen Manipulation.
- RPC Listen: Einspielen von Response Policy Zones zur aktiven Filterung und Steuerung von Namensauflösungen.
- Administration: Zonenverwaltung strikt nach dem Vier-Augen-Prinzip inklusive revisionssicherer Auditierung.
Unterstützte Record-Typen
Für die öffentlichen Zonen (Forward-Mapping) werden folgende DNS-Records unterstützt:
| Record Typ | Forward-Mapping | Reverse Mapping | Einsatzzweck / Beschreibung |
|---|---|---|---|
| A Record | ◼ | Auflösung eines Hostnamens in eine IPv4-Adresse. | |
| AAAA Record | ◼ | Auflösung eines Hostnamens in eine IPv6-Adresse. | |
| CNAME Record | ◼ | Alias-Eintrag, der einen Hostnamen auf einen anderen verweist. | |
| MX Record | ◼ | Definition der zuständigen Mailserver für den E-Mail-Empfang der Domain. | |
| NS Record | ◼ | Definition der zuständigen Nameserver für eine Zone oder Subzone (Delegierung). | |
| PTR Record | ◼ | Auflösung einer IP-Adresse in einen Hostnamen (Reverse-Mapping), häufig genutzt zur Verifizierung von Mailservern zur Spam-Vermeidung. | |
| SRV Record | ◼ | Definition der Erreichbarkeit spezifischer Dienste (inkl. Port und Protokoll). | |
| TXT Record | ◼ | Hinterlegung von Textinformationen, häufig genutzt für Sicherheits- und Verifizierungszwecke (z. B. SPF, DKIM, DMARC). | |
| CAA Record | ◼ | Festlegung, welche Zertifizierungsstellen (CAs) berechtigt sind, TLS/SSL-Zertifikate für die Domain auszustellen. |