DNS 的 TTL 设置多少才不会影响切换速度 TTL 这个参数看起来很小，实际切换业务时经常卡在这里。域名解析已经改了，权威 DNS 也返回新 IP 了，但用户还是访问老 IP；监控看新节点正常，客服那边还在收到部分地区打不开的反馈。这个现象大多数时候不是 DNS 没生效，而是递归 DNS、客户端、浏览器、运营商缓存还没过期。 TTL 不是“解析多久生效”的开关，它的意思是：递归 DNS 拿到这

DNS 的 TTL 值设太短，会不会把解析服务器压垮 TTL 设短以后，DNS 查询量一定会上升，这个判断没问题。但会不会把解析服务器压垮，要看压的是哪一层：用户本地缓存、运营商递归 DNS、公共 DNS，还是你的权威 DNS。 实际使用中发现，很多人讨论 TTL 的时候容易把“用户每访问一次网站就查一次权威 DNS”当成前提，这个前提不太准确。正常链路是：用户设备先问本地 DNS 缓存，没命中再

DNS 的 CAA 记录不配置，对 SSL 证书自动签发到底有没有影响 实际使用中经常会遇到一个问题：域名接入了 CDN、负载均衡、对象存储、自建 Nginx，HTTPS 自动证书也开了，但证书签发偶尔失败。排查 DNS、HTTP-01、DNS-01、IPv6、回源端口之后，有人会问一句：是不是没配 CAA 记录导致的？ 答案要分清楚：CAA 记录不配置，通常不会阻止 SSL 证书自动签发。大多数

DNS污染和DNS劫持怎么排查 线上遇到“域名打不开”，很多人第一反应是服务器挂了、网站程序挂了、机房线路炸了。实际排查里，DNS这一层经常被低估。尤其是业务有海外节点、回国访问、游戏登录服、API域名、支付回调域名时，DNS异常会表现得很像网络故障，但抓细一点会发现，TCP还没开始，域名解析结果已经不对了。 DNS污染和DNS劫持看起来都叫“解析异常”，但排查方向不一样。污染更多是解析链路里返回

DNS服务器是什么 DNS Server，直白一点说，就是把域名解析成 IP 地址的系统。人访问网站习惯输入 www.example.com，服务器之间通信靠的是 1.1.1.1、8.8.8.8、203.0.113.10 这种 IP。DNS 做的事情就是中间翻译。 实际使用中发现，很多故障表面看是网站打不开、接口超时、证书异常，排查到后面其实是 DNS 解析不对、缓存没刷新、运营商递归 DNS 污

DNS劫持怎么防，先把问题分清楚 DNS劫持这事在生产环境里经常被混着说。用户访问域名，结果跳到广告页、钓鱼页、运营商提示页，或者解析到一个莫名其妙的 IP，很多人第一反应就是“DNS被劫持了”。但真排查时，可能发生在本机、路由器、运营商递归 DNS、公共 Wi-Fi、企业出口网关，也可能是域名账号被盗、权威 DNS 配置被改。 实际使用中发现，很多故障不是服务器被入侵，而是解析链路中间某一段不可

DNS分地区解析配错了会造成什么后果，怎么快速回滚 DNS分地区解析看起来只是把不同地区用户解析到不同IP，实际出问题时影响会很直接。国内用户被解析到美国节点，香港用户被解析到大陆源站，海外用户被解析到防火墙没放行的高防IP，这类事故在云上并不少见。 实际使用中发现，DNS分地区解析最容易被低估的地方不是“解析错了”，而是“错了以后缓存还在”。权威DNS上改回来了，不代表用户马上恢复。递归DNS、

DNS分地区解析配错了会导致哪些业务异常 DNS分地区解析看起来只是把“广东用户解析到华南节点”“海外用户解析到新加坡节点”“北方用户解析到北京或天津节点”，配置界面也不复杂。但实际使用中发现，很多业务异常不是服务器挂了，也不是代码发布出问题，而是DNS线路、地域、运营商策略配错后，把用户带到了不该去的入口。 这种问题最麻烦的地方在于：不是全站不可用，而是部分地区、部分运营商、部分客户端异常。监控

DNS分地区解析配错了，会不会把海外流量全导进国内机房 会，而且线上见过。不是那种理论上存在、实际很难发生的情况，而是配置规则顺序、默认线路、Geo库识别、递归DNS缓存叠在一起后，海外用户真的可能被解析到国内IP。 但这里要拆开看：DNS分地区解析不是按“用户本人在哪”来判断，多数时候是按递归DNS的出口IP来判断。用户在新加坡，用了某个国内公共DNS，权威DNS看到的可能就是国内递归节点；用户

DNS分地区解析配错，海外用户会不会全部回源到国内节点 会，而且线上真见过。更准确地说，不是“海外用户”这个标签本身被DNS识别错了，而是权威DNS根据递归DNS、EDNS Client Subnet、默认线路、CNAME链路等信息做判断时，把一批海外请求导到了国内A记录或国内CDN源站。结果表现出来就是：海外访问延迟突然从几十毫秒变成两三百毫秒，部分地区还会出现TLS握手慢、图片加载断断续续、A