Procedimento de Cutover DNS Blue–Green

Visão Geral

Este capítulo descreve o procedimento padronizado utilizado pela Planisys para substituir servidores DNS existentes (autoritativos ou recursivos) utilizando um modelo de Blue–Green Deployment.

Este método garante:

  • Zero modificações diretamente nos servidores DNS de produção.

  • Validação completa pré-implantação em um servidor secundário.

  • Uma mudança determinística, reversível e auditável.

  • Um mecanismo que funciona sobre qualquer plataforma de virtualização.

  • Rollback imediato ligando novamente o nó anterior.

  • Total conformidade com os requisitos de ITIL, ISO-27001, SOC2 e NIS2.

O procedimento foi explicitamente projetado para ambientes heterogêneos de clientes onde a stack de virtualização subjacente é desconhecida ou varia entre localidades.

Terminologia

  • Blue Server — o servidor DNS de produção atualmente ativo.

  • Green Server — o novo servidor Debian 13 preparado para substituir o servidor Blue.

  • Cutover — o momento em que o servidor Green se torna autoritativo ao assumir o endereço IP de produção.

  • Rollback — retorno ao servidor Blue em caso de comportamento inesperado.

Esse modelo elimina riscos associados a upgrades in-place e garante continuidade de serviço.

Por que Blue–Green para DNS?

A infraestrutura DNS é especialmente sensível a:

  • configuration drift

  • inconsistências de versões de pacotes

  • modificações em sistemas em produção

  • atualizações parcialmente aplicadas

Ao preparar paralelamente um servidor Green totalmente funcional, reduzimos o risco a praticamente zero:

  • Nenhuma alteração é aplicada ao servidor Blue em produção.

  • Os operadores podem validar a nova stack antes dela atender tráfego.

  • O rollback requer apenas desligar o Green e ligar o Blue.

  • Nenhum cliente DNS precisa atualizar qualquer configuração.

  • Glue records, ACLs de allow-transfer, chaves TSIG, políticas RPZ, delegações reversas e monitoramento permanecem válidos.

Essa abordagem é totalmente defensável em qualquer auditoria ITIL, ISO-27001, SOC2 ou NIS2 devido à sua natureza previsível, reversível e bem documentada.

Implantação Agnóstica de Virtualização

Um requisito central deste projeto é que a implantação não dependa de:

  • VMware

  • Proxmox

  • KVM

  • Hyper-V

  • Nutanix

  • OpenStack

  • Plataformas cloud (AWS, Azure, GCP)

  • Ambientes bare metal

A estratégia Blue–Green alcança completa agnosticidade de virtualização porque a única operação obrigatória durante o cutover é:

Trocar os endereços IP entre os servidores Blue e Green.

Todo hypervisor, em qualquer datacenter ou provedor cloud, pode executar:

  • Desligamento da VM

  • Reatribuição de endereço IP da VM

  • Inicialização da VM

Nenhuma capacidade adicional é necessária.

Isso torna o método ideal para ambientes onde:

  • os detalhes de virtualização não são divulgados, ou

  • a virtualização difere entre áreas geográficas, ou

  • o controle de mudanças proíbe manipulação direta dos recursos da VM.

Estratégia de Cutover

O cutover Blue–Green consiste em cinco fases.

Fase 1 — Provisionamento do Servidor Green

  1. O cliente provisiona uma VM base Debian 13 a partir de um template.

  2. O cliente clona a VM próxima de cada servidor DNS legado programado para substituição.

  3. A Planisys conecta-se e aplica o papel de autoritativo ou resolver utilizando Ansible.

  4. O servidor Green é construído para atender aos requisitos de produção.

Neste ponto:

  • O servidor Blue permanece ativo.

  • Nenhuma interrupção de serviço ocorre.

  • Nenhuma configuração é alterada no servidor de produção.

Fase 2 — Validação Pré-Cutover

Antes que o novo nó seja ativado, realizamos:

  • Verificação de sintaxe com named-checkconf

  • Auto-testes do resolver DNS (servidores recursivos)

  • Testes de consistência de zone-transfer e SOA (servidores autoritativos)

  • Testes de validação DNSSEC

  • Aplicação de políticas RPZ

  • Verificações de logs

  • Testes de integração de monitoramento

Somente quando o nó Green passa completamente pela validação ele se qualifica para o cutover.

Fase 3 — Desligamento Coordenado

Durante a janela de mudança aprovada:

  1. Desligar o servidor Blue.

  2. Desligar o servidor Green.

Isso evita conflitos de IP durante a reatribuição.

Fase 4 — Troca de IP e Ativação

Este é o passo-chave do modelo Blue–Green:

  1. Reatribuir o endereço IP de produção do servidor Blue para o servidor Green.

  2. Iniciar apenas o servidor Green.

Como o DNS depende fortemente de IPs estáveis para:

  • Glue records

  • ACLs de allow-transfer

  • Listas de notify

  • Relacionamentos TSIG

  • Sistemas de monitoramento

  • Configurações de resolver embutidas nos endpoints

Manter o mesmo IP garante continuidade total.

Esse mecanismo de troca funciona independentemente do sistema de virtualização, porque todo hypervisor suporta:

  • desligamento

  • alterações de configuração IP

  • ligamento

Nenhuma API específica de cloud ou automação proprietária é necessária.

Fase 5 — Testes Pós-Cutover

Após o nó Green tornar-se ativo:

  • Testes de consultas (internas/externas)

  • Verificações DNSSEC

  • Aplicação de RPZ

  • Confirmação de AXFR/IXFR (autoritativo)

  • Verificações de recursão (resolver)

  • Integração de monitoramento e alertas

  • Verificação de logs

Uma vez que os testes sejam aprovados, a mudança é considerada bem-sucedida.

Plano de Rollback

O rollback é simples, imediato e sem riscos:

  1. Desligar o servidor Green.

  2. Reatribuir o endereço IP original ao servidor Blue.

  3. Ligar o servidor Blue.

  4. Notificar as partes interessadas.

Nenhum dado é perdido. Nenhuma configuração é alterada no servidor Blue em nenhum momento.

Defensabilidade em Auditorias

Este procedimento é totalmente defensável em ambientes regulados ou auditados:

  • ITIL — Atende aos requisitos de Change Enablement, Release Management e Configuration Management.

  • ISO-27001 — Garante mudança controlada, documentação, rastreabilidade, rollback e impacto minimizado.

  • SOC2 — Demonstra disciplina de mudanças, testes, reprodutibilidade e integridade operacional.

  • NIS2 — Alinha-se com operações seguras, resiliência de infraestrutura e mitigação de riscos.

Os auditores apreciam especialmente:

  1. A ausência de modificações in-place.

  2. Um plano determinístico passo a passo.

  3. Um rollback claramente definido.

  4. Evidências de testes antes e depois da mudança.

  5. Nenhuma dependência de plataformas específicas de virtualização.

Resumo

O procedimento de cutover DNS Blue–Green fornece:

  • Risco mínimo

  • Zero downtime

  • Reprodutibilidade total

  • Rollback instantâneo

  • Operação agnóstica de virtualização

  • Total conformidade com os principais frameworks de auditoria

É o método mais seguro e eficiente para substituir servidores DNS em múltiplas geografias onde o hypervisor subjacente varia ou é desconhecido.