aigw
DNS-Infrastruktur für Teams, die ausliefern

DNS, das zur Deploy-Pipeline passt.

Multi-Cloud-Failover, Canary-Releases, verwaltetes TLS, Einblicke pro Zone. Terraform zuerst. Pauschalpreis. Apps in AWS, GCP, Azure oder im eigenen Colo. Dem DNS sollte das egal sein.

Kostenlos starten Hostnamen kostenlos prüfen

Ohne Anmeldung, ohne Karte: Hostnamen einfügen und Hostnamen kostenlos prüfen: DNS, TLS, Sicherheit, Latenz, in Sekunden bewertet.

console.aigw.app
Health
98%
6 zones
Queries · 24h
1.2M
Certificates
4 valid
0 coverage gaps
Incidents
0
last 30 days
DNS und TLS in einem Schritt

Stellen Sie Let's-Encrypt-Zertifikate über DNS-01 aus und erneuern Sie sie automatisch dort, wo Sie Ihr DNS verwalten. Kein certbot, kein zweites Dashboard.

API-first, alles als Code

Jede Zone, jeder Record, jeder Pool und jede Policy ist ein REST-Aufruf, eine Terraform-Ressource und ein CLI-Befehl. Prüfen Sie DNS im PR; lassen Sie den Build fehlschlagen, wenn es nicht auflöst.

Hochverfügbarkeit für Ihre Apps mit GSLB

Überwachte Pools wechseln zwischen AWS, GCP, Azure oder Ihrer eigenen Hardware, bevor ein Kunde den Ausfall überhaupt bemerkt.

Sichtbarkeit und globale Skalierung

Einblicke pro Zone (häufigste Namen, Länderverteilung, Latenz-Perzentile, Ablehnungsgründe) bei weltweiter Propagation in unter einer Sekunde.

Mehr als einfaches DNS

Drei Dinge, die einfache A-Records nicht können

Ausfall
us-east-1 fällt aus
09:37:02 AWS bricht Verbindungen ab
09:37:09 Health Check schlägt fehl
09:37:09 Traffic wechselt zu us-west-2
09:37:10 Slack-Benachrichtigung
09:38:00 Kunden haben nichts gemerkt
Multi-Cloud
Eine App. Drei Clouds.
api.acme.com POOL · weighted
AWS · eu-west-1 40%
GCP · europe-west3 40%
Azure · westeurope 20%
Canary
v2 zuerst an 1 % ausliefern
v1
99%
v2
1%

Ein CANARY-Record steigert die Verteilung nach Zeitplan. Zurückrollen durch Zurücknehmen einer Änderung.

Eingebaut, nicht angeflanscht
Records wie Code ausliefern

Terraform-nativ. Zonen und Records in HCL verwalten, und den Apply scheitern lassen, wenn das DNS nicht wirklich auf das Deklarierte auflöst.

resource "aigw_record" "api" {
  zone_id = aigw_zone.acme.id
  name    = "api"
  type    = "A"
  ttl     = 60
  value   = "203.0.113.10"
}

resource "aigw_test_query" "api_resolves" {
  hostname        = "api.acme.com"
  record_type     = "A"
  expected_values = ["203.0.113.10"]
  depends_on      = [aigw_record.api]
}
Sehen, wer Ihre Zone abfragt

Top-Namen, Ländermix, Latenz-Perzentile, Ablehnungsgründe. Pro Zone, in jedem Tarif enthalten. Kein Log-Versand, keine separate Abrechnung.

Top names · 24h
api.acme.com 62%
www.acme.com 28%
cdn.acme.com 10%
🇺🇸 41% 🇩🇪 22% p95 24ms
Firewall auf DNS-Ebene

Anfragen nach Quell-IP, Land oder Typ ablehnen. Stoppt ANY/AXFR-Amplification. Sperrt interne Zonen auf Firmen-Adressbereiche. Pro Zone, ohne WAF.

Zone policy
country not in [US, DE] REFUSE
qtype = ANY REFUSE
185.220.101.0/24 REFUSE
185.220.101.7 · ANY → REFUSED
TLS ohne Aufwand

Ihr DNS weiß bereits, was zu schützen ist

Verwalten Sie Ihr TLS dort, wo Sie Ihr DNS verwalten, das Beste aus beiden Welten. Weil aigw beides betreibt, kann es etwas, das eine isolierte Zertifizierungsstelle nicht kann: Ihnen genau sagen, welche Namen ohne TLS exponiert sind, und das beheben.

Mit einem Klick ausstellen

Let's-Encrypt-Zertifikate über DNS-01. Kein certbot, keine manuellen TXT-Records. Der private Schlüssel wird in Ihrem Browser (oder lokal per CLI) erzeugt und erreicht uns nie.

acme.com
valid · issued via DNS-01
Erneuert sich selbst

Jedes Zertifikat wird verfolgt und vor Ablauf erneuert, mit Warnungen bei 30/14/7 Tagen über Ihre bestehenden Slack-/Webhook-/E-Mail-Kanäle. Keine Ablauf-Alarme um 2 Uhr nachts.

expires in 14d auto-renew
alerts 30d14d7d
Findet die Lücken

Der Abdeckungs-Detektor listet jeden Namen, der auf eine öffentliche IP auflöst, aber kein Zertifikat hat, der blinde Fleck, den Sie sonst erst in der Produktion entdecken.

api.acme.com ✓ covered
www.acme.com ✓ covered
legacy.acme.com ✗ no cert
Als Code verwalten

Ein Provider, jeder Teil Ihres DNS

Ein einziger Terraform-Provider für Zonen, Records, GSLB-Pools, Health-Monitore, Sicherheitsrichtlinien, Benachrichtigungskanäle und TLS-Zertifikate. Kein zweiter Cert-Provider, keine DNS-01-Verkabelung, kein separater ACME-Runner.

main.tf 
terraform {
  required_providers {
    aigw = {
      source  = "doon-io/aigw"
      version = "~> 0.1"
    }
  }
}

resource "aigw_zone" "acme" {
  name = "acme.com"
}

resource "aigw_pool" "api" {
  name             = "api-backends"
  selection_method = "weighted"
}

resource "aigw_record" "api" {
  zone_id = aigw_zone.acme.id
  name    = "api"
  type    = "POOL"
  ttl     = 60
  pool_id = aigw_pool.api.id
}

resource "aigw_cert" "api" {
  names = ["api.acme.com"]
}

Zonen, Records und der GSLB-Pool, der den Traffic darauf bedient, in einem Apply.

TLS-Zertifikate im selben Plan ausstellen und erneuern wie die Records, die sie abdecken. aigw löst DNS-01 gegen die Zone, die es bereits besitzt.

Drift-Erkennung ist real: sie vergleicht, was aigw tatsächlich ausliefert, nicht das, was ein Registry-Eintrag vermutet.

Provider im Terraform Registry → Terraform-Docs →
Ehrlicher Vergleich

Vergleich

Welches Routing dabei ist. Wie schnell Änderungen propagieren. Wie viele Posten am Ende auf der Rechnung stehen.

aigw Cloudflare DNS Route 53 NS1
Failover (Aktiv-Passiv-Pool) Enthalten Load-Balancer-Add-on Health Checks ($) Enthalten (Pro+)
Gewichteter Pool Enthalten Load-Balancer-Add-on Enthalten Enthalten (Pro+)
Geo-Routing Enthalten Load-Balancer-Add-on Enthalten Enthalten (Pro+)
CANARY-Record (zeitgesteuert) Enthalten Nein Nein Nein
Echtzeit-Propagation Unter einer Sekunde ~Sekunden ~60s ~Sekunden
Live-Dig aus der Oberfläche Ja Nein Nein Nein
Webhook bei Flapping Signiertes HMAC Über Workers Über CloudWatch + SNS Ja
Komplettes GSLB-Routing im ersten Bezahltarif 29 $ / Mon. Load-Balancer-Tarif Pro Record + Health Check Pro-Stufe
Vollständiger Route-53-Vergleich → Vollständiger Cloudflare-Vergleich → Vollständiger NS1-Vergleich →

Zuletzt geprüft Mai 2026. Preisseiten ändern sich; prüfen Sie deren Seite vor der Entscheidung.

Pauschal und planbar

Preise

Bezahltarife enthalten alle GSLB-Routing-Typen (Failover, gewichtet, Geo, Canary) plus Health Checks. Keine Add-ons.

Kostenlos
Ausprobieren. Echte Domain hosten.
0 $
  • 1 Zone, 100 Records
  • 100k Anfragen / Monat
  • Standard-Record-Typen
  • GSLB-Pools in Bezahltarifen
Kostenlos starten
Beliebt
Pro
Wenn Verfügbarkeit zählt.
$29 / Monat
  • 25 Zonen, je 500 Records
  • 1 Mio. Anfragen / Monat
  • GSLB-Pools + Health Checks
  • Slack- + Webhook-Alarme
  • Terraform, API, MFA, Audit-Log
Pro starten
Enterprise
Wenn der Einkauf mitredet.
Sprechen Sie uns an
  • Anfragevolumen + SLA
  • SSO + Audit-Export
  • AVV + individuelle Verträge
  • Dedizierte Engines
Vertrieb kontaktieren

Integrieren Sie es in Ihren bestehenden Stack

Konsole, REST-API, Terraform, CLI: dasselbe DNS, egal wofür Sie sich entscheiden. Records liegen in der Versionsverwaltung, der Apply schlägt fehl, wenn das DNS nicht das auflöst, was Sie deklariert haben, und jede Zone lässt sich als Standard-BIND-Datei exportieren, sobald Sie es möchten. In Minuten startklar. Keine Bindung, niemals.

Doku lesen Von Route 53 migrieren Schnellstart

Noch nicht bereit für die Anmeldung? Sprechen wir.

Migration von Route 53 oder NS1, Evaluierung im Team oder einfach Produkt-Updates? Hinterlassen Sie Ihre E-Mail. Ein Mensch antwortet, kein Spam.

Ihre E-Mail, nur um zu antworten. Sonst nichts.

Häufige Fragen

Nicht dabei? hello@aigw.app

Wie migriere ich von Route 53, ohne Anfragen zu verlieren?

Legen Sie die Zone zuerst in aigw mit denselben Records an. Senken Sie den TTL Ihrer bestehenden Zone einen Tag vorher auf ~60s, damit Resolver schnell aktualisieren. Zeigen Sie dann die NS-Records Ihres Registrars auf ns1.aigw.app und ns2.aigw.app. Beide Nameserver-Sätze liefern während der Überschneidung identische Antworten; sobald die alten TTLs ablaufen, sind Sie vollständig auf aigw.

Brechen meine bestehenden TTLs etwas?

Nein. aigw respektiert den TTL, den Sie je Record setzen. Standard ist 300s. Gehen Sie auf 30s für schnelles Failover oder auf einen Tag für unveränderliche Records. Record-Änderungen erreichen unsere Edge in deutlich unter einer Sekunde; der TTL begrenzt nur nachgelagerte Resolver, nicht uns.

Was ist mit DNSSEC?

Ja. DNSSEC-Signierung lässt sich pro Zone mit einem Klick aktivieren. aigw verwendet ECDSA P-256 (Algorithmus 13) und signiert online an der Edge, sodass GSLB-, GEO-, CANARY- und ANAME-Antworten ohne Zusatzkonfiguration korrekt signiert werden. Wir veröffentlichen den DS am Apex, damit Sie ihn bei Ihrem Registrar eintragen, führen ZSK-Pre-publish-Rollovers automatisch durch und schützen Deaktivierungen mit einem überwachten Ablauf, der wartet, bis der Parent-DS tatsächlich aus den Caches verschwunden ist, bevor wir die Signierung beenden, sodass Resolver nie SERVFAIL sehen. Der KSK-Rollover ist assistentengeführt (Double-DS, RFC 6781 §4.1.2). Details siehe DNSSEC-Doku.

Funktioniert aigw mit meinem Registrar?

Ja. aigw ist Ihr autoritatives DNS; der Registrar zeigt nur darauf. Einzige Voraussetzung ist, eigene NS-Records für Ihre Domain setzen zu können. Das unterstützt jeder Registrar. Ihre Domain bleibt, wo sie ist.

Kann ich meinen Apex (Root-Domain) auf einen Hostnamen zeigen lassen?

Ja, verwenden Sie einen ANAME-Record am Apex. aigw löst den Ziel-Hostnamen auf und liefert die resultierenden A/AAAA-Adressen direkt aus, sodass example.com auf den DNS-Namen eines Load Balancers zeigen kann, der nur einen Hostnamen veröffentlicht. Sub-Domains können einen normalen CNAME nutzen.