Sekundäres DNS

Funktionsweise eines sekundären DNS

Der sekundäre DNS-Service enthält eine Kopie von Zonendaten und Datensatzdaten des primären DNS-Providers. Sie können den primären Provider konfigurieren, um eine Benachrichtigung an den sekundären Provider zu senden, wenn Zonendatensätze geändert werden. Nach dem Erhalt einer Benachrichtigung fordern die sekundären Provider den aktualisierten Zoneninhalt vom konfigurierten primären Provider an. Dieser Prozess wird als Zonenübertragung bezeichnet.

DNS-Resolver fragen die Name Server des Providers nach dem Delegationspfad in einem Round-Robin-Modus über die Domains ab. Wenn Sie an beide Provider delegieren ("Dual Delegation"), können DNS-Resolver bei der Auflösung eines Namens einen der beiden Provider verwenden und für den Fall, dass ein Provider ausfällt, Redundanz bereitstellen. Wenn Sie nur an den sekundären Provider delegieren, wird der primäre Name Server als "verborgene" primäre Instanz behandelt. Der primäre Name Server verwaltet die Informationsquelle für die Zonensätze, mit denen die sekundäre Zone Abfragen beantwortet.

Um eine doppelte Delegation einzurichten, bei der beide Sets von Nameservern für eine Zone angegeben sind, aktualisieren Sie zunächst den Registrar oder die übergeordnete Zone, um die Downstream-Nameserver zum NS rrset für die Zone hinzuzufügen. Sie müssen keine weiteren Maßnahmen ergreifen. DNS-Resolver entscheiden, welcher Provider beim Auflösen eines Namens verwendet werden soll.

Egress von Oracle Cloud Infrastructure DNS zu einem externen DNS-Provider

Wenn Sie eine primäre DNS-Zone in OCI DNS erstellen, können Sie einen oder mehrere externe Downstreamserver angeben. Die Downstreamserver werden über Änderungen benachrichtigt und fordern dann Zonentransfers an. Die angegebenen Nameserver können auch Übertragungsanforderungen an die primären Oracle-Nameserver ausgeben. Sie können Nameserver angeben, die von verschiedenen Anbietern verwaltet werden.

Ingress von einem externen DNS-Provider zu Oracle Cloud Infrastructure DNS

Nachdem Sie eine sekundäre DNS-Zone in einem externen DNS-Provider erstellt haben, können Sie einen oder mehrere OCI-DNS-Downstreamserver angeben. Die nachgelagerten OCI-Server werden vom primären externen Provider über Änderungen benachrichtigt und fordern anschließend Zonentransfers an. Die angegebenen Nameserver können auch Übertragungsanforderungen an die externen primären Nameserver ausgeben. Sie können Downstreamserver für externe Zonen angeben, die von verschiedenen Anbietern verwaltet werden.

Sekundäre Zonen in OCI DNS sind aktiv-aktiv. Das bedeutet, dass die sekundäre Zone "immer aktiv" ist und Antworten auf Abfragen wie eine normale Zone liefert. Obwohl der primäre Provider als Informationsquelle für die Datensätze der sekundären Zone dient, ist der sekundäre Provider dennoch für die Zone autoritativ.

TSIG-Schlüssel verwenden

Optional können Sie das sekundäre OCI-DNS für die Verwendung von TSIG-Schlüsseln konfigurieren. TSIG (Transaktionssignatur), auch als Secret-Key-Transaktionsauthentifizierung bezeichnet, fügt den DNS-Paketen mittels Shared-Secret-Schlüsseln und einseitigem Hashing eine kryptografische Signatur hinzu und stellt dadurch sicher, dass die DNS-Pakete von einem autorisierten Absender stammen. TSIG-Schlüssel ermöglichen, dass DNS Updates für sekundäre Zonen authentifizieren kann. Sie können TSIG-Schlüssel sowohl für sekundären Ingress- als auch für sekundären Egress-DNS konfigurieren.

Erstellen Sie TSIG-Schlüssel, bevor Sie eine Zone mit externen Mastern oder externen Downstreamservern erstellen oder aktualisieren, die diese verwenden. Weitere Informationen finden Sie unter TSIG-Schlüssel verwalten.

Sekundäres DNS überwachen

Mit diesen Metriken können Sie Benachrichtigungen konfigurieren, mit denen Sie wissen, ob sekundäre DNS-Zonen funktionieren.

Beispiel: Sie können einen Alarm basierend auf der Anzahl der nicht erfolgreichen Zonenübertragungen für eine Zone konfigurieren (ZoneTransferFailureCount). Anschließend können Sie eine Benachrichtigung konfigurieren, die Abonnenten eine Nachricht sendet, wenn der Alarm ausgelöst wird. Sie können Nachrichten über verschiedene Protokolle senden, einschließlich E-Mail, Slack oder SMS.

So wird diese Benachrichtigung eingerichtet:

1. Alarm erstellen, der durch Überschreiten einer angegebenen Anzahl von Zonentransferfehlern ausgelöst wird Geben Sie den Namespace als oci_dns und den Metriknamen als ZoneTransferFailureCount an.

   Setzen Sie den Triggerregeloperator auf greater than, und geben Sie die Fehleranzahl an, die während des Intervalls die Toleranz überschreitet.

   Hinweis
   
   Wenn Sie einen Alarm für Zone Transfer Failure Count konfigurieren, achten Sie darauf, den Wert der Aktualisierungsrate in der SOA der sekundären Zone sorgfältig zu berücksichtigen. Die Bildwiederholrate variiert von 1200 bis 43200 Sekunden. Beispiel: Wenn der Aktualisierungsratenwert kurz ist, das Alarmintervall jedoch hoch ist, können Sie viele doppelte Alarmbenachrichtigungen erhalten.

   Um eine Benachrichtigung für den Alarm abzurufen, geben Sie ein Thema an, an das der Alarm gesendet werden soll. Sie können in diesem Workflow gegebenenfalls ein neues Thema erstellen.

2. Erstellen Sie ein Abonnement für das Thema

   Um eine Benachrichtigung für einen Alarm zu erhalten, abonnieren Sie das Thema, an das Sie den Alarm in Schritt 1 gesendet haben. Sie können das Abonnement so konfigurieren, dass es an verschiedene Protokolle wie E-Mail, Slack oder SMS gesendet wird. Sie können eine E-Mail-Liste angeben oder einzelne Abonnements mit einer einzelnen Adresse erstellen.

   Hinweis
   
   Wenn Sie mehr als 60 Alarmnachrichten in einer Minute erwarten, können Sie den Alarm an den Streaming-Service senden und einen Stream empfangen.

Eine detaillierte Beschreibung der von DNS ausgegebenen Metriktypen finden Sie unter DNS-Metriken.

Einschränkungen und Überlegungen

• Stellen Sie sicher, dass sekundäre Nameserver eine Verbindung zu primären Providern herstellen können und dass sie Zonentransfers zu den IP-Adressen des sekundären Nameservers unterstützen. In Fällen, in denen OCI der sekundäre DNS-Provider (Ingress) ist, stellen wir Ihnen eine Liste der Hostserver-IPs zur Verfügung, an die die primären Nameserver Zonendateien übertragen können. In Fällen, in denen der sekundäre DNS-Provider extern (Egress) ist, können Sie die IP-Adressen vom Provider abrufen.
• Wenn ein externer primärer Provider Zonen mit DNSSEC signiert, werden die Signaturen mit den Zone-Datensätzen übertragen. OCI gibt keine DNSSEC-signierten Zonen aus, unterstützt jedoch extern signierte DNS-Zonen. Damit DNSSEC-Datensätze als sekundär an OCI DNS übertragen werden können, muss die externe primäre Zone eine signierte Zone übertragen. Wenn die externe primäre Person nur Inline-Signatur ausführt, sind DNSSEC-Datensätze nicht in der Übertragung enthalten.
• Von einem primären DNS-Provider bereitgestellte erweiterte Features werden im sekundären DNS nicht unterstützt. Diese Anweisung gilt sowohl für den sekundären Ingress für OCI-DNS als auch für den sekundären Egress für einen externen Provider. Beispiele für erweiterte Features sind Steuerungs-Policys für OCI Traffic Management, Round-Robin-Balancing oder ALIAS.