Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Domainnamensystem BIND9 in Oracle Cloud Infrastructure konfigurieren

Einführung

OraStage ist ein führendes Unternehmen im Energiesektor, das sich auf Lösungen für erneuerbare Energien und innovative Energietechnologien spezialisiert hat. Das Unternehmen kündigte eine strategische Entscheidung an, seine Workloads auf Oracle Cloud Infrastructure (OCI) zu migrieren, um Performance, Skalierbarkeit und Sicherheit zu verbessern.

Unter Berücksichtigung der spezifischen Anforderungen und Bedingungen, die OraStage dargelegt hat, benötigt das Unternehmen eine hybride Domain Name System (DNS)-Lösung in der Cloud, und hybride bedeutet hier, Ihr eigenes Berkeley Internet Name Domain Version 9 (BIND9) DNS-System zusätzlich zum OCI DNS-Service verwenden, wobei die endgültige Architektur, die sie erstellen möchten, in der folgenden Abbildung dargestellt wird.

OraStage DNS-Anforderungen:

• Das Unternehmen verfügt über mehrere interne Domains und Subdomains. Alle müssen mit ihrem BIND9-DNS in OCI aufgelöst werden. Dabei verwaltet OraStage alle zugehörigen Zonen und Datensätze. Eine dieser Domains ist orastage.com, die wir in diesem Tutorial verwenden werden. Daher muss jede Abfrage an orastage.com an ihre BIND9 weitergeleitet werden.

• In einigen Fällen müssen sie OCI-native Domains (oraclevcn.com, oraclecloud.com usw.) dennoch auflösen. Dazu werden private OCI-DNS-Komponenten verwendet: private Ansichten, Weiterleitung von Endpunkten und Regeln sowie Listening-Endpunkte.

• Alle Abfragen müssen von einer pfSense-Firewallinstanz geprüft werden.

• Um Single Point of Failure zu vermeiden, plant OraStage, einen anderen DNS-Server zu verwenden und den OCI Load Balancer zu nutzen, um Abfragen zwischen primärem und sekundärem DNS zu verteilen.

Diese Tutorial-Serie wird Sie Schritt für Schritt führen, um die oben beschriebenen Anforderungen zu erfüllen und die gesamte Lösung von Grund auf neu zu erstellen. Sie können einfach zu jedem Tutorial aus der folgenden Liste navigieren:

• Tutorial 1: DNS BIND9 in OCI konfigurieren. Erfahren Sie, wie Sie BIND9 auf einer Compute-Instanz installieren und konfigurieren, sodass es zum lokalen DNS-Server für zwei Testumgebungen in OCI wird. Diese Umgebungen bestehen aus "Frontend"- und "Backend"-Servern, die jeweils in einem separaten Spoke-Netzwerk gehostet werden. Der BIND9-Server verarbeitet alle DNS-Abfragen, die an orastage.com weitergeleitet werden.

• Tutorial 2: High Availability für das DNS-Szenario BIND9 in OCI implementieren. Dieses Tutorial konzentriert sich auf das Hinzufügen eines sekundären BIND9-Servers und das Konfigurieren eines Network Load Balancers (NLB), um DNS-Traffic zwischen beiden Servern zu verteilen. DNS-Abfragen an orastage.com werden an die NLB-IP weitergeleitet, mit der die Last zwischen dem primären und dem sekundären BIND9-Server ausgeglichen wird. Wenn ein Server nicht mehr verfügbar ist, wird die DNS-Auflösung ohne Serviceunterbrechung fortgesetzt.

• Tutorial 3: Native Domains mit OCI-DNS auflösen. Konzentrieren Sie sich nur auf einen bestimmten Anwendungsfall, in dem wir native DNS-Komponenten in OCI verwenden, falls native Domains wie oraclevcn.com und oraclecloud.com aufgelöst werden müssen. BIND9 DNS wird in diesem Tutorial nicht verwendet.

• Tutorial 4: Sicherheit mit der pfSense-Firewall zur DNS-Architektur hinzufügen. Konzentrieren Sie sich auf die Installation einer pfSense-Firewall im Hub-VCN in OCI, und führen Sie die erforderliche Netzwerkkonfiguration aus, um den gesamten Ost-West-Traffic einschließlich DNS-Abfragen (in den letzten Tutorials ausgeführt) über die zu prüfende Firewall weiterzuleiten.

Überblick über BIND9

BIND9 (Berkeley Internet Name Domain Version 9) ist eines der am häufigsten verwendeten und ausgereiften DNS (Domain Name System)-Server-Softwarepakete der Welt. Es wird vom Internet Systems Consortium (ISC) entwickelt und gepflegt. BIND9 dient als Rückgrat für einen Großteil der DNS-Infrastruktur des Internets und bietet robuste und zuverlässige DNS-Services für kleine und große Deployments.

BIND9 Flexibilität, Robustheit und umfangreiche Features machen es für eine Vielzahl von DNS-Anwendungen geeignet, von kleinen internen Netzwerken bis hin zu den größten öffentlichen DNS-Diensten im Internet.

Wichtige Features von BIND9

• Unterstützung für DNS-Protokoll: Unterstützt alle wichtigen DNS-Features und -Protokolle, einschließlich IPv4 und IPv6, DNSSEC (DNS Security Extensions) und TSIG (Transaction SIGnature).

• DNSSEC (DNS Security Extensions): Bietet erweiterte Sicherheitsfunktionen zum Schutz der DNS-Datenintegrität und -Authentizität und verhindert Angriffe wie Cachevergiftung und Spoofing.

• Skalierbarkeit und Performance: Geeignet für kleine bis sehr große DNS-Deployments mit Funktionen zur effizienten Verarbeitung hoher Abfragelasten und großer Zonen.

• Flexibilität und Anpassung:

  • Hochgradig konfigurierbar mit umfangreichen Optionen zur Optimierung des DNS-Verhaltens, der Zonenverwaltung und der Abfrageverarbeitung.
  • Unterstützt verschiedene Zonentypen, einschließlich Master- (primär), Slave- (sekundär) und Stub-Zonen.

• Dynamisches DNS: Unterstützt dynamisches DNS (DDNS), sodass DNS-Datensätze in Echtzeit aktualisiert werden können, ohne den Server neu zu starten.

• Zugriffskontrolle und Sicherheit:

  • Implementiert Access Control-Listen (ACLs), um den Zugriff auf DNS-Services einzuschränken und zu verwalten, wer Zonen abfragen oder aktualisieren kann.
  • Unterstützt Ansichten, um verschiedene Antworten auf DNS-Abfragen basierend auf der Quelle der Abfrage bereitzustellen.

• Logging und Monitoring:

  • Umfangreiche Loggingfunktionen zur Verfolgung von Abfragen, Updates und Serverperformance.
  • Integration mit Überwachungstools, um High Availability und schnelle Fehlerbehebung sicherzustellen.

• Caching: Bietet robuste Caching-Mechanismen, um die Performance zu verbessern und die Belastung autoritativer DNS-Server durch Caching von DNS-Antworten zu reduzieren.

• Zonentransfers: Unterstützt sichere Zonentransfers zwischen DNS-Servern mit AXFR (vollständige Zonentransfer) und IXFR (inkrementelle Zonentransfers).

Allgemeine Anwendungsfälle von BIND9

• Autoritativer DNS-Server: hostet DNS-Datensätze für Domains und stellt autoritative Antworten auf DNS-Abfragen bereit.

• Rekursiver DNS-Server: Löst DNS-Abfragen für Clients auf, indem andere DNS-Server rekursiv abgefragt werden.

• DNS-Server weiterleiten: Leitet DNS-Abfragen an andere DNS-Server weiter, die häufig in Verbindung mit dem Caching verwendet werden.

• Sekundärer (Slave-)DNS-Server: Verwaltet Kopien von Zonendaten von einem primären Server und bietet Redundanz und Load Balancing.

Installation und Konfiguration von BIND9

• Installation: BIND9 kann auf verschiedenen Betriebssystemen installiert werden, einschließlich Linux, UNIX und Windows. Es ist über Paketmanager auf den meisten Linux-Distributionen verfügbar oder kann aus einer Quelle kompiliert werden.

• Konfiguration: Die Hauptkonfigurationsdatei ist named.conf, in der Administratoren Zonen, Zugriffskontrollen, Loggingoptionen und andere Einstellungen definieren. Zonendateien enthalten die tatsächlichen DNS-Datensätze für jede Domain.

BIND9 auf OCI verwenden

Es gibt mehrere Gründe, warum einige Kunden ihr eigenes DNS (wie BIND9) verwenden und verwalten, anstatt von Oracle Cloud Infrastructure (OCI) verwaltete DNS-Services zu verwenden:

• Anpassung und Flexibilität:

  • Erweiterte Konfigurationen: Benutzerdefinierte DNS-Lösungen wie BIND9 bieten eine umfassende Konfigurierbarkeit, sodass Kunden ihre DNS-Einstellungen an bestimmte Anforderungen anpassen können, die möglicherweise nicht von verwalteten Services unterstützt werden.

  • Spezialisierte Features: Einige Organisationen benötigen erweiterte Features wie spezifisches Abfragelogging, detaillierte Zugriffskontrolle oder benutzerdefinierte DNS-Datensätze, die von verwalteten Services möglicherweise nicht bereitgestellt werden.

• Kostenüberlegungen:

  • Kostenmanagement: Selbstverwaltetes DNS kann kosteneffektiver sein, insbesondere für Unternehmen mit signifikantem DNS-Traffic, da sie variable Kosten im Zusammenhang mit verwalteten Services vermeiden können.

  • Vorhersehbare Aufwendungen: Der Betrieb eigener DNS-Server kann zu vorhersehbaren Kosten führen, da sie nur die Infrastrukturkosten verwalten müssen, anstatt für die verwaltete DNS-Nutzung zu zahlen.

• Kontrolle und Sicherheit:

  • Vollständige Kontrolle: Unternehmen bevorzugen möglicherweise die vollständige Kontrolle über ihre DNS-Infrastruktur, einschließlich der Möglichkeit, benutzerdefinierte Sicherheitsrichtlinien, detailliertes Logging und fein granulierte Zugriffskontrollen zu implementieren.

  • Datenschutz: Bei hochsensiblen oder regulierten Umgebungen kann die interne Speicherung des DNS-Traffics im eigenen Netzwerk eine Sicherheitsanforderung sein, um den Datenschutz und die Einhaltung von Vorschriften sicherzustellen.

• Leistung und Zuverlässigkeit:

  • Performanceoptimierung: Mit dem selbstverwalteten DNS können Unternehmen die Performance optimieren, indem sie Caching-, Load Balancing- und Geolokations-spezifische DNS-Antworten konfigurieren, die auf ihre Anforderungen zugeschnitten sind.

  • Zuverlässigkeit: Durch die Verwaltung eigener DNS-Server können Unternehmen Hochverfügbarkeitskonfigurationen und Redundanzmaßnahmen implementieren, die ihren spezifischen Zuverlässigkeitsanforderungen entsprechen.

• Integration mit vorhandener Infrastruktur:

  • Legacy-Systeme: Unternehmen mit Legacy-Systemen verfügen möglicherweise über eine vorhandene DNS-Infrastruktur, die tief in ihre anderen Systeme und Prozesse integriert ist und die weitere Verwaltung ihres eigenen DNS erleichtert.

  • Benutzerdefinierte Integrationen: Das selbstverwaltete DNS ermöglicht eine nahtlose Integration mit anderen benutzerdefinierten oder Drittanbieteranwendungen, die bestimmte DNS-Konfigurationen oder -Interaktionen erfordern.

• Gesetzliche Bestimmungen und Complianceanforderungen:

  • Complianceanforderungen: Einige Branchen haben strenge regulatorische Anforderungen, die eine Kontrolle über alle Aspekte ihrer IT-Infrastruktur, einschließlich DNS, erfordern, um gesetzliche und Compliancestandards einzuhalten.

• Lernen und Expertise:

  • Kompetenzentwicklung: Einige Unternehmen bevorzugen interne Fachkenntnisse und Kenntnisse über das DNS-Management, die für die Fehlerbehebung und Optimierung ihrer gesamten IT-Infrastruktur nützlich sein können.

• Vermeidung von Lieferantensperren:

  • Vermeidung von Sperrungen: Durch die Verwaltung ihres eigenen DNS können Unternehmen vermeiden, in das Ökosystem eines bestimmten Anbieters gesperrt zu werden, sodass sie flexibler zwischen Anbietern wechseln oder Workloads ohne wesentliche Neukonfiguration migrieren können.

Während OCI-verwaltete DNS-Services Benutzerfreundlichkeit, Skalierbarkeit und reduzierten Verwaltungsaufwand bieten, heben diese Faktoren hervor, warum einige Unternehmen sich für die Verwaltung ihrer eigenen DNS-Infrastruktur entscheiden könnten.

Ziele für die Einrichtung von BIND9 in OCI

• Einführung in BIND9 und OCI

  • Verstehen Sie, was BIND9 ist und welche Rolle es bei der DNS-Verwaltung spielt.
  • Verschaffen Sie sich einen Überblick über Oracle Cloud Infrastructure (OCI) und die für dieses Setup relevanten Schlüsselkomponenten.

• Voraussetzungen und Erstkonfiguration

  • Ermitteln und erfassen Sie die erforderlichen Voraussetzungen für die Einrichtung.
  • Richten Sie eine OCI-Instanz (Virtual Machine) für das Hosting des BIND9-Servers ein.

• OCI-Umgebung konfigurieren

  • Konfigurieren Sie die grundlegenden Netzwerkeinstellungen in OCI, d.h. mit Routingregeln und Gateways, um eine geeignete Kommunikation zwischen allen zugehörigen Servern und Clients herzustellen, und Sicherheitslisten, um DNS-Traffic zu ermöglichen.

• BIND9 auf der OCI-Instanz installieren

  • Greifen Sie über SSH auf die OCI-Instanz zu.
  • Installieren Sie die erforderlichen Packages und Abhängigkeiten für BIND9.

• Konfigurieren von BIND9

  • Konfigurieren Sie die Hauptkonfigurationsdateien für BIND9 (named.conf).
  • Richten Sie Zonendateien für Weiterleitungs-DNS-Lookups ein.

• BIND9-Service starten und verwalten

  • Starten Sie den Service BIND9, und konfigurieren Sie ihn so, dass er beim Booten gestartet wird.
  • Prüfen Sie, ob der BIND9-Service ordnungsgemäß ausgeführt wird.

• DNS-Server testen

  • Verwenden Sie Befehlszeilentools (z. B. dig, host), um die DNS-Auflösung zu testen.
  • Stellen Sie sicher, dass zukünftige Lookups korrekt konfiguriert und betriebsbereit sind.

• Sichern des BIND9-Servers

  • Implementieren Sie Best Practices zum Sichern des BIND9-Servers, einschließlich Zugriffskontrollen.

• Schlussfolgerung und zusätzliche Ressourcen

  • Fassen Sie zusammen, was getan wird.
  • Stellen Sie zusätzliche Ressourcen und Referenzen für weitere Lernaktivitäten bereit.

Ziele

• Am Ende dieses Tutorials wird ein funktionaler BIND9-DNS-Server auf Oracle Cloud Infrastructure (OCI) ausgeführt. Sie lernen die Grundlagen von DNS und die Funktionsweise von BIND9 kennen, sodass Sie einen BIND9-Server in einer Cloud-Umgebung konfigurieren, verwalten und sichern können. Darüber hinaus sind Sie mit dem Wissen ausgestattet, mit dem Sie Ihr DNS-Setup BIND9 in OCI beheben und verwalten können. Dieses Tutorial unterstützt Sie auch dabei, Ihre Fähigkeiten beim Betrieb verschiedener OCI-Komponenten innerhalb von Netzwerk- und Compute-Services zu erweitern.

• Das primäre Ziel dieses Tutorials besteht darin, FE-VM (fe.orastage.com) für die Abfrage von BE-VM (be.orastage.com) zu aktivieren und umgekehrt, wobei Primary-DNS (primary-dns.orastage.com) als autoritativer DNS-Server fungiert.

Abschließende Architektur

Voraussetzungen

• Zugriff auf einen OCI-Mandanten und Berechtigungen zum Verwalten der erforderlichen Netzwerk- und Compute-Services.

• Grundlegendes Verständnis von OCI-Netzwerkrouting und -sicherheit und ihren Funktionen: Virtuelles Cloud-Netzwerk (VCN), Routentabelle, dynamisches Routinggateway (DRG), Sicherheitsliste und Bastion.

• Grundlegendes Verständnis von Ubuntu Linux und DNS im Allgemeinen.

• Drei virtuelle Cloud-Netzwerke (VCNs) sind mit jeweils einem privaten Subnetz erforderlich.

  • DNS-VCN: Damit wird der primäre DNS-Server gehostet. Zusätzlich zu einem sekundären DNS und einem Network Load Balancer.
  • Frontend-VCN: Damit wird einer der Clients gehostet. Zusätzlich zu einem OCI-DNS-Forwarder.
  • Backend-VCN: Damit wird der andere Client gehostet. Zusätzlich zu einem OCI-DNS-Forwarder.

  

Aufgabe 1: Routing- und Sicherheitsnetzwerkkomponenten einrichten

Aufgabe 1.1: VCNs erstellen

• Stellen Sie sicher, dass die folgenden VCNs bereits erstellt wurden.

  • DNS-VCN (10.0.0.0/16), das DNS-Private-Subnetz (10.0.0.0/24) enthält.
  • Frontend-VCN (10.1.0.0/16) mit FE-Private-Subnetz (10.1.0.0/24).
  • Backend-VCN (10.2.0.0/16), das BE-Private-Subnetz (10.2.0.0/24) enthält.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Networking.
  2. Klicken Sie auf Virtual Cloud Networks.

  

• Die VCNs werden angezeigt, jedes VCN verfügt nur über ein privates Subnetz sowie die Standardroutentabelle und Sicherheitsliste.

  

Aufgabe 1.2: Dynamisches Routinggateway (DRG) erstellen

DRG ist ein virtueller Router, der einen Pfad für privaten Traffic von einem VCN zu einem anderen oder zwischen einem VCN und einem On-Premise-Netzwerk oder sogar einem VCN mit anderen Cloud-Umgebungsnetzwerken bereitstellt. Daher ist es eine leistungsstarke und kritische Komponente für jede OCI-Netzwerkumgebung. In diesem Tutorial stellen wir damit die Konnektivität zwischen mehreren VCNs in derselben Region her.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Networking.
  2. Klicken Sie auf Dynamisches Routinggateway.

  

• Klicken Sie auf Dynamisches Routinggateway erstellen.

  

  1. Geben Sie einen Namen für das DRG ein.
  2. Klicken Sie auf Dynamisches Routinggateway erstellen.

  

• DRG wurde erfolgreich erstellt.

  

Aufgabe 1.3: VCNs an das DRG anhängen

• Erstellen Sie auf der Detailseite für das DRG virtuelle Cloud-Netzwerkanhänge. Klicken Sie zum Erstellen auf Anhang für virtuelles Cloud-Netzwerk erstellen.

  

  • DNS-VCN-Anhang:

    

  • Frontend-VCN-Anhang:

    

  • Backend-VCN-Anhang:

    

• Alle VCNs wurden erfolgreich angehängt. Standardmäßig verwenden diese Anhänge die automatisch generierte DRG-Routentabelle, mit der jeder Anhang die Routen zu anderen VCNs dynamisch erlernen kann.

  

• Alle VCNs sollten eine Verbindung zueinander herstellen können. Daher müssen wir die Kommunikation zwischen ihnen mit einigen Routen- und Sicherheitsregeln erleichtern. In Aufgabe 1.4, Aufgabe 1.5 und Aufgabe 1.6 werden wir:

  • Lassen Sie SSH-Zugriff zu, damit wir uns bei den Instanzen anmelden können.
  • Lassen Sie DNS-Traffic dort zu, wo er benötigt wird.
  • Ping-Traffic wird dort zugelassen, wo er benötigt wird.
  • Stellen Sie den Egress-Internetzugang dort bereit, wo er benötigt wird.
  • Stellen Sie sicher, dass jede Compute-Instanz die andere über das DRG erreichen kann.

Aufgabe 1.4: Routing und Sicherheit für DNS-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf DNS-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Fügen Sie die folgenden Regeln hinzu.

  • 0.0.0.0/0 - NAT-Gateway: Um unidirektionalen Zugriff auf das Internet zu haben, um bei Bedarf Packages/Patches zu installieren. In diesem Tutorial benötigen wir diesen Zugriff, um das Package BIND9 auf dem Primary-DNS-Server zu installieren.
  • 10.1.0.0/16 - DRG: Leiten Sie Traffic, der zum Frontend-VCN bestimmt ist, an das DRG weiter.
  • 10.2.0.0/16 - DRG: Leiten Sie den Traffic an das Backend-VCN an das DRG weiter.

  

• Wenn kein NAT-Gateway erstellt wird, führen Sie die Schritte zum Erstellen eines Gateways aus, bevor Sie die Routingregel im obigen Schritt hinzufügen.

  1. Gehen Sie zur Detailseite für DNS-VCN, und klicken Sie auf NAT-Gateways.
  2. Klicken Sie auf NAT-Gateway erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Geben Sie einen Namen für ein NAT-Gateway ein.
  2. Wählen Sie Ephemere öffentliche IP-Adresse aus.
  3. Klicken Sie auf NAT-Gateway erstellen.

  

  NAT-Gateway wurde erfolgreich erstellt.

  

• Nachdem wir den Routingteil für das DNS-VCN-Subnetz abgeschlossen haben, lassen Sie uns jetzt die Sicherheit tun. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Stellen Sie sicher, dass Ingress-Traffic zulässig ist.

  • SSH-Traffic von überall (Port 22).
  • DNS-Traffic vom Frontend-VCN und Backend-VCN (TCP/Port 53 und UDP/Port 53).

  

• Stellen Sie sicher, dass Sie den gesamten Egress-Traffic zulassen.

  

Aufgabe 1.5: Routing und Sicherheit für Frontend-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf Frontend-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Fügen Sie die folgenden Regeln hinzu.

  • 0.0.0.0/0 - NAT-Gateway: Um unidirektionalen Zugriff auf das Internet zu haben, benötigen wir es hier, damit die FE-VM** in der Lage ist, den OCI Bastion-Service zu verwenden. Stattdessen kann das Servicegateway den Job auch ausführen.
  • 10.0.0.0/16 - DRG: Leiten Sie den Traffic an das DNS-VCN an das DRG weiter.
  • 10.2.0.0/16 - DRG: Leiten Sie den Traffic an das Backend-VCN an das DRG weiter.

  

• Wenn kein NAT-Gateway erstellt wird, führen Sie die Schritte aus Aufgabe 1.4 aus, um ein NAT-Gateway zu erstellen, bevor Sie die Routingregel im obigen Schritt hinzufügen.

• Nachdem wir das Routing für Frontend-VCN abgeschlossen haben, müssen wir jetzt die Sicherheit übernehmen. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Stellen Sie sicher, dass Ingress-Traffic zulässig ist.

  • SSH-Traffic von überall (Port 22).
  • Pingen Sie Traffic vom Backend-VCN (ICMP, Typ 8). Diese Regel wird in der Testphase benötigt.

  

• Stellen Sie sicher, dass Sie den gesamten Egress-Traffic zulassen.

Aufgabe 1.6: Routing und Sicherheit für Backend-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf Backend-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Fügen Sie die folgenden Regeln hinzu.

  • 0.0.0.0/0 - NAT-Gateway: Um unidirektionalen Zugriff auf das Internet zu haben, benötigen wir es hier, damit die BE-VM den OCI Bastion-Service verwenden kann. Stattdessen kann der Job auch mit dem Servicegateway ausgeführt werden.
  • 10.0.0.0/16 - DRG: Leiten Sie den Traffic an das DNS-VCN an das DRG weiter.
  • 10.1.0.0/16 - DRG: Leiten Sie Traffic, der zum Frontend-VCN bestimmt ist, an das DRG weiter.

  

• Wenn kein NAT-Gateway erstellt wird, führen Sie die Schritte aus Aufgabe 1.4 aus, um ein NAT-Gateway zu erstellen, bevor Sie die Routingregel im obigen Schritt hinzufügen.

• Nachdem wir das Routing für das Backend-VCN abgeschlossen haben, können wir jetzt die Sicherheit übernehmen. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Stellen Sie sicher, dass Ingress-Traffic zulässig ist.

  • SSH-Traffic von überall (Port 22).
  • Pingen Sie Traffic vom Frontend-VCN (ICMP, Typ 8). Diese Regel wird in der Testphase benötigt.

  

• Stellen Sie sicher, dass Sie den gesamten Egress-Traffic zulassen.

  

• Grundlegende Netzwerkkomponenten sind jetzt bereit (VCNs, Subnetze, Routentabellen, DRG und Sicherheitslisten). Nun sollte die Architektur wie in der folgenden Abbildung dargestellt aussehen.

  

Aufgabe 2: OCI Compute-Instanz bereitstellen

Stellen Sie eine Compute-Instanz bereit, in der BIND9 konfiguriert wird.

Aufgabe 2.1: SSH-Schlüsselpaar generieren

Dies muss vor dem Erstellen der Instanz erfolgen. Mit SSH-Schlüsseln werden Sie sich bei Linux-Compute-Instanzen authentifizieren. Sie können die Schlüssel entweder mit dem Tool PuTTYgen auf einem Windows-Rechner oder mit dem Dienstprogramm ssh-keygen auf einem beliebigen Rechner generieren. In diesem Tutorial verwenden wir ssh-keygen in OCI Cloud Shell.

• Klicken Sie auf Cloud Shell.

  

• Führen Sie den Befehl ssh-keygen aus, um ein Schlüsselpaar zu generieren.

  

• Navigieren Sie mit dem cd .ssh-Befehl in das Standardverzeichnis .ssh, und kopieren Sie den Inhalt der Public-Key-Datei id_rsa.pub. Dies wird in Aufgabe 2.2 verwendet.

Aufgabe 2.2: Primäre DNS-Compute-Instanz bereitstellen

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Instanzen.

  

• Klicken Sie auf Instanz erstellen.

  

• Geben Sie einen Namen für die Instanz ein.

  

• Wählen Sie Ubuntu 20.04 als Betriebssystem der Instanz aus.

  

• Geben Sie unter Primäres Netzwerk die folgenden Informationen ein.

  1. Wählen Sie DNS-VCN aus.
  2. Privates Subnetz auswählen.

  

• Weisen Sie der Instanz eine private IP-Adresse 10.0.0.10 zu.

  

• Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.

  

• Scrollen Sie nach unten zum Ende der Seite, und klicken Sie auf Erweiterte Optionen anzeigen.

  

• Klicken Sie auf Oracle Cloud Agent.

  

  1. Wählen Sie das Bastion-Plug-in aus, da wir später Bastion verwenden, um auf die Instanz zuzugreifen.
  2. Klicken Sie auf Erstellen.

  

• Die Primary-DNS-Compute-Instanz wurde erfolgreich erstellt.

  

• Die Architektur sollte wie in der folgenden Abbildung dargestellt aussehen.

  

  In den späteren Aufgaben wird BIND9 in der Primary-DNS-Instanz installiert und konfiguriert.

Aufgabe 3: BIND9 installieren und konfigurieren

Aufgabe 3.1: Mit Bastion auf primäre DNS-Compute-Instanz zugreifen

• Zunächst müssen wir den Zugriff über SSH auf die Compute-Instanz einrichten, um BIND9 zu installieren und zu konfigurieren. Da wir die Instanz jedoch in einem privaten Subnetz erstellt haben, können wir von überall aus nicht direkt auf sie zugreifen, da sie keine öffentliche IP hat. Daher verwenden wir einen anderen OCI-Service.

  OCI Bastion ist ein verwalteter Service, der als Vermittler fungiert und sicheren Zugriff auf Ressourcen in einem privaten Netzwerk ermöglicht. Dies ist besonders nützlich für administrative Zwecke, die den Zugriff auf Ressourcen erfordern, die nicht dem öffentlichen Internet ausgesetzt sind. Sie können es sich als Jump Server as a Service vorstellen.

  1. Klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie auf Bastion.

  

• Klicken Sie auf Bastion erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Geben Sie einen Bastionnamen ein.
  2. Wählen Sie das VCN (DNS-VCN) und das zugehörige Subnetz aus.
  3. CIDR-Blockausnahmeliste ist der zulässige IP-Bereich, von dem aus eine Verbindung zur Bastion hergestellt werden soll. Hier haben wir 0.0.0.0/0 für diese Implementierung verwendet. Sie können genauer sein, wenn Sie die öffentliche IP-Adresse auswählen, von der aus eine Verbindung hergestellt wird.
  4. Klicken Sie auf Bastion erstellen.

  

• Bastion wird erstellt. Wir müssen eine Session erstellen, mit der wir eine bestimmte Zeit lang eine Verbindung zu einer Zielressource (Primary-DNS) herstellen können (Standard ist 3 Stunden).

  

• Geben Sie folgende Informationen ein.

  1. Sessiontyp: Wählen Sie Verwaltete SSH-Session aus.
  2. Sessionname: Geben Sie einen Namen für die Session ein.
  3. Benutzername: Geben Sie den Benutzernamen ein. Bei einer Ubuntu Linux-Instanz lautet der Standardbenutzername ubuntu.
  4. Compute-Instanz: Wählen Sie die Primär-DNS-Instanz aus, die in Aufgabe 2.2 erstellt wurde.
  5. Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.
  6. Klicken Sie auf Session erstellen.

  

  

• Nachdem die Session erstellt wurde, klicken Sie auf die drei Punkte und SSH-Befehl kopieren.

  

  Der Befehl sollte wie folgt aussehen:

  ssh -i <privateKey> -o ProxyCommand="ssh -i <privateKey> -W %h:%p -p 22 ocid1.bastionsession.oc1.eu-milan-1.amaaaaaaldij5aiaa6buxxxxxxxxxxxxxxxxxxrlnywmo3n2pty5wpf7fq@host.bastion.eu-milan-1.oci.oraclecloud.com" -p 22 ubuntu@10.0.0.10
  

• Öffnen Sie OCI Cloud Shell.

  1. Navigieren Sie mit dem Befehl cd .ssh in das Verzeichnis .ssh.
  2. Fügen Sie den SSH-Befehl ein. Stellen Sie sicher, dass Sie <privateKey> durch den Private-Key-Dateinamen id_rsa ersetzen.

  

• Anmeldung erfolgreich durchgeführt.

  

Aufgabe 3.2: BIND9 installieren

Nach dem Zugriff auf die Instanz installieren wir BIND9 und stellen sicher, dass sie hochgefahren und gestartet ist.

• Führen Sie die folgenden Befehle aus.

  sudo apt update
  sudo apt install bind9 bind9utils bind9-doc bind9-host
  

  

• Führen Sie den Befehl sudo systemctl status named aus, um den Status des BIND9-Service zu prüfen. Sie ist aktiv (wird ausgeführt).

  

• Führen Sie den Befehl sudo systemctl enable named aus, um den Service zu aktivieren, damit er nach dem Neustart automatisch gestartet wird.

  

Aufgabe 3.3: Vollqualifizierten Domainnamen (FQDN) der Instanz ändern

• Um den FQDN der Instanz zu ändern, greifen Sie mit dem Befehl sudo vi /etc/hosts auf die hosts-Datei zu, und fügen Sie die folgende Zeile hinzu.

  10.0.0.10    primary-dns.orastage.com    primary-dns
  

  

• Um die Änderung zu prüfen, führen Sie den Befehl hostname -f aus, um den neuen FQDN anzuzeigen.

  

Aufgabe 3.4: Datei named.conf.options konfigurieren

• Fügen Sie die Konfiguration hinzu.

  1. Fügen Sie die folgenden Zeilen am Ende der Datei /etc/bind/named.conf.options hinzu, und speichern Sie die Datei.

     recursion yes;
     notify yes;
     allow-query { any; };
     allow-query-cache { any; };
     allow-recursion { any; };
     forwarders { 8.8.8.8; };
     auth-nxdomain no; # conform to RFC1035
     listen-on { localhost; any; };
     allow-transfer { any; };
     

     

  2. Starten Sie den BIND9-Service neu.

  3. Dienststatus prüfen.

  

Aufgabe 3. 5: Verwenden Sie netstat, um den Status der TCP/UDP-Ports anzuzeigen

net-tools ist ein Paket von Befehlszeilen-Dienstprogrammen, die eine Sammlung wesentlicher Netzwerktools für das Linux-Betriebssystem bereitstellen.

• Führen Sie den Befehl sudo apt install net-tools aus, um net-tools zu installieren. Dies ist erforderlich, um den Befehl netstat verwenden zu können.

  

• Führen Sie den Befehl sudo netstat -antu aus, um die Ports/Protokolle zu prüfen, die von der Instanz überwacht werden. Wie Sie im folgenden Bild sehen können, sollten für die IP 10.0.0.10 TCP/port 53 und UDP/port 53 geöffnet werden.

  

Aufgabe 3.6: Datei named.conf.local konfigurieren

• Fügen Sie die folgenden Zeilen am Ende der Datei /etc/bind/named.conf.local hinzu.

  zone "orastage.com" {
  type master;
  allow-transfer { any; };
  file "/var/lib/bind/db.orastage.com";
  };
  

  

Aufgabe 3.7: Datei db.orastage.com konfigurieren

• Die Datei db.orastage.com ist noch nicht vorhanden. Führen Sie zum Erstellen den Befehl sudo vi /var/lib/bind/db.orastage.com aus, und fügen Sie den folgenden Inhalt zur Datei hinzu.

  $TTL 1D
  @                           IN SOA  primary-dns.orastage.com. admin.orastage.com. (
                                329        ; serial
                                604800     ; refresh (1 week)
                                86400      ; retry (1 day)
                                2419200    ; expire (4 weeks)
                                604800     ; minimum (1 week)
                                )
  
                             IN  NS      primary-dns.orastage.com.
  
  primary-dns                 IN  A       10.0.0.10
  fe                          IN  A       10.1.0.5
  be                          IN  A       10.2.0.5
  

  

Aufgabe 3.8: Datei 50-cloud-init.yaml konfigurieren

• Greifen Sie auf die Datei /etc/netplan/50-cloud-init.yaml zu, und fügen Sie die folgenden Zeilen hinzu.

  nameservers:
  addresses: [10.0.0.10]
  search: [orastage.com]
  

  

• Führen Sie den Befehl sudo netplan apply aus, damit die Änderungen wirksam werden.

Aufgabe 3.9: iptables-Firewall deaktivieren

• Wir werden iptables nur für dieses Tutorial vorübergehend deaktivieren, um Verbindungsprobleme während der Testphase zu vermeiden.

  1. Führen Sie den Befehl sudo su aus, um zum Root-Benutzer zu wechseln.

  2. Um ein Backup der vorhandenen Firewallregeln zu speichern, führen Sie den Befehl iptables-save > /root/firewall_rules.backup aus.

  3. Führen Sie den folgenden Befehl aus, um alle Regeln zu löschen und den gesamten Traffic durch die Firewall zuzulassen.

     iptables -F
     iptables -X
     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     

  4. Nachdem Sie Aufgabe 6 abgeschlossen haben, führen Sie den Befehl iptables-restore < /root/firewall_rules.backup aus, um die Firewallregeln wiederherzustellen.

  5. Nachdem Sie die Regeln gelöscht haben, sollten Sie sicherstellen, dass diese Änderung nach dem Neustart beibehalten wird. Führen Sie also den Befehl apt install iptables-persistent aus, um das Package zu installieren.

  6. Führen Sie den Befehl iptables-save > /etc/iptables/rules.v4 aus.

  7. Um die iptables-Regeln anzuzeigen, führen Sie den Befehl iptables -L aus, der leer sein sollte.

  

  

Aufgabe 3.10: Starten Sie BIND9 neu

• Führen Sie den folgenden Befehl aus, um den Service neu zu starten.

  sudo systemctl restart named
  

Aufgabe 3.11: Testen

• Führen Sie mehrere Tests durch, bei denen wir die Domainnamen abfragen, die wir der Datei db.orastage.com hinzugefügt haben, und prüfen Sie, ob die Abfrage lokal beantwortet wird.

  1. orastage.com-Domain: host -a orastage.com.

  2. Primary-DNS-Domain: host -a primary-dns.orastage.com.

  3. FE-VM-Domain: host -a fe.orastage.com.

  4. BE-VM-Domain: host -a be.orastage.com.

  

  

Aufgabe 4: OCI-Weiterleitungsendpunkte und -regeln konfigurieren

Jedes OCI-VCN verfügt über einen Standard-Resolver, mit dem Hostnamen in demselben VCN, verschiedenen VCNs, On-Premise-Netzwerken oder sogar öffentlich veröffentlichte Hostnamen im Internet aufgelöst werden können. In dieser Aufgabe verwenden wir zwei Komponenten im Resolver, um die Anforderung zu erfüllen, Abfragen an die BIND9-Instanz Primary-DNS weiterzuleiten. Dabei handelt es sich um:

• Weiterleitungsendpunkt: Ermöglicht dem DNS-Resolver die Abfrage eines Remote-DNS gemäß der Definition in den Weiterleitungsregeln.
• Weiterleitungsregel: Damit wird gesteuert, wie DNS-Abfragen verarbeitet werden, wenn die Abfrage nicht von den privaten Ansichten des Resolvers beantwortet wird. An welchen Remote-DNS-Server werden die Abfragen an orastage.com weitergeleitet und mit welchem Weiterleitungsendpunkt?

Aufgabe 4.1: Weiterleitungsendpunkt und Regel für Frontend-VCN konfigurieren

Erstellen Sie einen Weiterleitungsendpunkt und eine Regel in Frontend-VCN, um orastage.com-Abfragen von FE-VM auf die Primary-DNS-Instanz zu verweisen.

• Navigieren Sie zum Frontend-VCN, und klicken Sie auf DNS-Resolver.

  

• Klicken Sie auf Endpunkt erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Name: Geben Sie einen Namen für den Endpunkt ein.
  2. Subnetz: Wählen Sie das private Subnetz des VCN aus.
  3. Endpunkttyp: Wählen Sie Weiterleiten aus.
  4. IP-Adresse weiterleiten: Geben Sie 10.1.0.6 ein.
  5. Klicken Sie auf Endpunkt erstellen.

  

• Der Weiterleitungsendpunkt (FWD) wurde erfolgreich erstellt.

  

• Klicken Sie auf Regeln und Regeln verwalten.

  

• Geben Sie folgende Informationen ein.

  1. Regelbedingung: Wählen Sie Domains aus.
  2. Domains: Geben Sie die Domain orastage.com ein.
  3. Quellendpunkt: Wählen Sie den Weiterleitungsendpunkt aus.
  4. Ziel-IP-Adresse: Geben Sie die IP der BIND9-Instanz 10.0.0.10 ein.

  

• Die Weiterleitungsregel wurde erfolgreich erstellt.

  

Aufgabe 4.2: Weiterleitungsendpunkt und Regel für Backend-VCN konfigurieren

Erstellen Sie einen Weiterleitungsendpunkt und eine Regel in Backend-VCN, um orastage.com-Abfragen von BE-VM auf die Primary-DNS-Instanz zu verweisen.

• Navigieren Sie zum Backend-VCN, und klicken Sie auf DNS-Resolver.

• Klicken Sie auf Endpunkt erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Name: Geben Sie einen Namen für den Endpunkt ein.
  2. Subnetz: Wählen Sie das private Subnetz des VCN aus.
  3. Endpunkttyp: Wählen Sie Weiterleiten aus.
  4. IP-Adresse weiterleiten: Geben Sie 10.2.0.6 ein.
  5. Klicken Sie auf Endpunkt erstellen.

  

• Der Weiterleitungsendpunkt (FWD) wurde erfolgreich erstellt.

  

• Klicken Sie auf Regeln und Regeln verwalten.

  

• Geben Sie folgende Informationen ein.

  1. Regelbedingung: Wählen Sie Domains aus.
  2. Domains: Geben Sie die Domain orastage.com ein.
  3. Quellendpunkt: Wählen Sie den Weiterleitungsendpunkt aus.
  4. Ziel-IP-Adresse: Geben Sie die IP der BIND9-Instanz 10.0.0.10 ein.

  

• Die Weiterleitungsregel wurde erfolgreich erstellt.

  

• Die Architektur sollte wie in der folgenden Abbildung dargestellt aussehen.

  

Aufgabe 5: Clientinstanzen zur Ausführung von DNS-Abfragen bereitstellen

Aufgabe 5.1: Compute-Instanz FE-VM erstellen

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Instanzen.

  

• Klicken Sie auf Instanz erstellen.

  

• Geben Sie einen Namen für die Instanz ein.

  

• Wählen Sie Oracle Linux 8 als Betriebssystem der Instanz aus.

  

• Geben Sie unter Primäres Netzwerk die folgenden Informationen ein.

  1. Wählen Sie Frontend-VCN aus.
  2. Wählen Sie das private Subnetz aus.

  

• Weisen Sie der Instanz eine private IP-Adresse 10.1.0.5 zu.

  

• Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.

  

• Scrollen Sie nach unten zum Ende der Seite, und klicken Sie auf Erweiterte Optionen anzeigen.

  

• Klicken Sie auf Oracle Cloud Agent.

  

• Wählen Sie das Bastion-Plug-in aus, da wir mit Bastion auf die Instanz zugreifen und auf Erstellen klicken.

  

• Die FE-VM-Compute-Instanz wurde erfolgreich erstellt.

  

Aufgabe 5.2: Compute-Instanz BE-VM erstellen

• Klicken Sie auf Instanz und Instanz erstellen.

  

• Geben Sie einen Namen für die Instanz ein.

  

• Wählen Sie Oracle Linux 8 als Betriebssystem der Instanz aus.

  

• Geben Sie unter Primäres Netzwerk die folgenden Informationen ein.

  1. Wählen Sie Backend-VCN aus.
  2. Wählen Sie das private Subnetz aus.

  

• Weisen Sie der Instanz eine private IP-Adresse 10.2.0.5 zu.

  

• Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.

  

• Scrollen Sie nach unten zum Ende der Seite, und klicken Sie auf Erweiterte Optionen anzeigen.

  

• Klicken Sie auf Oracle Cloud Agent.

  

• Wählen Sie das Bastion-Plug-in aus, da wir mit Bastion auf die Instanz zugreifen und auf Erstellen klicken.

  

• Die BE-VM-Compute-Instanz wurde erfolgreich erstellt.

  

• Die Architektur ist abgeschlossen.

  

Hinweis: In den späteren Aufgaben werden mehrere Szenarios getestet und validiert, ob das Setup wie erwartet funktioniert.

Aufgabe 6: Testen und validieren

Aufgabe 6.1: Mit Bastion und Test auf FE-VM-Compute-Instanz zugreifen

• Der FE-VM-Clientrechner sollte be.orastage.com auflösen können.

  

  1. Klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie auf Bastion.

  

• Klicken Sie auf Bastion erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Bastionname: Geben Sie einen Namen für die Bastion ein.
  2. Networking konfigurieren: Wählen Sie das VCN (Frontend-VCN) und das zugehörige Subnetz aus.
  3. CIDR-Blockausnahmeliste ist der zulässige IP-Bereich, von dem aus eine Verbindung zur Bastion hergestellt werden soll. Hier haben wir 0.0.0.0/0 für diese Implementierung verwendet. Sie können genauer sein, wenn Sie die öffentliche IP-Adresse auswählen, von der aus eine Verbindung hergestellt wird.
  4. Klicken Sie auf Bastion erstellen.

  

• Bastion wird erstellt. Wir müssen eine Session erstellen, um eine bestimmte Zeit lang eine Verbindung zu einer Zielressource (FE-VM) herzustellen (Standard ist 3 Stunden).

  

• Geben Sie folgende Informationen ein.

  1. Sessiontyp: Wählen Sie Verwaltete SSH-Session aus.
  2. Sessionname: Geben Sie einen Namen ein.
  3. Benutzername: Geben Sie den Benutzernamen ein. Bei Oracle Linux-Instanzen ist der Standardbenutzer opc.
  4. Compute-Instanz: Wählen Sie die FE-VM-Instanz aus, die in Aufgabe 5 erstellt wurde.
  5. Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.
  6. Klicken Sie auf Session erstellen.

  

  

• Nachdem die Session erstellt wurde, klicken Sie auf die drei Punkte und SSH-Befehl kopieren.

  

  Der Befehl sollte wie folgt aussehen:

  ssh -i <privateKey> -o ProxyCommand="ssh -i <privateKey> -W %h:%p -p 22 ocid1.bastionsession.oc1.eu-milan-1.amaaaaaaldij5aiaskfyan4yj7yx3bmm57rckmvvawikppba5mxxzo2q7dka@host.bastion.eu-milan-1.oci.oraclecloud.com" -p 22 opc@10.1.0.5
  

  1. Öffnen Sie die cloud shell, und navigieren Sie mit dem Befehl cd .ssh zum Verzeichnis .ssh.
  2. Fügen Sie den SSH-Befehl ein, und ersetzen Sie <privateKey> durch den Private-Key-Dateinamen id_rsa.
  3. Geben Sie Ja ein, und klicken Sie auf Eingabe.

  

• Testen Sie orastage.com-Abfragen von FE-VM bis be.orastage.com. Sie können das Setup mit verschiedenen Methoden validieren.

  1. Führen Sie den Befehl host aus.
  2. Führen Sie den Befehl ping aus.
  3. Führen Sie den Befehl dig aus.

  

  

Wie im obigen Test gezeigt, können wir die IP-Adresse der BE-VM-Domain abrufen, und der Ping funktioniert mit dem Hostnamen, was bedeutet, dass der Test erfolgreich ist.

Aufgabe 6.2: Mit Bastion und Test auf die BU-VM-Compute-Instanz zugreifen

• Der BE-VM-Clientrechner muss fe.orastage.com auflösen können.

  

  1. Klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie auf Bastion.

  

• Klicken Sie auf Bastion erstellen.

  

• Geben Sie folgende Informationen ein.

  1. Bastionname: Geben Sie einen Namen für die Bastion ein.
  2. Networking konfigurieren: Wählen Sie das VCN (Backend-VCN) und das zugehörige Subnetz aus.
  3. CIDR-Blockausnahmeliste ist der zulässige IP-Bereich, von dem aus eine Verbindung zur Bastion hergestellt werden soll. Hier haben wir 0.0.0.0/0 für diese Implementierung verwendet. Sie können genauer sein, wenn Sie die öffentliche IP-Adresse auswählen, von der aus eine Verbindung hergestellt wird.
  4. Klicken Sie auf Bastion erstellen.

  

• Bastion wird erstellt. Sie müssen eine Session erstellen, um eine bestimmte Zeit lang eine Verbindung zu einer Zielressource (BE-VM) herzustellen (Standard ist 3 Stunden).

  

• Geben Sie folgende Informationen ein.

  1. Sessiontyp: Wählen Sie Verwaltete SSH-Session aus.
  2. Sessionname: Geben Sie einen Namen ein.
  3. Benutzername: Geben Sie den Benutzernamen ein. Bei Oracle Linux-Instanzen ist der Standardbenutzer opc.
  4. Compute-Instanz: Wählen Sie die BE-VM-Instanz aus, die in Schritt 06 erstellt wurde.
  5. Fügen Sie den in Aufgabe 2.1 generierten Public Key ein.
  6. Klicken Sie auf Session erstellen.

  

  

• Nachdem die Session erstellt wurde, klicken Sie auf die drei Punkte und SSH-Befehl kopieren.

  

  Der Befehl sollte wie folgt aussehen:

  ssh -i <privateKey> -o ProxyCommand="ssh -i <privateKey> -W %h:%p -p 22 ocid1.bastionsession.oc1.eu-milan-1.amaaaaaaldij5aia73xclnp6h6i2mjnpsuer2bnz4cblejfemnr6uk7pafla@host.bastion.eu-milan-1.oci.oraclecloud.com" -p 22 opc@10.2.0.5
  

  1. Öffnen Sie die cloud shell, und navigieren Sie mit dem Befehl cd .ssh zum Verzeichnis .ssh.
  2. Fügen Sie den SSH-Befehl ein, und ersetzen Sie <privateKey> durch den Private-Key-Dateinamen id_rsa.
  3. Geben Sie Ja ein, und klicken Sie auf Eingabe.

• Testen Sie orastage.com-Abfragen von BE-VM zu fe.orastage.com. Sie können das Setup mit verschiedenen Methoden validieren.

  1. Führen Sie den Befehl host aus.
  2. Führen Sie den Befehl ping aus.
  3. Führen Sie den Befehl dig aus.

  

  

Wie im obigen Test gezeigt, können wir die IP-Adresse der FE-VM-Domain abrufen, und der Ping arbeitet mit dem Hostnamen, was bedeutet, dass der Test erfolgreich ist.

Nächste Schritte

In diesem Tutorial haben wir eine kleine BIND9-DNS-Architektur mit Basiskomponenten erstellt. Server- und Clientsetup in Oracle Cloud Infrastructure. In diesem Segment haben Sie Einblicke in OCI-Netzwerkrouting und -sicherheit erhalten, indem Sie sich mit verschiedenen Komponenten wie Routentabellen, DRG, Sicherheitslisten, Bastion und mehr befassen. Außerdem haben Sie gelernt, wie Sie ein funktionales BIND9-DNS in einer OCI-Umgebung installieren und konfigurieren.

Im nächsten Tutorial: Tutorial 2: High Availability auf BIND9 Domain Name System in Oracle Cloud Infrastructure implementieren werden wir dieses Setup verbessern, indem wir die High Availability-Ebene in unsere Architektur integrieren. Dies ist entscheidend für die Reduzierung von Ausfallzeiten und die Verbesserung der Benutzererfahrung.

Danksagungen

• Autor - Anas abdallah (Cloud Networking Specialist)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

<

Configure BIND9 Domain Name System in Oracle Cloud Infrastructure

G13015-03

Copyright ©2025, Oracle and/or its affiliates.