Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Anmelden für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Domainnamenauflösung in zwei Richtungen für Oracle Cloud Infrastructure und On-Premise-Services konfigurieren

Einführung

Domain Name System (DNS) ist ein häufiger Service, der in On-Premise-Umgebungen verwendet wird. Sobald Sie sich jedoch in der Cloud befinden, kann dieselbe Technologie angewendet werden, jedoch mit bestimmten Konfigurationen. Die Namensauflösung kann nützlich sein, wenn Sie auf Systeme, Computer, Services und andere Ressourcen zugreifen möchten, die dieselben Namen verwenden, die Sie bereits ohne Hartcodierung von IP-Adressen in Ihren Anwendungen haben.

Zielsetzung

Konfigurieren Sie die Auflösung von Domainnamen in zwei Richtungen für Oracle Cloud Infrastructure-(OCI-) und On-Premise-Services.

Voraussetzungen

1. Zugriff auf die Oracle Cloud Infrastructure-(OCI-)Konsole mit genügend IAM-Berechtigungen zur Konfiguration der VCN-Serviceprüfung. Weitere Informationen finden Sie unter Erforderliche IAM-Service-Policy.
2. On-Premise-DNS-Server (Installation nicht in diesem Tutorial behandelt).
3. OCI-VCN, das mit öffentlichen und privaten Subnetzen bereitgestellt wird (die anfängliche Konfiguration wird in diesem Tutorial nicht behandelt).
4. Konnektivität zwischen OCI und On Premise (FastConnect- oder VPN-Deployment wird in diesem Tutorial nicht behandelt).
5. Konnektivität zwischen OCI und On Premise (On-Premise-Sicherheitszugriffsliste, OCI-Sicherheitsliste oder Netzwerksicherheitsgruppen), um den DNS-Trafficfluss zuzulassen (Beispiel: TCP/UDP-Port 53 usw.).
6. In diesem Tutorial verwenden wir 2 Server, die auf OCI bereitgestellt sind und On Premise bereitgestellt werden. Stellen Sie sicher, dass Sie diese Konfiguration eingerichtet haben und Zugriff auf diese Server haben, um Namensauflösungstests auszuführen.

Aspekte:

1. Konnektivität zwischen OCI-Subnetz A (10.0.0.0 /24) und On-Premise-Subnetz (172.16.11.0 /24), wobei sich der DNS-Server example.local befindet. Die detaillierten Schritte zum Herstellen der Konnektivität sind für dieses Tutorial außer Kraft. Weitere Informationen finden Sie unter FastConnect, DRG, VPN-Dokumentation.
2. Der Benutzer, der das OCI-DNS konfiguriert, muss über ausreichende Berechtigungen verfügen, um Änderungen am VCN vorzunehmen. Policy-Definition ist für dieses Tutorial nicht gültig. Weitere Informationen finden Sie unter Erforderliche IAM-Service-Policy.

Topologie

In diesem Tutorial wird die folgende Topologie verwendet:

DNS-Service auf OCI

Wenn Sie ein VCN und Subnetze zum ersten Mal erstellen, können Sie für jedes DNS-Label angeben. Subnetz-DNS-Labels können nur festgelegt werden, wenn das VCN selbst mit einem DNS-Label erstellt wird. Die Labels zusammen mit der übergeordneten Domain von oraclevcn.com bilden den VCN-Domainnamen und den Subnetzdomainnamen:

• VCN-Domainname: <VCN DNS label>.oraclevcn.com
• Subnetzdomainname: <subnet DNS label>.<VCN DNS label>.oraclevcn.com

Wenn Sie eine Instanz starten, können Sie einen Hostnamen zuweisen. Sie wird der VNIC zugewiesen, die beim Starten der Instanz (der primären VNIC) automatisch erstellt wird. Neben dem Domainnamen des Subnetzes bildet der Hostname den vollqualifizierten Domainnamen (FQDN):

• Instanz-FQDN: <hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com

Beispiel: instance-remote.publicsubnet.vcnremote.oraclevcn.com.

Aufgabe 1: Erstkonfiguration einrichten

Anfangsstatus von On Premise

• example.local-Domain ist als lokale Domain konfiguriert

• Der Haupt-DNS-Server ist 172.16.11.55

• Statische Host-Registry wird als server1.example.local, IP-Adresse 172.16.11.3 erstellt

  

• Es besteht keine Konnektivität zu OCI-Ressourcen über die Namensauflösung

  

OCI-Startstatus

• Wir haben eine Standard-DNS-Konfiguration

• Lokale OCI-Namen werden aufgelöst

  

• Über die Namensauflösung besteht keine Konnektivität zu On-Premise-Ressourcen

  

Aufgabe 2: OCI-Umgebung einrichten

Um DNS-Einträge von On Premise zu OCI aufzulösen, erstellen wir einige Regeln für DNS. Diese Regeln leiten DNS-Abfragen nach Bedarf an bestimmte Domains weiter. On-Premise-Abfragen, die nach OCI-Domains suchen, werden an den OCI-DNS-Service weitergeleitet. OCI-Abfragen, die nach On-Premise-Domains suchen, werden an den On-Premise-DNS-Server weitergeleitet.

Hinweis: Der DNS-Resolver hat Auswirkungen auf VCN-Ebene. Änderungen daran gelten für alle Subnetze in diesem Compartment.

1. Navigieren Sie zur Seite "VCN-Details", und prüfen Sie die DNS-Resolver-Konfiguration.

   

2. Klicken Sie auf der Seite VCN/DNS-Resolver-Details auf Endpunkt erstellen. Sie können Listening oder Weiterleiten auswählen, wie in den folgenden Schritten beschrieben.

   

• Wenn Sie den Endpunkttyp Listening auswählen, werden alle an OCI weitergeleiteten DNS-Abfragen von diesem Endpunkt überwacht.

  

  A. Wählen Sie den Typ Listening-Endpunkt aus.

  B. Geben Sie einen benutzerdefinierten Namen an.

  C. Wählen Sie Compartment und Subnetz für den Endpunkt aus. Stellen Sie sicher, dass Sie dieses Subnetz über Ihr On-Premise-Netzwerk erreichen können. Insbesondere müssen DNS-Abfragen für die On-Premise-DNS-Serverweiterleitung auf dieses Netzwerk zugreifen können.

  D. Geben Sie eine benutzerdefinierte IP an. Wenn Sie keine auswählen, wählt der Service eine IP-Adresse für Sie aus. Diese IP-Adresse befindet sich im Subnetz.

  E. Sie können den Zugriff auf diesen Endpunkt einschränken. Als Best Practice für die Sicherheit wird empfohlen, eine NSG zuzuweisen. Stellen Sie sicher, dass Sie die eingehenden Regeln konfiguriert haben, um DNS-Traffic von der On-Premise-DNS-Server-IP zuzulassen.

• Wenn Sie den Endpunkttyp Weiterleiten auswählen, werden alle an das On-Premise-DNS weitergeleiteten DNS-Abfragen von diesem Endpunkt weitergeleitet.

  

  A. Wählen Sie den Typ Weiterleitungsendpunkt aus.

  B. Geben Sie einen benutzerdefinierten Namen an.

  C. Wählen Sie Compartment und Subnetz für den Endpunkt aus. Stellen Sie sicher, dass Sie dieses Subnetz über Ihr On-Premise-Netzwerk erreichen können. Insbesondere müssen DNS-Abfragen für die On-Premise-DNS-Serverweiterleitung auf dieses Netzwerk zugreifen können.

  D. Geben Sie eine benutzerdefinierte IP an. Wenn Sie keine auswählen, wählt der Service eine IP-Adresse für Sie aus. Diese IP-Adresse befindet sich im Subnetz.

  E. Sie können den Zugriff auf diesen Endpunkt einschränken. Als Best Practice für die Sicherheit wird empfohlen, eine NSG zuzuweisen. Stellen Sie sicher, dass Sie die eingehenden Regeln konfiguriert haben, um DNS-Traffic von der On-Premise-DNS-Server-IP zuzulassen.

Hinweis:

• Der gesamte DNS-Traffic an den On-Premise-DNS-Server wird mit IP A weitergeleitet.
• Der gesamte DNS-Traffic an den OCI-DNS-Service muss von On Premise an IP B weitergeleitet werden.
• Stellen Sie die Konnektivität von/zu diesen IP-Adressen (Routing, Firewallzugriffsliste, NSG usw.) von On Premise über VPN/FastConnect sicher.

Weiterleitungsregeln einrichten

Wir erstellen eine Regel zum Weiterleiten aller DNS-Abfragen von der example.local-Domain an den On-Premise-DNS-Server (172.16.11.55). Diese Regel gleicht alle DNS-Abfragen mit der Domain example.local ab und leitet diese Abfrage an die IP-Adresse 172.16.11.55 weiter, um nach der Namensauflösung zu suchen.

1. Gehen Sie zu VCN/Private Resolver-Details, Regeln/Regeln verwalten.

   

   

   A. Wählen Sie "Domain" oder "CIDR-Block" aus, um Regeln zuzuordnen. In diesem Tutorial verwenden wir Domains.

   B. Sie können bis zu 10 Domaineinträge entsprechend der Regel hinzufügen. Gruppieren Sie alle Domains, die denselben DNS-Zieladresseintrag verwenden.

   C. Wählen Sie den Quellendpunkt aus, um Abfragen weiterzuleiten. Denken Sie daran, dass diese IP an verschiedene Zugriffslisten über VPN/FastConnect-Verbindung weitergeleitet und zugelassen werden soll.

   D. Geben Sie die IP-Adresse des On-Premise-Ziel-DNS-Servers ein.

Aufgabe 3: On-Premise-Umgebung einrichten

Wir arbeiten mit dem Microsoft® DNS-Service in einem Domaincontroller. Wir erstellen eine bedingte Weiterleitungsregel, um alle DNS-Abfragen, die nach der Domain oraclevcn.com suchen, an den OCI DNS Resolver Service weiterzuleiten.

1. Klicken Sie auf der DNS Manager-Konfigurationsseite mit der rechten Maustaste auf Bedingte Weiterleitungen/Neuer bedingter Weiterleitender.

   

   

   A. Geben Sie den OCI-DNS-Namen ein, den Sie aus dem On-Premise-Netzwerk auflösen möchten.

   B. Geben Sie den OCI-Listener-Endpunkt [IP-Adresse] ein.

   C. Klicken Sie auf OK.

Jetzt ist die DNS-Namensauflösung auf beide Arten von OCI zu On Premise konfiguriert und umgekehrt.

Aufgabe 4: Konfiguration testen

Testen Sie die Konfiguration, und die Ergebnisse sollten den folgenden Screenshots ähneln.

On Premise zu OCI

OCI zu On Premise

Verwandte Links

• OCI-VCN-Dokumentation

Danksagungen

• Autor - Jaime Rojas (LAD A-Team Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services

F78338-02

April 2023

Copyright © 2023, Oracle and/or its affiliates.