Privates DNS zwischen OCI und On-Premise oder Cloud von Drittanbietern

Das Domain Name System (DNS) übersetzt menschenlesbare Domänennamen in maschinenlesbare IP-Adressen. Ein DNS-Nameserver speichert die DNS-Datensätze für eine Zone und reagiert mit Antworten in Abfragen an die zugehörige Datenbank.

Im Folgenden werden OCI-DNS-Konzepte aufgeführt:

  • Eine private DNS-Lösung löst Hostnamen für Anwendungen auf, die innerhalb und über VCNs hinweg sowie zwischen OCI-, On-Premises- und Cloud-Umgebungen von Drittanbietern ausgeführt werden.
  • Wenn eine DNS-Abfrage in OCI nicht aufgelöst werden kann, kann sie an On-Premise-Netzwerke oder verbundene Clouds von Drittanbietern weitergeleitet werden.
  • OCI Private DNS ist regional. Um Abfragen außerhalb Ihrer Region aufzulösen, müssen Sie die DNS-Weiterleitung an die Zielregion konfigurieren.

Sie können die DNS-Abfrageauflösung auf den folgenden Ebenen konfigurieren:

  • VCN: DNS-Abfragen innerhalb eines VCN werden automatisch vom Standard-VCN-Resolver von OCI verarbeitet, ohne dass eine zusätzliche Konfiguration erforderlich ist.
  • Bereich:
    • Wenn Sie ein VCN erstellen, erstellt OCI eine private Ansicht für dieses VCN. Eine private Ansicht ist eine Gruppe privater DNS-Zonen.
    • Wenn Sie ein Subnetz erstellen, erstellt OCI eine private DNS-Zone für dieses Subnetz in der privaten Ansicht (VCN).
    • Alle Ressourcen mit privaten IPs in einem Subnetz werden in der privaten DNS-Zone registriert.
    • Einige OCI-Ressourcen (wie Autonomous Transaction Processing-Datenbanken mit privaten Endpunkten) können eigene private DNS-Zonen erstellen.

Hub-and-Spoke-VCN-Ressourcen-Resolver

Mit dem Feature Verknüpfte private Ansichten in OCI kann ein DNS-Resolver in einem VCN (dem Hub) Hostnamen aus den privaten Ansichten anderer VCNs (den Spokes) auflösen. Dieses Feature unterstützt bis zu 50 VCN in einer Region. Ein Hub-Resolver kann auf Ressourcendatensätze in der gesamten Region zugreifen, wenn Spoke-Ansichten mit der Hubansicht verknüpft sind. Das folgende Diagramm zeigt verknüpfte private Spoke-Ansichten mit privaten Hubansichten, damit der Resolver im Hub-VCN alle Ressourcen in einer Region auflösen kann:

Beschreibung von hub-vcn-oci-resource-resolver.png folgt
Beschreibung der Abbildung hub-vcn-oci-resource-resolver.png

Damit Ressourcen in Spoke-VCNs Hostnamen außerhalb ihres eigenen VCN auflösen können, leiten Sie ihre DNS-Abfragen an den Listener-Endpunkt im Hub-VCN weiter. Der Hub kann Hostnamen in allen verknüpften Spoke-VCNs auflösen, weil die private Ansicht für alle Spokes mit der privaten Hubansicht verknüpft ist.

Zur Implementierung dieser Architektur benötigen Sie Folgendes:

  • DNS-Listener-Endpunkt im Hub-VCN.
  • DNS-Weiterleitungsendpunkt im Hub-VCN, um Abfragen an externe Netzwerke wie On-Premise oder andere Clouds weiterzuleiten.
  • DNS-Weiterleitungsendpunkt in jedem Spoke-VCN.

Wenn ein Spoke-VCN kein DNS-Subnetz aufweist, erstellen Sie eines, oder wählen Sie ein entsprechendes vorhandenes Subnetz aus.

Tipp:

Oracle empfiehlt, dass Sie:
  • Erstellen Sie ein DNS-Subnetz im Hub-VCN, und platzieren Sie DNS-Endpunkte dort.
  • Ordnen Sie jedem Endpunkt eine NSG mit geeigneten zustandslosen Ingress- und Egress-Regeln zu. Zustandslose Regeln bieten bessere Reaktionszeiten, aber auch zustandsbehaftete Regeln werden unterstützt.

Resolver-Regeln

Das folgende Diagramm zeigt Beispielregeln in privaten DNS-Resolvern, die DNS-Anforderungen an den Hub-Listener-Endpunkt, On-Premise-DNS-Systeme oder DNS-Systeme in anderen Clouds weiterleiten:


Beschreibung von dns-private-resolver-hub-listener.png folgt
Beschreibung der Abbildung dns-private-resolver-hub-listener.png

Hinweis:

  • Subnetze für private DNS-Endpunkte dürfen nur IPv4 sein. Sie können keinen privaten DNS-Endpunkt in einem Subnetz mit aktiviertem IPv6 erstellen.
  • Sie können benutzerdefinierte private Ansichten und DNS-Zonen mit Ihren eigenen Domainnamen erstellen und diese mit einem Hub-DNS-Resolver verknüpfen, um bestimmte DNS-Namen für Ihre Ressourcen aufzulösen.