Privates DNS zwischen OCI und On-Premise oder Cloud von Drittanbietern
Im Folgenden werden OCI-DNS-Konzepte aufgeführt:
- Eine private DNS-Lösung löst Hostnamen für Anwendungen auf, die innerhalb und über VCNs hinweg sowie zwischen OCI-, On-Premises- und Cloud-Umgebungen von Drittanbietern ausgeführt werden.
- Wenn eine DNS-Abfrage in OCI nicht aufgelöst werden kann, kann sie an On-Premise-Netzwerke oder verbundene Clouds von Drittanbietern weitergeleitet werden.
- OCI Private DNS ist regional. Um Abfragen außerhalb Ihrer Region aufzulösen, müssen Sie die DNS-Weiterleitung an die Zielregion konfigurieren.
Sie können die DNS-Abfrageauflösung auf den folgenden Ebenen konfigurieren:
- VCN: DNS-Abfragen innerhalb eines VCN werden automatisch vom Standard-VCN-Resolver von OCI verarbeitet, ohne dass eine zusätzliche Konfiguration erforderlich ist.
- Bereich:
- Wenn Sie ein VCN erstellen, erstellt OCI eine private Ansicht für dieses VCN. Eine private Ansicht ist eine Gruppe privater DNS-Zonen.
- Wenn Sie ein Subnetz erstellen, erstellt OCI eine private DNS-Zone für dieses Subnetz in der privaten Ansicht (VCN).
- Alle Ressourcen mit privaten IPs in einem Subnetz werden in der privaten DNS-Zone registriert.
- Einige OCI-Ressourcen (wie Autonomous Transaction Processing-Datenbanken mit privaten Endpunkten) können eigene private DNS-Zonen erstellen.
Hub-and-Spoke-VCN-Ressourcen-Resolver
Damit Ressourcen in Spoke-VCNs Hostnamen außerhalb ihres eigenen VCN auflösen können, leiten Sie ihre DNS-Abfragen an den Listener-Endpunkt im Hub-VCN weiter. Der Hub kann Hostnamen in allen verknüpften Spoke-VCNs auflösen, weil die private Ansicht für alle Spokes mit der privaten Hubansicht verknüpft ist.
Zur Implementierung dieser Architektur benötigen Sie Folgendes:
- DNS-Listener-Endpunkt im Hub-VCN.
- DNS-Weiterleitungsendpunkt im Hub-VCN, um Abfragen an externe Netzwerke wie On-Premise oder andere Clouds weiterzuleiten.
- DNS-Weiterleitungsendpunkt in jedem Spoke-VCN.
Wenn ein Spoke-VCN kein DNS-Subnetz aufweist, erstellen Sie eines, oder wählen Sie ein entsprechendes vorhandenes Subnetz aus.
Tipp:
Oracle empfiehlt, dass Sie:- Erstellen Sie ein DNS-Subnetz im Hub-VCN, und platzieren Sie DNS-Endpunkte dort.
- Ordnen Sie jedem Endpunkt eine NSG mit geeigneten zustandslosen Ingress- und Egress-Regeln zu. Zustandslose Regeln bieten bessere Reaktionszeiten, aber auch zustandsbehaftete Regeln werden unterstützt.
Resolver-Regeln
Das folgende Diagramm zeigt Beispielregeln in privaten DNS-Resolvern, die DNS-Anforderungen an den Hub-Listener-Endpunkt, On-Premise-DNS-Systeme oder DNS-Systeme in anderen Clouds weiterleiten:
Hinweis:
- Subnetze für private DNS-Endpunkte dürfen nur IPv4 sein. Sie können keinen privaten DNS-Endpunkt in einem Subnetz mit aktiviertem IPv6 erstellen.
- Sie können benutzerdefinierte private Ansichten und DNS-Zonen mit Ihren eigenen Domainnamen erstellen und diese mit einem Hub-DNS-Resolver verknüpfen, um bestimmte DNS-Namen für Ihre Ressourcen aufzulösen.