Secondary DNS

Funcionamiento de Secondary DNS

El servicio secundario de DNS contiene una copia de los datos de zona y registro que existen en el proveedor de DNS principal. Puede configurar el profesional asistencial principal para que envíe una notificación al profesional asistencial secundario cuando los registros de zona cambian. Cuando se reciba una notificación, los profesionales asistenciales secundarios solicitarán el contenido actualizado de la zona al profesional asistencial principal configurado. Este proceso se denomina transferencia de zona.

El DNS resuelve los servidores de nombres de los proveedores de consulta de manera "redondeada" en los dominios que siguen a la ruta de delegación. Si delega en ambos proveedores ("doble delegación"), los solucionadores de DNS pueden utilizar cualquiera de los proveedores al resolver un nombre y proporcionar redundancia en caso de que falle un proveedor. Si se delega únicamente en el proveedor secundario, el servidor de nombres principal se trata como principal "oculto". El servidor de nombres principal mantiene la fuente de datos de los registros de zona, que la zona secundaria utiliza para responder consultas.

Para configurar una delegación doble donde se especifican ambos conjuntos de servidores de nombres para una zona, primero actualice el registrador o la zona principal para agregar los servidores de nombres descendentes a NS rrset  para la zona. No es necesario que realice ninguna otra acción. Los solucionadores de DNS eligen qué proveedor utilizar al resolver un nombre.

Salida de Oracle Cloud Infrastructure DNS a un proveedor de DNS externo

Al crear una zona de DNS principal en el DNS de OCI, puede especificar uno o más servidores descendentes externos. Los servidores descendentes reciben una notificación de los cambios y, a continuación, solicitan transferencias de zona. Los servidores de nombres especificados también pueden emitir solicitudes de transferencia a los servidores de nombres principales de Oracle. Puede especificar servidores de nombres gestionados por diferentes proveedores.

Entrada de un proveedor de DNS externo a Oracle Cloud Infrastructure DNS

Después de crear una zona de DNS secundaria en un proveedor de DNS externo, puede especificar uno o más servidores descendentes de DNS de OCI. Los servidores descendentes de OCI reciben una notificación de los cambios del proveedor externo principal y, a continuación, solicitan transferencias de zona. Los servidores de nombres especificados también pueden emitir solicitudes de transferencia a los servidores de nombres principales externos. Puede especificar servidores descendentes para zonas externas gestionadas por diferentes proveedores.

Las zonas secundarias de OCI DNS son active-active. Esto significa que la zona secundaria está "Siempre activa" y responde a consultas como una zona normal. Aunque el proveedor principal sirve como fuente de información para los registros de la zona secundaria, el proveedor secundario sigue estando autorizado en la zona.

Uso de claves TSIG

Opcionalmente, puede configurar el DNS secundario de OCI para utilizar claves TSIG. TSIG (firma de transacción), también denominada autenticación de transacción de clave secreta, garantiza que los paquetes DNS se originen en un remitente autorizado mediante el uso de claves secretas compartidas y hash unidireccional para agregar una firma criptográfica a los paquetes de DNS. Las claves TSIG se utilizan para activar DNS y autenticar las actualizaciones de las zonas secundarias. Puede configurar claves TSIG para DNS de entrada secundaria y de salida secundaria.

Cree claves TSIG antes de crear o actualizar una zona con maestros externos o servidores descendentes externos que las utilicen. Consulte Claves TSIG para obtener más información.

Supervisión de DNS secundario

Estas métricas se pueden utilizar para configurar notificaciones que le informen si las zonas de DNS secundarias funcionan.

Por ejemplo, puede configurar una alarma en función del número de veces que falla la transferencia de zona para una zona (ZoneTransferFailureCount). A continuación, puede configurar una notificación que envíe a los suscriptores un mensaje cuando se active la alarma. Puede enviar mensajes por diferentes protocolos, incluidos correo electrónico, Slack o SMS.

A continuación, se muestra cómo se configura esta notificación:

1. Cree una alarma que se dispare superando un recuento de fallos de transferencia de zona especificado Especifique el espacio de nombres como oci_dns y el nombre de métrica como ZoneTransferFailureCount.

   Defina el operador de regla de disparador en greater than y especifique el recuento de fallos que supere la tolerancia durante el intervalo.

   Nota
   
   Al configurar una alarma para Zone Transfer Failure Count, asegúrese de considerar cuidadosamente el valor del ratio de refrescamiento en la SOA de la zona secundaria. El ratio de refrescamiento varía entre 1200 y 43200 segundos. Por ejemplo, si el valor de ratio de refrescamiento es corto, pero el intervalo de alarma es alto, puede recibir muchas notificaciones de alarma duplicadas.

   Para obtener una notificación para la alarma, especifique un tema al que enviar la alarma. Puede crear un tema nuevo en este flujo de trabajo si lo necesita.

2. Cree una suscripción al tema

   Para recibir una notificación de una alarma, suscríbase al tema al que envió la alarma en el paso 1. Puede configurar la suscripción para que se envíe a diferentes protocolos, como correo electrónico, Slack o SMS. Puede especificar una lista de correo electrónico o crear suscripciones individuales con una única dirección.

   Nota
   
   Si espera más de 60 mensajes de alarma en un minuto, puede enviar la alarma al servicio Streaming y recibir un flujo.

Consulte Métricas de DNS para obtener una descripción detallada de los tipos de métricas emitidas por DNS.

Limitaciones y consideraciones

• Asegúrese de que los servidores de nombres secundarios puedan conectarse a los proveedores principales y de que permitan transferencias de zona a las direcciones IP del servidor de nombres secundario. En los casos en los que OCI es el proveedor de DNS secundario (entrada), le proporcionamos una lista de IP del servidor host a las que los servidores de nombres principales pueden transferir archivos de zona. En los casos en los que el proveedor de DNS secundario es externo (salida), puede obtener las direcciones IP de su proveedor.
• Si un proveedor principal externo firma zonas con DNSSEC , las firmas se transfieren con los registros de zona. OCI no emite zonas con firma DNSSEC, pero admite zonas de DNS con firma externa.
• Las funciones avanzadas proporcionadas por un proveedor de DNS primario no están soportadas en DNS secundario. Esta sentencia se aplica tanto a la entrada secundaria en OCI DNS como a la salida secundaria en un proveedor externo. Algunos ejemplos de funciones avanzadas son las políticas de dirección de gestión de tráfico de OCI, el equilibrio de asignación en rueda o ALIAS.