DNS privé
Créez et gérez des zones de DNS privé.
Utilisez des zones de service de nom de domaine privé (DNS) pour créer des zones privées avec des noms de domaine que vous spécifiez. Vous pouvez gérer entièrement les zones et les enregistrements pour fournir une résolution de nom d'hôte pour les applications s'exécutant dans et entre les réseaux en nuage virtuels () et les réseaux sur place ou autres réseaux privés. La gestion du trafic n'est disponible que pour un DNS public et n'est pas prise en charge sur un DNS privé.
Le DNS privé fournit également la résolution DNS entre réseaux (par exemple, un autre VCN dans la même région, une autre région ou un réseau externe). Le DNS privé peut être géré dans l'API DNS et dans la console OCI.
Ressources utilisées dans le DNS privé
- Zones DNS privées : Les zones DNS privées contiennent des données DNS accessibles seulement à partir d'un réseau en nuage virtuel (VCN), notamment des adresses IP privées. Une zone DNS privée a des capacités similaires à une zone DNS Internet, mais elle fournit des réponses uniquement pour les clients qui peuvent l'atteindre par l'intermédiaire d'un réseau en nuage virtuel. Chaque zone appartient à une seule vue.
- Enregistrements de zone DNS privée : Différents types d'enregistrement sont pris en charge pour les DNS globaux et privés. Voir Enregistrements de ressource pris en charge.
- Vues DNS privées : Une vue DNS privée est un ensemble de zones privées. Le même nom de zone peut être utilisé dans de nombreuses vues, mais les noms de zone doivent être uniques dans une vue.
-
Resolver DNS privé : Un résolveur DNS privé dédié au VCN contient la configuration qui sert les réponses aux interrogations DNS dans le VCN. Les vues du résolveur déterminent les données de zone et d'enregistrement applicables pour la résolution. Les points d'extrémité du résolveur fournissent un autre trafic entrant et sortant, en plus du trafic entrant par défaut sur 169.254.169.254. Pour plus d'informations, voir Résolveurs DNS privés.
- Point d'extrémité de résolveur DNS privé : Utilisez des ressources de point d'extrémité de résolveur pour configurer le trafic entrant et sortant dans le VCN. Les points d'extrémité de résolveur consomment des adresses IP dans le sous-réseau dans lequel vous les créez. Une carte vNIC correspondante est créée pour chaque point d'extrémité de résolveur.
- VCN : Lorsque vous créez un réseau VCN, un résolveur dédié est également créé automatiquement.
- Sous-réseau : Un sous-réseau d'un réseau VCN est utilisé lors de la création de points d'extrémité de résolveur. Les adresses IP du sous-réseau sont consommées en tant qu'adresses d'écoute et de transmission.
- Groupe de sécurité de réseau : Vous pouvez éventuellement configurer une liste de groupes de sécurité de réseau pour les points d'extrémité du résolveur. Les groupes de sécurité de réseau contrôlent le trafic entrant et sortant vers et depuis le point d'extrémité du résolveur.
Voir Résolveurs DNS privés dans la documentation sur le service de réseau pour plus d'informations sur les ressources du réseau VCN.
Ressources protégées
- Tous les résolveurs dédiés au VCN
- Vues par défaut : Chaque résolveur dédié au VCN possède une vue par défaut protégée. Vous pouvez ajouter d'autres zones à la vue par défaut, mais des restrictions s'appliquent aux noms de zone pour éviter les conflits avec des zones protégées. Si un résolveur est supprimé et que sa vue par défaut contient des zones qui ne sont pas protégées, la vue par défaut est convertie en une vue qui n'est pas protégée au lieu d'être supprimée. Vous pouvez créer et attacher une vue à un résolveur en plus de la vue par défaut, de sorte que les zones correspondantes puissent être résolues dans le VCN.
Configuration et résolution
DNS
Vous pouvez créer un arbre de domaine complet ou partiel. Une vue peut être utilisé par n'importe quel nombre de résolveurs et partager des données DNS privées entre des VCN de la même région. Vous pouvez utiliser ces zones pour le DNS à horizon partagé, car le même nom de zone peut être utilisé dans une zone privée et une zone Internet. Différentes réponses peuvent être fournies pour les interrogations publiques et les interrogations privées à partir d'un VCN.
Le sous-réseau pour les points d'extrémité DNS privés doit être IPv4 uniquement. La demande de création d'un point d'extrémité DNS privé dans un sous-réseau activé pour IPv6 échoue.
Ajoutez des règles pour définir la logique de réponse aux interrogations. Le seul type de règle pris en charge est FORWARD. Cette règle transmet conditionnellement une interrogation à une adresse IP de destination en fonction de l'adresse IP du client ou du QNAME cible. L'adresse IP de destination peut correspondre à une configuration sur place, un réseau privé ou un point d'extrémité de résolveur d'écoute dans un autre VCN. La règle de résolveur qnameCoverConditions couvre les correspondances exactes ainsi que les sous-domaines.
- Chaque vue attachée est évaluée dans l'ordre. La vue par défaut est évaluée en dernier, si elle n'est pas explicitement incluse dans la liste.
- Les règles de résolveur sont évaluées dans l'ordre. La première règle de résolveur qui correspond à la vue est appliquée. Toute règle plus loin dans la liste avec des conditions en double (y compris aucune condition) vers une précédente n'est jamais évaluée. Un exemple de règle inaccessible est qnameCoverCondition ou clientAddressConditions plus spécifique après une règle plus générale. Si la règle plus générale correspond à une correspondance, la règle plus spécifique n'est jamais évaluée.
- L'interrogation est résolue sur Internet.
Par exemple, si un nom d'interrogation est inclus dans une zone d'une vue privée et que ce nom n'existe pas dans la zone, la zone retourne une réponse NXDOMAIN faisant autorité.
VCN
Le trafic entrant et sortant entre les réseaux en nuage virtuels ou entre les réseaux en nuage virtuels et les réseaux sur place nécessite une connectivité. L'établissement d'une connexion peut nécessiter une passerelle d'appairage local (LPG ) ou une passerelle d'appairage distant (RPG ) entre les réseaux en nuage virtuels. La connexion entre un réseau VCN et des réseaux sur place nécessite FastConnect ou un tunnel IPSec (RPV IPSec).
Les listes de sécurité du VCN et tout groupe de sécurité de réseau référencé doivent autoriser le trafic requis. DHCP doit être activé dans la liste de sécurité pour le trafic entrant et sortant et inclure l'adresse IP du point d'extrémité du résolveur correspondant. Les règles de sécurité pour les points d'extrémité d'écoute doivent autoriser le trafic entrant UDP sans connexion sur le port de destination 53, le trafic sortant UDP sans connexion sur le port source 53 et le trafic entrant TCP sur le port de destination 53. Les règles de sécurité pour les points d'extrémité de transmission doivent autoriser le trafic sortant UDP sans connexion sur le port de destination 53, le trafic entrant UDP sans connexion sur le port source 53 et le trafic sortant TCP sur le port de destination 53.
Cas d'utilisation
Zones DNS personnalisées dans un réseau VCN
Les zones DNS privées sont regroupées dans des vues . Tous les résolveurs dédiés à un réseau VCN possèdent une vue par défaut qui est créée automatiquement. Pour créer une zone DNS personnalisée résolue à partir d'un réseau VCN, créez la zone privée dans la vue par défaut du résolveur dédié ou créez-la dans une nouvelle vue et ajoutez-la à la liste des vues attachées du résolveur dédié. Voir Centre d'aide/Configurer des vues et des résolveurs de zone DNS privée pour des instructions détaillées sur la configuration de ce service.
Horizon partagé
Créez des zones privées portant les mêmes noms que des zones publiques sur Internet. Ajoutez ensuite les zones à l'une des vues du résolveur du VCN . Dans le VCN, les noms sont résolus en fonction de la configuration du DNS privé. Les mêmes noms fournissent des réponses différentes selon l'origine de la demande.
Zones DNS privées partagées au sein d'une région
Au sein d'une région, un réseau VCN peut résoudre les demandes des vues privées des autres VCN. Par exemple, supposons que vous souhaitiez mettre en oeuvre cette solution avec les VCN A et B. Ajoutez la vue par défaut du résolveur dédié du VCN A aux vues attachées du résolveur dédié du VCN B. Ajoutez ensuite la vue par défaut du résolveur dédié du VCN B aux vues attachées du résolveur dédié du VCN A.
La même zone privée ou collection de zones privées peuvent être réutilisée dans plusieurs réseaux en nuage virtuels. Cette solution peut réduire la duplication de configurations DNS. Créez une vue et ajoutez une ou plusieurs zones privées à la vue. Pour chaque VCN, ajoutez la nouvelle vue à la liste des vues attachées du résolveur dédié du VCN. Voir Centre d'aide/Configurer des vues et des résolveurs de zone DNS privée pour des instructions détaillées sur la configuration de ce service.
Résolution DNS entre les réseaux en nuage virtuels
Envoyez des demandes entre des réseaux en nuage virtuels à l'aide de points d'extrémité de résolveur. Les réseaux en nuage virtuels peuvent exister dans différentes régions. Cette solution nécessite une passerelle d'appairage locale ou distante (LPG /RPG ). Pour envoyer le trafic du VCN A au VCN B, ajoutez un point d'extrémité d'écoute au résolveur du VCN B. Ajoutez ensuite un point d'extrémité de transmission au résolveur dédié du VCN A. Créez une règle sur le résolveur dédié du VCN A qui transmet le trafic par le point d'extrémité de transmission du VCN A vers l'adresse du point d'extrémité d'écoute du VCN B. Pour envoyer le trafic dans les deux directions entre les réseaux en nuage virtuels, ajoutez un point d'extrémité de transmission et d'écoute à chaque résolveur dédié et ajoutez une règle sur chaque résolveur dédié. Voir Chroniques de l'équipe A/Mise en oeuvre du système de noms de domaine privé pour des instructions détaillées sur la configuration de ce service.
Connectivité entre un réseau VCN et des serveurs de noms sur place
Les demandes peuvent être envoyées entre un réseau VCN et des serveurs de noms sur place dans les deux sens. Cette solution nécessite une connectivité entre le VCN et le réseau sur place à l'aide de FastConnect ou d'un tunnel IPSec (RPV IPSec). Pour envoyer du trafic à un réseau VCN, ajoutez un point d'extrémité d'écoute à son résolveur dédié et envoyez le trafic à son adresse. Pour envoyer du trafic à partir d'un réseau VCN, ajoutez un point d'extrémité de transmission à son résolveur dédié et une règle qui transmet le trafic par le point d'extrémité à l'adresse du serveur de noms sur place. Voir Chroniques de l'équipe A/Mise en oeuvre du système de noms de domaine privé pour des instructions détaillées sur la configuration de ce service.
Cas d'utilisation avancés
Il est possible de configurer des réseaux en nuage virtuels pour plusieurs cas d'utilisation. Un seul VCN peut être appairé à un autre VCN et configuré pour se connecter à un serveur de noms sur place. Le transfert peut également être enchaîné sur de nombreux réseaux en nuage virtuels.
Enregistrements de ressource pris en charge
Le service Oracle Cloud Infrastructure DNS prend en charge de nombreux types d'enregistrement de ressources. La liste suivante décrit brièvement chaque type d'enregistrement pris en charge pour un DNS privé. Pour un DNS public, voir Enregistrements de ressource pris en charge par le DNS public. Évitez d'entrer des informations confidentielles lorsque vous spécifiez des données d'enregistrement. Les liens RFC vous dirigent vers des informations supplémentaires sur les types d'enregistrement et la structure de données.
Note sur les RDATA
OCI normalise toutes les RDATA dans le format le plus lisible par machine possible. La présentation retournée de RDATA peut différer de son entrée initiale.
Exemple :
The RDATA for the CNAME, DNAME, and MX record types can contain one or more absolute domain names. Si les RDATA spécifiées pour l'un de ces types d'enregistrement ne se terminent pas par un point représentant la racine, ce point est ajouté.
www.example.com --> www.example.com.
Vous pouvez utiliser plusieurs bibliothèques DNS pour normaliser les RDATA avant de les entrer.
Langage de programmation | Bibliothèque |
---|---|
Go | Bibliothèque DNS en Go |
Java | dnsjava |
Python | dnspython |
Types d'enregistrement de ressource de DNS privé
- A
- Enregistrement d'adresse utilisé pour associer un nom d'hôte à une adresse IPv4. Pour plus d'informations sur les enregistrements A, voir le document RFC 1035.
- AAAA
- Enregistrement d'adresse utilisé pour associer un nom d'hôte à une adresse IPv6. Pour plus d'informations sur les enregistrements AAAA, voir le document RFC 3596.
- CAA
- Un enregistrement d'autorisation d'autorité de certification est utilisé par un titulaire de nom de domaine pour spécifier une ou plusieurs autorités de certification autorisées à émettre des certificats pour ce domaine. Pour plus d'informations sur les enregistrements CAA, voir le document RFC 6844.
- CNAME
- Un enregistrement de nom canonique identifie le nom canonique d'un domaine. Pour plus d'informations sur les enregistrements CNAME, voir le document RFC 1035.
- DNAME
- Un enregistrement de nom de délégation a un comportement similaire à un enregistrement CNAME, mais mappe l'ensemble d'un sous-arbre d'une étiquette à un autre domaine. Pour plus d'informations sur les enregistrements DNAME, voir le document RFC 6672.
- MX
- Un enregistrement MX (Mail Exchanger) définit le serveur de courriel qui accepte les courriels pour un domaine. Les enregistrements MX doivent pointer vers un nom d'hôte. Les enregistrements MX ne doivent pas pointer vers un enregistrement CNAME ou une adresse IP. Pour plus d'informations sur les enregistrements MX, voir le document RFC 1035.
- PTR
- Un enregistrement de pointeur est utilisé pour le mappage inverse d'une adresse IP à un nom d'hôte. Ce comportement est le contraire de celui d'un enregistrement A, qui effectue un mappage direct d'un nom d'hôte à une adresse IP. Les enregistrements PTR sont fréquents dans les zones DNS inverses. Pour plus d'informations sur les enregistrements PTR, voir le document RFC 1035.
- SRV
- Un enregistrement d'adresse de service permet aux administrateurs d'utiliser plusieurs serveurs pour un seul domaine. Pour plus d'informations sur les enregistrements SRV, voir le document RFC 2782.
- TXT
- Un enregistrement de texte contient un texte descriptif lisible par l'utilisateur, avec éventuellement du contenu non lisible destiné à des utilisations spécifiques. Ce type d'enregistrement est couramment utilisé pour les enregistrements SPF et DKIM qui nécessitent des éléments de texte non lisibles par l'utilisateur. Pour plus d'informations sur les enregistrements TXT, voir le document RFC 1035.
Politiques GIA requises
Pour utiliser un DNS privé, un utilisateur a besoin de suffisamment d'autorité (au moyen d'une politique IAM). Les utilisateurs du groupe Administrateurs disposent des autorisations requises. Si un utilisateur ne fait pas partie du groupe Administrateurs, une politique de ce type permet à un groupe spécifique de gérer un DNS privé :
Allow group <GroupName> to manage dns in tenancy where target.dns.scope = 'private'
Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de détails sur les politiques pour DNS privé, voir Informations de référence sur les politiques DNS.
Tâches DNS privées
Configuration d'un DNS privé
Tâches DNS privées
Tâches du VCN
Pour créer un réseau VCN avec un résolveur DNS dédié, voir Aperçu des réseaux en nuage virtuels et des sous-réseaux et DNS dans votre réseau en nuage virtuel pour plus d'informations.