DNS secondaire

Fonctionnement du système de noms de domaine secondaire

Le service DNS secondaire contient une copie des données de zone et d'enregistrement qui existent dans le fournisseur DNS principal. Vous pouvez configurer le fournisseur principal pour qu'il envoie un avis au fournisseur secondaire lorsque les enregistrements de zone changent. Après réception d'un avis, les fournisseurs secondaires demandent alors le contenu mis à jour au fournisseur principal configuré. Ce processus est appelé transfert de zone.

Les résolveurs DNS interrogent les serveurs de noms des fournisseurs de manière "round-robin" dans les domaines suivant le chemin de délégation. Si vous déléguez aux deux fournisseurs ("double délégation"), les résolveurs DNS peuvent utiliser l'un ou l'autre de ces fournisseurs lors de la résolution d'un nom, en fournissant une redondance en cas d'échec d'un fournisseur. Si vous déléguez uniquement au fournisseur secondaire, le serveur de noms principal est traité comme un serveur principal "masqué". Le serveur de noms principal gère la source de données pour les enregistrements de zone, que la zone secondaire utilise pour répondre aux interrogations.

Pour configurer la délégation double lorsque les deux jeux de serveurs de noms sont spécifiés pour une zone, mettez d'abord à jour le registraire ou la zone parent pour ajouter les serveurs de noms en aval au NS rrset  de la zone. Vous n'avez pas besoin d'effectuer d'autres actions. Les résolveurs DNS déterminent le fournisseur à utiliser lors de la résolution d'un nom.

Trafic sortant d'Oracle Cloud Infrastructure DNS vers un fournisseur de DNS externe

Lorsque vous créez une zone DNS principale dans le DNS OCI, vous pouvez spécifier un ou plusieurs serveurs en aval externes. Les serveurs en aval sont informés des modifications, puis demandent des transferts de zone. Les serveurs de noms spécifiés peuvent également émettre des demandes de transfert vers les serveurs de noms principaux Oracle. Vous pouvez spécifier des serveurs de noms gérés par différents fournisseurs.

Trafic entrant d'un fournisseur DNS externe vers Oracle Cloud Infrastructure DNS

Après avoir créé une zone DNS secondaire dans un fournisseur DNS externe, vous pouvez spécifier un ou plusieurs serveurs DNS OCI en aval. Les serveurs en aval OCI sont avisés des modifications par le fournisseur externe principal, puis demandent des transferts de zone. Les serveurs de noms spécifiés peuvent également émettre des demandes de transfert vers les serveurs de noms principaux externes. Vous pouvez définir des serveurs en aval pour les zones externes gérées par différents fournisseurs.

Les zones secondaires du DNS OCI sont actives-actives. Cela signifie que la zone secondaire est "toujours active" et qu'elle répond aux interrogations comme une zone normale. Bien que le fournisseur principal serve de source de données unique pour les enregistrements de la zone secondaire, le fournisseur secondaire fait toujours autorité pour la zone.

Utilisation des clés TSIG

Facultativement, vous pouvez configurer le DNS secondaire OCI pour utiliser des clés TSIG. L'authentification TSIG (signature de transaction), également appelée authentification de transaction par clé secrète, garantit que les paquets DNS proviennent d'un expéditeur autorisé à l'aide de clés secrètes partagée et d'un hachage unidirectionnel pour ajouter une signature cryptographique aux paquets DNS. Les clés TSIG sont utilisées pour permettre à DNS d'authentifier les mises à jour des zones secondaires. Vous pouvez configurer des clés TSIG pour le DNS entrant et sortant secondaire.

Créez des clés TSIG avant de créer ou de mettre à jour une zone avec des bases externes ou des serveurs en aval externes qui les utilisent. Pour plus d'informations, voir Gestion des clés TSIG.

Surveillance du DNS secondaire

Ces mesures peuvent être utilisées pour configurer des avis qui vous indiquent si les zones DNS secondaires fonctionnent.

Par exemple, vous pouvez configurer une alarme en fonction du nombre d'échecs du transfert de zone pour une zone (ZoneTransferFailureCount). Ensuite, vous pouvez configurer un avis qui envoie aux abonnés un message lorsque l'alarme est déclenchée. Vous pouvez envoyer des messages par différents protocoles, notamment par courriel, Slack ou SMS.

Voici comment cet avis est configuré :

1. Créez une alarme déclenchée en dépassant le nombre d'échecs de transfert de zone spécifié Spécifiez l'espace de noms comme oci_dns et le nom de mesure comme ZoneTransferFailureCount.

   Réglez l'opérateur de règle de déclenchement à greater than et spécifiez le nombre d'échecs qui dépasse la tolérance pendant l'intervalle.

   Note
   
   Lorsque vous configurez une alarme pour Zone Transfer Failure Count, veillez à prendre en compte avec soin la valeur de la fréquence d'actualisation dans l'architecture SOA de la zone secondaire. Le taux de rafraîchissement varie de 1200 à 43200 secondes. Par exemple, si la valeur du taux d'actualisation est courte, mais que l'intervalle d'alarme est élevé, vous pourriez recevoir de nombreux avis d'alarme en double.

   Pour obtenir un avis pour l'alarme, spécifiez un sujet auquel envoyer l'alarme. Vous pouvez créer un nouveau sujet dans ce flux de travail si nécessaire.

2. Créez un abonnement au sujet

   Pour recevoir un avis d'alarme, abonnez-vous au sujet auquel vous avez envoyé l'alarme à l'étape 1. Vous pouvez configurer l'abonnement pour l'envoi à différents protocoles tels que courriel, Slack ou SMS. Vous pouvez spécifier une liste de courriels ou créer des abonnements individuels avec une seule adresse.

   Note
   
   Si vous prévoyez plus de 60 messages d'alarme dans une minute, vous pouvez envoyer l'alarme au service de diffusion en continu et recevoir un flux.

Voir Mesures DNS pour une description détaillée des types de mesure émis par le service DNS.

Limites et points à considérer

• Assurez-vous que les serveurs de noms secondaires peuvent se connecter aux fournisseurs principaux et qu'ils prennent en charge les transferts de zone vers les adresses IP du serveur de noms secondaire. Pour les cas où OCI est le fournisseur DNS secondaire (entrant), nous vous fournissons une liste des adresses IP de serveur hôte vers lesquelles les serveurs de noms principaux peuvent transférer des fichiers de zone. Pour les cas où le fournisseur DNS secondaire est externe (sortant), vous pouvez obtenir les adresses IP du fournisseur.
• Si un fournisseur principal externe signe des zones avec DNSSEC , les signatures sont transférées avec les enregistrements de zone. OCI n'émet pas de zones signées DNSSEC, mais prend en charge les zones DNS signées à l'externe. Pour que les enregistrements DNSSEC soient transférés au DNS OCI en tant que secondaire, la principale externe doit transférer une zone signée. Si l'instance principale externe ne fait que signer en ligne, les enregistrements DNSSEC ne sont pas inclus dans le transfert.
• Les fonctions avancées fournies par un fournisseur DNS principal ne sont pas prises en charge dans le DNS secondaire. Cet énoncé s'applique à la fois au trafic entrant secondaire vers le DNS OCI et au trafic sortant secondaire vers un fournisseur externe. Des exemples de fonctions avancées incluent les politiques de pilotage pour la gestion du trafic OCI, l'équilibrage en circuit cyclique ou l'ALIAS.