DNS privé entre OCI et le nuage sur place ou de tierce partie

Le système de noms de domaine (DNS) convertit les noms de domaine lisibles par l'utilisateur en adresses IP lisibles par machine. Un serveur de noms DNS stocke les enregistrements DNS pour une zone et répond aux interrogations adressées à sa base de données.

Voici la liste des concepts du DNS OCI :

  • Une solution de DNS privée résout les noms d'hôte des applications s'exécutant dans et entre des réseaux en nuage virtuels, ainsi qu'entre des environnements en nuage OCI, sur place et de tierce partie.
  • Si une requête DNS ne peut pas être résolue dans OCI, elle peut être transmise à des réseaux sur place ou à des nuages tiers connectés.
  • OCI Private DNS est régional. Pour résoudre les interrogations en dehors de votre région, vous devez configurer le transfert DNS vers la région cible.

Vous pouvez configurer la résolution des interrogations DNS aux niveaux suivants :

  • VCN : Les interrogations DNS d'un VCN sont traitées automatiquement par le résolveur de VCN standard d'OCI, sans configuration supplémentaire nécessaire.
  • Région :
    • Lorsque vous créez un VCN, OCI crée une vue privée pour ce VCN. Une vue privée est un groupe de zones DNS privées.
    • Lorsque vous créez un sous-réseau, OCI crée une zone DNS privée pour ce sous-réseau dans la vue privée (VCN).
    • Toutes les ressources ayant des adresses IP privées dans un sous-réseau sont enregistrées dans sa zone DNS privée.
    • Certaines ressources OCI (telles que les bases de données Autonomous Transaction Processing avec des points d'extrémité privés) peuvent créer leurs propres zones DNS privées.

Résolveur de ressources de VCN central et satellite

La fonction Vues privées associées dans OCI permet à un résolveur DNS dans un réseau VCN (le concentrateur) de résoudre les noms d'hôte à partir des vues privées des autres réseaux en nuage virtuels (les rayons). Cette fonction prend en charge jusqu'à 50 VCN dans une région. Un résolveur de concentrateur peut accéder aux enregistrements de ressources dans toute la région si des vues satellite sont associées à la vue de concentrateur. Le diagramme suivant présente les vues privées satellite associées avec des vues privées Hub pour permettre au résolveur du VCN Hub de résoudre toutes les ressources d'une région :

Description de hub-vcn-oci-resource-resolver.png :
Description de l'illustration hub-vcn-oci-resource-resolver.png

Pour permettre aux ressources des réseaux en nuage virtuels du satellite de résoudre des noms d'hôte en dehors de leur propre VCN, transmettez leurs interrogations DNS au point d'extrémité du module d'écoute dans le VCN central. Le concentrateur peut résoudre les noms d'hôte dans tous les réseaux en nuage virtuels satellites associés, car la vue privée de toutes les rayons est associée à la vue privée du concentrateur.

Pour implémenter cette architecture, vous devez disposer des éléments suivants :

  • Point d'extrémité du module d'écoute DNS dans le VCN central.
  • Point d'extrémité de transmission DNS dans le VCN central pour transmettre les interrogations aux réseaux externes, tels que sur place ou d'autres nuages.
  • Point d'extrémité de transmission DNS dans chaque VCN satellite.

Si un VCN satellite n'a pas de sous-réseau DNS, créez-en un ou sélectionnez un sous-réseau existant approprié.

Conseil :

Oracle vous recommande d'effectuer les opérations suivantes :
  • Créez un sous-réseau DNS dans le VCN central et placez-y des points d'extrémité DNS.
  • Associez un groupe de sécurité de réseau à chacun des points d'extrémité à l'aide des règles sans état de trafic entrant et sortant appropriées. Les règles sans état fournissent de meilleurs temps de réponse, mais les règles avec état sont également prises en charge.

Règles de résolveur

Le diagramme suivant présente des exemples de règles dans les résolveurs DNS privés qui transmettent les demandes DNS au point d'extrémité du module d'écoute Hub, aux systèmes DNS sur place ou aux systèmes DNS dans d'autres nuages :


Description de dns-private-resolver-hub-listener.png :
Description de l'illustration dns-private-resolver-hub-listener.png

Note :

  • Les sous-réseaux des points d'extrémité DNS privés doivent être IPv4 seulement. Vous ne pouvez pas créer un point d'extrémité DNS privé dans un sous-réseau activé pour IPv6.
  • Vous pouvez créer des vues privées personnalisées et des zones DNS avec vos propres noms de domaine, et les associer à un résolveur DNS central pour résoudre des noms DNS spécifiques pour vos ressources.