DNS secondaire

Fonctionnement du DNS secondaire

Le service DNS secondaire contient une copie des données de zone et d'enregistrement qui existent sur le fournisseur DNS principal. Vous pouvez configurer le fournisseur principal pour qu'il envoie une notification au fournisseur secondaire lorsque les enregistrements de zone changent. Une fois la notification reçue, les fournisseurs secondaires demandent le contenu de zone mis à jour au fournisseur principal configuré. Ce processus est appelé transfert de zone.

Les résolveurs DNS interrogent les serveurs de noms des fournisseurs "à tour de rôle" sur les domaines suivant le chemin de délégation. Si vous déléguez à ces deux fournisseurs ("délégation double"), les résolveurs DNS peuvent utiliser l'un ou l'autre fournisseur lors de la résolution d'un nom, ce qui fournit une redondance en cas d'échec d'un fournisseur. Si vous déléguez uniquement au fournisseur secondaire, le serveur de noms principal est traité comme un serveur principal "masqué". Le serveur de noms principal conserve la source d'informations pour les enregistrements de zone, que la zone secondaire utilise pour répondre aux requêtes.

Pour configurer une double délégation lorsque les deux ensembles de serveurs de noms sont spécifiés pour une zone, mettez d'abord à jour le registraire ou la zone parent pour ajouter les serveurs de noms en aval au NS rrset de la zone. Aucune autre action n'est nécessaire. Les résolveurs DNS déterminent le fournisseur à utiliser lors de la résolution d'un nom.

Sortie d'Oracle Cloud Infrastructure DNS vers un fournisseur DNS externe

Lorsque vous créez une zone DNS principale dans OCI DNS, vous pouvez indiquer des serveurs en aval externes. Les serveurs en aval sont informés des modifications, puis demandent des transferts de zone. Les serveurs de noms indiqués peuvent également émettre des demandes de transfert vers les serveurs de noms principaux Oracle. Vous pouvez spécifier des serveurs de noms gérés par différents fournisseurs.

Entrée d'un fournisseur DNS externe vers Oracle Cloud Infrastructure DNS

Une fois que vous avez créé une zone DNS secondaire dans un fournisseur DNS externe, vous pouvez indiquer des serveurs DNS OCI en aval. Les serveurs OCI en aval sont informés des modifications par le fournisseur externe principal, puis demandent des transferts de zone. Les serveurs de noms spécifiés peuvent également émettre des demandes de transfert vers les serveurs de noms principaux externes. Vous pouvez spécifier des serveurs en aval pour les zones externes gérées par différents fournisseurs.

Les zones secondaires dans OCI DNS sont actives-actives. Cela signifie que la zone secondaire est toujours activée et qu'elle répond aux requêtes comme une zone standard. Bien que le fournisseur principal serve de source d'informations pour les enregistrements de la zone secondaire, le fournisseur secondaire fait toujours autorité pour la zone.

Utiliser des clés TSIG

Vous pouvez éventuellement configurer le DNS secondaire OCI pour qu'il utilise des clés TSIG. Le protocole TSIG (signature de transaction), également appelé Authentification de transaction de clé secrète, garantit que les paquets DNS proviennent d'un expéditeur autorisé en ajoutant une signature cryptographique aux paquets DNS à l'aide de clés secrètes partagées et d'un hachage unidirectionnel. Les clés TSIG permettent à DNS d'authentifier les mises à jour de zones secondaires. Vous pouvez configurer des clés TSIG pour le DNS entrant et sortant secondaire.

Créez des clés TSIG avant de créer ou de mettre à jour une zone avec des maîtres externes ou des serveurs en aval externes qui les utilisent. Pour plus d'informations, reportez-vous à Gestion des clés TSIG.

Surveillance du DNS secondaire

Ces mesures peuvent être utilisées pour configurer des notifications qui vous indiquent si les zones DNS secondaires fonctionnent.

Par exemple, vous pouvez configurer une alarme en fonction du nombre d'échecs du transfert de zone pour une zone (ZoneTransferFailureCount). Vous pouvez ensuite configurer une notification qui envoie un message aux abonnés lorsque l'alarme est déclenchée. Vous pouvez envoyer des messages par différents protocoles, notamment par courriel, Slack ou SMS.

Pour configurer cette notification, procédez comme suit :

1. Créez une alarme déclenchée en dépassant le nombre d'échecs de transfert de zone indiqué : indiquez oci_dns dans Espace de noms et ZoneTransferFailureCount dans le nom de mesure.

   Définissez l'opérateur de règle de déclencheur sur greater than et indiquez le nombre d'échecs qui dépasse la tolérance au cours de l'intervalle.

   Remarque
   
   Lorsque vous configurez une alarme pour Zone Transfer Failure Count, veillez à examiner attentivement la valeur de taux d'actualisation dans l'architecture SOA de la zone secondaire. Le taux de rafraîchissement varie de 1200 à 43200 secondes. Par exemple, si la valeur du taux d'actualisation est courte, mais que l'intervalle d'alarme est élevé, vous pouvez recevoir de nombreuses notifications d'alarme en double.

   Afin d'obtenir une notification pour l'alarme, indiquez un sujet auquel envoyer l'alarme. Vous pouvez créer une rubrique dans ce workflow si nécessaire.

2. Créez un abonnement au sujet

   Afin de recevoir une notification pour une alarme, abonnez-vous au sujet auquel vous avez envoyé l'alarme à l'étape 1. Vous pouvez configurer l'abonnement pour l'envoi à différents protocoles, tels que les courriels, Slack ou SMS. Vous pouvez spécifier une liste de courriels ou créer des abonnements individuels avec une seule adresse.

   Remarque
   
   Si vous attendez plus de 60 messages d'alarme en une minute, vous pouvez envoyer l'alarme au service Streaming et recevoir un flux de données.

Pour obtenir une description détaillée des types de mesure émis par DNS, reportez-vous à Mesures DNS.

Limites et remarques

• Assurez-vous que les serveurs de noms secondaires peuvent se connecter aux fournisseurs principaux et qu'ils prennent en charge les transferts de zone vers les adresses IP du serveur de noms secondaire. Pour les cas où OCI est le fournisseur DNS secondaire (entrée), nous vous fournissons une liste d'adresses IP de serveur hôte vers lesquelles les serveurs de noms principaux peuvent transférer des fichiers de zone. Pour les cas où le fournisseur DNS secondaire est externe (sortant), vous pouvez obtenir les adresses IP auprès du fournisseur.
• Si un fournisseur principal externe signe des zones avec DNSSEC, les signatures sont transférées avec les enregistrements de zone. OCI n'émet pas de zones signées DNSSEC, mais prend en charge les zones DNS signées en externe. Pour que les enregistrements DNSSEC soient transférés vers OCI DNS en tant que secondaires, le serveur principal externe doit transférer une zone signée. Si le serveur principal externe ne signe qu'en ligne, les enregistrements DNSSEC ne sont pas inclus dans le transfert.
• Les fonctionnalités avancées fournies par un fournisseur DNS principal ne sont pas prises en charge dans le DNS secondaire. Cette instruction s'applique à la fois à l'entrée secondaire vers OCI DNS et à la sortie secondaire vers un fournisseur externe. Exemples de fonctionnalités avancées : stratégies de pilotage OCI Traffic Management, équilibrage circulaire ou ALIAS.