Remarque :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeur pour les informations d'identification Oracle Cloud Infrastructure, la location et les compartiments. A la fin de votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configurer la résolution bidirectionnelle des noms de domaine pour les services Oracle Cloud Infrastructure et on-premise

Introduction

Le DNS (Domain Name System) est un service courant utilisé dans les environnements sur site. Cependant, une fois que vous êtes dans le cloud, la même technologie peut être appliquée, mais avec des configurations particulières. La résolution de noms peut être utile si vous souhaitez accéder aux systèmes, aux ordinateurs, aux services et à d'autres ressources à l'aide des noms courants dont vous disposez déjà sans codage en dur des adresses IP sur vos applications.

Objectif

Configurez la résolution de noms de domaine à deux façons pour les services Oracle Cloud Infrastructure (OCI) et sur site.

Prérequis

1. Accès à la console Oracle Cloud Infrastructure (OCI) avec suffisamment d'autorisations IAM pour configurer la vérification du service VCN. Pour plus de détails, reportez-vous à Stratégie de service IAM requise.
2. Serveur DNS sur site (l'installation n'est pas traitée dans ce tutoriel).
3. VCN OCI déployé avec des sous-réseaux publics et privés (configuration initiale non couverte dans ce tutoriel).
4. Connectivité entre OCI et sur site (le déploiement VPN ou FastConnect n'est pas abordé dans ce tutoriel).
5. Connectivité entre OCI et sur site (liste d'accès de sécurité sur site, liste de sécurité OCI ou groupes de sécurité réseau) pour autoriser le flux de trafic DNS (par exemple, port TCP/UDP 53, etc.).
6. Dans ce tutoriel, nous utiliserons 2 serveurs, un déployés sur OCI et un sur site déployé. Assurez-vous que cette configuration est activée et que vous avez accès à ces serveurs pour exécuter des tests de résolution de noms.

Considérations :

1. Connectivité entre le sous-réseau OCI A (10.0.0.0 /24) et le sous-réseau sur site (172.16.11.0 /24), où réside le serveur DNS example.local. Les étapes détaillées de l'établissement de la connectivité sont hors de portée de ce tutoriel. Pour plus d'informations, reportez-vous à la documentation FastConnect, DRG, VPN.
2. L'utilisateur qui configure le DNS OCI doit disposer de privilèges suffisants pour apporter des modifications sur le VCN. La définition des stratégies est hors de portée de ce tutoriel. Pour plus de détails, reportez-vous à Stratégie de service IAM requise.

Topologie

Ce tutoriel utilise la topologie suivante :

Service DNS sur OCI

Lorsque vous créez initialement un VCN et des sous-réseaux, vous pouvez spécifier des étiquettes DNS pour chacun d'eux. Les étiquettes DNS de sous-réseau ne peuvent être définies que si le VCN lui-même est créé avec une étiquette DNS. Les étiquettes, ainsi que le domaine parent de oraclevcn.com, forment le nom de domaine et le nom de domaine de sous-réseau du VCN :

• Nom de domaine VCN : <VCN DNS label>.oraclevcn.com
• Nom de domaine de sous-réseau : <subnet DNS label>.<VCN DNS label>.oraclevcn.com

Lorsque vous lancez une instance, vous pouvez affecter un nom d'hôte. Elle est affectée à la VNIC qui est automatiquement créée lors du lancement de l'instance (la VNIC principale). En plus du nom de domaine de sous-réseau, le nom d'hôte forme le nom de domaine qualifié complet :

• Nom de domaine qualifié complet d'instance : <hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com

Par exemple : instance-remote.publicsubnet.vcnremote.oraclevcn.com.

Tâche 1 : configurer la configuration initiale

Etat initial sur site

• Le domaine example.local est configuré en tant que domaine local

• Le serveur DNS principal est 172.16.11.55

• Le registre d'hôte statique est créé en tant que server1.example.local, adresse IP 172.16.11.3

  

• Aucune connectivité aux ressources OCI via la résolution de noms

  

Etat initial OCI

• Nous disposons d'une configuration DNS par défaut

• Les noms OCI locaux sont résolus

  

• Il n'existe aucune connectivité aux ressources sur site via la résolution de noms

  

Tâche 2 : configuration de l'environnement OCI

Afin de résoudre les entrées DNS d'un site à OCI, nous allons créer des règles sur les deux DNS. Ces règles transmettront les requêtes DNS à des domaines spécifiques selon les besoins. Les requêtes sur site à la recherche de domaines OCI seront transmises au service DNS OCI ; les requêtes OCI à la recherche de domaines sur site seront transmises au serveur DNS sur site.

Remarque : le résolveur DNS a un impact au niveau du VCN, toute modification s'appliquera à tous les sous-réseaux qu'il contient.

1. Accédez à la page Détails du VCN et vérifiez la configuration du résolveur DNS

   

2. Sur la page Détails du résolveur VCN/DNS, cliquez sur Créer une adresse. Vous pouvez sélectionner Ecoute ou Transfert comme décrit dans les étapes suivantes.

   

• Si vous sélectionnez le type d'adresse Listening, toutes les requêtes DNS transmises à OCI seront écoutées par cette adresse.

  

  A. Sélectionnez le type d'adresse d'écoute.

  B. Indiquez un nom personnalisé.

  C. Sélectionnez un compartiment et un sous-réseau pour l'adresse. Assurez-vous que vous pouvez atteindre ce sous-réseau à partir de votre réseau sur site. En particulier, les requêtes DNS de transfert de serveur DNS sur site doivent pouvoir accéder à ce réseau.

  D. Indiquez une adresse IP personnalisée. Si vous n'en sélectionnez aucune, le service en choisira une pour vous, cette adresse IP se trouvera dans le sous-réseau.

  E. Vous pouvez restreindre l'accès à cette adresse. La meilleure pratique en matière de sécurité consiste à affecter un groupe de sécurité réseau. Assurez-vous d'avoir configuré les règles entrantes afin d'autoriser le trafic DNS à partir de l'adresse IP du serveur DNS sur site.

• Si vous sélectionnez le type d'adresse Transfert, toutes les requêtes DNS transmises au DNS sur site seront transmises par cette adresse.

  

  A. Sélectionnez le type d'adresse de transmission.

  B. Indiquez un nom personnalisé.

  C. Sélectionnez un compartiment et un sous-réseau pour l'adresse. Assurez-vous que vous pouvez atteindre ce sous-réseau à partir de votre réseau sur site. En particulier, les requêtes DNS de transfert de serveur DNS sur site doivent pouvoir accéder à ce réseau.

  D. Indiquez une adresse IP personnalisée. Si vous n'en sélectionnez aucune, le service en choisira une pour vous, cette adresse IP se trouvera dans le sous-réseau.

  E. Vous pouvez restreindre l'accès à cette adresse. La meilleure pratique en matière de sécurité consiste à affecter un groupe de sécurité réseau. Assurez-vous d'avoir configuré les règles entrantes afin d'autoriser le trafic DNS à partir de l'adresse IP du serveur DNS sur site.

Remarque :

• Tout le trafic DNS vers le serveur DNS sur site sera transmis à l'aide d'IP A.
• Tout le trafic DNS vers le service DNS OCI doit être transmis d'un serveur sur site à l'IP B.
• Assurez la connectivité à partir de/vers ces adresses IP (routage, liste d'accès au pare-feu, groupe de sécurité réseau, etc.) à partir du site via VPN/FastConnect.

Configurer les règles de transfert

Nous allons créer une règle pour transmettre toutes les requêtes DNS du domaine example.local au serveur DNS sur site (172.16.11.55). Cette règle correspondra à toutes les requêtes DNS au domaine example.local et transmettra cette requête à l'adresse IP 172.16.11.55 à la recherche de la résolution de nom.

1. Accédez à VCN/Private Resolver Details, Rules/Manage Rules.

   

   

   A. Sélectionnez Domaine ou Bloc CIDR pour faire correspondre les règles. Dans ce tutoriel, nous utiliserons les domaines.

   B. Vous pouvez ajouter jusqu'à 10 entrées de domaine pour correspondre à la règle. Vous devez regrouper tous les domaines qui partagent la même entrée d'adresse IP DNS de destination.

   C. Sélectionnez l'adresse source pour transférer les requêtes. Souvenez-vous que cette adresse IP doit être acheminée et autorisée sur différentes listes d'accès via une connexion VPN/FastConnect.

   D. Entrez l'adresse IP du serveur DNS sur site de destination.

Tâche 3 : configuration de l'environnement sur site

Nous travaillons avec le service DNS Microsoft® exécuté sur un contrôleur de domaine. Nous allons créer une règle de transfert conditionnel pour transférer toutes les requêtes DNS recherchant un domaine oraclevcn.com vers le service de résolveur DNS OCI.

1. Sur la page de configuration du gestionnaire DNS, cliquez avec le bouton droit de la souris sur Conditional Forwarders/New Conditional Forwarder.

   

   

   A. Entrez le nom DNS OCI à résoudre à partir du réseau sur site.

   B. Saisissez l'adresse du processus d'écoute OCI [adresse IP].

   C. Cliquez sur OK.

Désormais, la résolution des noms DNS est configurée de deux façons, d'OCI vers On-Premise et inversement.

Tâche 4 : tester la configuration

Testez la configuration et les résultats doivent être similaires aux captures d'écran suivantes.

Sur site vers OCI

OCI sur site

Liens connexes

• Documentation OCI VCN

Remerciements

• Auteur - Jaime Rojas (ingénieur A-Team LAD)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services

F78338-02

April 2023

Copyright © 2023, Oracle and/or its affiliates.