DNS privé entre OCI et le cloud sur site ou tiers

Le système de noms de domaine (DNS) convertit des noms de domaine lisibles à l'œil en adresses IP lisibles par la Machine. Un serveur des noms DNS stocke les enregistrements DNS d'une zone et répond aux requêtes portant Sur sa base de données.

Voici la liste des concepts d'OCI DNS :

  • Une solution DNS privée résout les noms d'hôte pour les applications exécutées dans et entre les réseaux cloud virtuels, ainsi qu'entre les environnements cloud OCI, on-premise et tiers.
  • Si une requête DNS ne peut pas être résolue dans OCI, elle peut être transférée vers des réseaux sur site ou des clouds tiers connectés.
  • Le DNS privé OCI est régional. Pour résoudre les requêtes en dehors de votre région, vous devez configurer le transfert DNS vers la région cible.

Vous pouvez configurer la résolution des requêtes DNS aux niveaux suivants :

  • VCN : les requêtes DNS au sein d'un VCN sont gérées automatiquement par le résolveur VCN standard d'OCI, sans configuration supplémentaire nécessaire.
  • Région:
    • Lorsque vous créez un VCN, OCI crée une vue privée pour ce VCN. Une vue privée est un groupe de zones DNS privées.
    • Lorsque vous créez un sous-réseau, OCI crée une zone DNS privée pour ce sous-réseau dans la vue privée (VCN).
    • Toutes les ressources avec des adresses IP privées dans un sous-réseau sont inscrites dans sa zone DNS privée.
    • Certaines ressources OCI (telles que les bases de données Autonomous Transaction Processing avec des adresses privées) peuvent créer leurs propres zones DNS privées.

Résolveur de ressources VCN hub-and-spoke

La fonctionnalité Vues privées associées d'OCI permet à un résolveur DNS d'un VCN (le hub) de résoudre les noms d'hôte à partir des vues privées d'autres réseaux cloud virtuels (les rayons). Cette fonctionnalité prend en charge jusqu'à 50 VCN dans une région. Un résolveur de hub peut accéder aux enregistrements de ressource dans toute la région si des vues satellite sont associées à la vue de hub. Le diagramme suivant présente les vues privées satellite associées aux vues privées de hub pour permettre au résolveur dans le VCN de hub de résoudre toutes les ressources d'une région :

Description de l'image hub-vcn-oci-resource-resolver.png
Description de l'illustration hub-vcn-oci-resource-resolver.png

Pour permettre aux ressources des réseaux cloud virtuels spoke de résoudre les noms d'hôte en dehors de leur propre VCN, transférez leurs requêtes DNS vers l'adresse de processus d'écoute dans le VCN hub. Le hub peut résoudre les noms d'hôte dans tous les réseaux cloud virtuels spoke associés car la vue privée de tous les rayons est associée à la vue privée du hub.

Pour implémenter cette architecture, vous avez besoin des éléments suivants :

  • Adresse de processus d'écoute DNS dans le VCN du hub.
  • Adresse de transfert DNS dans le VCN hub pour transmettre des requêtes à des réseaux externes, tels que des clouds sur site ou autres.
  • Adresse de transfert DNS dans chaque VCN satellite.

Si un VCN spoke ne comporte pas de sous-réseau DNS, créez-en un ou sélectionnez un sous-réseau existant approprié.

Conseil :

Oracle recommande d'effectuer les opérations suivantes :
  • Créez un sous-réseau DNS dans le VCN du hub et placez-y des adresses DNS.
  • Associez un groupe de sécurité réseau à chacune des adresses à l'aide des règles entrantes et sortantes sans conservation de statut appropriées. Les règles sans conservation de statut offrent de meilleurs temps de réponse, mais les règles avec conservation de statut sont également prises en charge.

Règles de résolveur

Le diagramme suivant présente des exemples de règles dans les résolveurs DNS privés qui transmettent des demandes DNS à l'adresse du processus d'écoute de hub, aux systèmes DNS sur site ou aux systèmes DNS dans d'autres clouds :


Description de l'image dns-private-resolver-hub-listener.png
Description de l'illustration dns-private-resolver-hub-listener.png

Remarques :

  • Les sous-réseaux pour les adresses DNS privées doivent être IPv4 uniquement. Vous ne pouvez pas créer d'adresse DNS privée dans un sous-réseau activé par IPv6.
  • Vous pouvez créer des vues privées personnalisées et des zones DNS avec vos propres noms de domaine, et les associer à un résolveur DNS hub pour résoudre des noms DNS spécifiques pour vos ressources.