Documentazione dell'infrastruttura Oracle Cloud

DNS secondario

Impostare le zone DNS (Domain Name System) secondarie utilizzando il servizio Oracle Cloud Infrastructure DNS.

Il DNS secondario fornisce ridondanza per i server DNS primari. Il servizio Oracle Cloud Infrastructure DNS supporta le seguenti configurazioni DNS secondarie:
  • Uscita: Oracle Cloud Infrastructure DNS è il provider principale e un provider DNS esterno è il provider secondario.
  • Ingress: un provider DNS esterno è il provider principale e Oracle Cloud Infrastructure è il provider secondario.

Come funziona il DNS secondario

Il servizio DNS secondario contiene una copia dei dati della zona e del record esistenti nel provider DNS primario. È possibile configurare il provider principale in modo che invii una notifica al provider secondario quando i record di zona cambiano. Dopo aver ricevuto una notifica, i provider secondari richiedono il contenuto aggiornato della zona dal provider primario configurato. Questo processo viene definito trasferimento di zona.

I resolver DNS interrogano i nameserver dei provider in modo "round-robin" sui domini che seguono il percorso di delega. Se si delega a entrambi i provider ("doppia delega"), i resolver DNS possono utilizzare entrambi i provider durante la risoluzione di un nome, fornendo ridondanza nel caso in cui un provider non riesca. Se si delega al solo provider secondario, il server dei nomi principale viene considerato come un server principale "nascosto". Il nameserver principale gestisce l'origine della verità per i record di zona, che la zona secondaria utilizza per rispondere alle query.

Per impostare la doppia delega in cui sono specificati entrambi i set di server dei nomi per una zona, aggiornare prima il registrar o la zona padre per aggiungere i server dei nomi a valle al server NS rrset  per la zona. Non è necessario intraprendere ulteriori azioni. I resolver DNS decidono quale provider utilizzare per la risoluzione di un nome.

Uscita da Oracle Cloud Infrastructure DNS a un provider DNS esterno

Quando crei una zona DNS primaria in DNS OCI, puoi specificare uno o più server a valle esterni. I server a valle vengono informati delle modifiche e quindi richiedono trasferimenti di zona. I server dei nomi specificati possono anche inviare richieste di trasferimento ai server dei nomi primari Oracle. È possibile specificare server dei nomi gestiti da fornitori diversi.

Ingresso da un provider DNS esterno a Oracle Cloud Infrastructure DNS

Dopo aver creato una zona DNS secondaria in un provider DNS esterno, puoi specificare uno o più server DNS a valle OCI. I server a valle OCI ricevono una notifica delle modifiche da parte del provider esterno principale, quindi richiedono i trasferimenti di zona. I server dei nomi specificati possono anche inviare richieste di trasferimento ai server dei nomi primari esterni. È possibile specificare i server a valle per le zone esterne gestite da fornitori diversi.

Le zone secondarie in DNS OCI sono attive. Ciò significa che la zona secondaria è "sempre attiva" e fornisce risposte a query come una zona normale. Sebbene il provider primario funga da origine della verità per i record della zona secondaria, il provider secondario è ancora autorevole per la zona.

Utilizzo delle chiavi TSIG

Facoltativamente, puoi configurare il DNS secondario OCI in modo che utilizzi le chiavi TSIG. La funzione TSIG (Firma transazione), denominata anche autenticazione transazione chiave segreta, garantisce che i pacchetti DNS provengano da un mittente autorizzato mediante l'uso di chiavi segrete condivise e l'hashing unidirezionale per aggiungere una firma crittografica ai pacchetti DNS. Le chiavi TSIG vengono utilizzate per consentire al DNS di autenticare gli aggiornamenti delle zone secondarie. Puoi configurare le chiavi TSIG per il DNS sia in entrata che in uscita secondario.

Creare le chiavi TSIG prima di creare o aggiornare una zona con master esterni o server a valle esterni che le utilizzano. Per ulteriori informazioni, vedere Gestione delle chiavi TSIG.

Monitoraggio del DNS secondario

Il servizio DNS OCI emette le metriche riportate di seguito per monitorare i trasferimenti di zona sia per l'ingresso che per l'uscita secondaria:
  • ZoneTransferFailureCount
  • ZoneTransferSuccessCount
  • ZoneExpirationInHours

Queste metriche possono essere utilizzate per configurare notifiche che consentono di sapere se le zone DNS secondarie funzionano.

Ad esempio, è possibile configurare un allarme in base al numero di volte in cui il trasferimento di zona non riesce per una zona (ZoneTransferFailureCount). È quindi possibile configurare una notifica che invia ai sottoscrittori un messaggio quando viene attivato l'allarme. È possibile inviare messaggi con protocolli diversi, tra cui e-mail, Slack o SMS.

Di seguito viene descritto come impostare questa notifica.

  1. Creare un allarme attivato superando il conteggio degli errori di trasferimento di zona specificato Specificare lo spazio di nomi come oci_dns e il nome Metrica come ZoneTransferFailureCount.

    Impostare l'operatore regola trigger su greater than e specificare il conteggio degli errori che supera la tolleranza durante l'intervallo.

    Nota

    Quando si configura un allarme per Zone Transfer Failure Count, assicurarsi di considerare attentamente il valore della frequenza di aggiornamento nell'architettura SOA della zona secondaria. La frequenza di aggiornamento varia da 1200 a 43200 secondi. Ad esempio, se il valore della frequenza di aggiornamento è breve, ma l'intervallo di allarme è elevato, è possibile ricevere molte notifiche di allarme duplicate.

    Per ottenere una notifica per l'allarme, specificare un argomento a cui inviare l'allarme. Se necessario, è possibile creare un nuovo argomento in questo workflow.

  2. Crea una sottoscrizione all'argomento

    Per ricevere una notifica per un allarme, eseguire la sottoscrizione all'argomento al quale è stato inviato l'allarme nel passo 1. È possibile configurare la sottoscrizione per l'invio a protocolli diversi, ad esempio e-mail, Slack o SMS. È possibile specificare una lista di posta elettronica oppure creare singole sottoscrizioni con un unico indirizzo.

    Nota

    Se si prevedono più di 60 messaggi di allarme al minuto, è possibile inviare l'allarme al servizio Streaming e ricevere un flusso.

Per una descrizione dettagliata dei tipi di metrica emessi dal DNS, vedere Metriche DNS.

Limitazioni e considerazioni

  • Assicurarsi che i server dei nomi secondari possano connettersi ai provider primari e che supportino i trasferimenti di zona agli indirizzi IP del server dei nomi secondario. Nei casi in cui OCI è il provider DNS secondario (ingress), ti forniamo una lista di IP server host a cui i server dei nomi principali possono trasferire i file di zona. Nei casi in cui il provider DNS secondario è esterno (egress), è possibile ottenere gli indirizzi IP dal provider.
  • Se un provider primario esterno firma le zone con il DNSSEC , le firme vengono trasferite con i record delle zone. OCI non emette zone firmate DNSSEC, ma supporta zone DNS firmate esternamente. Affinché i record DNSSEC vengano trasferiti al DNS OCI come secondari, il primario esterno dovrà trasferire una zona firmata. Se il primario esterno esegue solo la firma in linea, i record DNSSEC non vengono inclusi nel trasferimento.
  • Le funzioni avanzate fornite da un provider DNS primario non sono supportate nel DNS secondario. Questa istruzione si applica sia all'ingresso secondario al DNS OCI che all'uscita secondaria a un provider esterno. Esempi di funzioni avanzate includono i criteri di indirizzamento per la gestione del traffico OCI, il bilanciamento dei round robin o ALIAS.

Impostazione dell'uscita secondaria

Imposta i dati in uscita da Oracle Cloud Infrastructure DNS a un provider DNS esterno.

Requisiti indispensabili:

  • Indirizzi IP dei server a valle esterni.
  • (Facoltativo) Creare le chiavi TSIG da assegnare a ogni server a valle.
  • Connettività agli indirizzi IP del server dei nomi in uscita OCI sui server DNS master gestiti esternamente. La connettività agli indirizzi IP OCI è un requisito necessario per configurare correttamente il DNS secondario perché consente al servizio di eseguire il trasferimento di zona richiesto in secondario per mantenere sincronizzata la zona.

Prima di iniziare l'impostazione, puoi ottenere gli indirizzi IP OCI che eseguono i trasferimenti delle zone utilizzando l'API di Oracle Cloud Infrastructure. ListZoneTransferServers restituisce una lista di indirizzi IP forniti per un compartimento radice specificato. Gli indirizzi IP del server dei nomi di trasferimento forniti variano in base all'area geografica.

Task di impostazione dell'uscita secondaria

  1. (Facoltativo) Elenco dei server di trasferimento delle zone
  2. (Facoltativo) Creazione di una chiave TSIG
  3. Creazione di una zona DNS pubblica
  4. Aggiunta di server a valle a una zona DNS primaria

Impostazione dell'entrata secondaria

Imposta l'ingresso da un provider DNS esterno a Oracle Cloud Infrastructure DNS.

Requisiti indispensabili:
  • Indirizzi IP del server primario a monte.
  • (Facoltativo) Creare le chiavi TSIG da assegnare a ogni server a monte.
  • Connettività agli indirizzi IP del server dei nomi in entrata OCI su server DNS master gestiti esternamente. La connettività agli indirizzi IP OCI è un requisito necessario per configurare correttamente il DNS secondario perché consente al servizio di eseguire il processo di trasferimento della zona richiesto dal servizio primario per mantenere sincronizzata la zona secondaria.

Prima di iniziare l'impostazione, puoi ottenere gli indirizzi IP OCI che eseguono i trasferimenti delle zone utilizzando l'API di Oracle Cloud Infrastructure. ListZoneTransferServers restituisce una lista di indirizzi IP forniti per il compartimento radice specificato. Gli indirizzi IP del server dei nomi di trasferimento forniti variano in base all'area geografica.

Task di impostazione secondaria in entrata

  1. (Facoltativo) Elenco dei server di trasferimento delle zone
  2. (Facoltativo) Creazione di una chiave TSIG
  3. Creazione di una zona DNS secondaria