Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare la risoluzione dei nomi di dominio bidirezionale per i servizi Oracle Cloud Infrastructure e on-premise

Introduzione

Il DNS (Domain Name System) è un servizio comune utilizzato negli ambienti on premise. Tuttavia, una volta nel cloud, è possibile applicare la stessa tecnologia, ma con determinate configurazioni. La risoluzione dei nomi può essere utile se si desidera accedere a sistemi, computer, servizi e altre risorse utilizzando i nomi comuni già disponibili senza indirizzi IP di codifica rigida nelle applicazioni.

Obiettivo

Configura la risoluzione dei nomi di dominio bidirezionale per i servizi Oracle Cloud Infrastructure (OCI) e on-premise.

Prerequisiti

1. Accesso alla console di Oracle Cloud Infrastructure (OCI) con autorizzazioni IAM sufficienti per configurare il controllo del servizio VCN. Per ulteriori dettagli, consulta la sezione relativa ai criteri del servizio IAM obbligatori.
2. Server DNS in locale (installazione non descritta in questa esercitazione).
3. VCN OCI distribuita con subnet pubbliche e private (configurazione iniziale non coperta in questa esercitazione).
4. La connettività tra OCI e on premise (la distribuzione FastConnect o VPN non è descritta in questa esercitazione).
5. Connettività tra OCI e on premise (lista di accesso alla sicurezza in locale, lista di sicurezza OCI o gruppi di sicurezza di rete) per consentire il flusso di traffico DNS (ad esempio, porta TCP/UDP 53 e così via).
6. In questa esercitazione verranno utilizzati 2 server, uno distribuito su OCI, uno distribuito on premise. Assicurarsi di disporre di questa impostazione e di disporre dell'accesso a questi server per eseguire i test di risoluzione dei nomi.

Considerazioni:

1. Connettività tra la subnet OCI A (10.0.0.0 /24) e la subnet in locale (172.16.11.0 /24) in cui risiede il server DNS example.local. I passi dettagliati per stabilire la connettività sono fuori ambito per questa esercitazione. Per ulteriori informazioni, consultare la documentazione di FastConnect, DRG, VPN.
2. L'utente che configura il DNS OCI deve disporre di privilegi sufficienti per apportare modifiche alla VCN. La definizione dei criteri non è compresa nell'ambito di questa esercitazione. Per ulteriori dettagli, consulta la sezione relativa ai criteri del servizio IAM obbligatori.

Topologia

Questa esercitazione utilizza la topologia riportata di seguito.

Servizio DNS su OCI

Quando crei inizialmente una rete VCN e subnet, puoi specificare le etichette DNS per ogni rete. Le etichette DNS della subnet possono essere impostate solo se la VCN stessa viene creata con un'etichetta DNS. Le etichette, insieme al dominio padre di oraclevcn.com, costituiscono il nome dominio della VCN e il nome dominio della subnet:

• Nome dominio VCN: <VCN DNS label>.oraclevcn.com
• Nome dominio subnet: <subnet DNS label>.<VCN DNS label>.oraclevcn.com

All'avvio di un'istanza, puoi assegnare un nome host. Viene assegnata alla VNIC che viene creata automaticamente durante l'avvio dell'istanza (la VNIC primaria). Oltre al nome di dominio della subnet, il nome host forma il nome di dominio completamente qualificato (FQDN):

• FQDN istanza: <hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com

Ad esempio: instance-remote.publicsubnet.vcnremote.oraclevcn.com.

Task 1: impostazione della configurazione iniziale

Stato iniziale in locale

• Il dominio example.local è configurato come dominio locale

• Il server DNS principale è 172.16.11.55

• Registro host statico creato come server1.example.local, indirizzo IP 172.16.11.3

  

• Non è disponibile alcuna connettività alle risorse OCI tramite la risoluzione dei nomi

  

Stato iniziale OCI

• È presente la configurazione DNS predefinita

• I nomi OCI locali sono stati risolti

  

• Non è disponibile alcuna connettività alle risorse on premise tramite la risoluzione dei nomi

  

Task 2: impostazione dell'ambiente OCI

Per risolvere le voci DNS da on premise a OCI, creeremo alcune regole su entrambi i DNS. Queste regole inoltreranno le query DNS a domini specifici, in base alle esigenze. Le query in locale che cercano domini OCI verranno inoltrate al servizio DNS OCI; le query OCI che cercano domini in locale verranno inoltrate al server DNS in locale.

Nota: il resolver DNS ha un impatto a livello di VCN. Qualsiasi modifica ad esso verrà applicata a tutte le subnet all'interno.

1. Passare alla pagina Dettagli VCN e verificare la configurazione del resolver DNS

   

2. Nella pagina Dettagli resolver VCN/DNS fare clic su Crea endpoint. È possibile selezionare Allargamento o Inoltro come descritto nella procedura riportata di seguito.

   

• Se si seleziona il tipo di endpoint ascolto, tutte le query DNS inoltrate a OCI verranno ascoltate da questo endpoint.

  

  A. Selezionare il tipo di endpoint di ascolto.

  B. Specificare un nome personalizzato.

  C. Selezionare il compartimento e la subnet per l'endpoint. Assicurarsi di poter raggiungere questa subnet dalla rete in locale, in particolare le query DNS di inoltro server DNS in locale devono essere in grado di accedere a questa rete.

  D. Fornire un IP personalizzato, se non ne selezioni uno, il servizio ne sceglierà uno automaticamente, che sarà presente nella subnet.

  E. È possibile limitare l'accesso a questo endpoint. Una procedura ottimale di sicurezza è quella di assegnare un gruppo NSG, assicurarsi di aver configurato le regole in entrata per consentire il traffico DNS dall'IP del server DNS in locale.

• Se si seleziona Inoltro tipo di endpoint, tutte le query DNS inoltrate a DNS in locale verranno inoltrate da questo endpoint.

  

  A. Selezionare il tipo di endpoint di inoltro.

  B. Specificare un nome personalizzato.

  C. Selezionare il compartimento e la subnet per l'endpoint. Assicurarsi di poter raggiungere questa subnet dalla rete in locale, in particolare le query DNS di inoltro server DNS in locale devono essere in grado di accedere a questa rete.

  D. Fornire un IP personalizzato, se non ne selezioni uno, il servizio ne sceglierà uno automaticamente, che sarà presente nella subnet.

  E. È possibile limitare l'accesso a questo endpoint. Una procedura ottimale di sicurezza è quella di assegnare un gruppo NSG, assicurarsi di aver configurato le regole in entrata per consentire il traffico DNS dall'IP del server DNS in locale.

Nota:

• Tutto il traffico DNS verso il server DNS on premise verrà inoltrato tramite IP A.
• Tutto il traffico DNS verso il servizio DNS OCI deve essere inoltrato da on premise a IP B.
• Assicurarsi la connettività da/a questi indirizzi IP (instradamento, lista di accesso al firewall, NSG e così via) da on premise tramite VPN/FastConnect.

Impostazione delle regole di inoltro

Verrà creata una regola per inoltrare tutte le query DNS dal dominio example.local al server DNS in locale (172.16.11.55). Questa regola corrisponderà a tutte le query DNS per il dominio example.local e inoltrerà questa query all'IP 172.16.11.55 che cerca la risoluzione del nome.

1. Andare a Dettagli resolver VCN/privato, Regole/Gestisci regole.

   

   

   A. Selezionare Dominio o Blocco CIDR per trovare la corrispondenza tra le regole in questa esercitazione. Verranno utilizzati i Domain.

   B. È possibile aggiungere fino a 10 voci di dominio corrispondenti alla regola; raggruppare tutti i domini che condividono la stessa voce di indirizzo IP DNS di destinazione.

   C. Selezionare l'endpoint di origine per inoltrare le query, ricordare che questo IP deve essere instradato e consentito su liste di accesso diverse tramite la connessione VPN/FastConnect.

   D. Immettere l'indirizzo IP del server DNS in locale di destinazione.

Task 3: impostazione dell'ambiente in locale

Stiamo lavorando con il servizio DNS Microsoft® in esecuzione in un controller di dominio, creeremo una regola di inoltro condizionale per inoltrare tutte le query DNS che cercano il dominio oraclevcn.com al servizio resolver DNS OCI.

1. Nella pagina di configurazione di DNS Manager fare clic con il pulsante destro del mouse su Inoltratori condizionali/Nuovo spedizioniere condizionale.

   

   

   A. Immettere il nome DNS OCI che si desidera risolvere dalla rete in locale.

   B. Immettere l'endpoint del listener OCI [indirizzo IP].

   C. Fare clic su OK.

Ora la risoluzione dei nomi DNS è configurata in entrambi i modi, da OCI a on-premise e viceversa.

Task 4: eseguire il test della configurazione

Verificare la configurazione e i risultati dovrebbero essere simili ai seguenti screenshot.

Da on premise a OCI

Da OCI a on premise

Collegamenti correlati

• Documentazione VCN OCI

Approvazioni

• Autore - Jaime Rojas (ingegnere LAD A-Team)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services

F78338-02

April 2023

Copyright © 2023, Oracle and/or its affiliates.