DNS privato tra OCI e cloud on-premise o di terze parti

Il sistema dei nomi di dominio (DNS) converte i nomi di dominio leggibili dall'utente in indirizzi IP leggibili dal computer. Un nameserver DNS memorizza i record DNS per una zona e risponde con le risposte alle query sul suo database.

Di seguito sono elencati i concetti DNS OCI:

  • Una soluzione DNS privata risolve i nomi host per le applicazioni in esecuzione all'interno e tra VCN, nonché tra ambienti cloud OCI, on-premise e di terze parti.
  • Se una query DNS non può essere risolta all'interno di OCI, può essere inoltrata a reti on-premise o a cloud di terze parti connessi.
  • Il DNS privato OCI è regionale: per risolvere le query al di fuori della tua area, devi configurare l'inoltro DNS all'area di destinazione.

È possibile configurare la risoluzione delle query DNS ai livelli riportati di seguito.

  • VCN: le query DNS all'interno di una VCN vengono gestite automaticamente dal resolver VCN standard di OCI, senza alcuna configurazione aggiuntiva necessaria.
  • Area :
    • Quando crei una VCN, OCI crea una vista privata per tale VCN. Una vista privata è un gruppo di zone DNS private.
    • Quando crei una subnet, OCI crea una zona DNS privata per tale subnet all'interno della vista privata (VCN).
    • Tutte le risorse con IP privati in una subnet vengono registrate nella relativa zona DNS privata.
    • Alcune risorse OCI (ad esempio i database Autonomous Transaction Processing con endpoint privati) possono creare le proprie zone DNS private.

Resolver di risorse VCN hub e spoke

La funzione Viste private associate in OCI consente a un resolver DNS in una VCN (l'hub) di risolvere i nomi host dalle viste private di altre VCN (gli spoke). Questa funzione supporta fino a 50 VCN in un'area. Un resolver hub può accedere ai record delle risorse in tutta l'area se le viste spoke sono associate alla vista hub. Il diagramma riportato di seguito mostra le viste private spoke associate alle viste private dell'hub per consentire al resolver nella VCN dell'hub di risolvere tutte le risorse in un'area.

Segue la descrizione dell'immagine hub-vcn-oci-resource-resolver.png
Descrizione dell'illustrazione hub-vcn-oci-resource-resolver.png

Per abilitare le risorse nelle reti VCN spoke a risolvere i nomi host al di fuori della propria VCN, inoltrare le query DNS all'endpoint del listener nella VCN hub. L'hub può risolvere i nomi host in tutte le VCN spoke associate perché la vista privata per tutti gli spoke è associata alla vista privata dell'hub.

Per implementare questa architettura, è necessario quanto segue:

  • Endpoint del listener DNS nella VCN hub.
  • Endpoint di inoltro DNS nella VCN dell'hub per inoltrare query a reti esterne, ad esempio on premise o altri cloud.
  • Endpoint di inoltro DNS in ogni VCN spoke.

Se una VCN spoke non dispone di una subnet DNS, crearne una o selezionare una subnet esistente appropriata.

Suggerimento

Oracle consiglia di effettuare le seguenti operazioni:
  • Creare una subnet DNS nella VCN hub e posizionarvi gli endpoint DNS.
  • Associare un gruppo NSG a ciascuno degli endpoint utilizzando le regole senza conservazione dello stato di entrata e uscita appropriate. Le regole senza conservazione dello stato forniscono tempi di risposta migliori, ma sono supportate anche le regole con conservazione dello stato.

Regole resolver

Il diagramma seguente mostra regole di esempio nei resolver DNS privati che inoltrano le richieste DNS all'endpoint del listener hub, ai sistemi DNS on premise o ai sistemi DNS in altri cloud:


Segue la descrizione di dns-private-resolver-hub-listener.png
Descrizione dell'illustrazione dns-private-resolver-hub-listener.png

Nota

  • Le subnet per gli endpoint DNS privati devono essere solo IPv4. Impossibile creare un endpoint DNS privato in una subnet abilitata per IPv6.
  • È possibile creare viste private personalizzate e zone DNS con nomi di dominio personalizzati e associarle a un resolver DNS hub per risolvere nomi DNS specifici per le risorse.