セカンダリDNS

セカンダリDNSの動作

セカンダリDNSサービスには、プライマリDNSプロバイダに存在するゾーンおよびレコード・データのコピーが含まれています。ゾーン・レコードの変更時にセカンダリ・プロバイダに通知を送信するようにプライマリ・プロバイダを構成できます。通知を受信すると、セカンダリ・プロバイダは、構成されたプライマリ・プロバイダの更新されたゾーン・コンテンツをリクエストします。このプロセスは、ゾーン転送と呼ばれます。

DNSリゾルバは、委任パスに続くドメインを介して、プロバイダのネームサーバーをラウンドロビン方式で問い合せます。両方のプロバイダに委任する場合(二重委任)、DNSリゾルバは、名前の解決時にいずれかのプロバイダを使用し、プロバイダに障害が発生した場合の冗長性を提供します。セカンダリ・プロバイダのみに委任した場合、プライマリ・ネームサーバーは非表示のプライマリとして扱われます。プライマリ・ネームサーバーは、セカンダリ・ゾーンが問合せの回答に使用するゾーン・レコードの正しい情報源を保持します。

ゾーンに対して両方のネームサーバーのセットが指定されているデュアル委任を設定するには、最初にレジストラまたは親ゾーンを更新して、ダウンストリームネームサーバーをゾーンの NS rrset に追加します。これ以上のアクションを実行する必要はありません。DNSリゾルバは、名前の解決時に使用するプロバイダを選択します。

Oracle Cloud Infrastructure DNSから外部DNSプロバイダへのエグレス

OCI DNSでプライマリDNSゾーンを作成する場合、1つ以上の外部ダウンストリーム・サーバーを指定できます。ダウンストリーム・サーバーに変更が通知され、ゾーン転送がリクエストされます。指定したネームサーバーは、Oracleプライマリ・ネームサーバーに転送リクエストを発行することもできます。異なるベンダーによって管理されるネームサーバーを指定できます。

外部DNSプロバイダからOracle Cloud Infrastructure DNSへのイングレス

外部DNSプロバイダでセカンダリDNSゾーンを作成した後、1つ以上のOCI DNSダウンストリーム・サーバーを指定できます。OCIダウンストリーム・サーバーには、プライマリ外部プロバイダによる変更が通知され、ゾーン転送がリクエストされます。指定したネーム・サーバーは、外部プライマリ・ネームサーバーに転送リクエストを発行することもできます。異なるベンダーによって管理される外部ゾーンのダウンストリーム・サーバーを指定できます。

OCI DNSのセカンダリ・ゾーンはアクティブ- アクティブです。つまり、セカンダリ・ゾーンは常にオンで、通常のゾーンのように問合せに対する回答を提供します。プライマリ・プロバイダはセカンダリ・ゾーンのレコードの正しい情報源として機能しますが、セカンダリ・プロバイダは引き続きゾーンに対して認可されています。

TSIGキーの使用

オプションで、TSIGキーを使用するようにOCIセカンダリDNSを構成できます。TSIG (トランザクション署名)は秘密キー・トランザクション認証とも呼ばれ、共有秘密キーおよび一方向ハッシングを使用することで、権限のある送信者からDNSパケットが送信され、そのDNSパケットに暗号化署名が確実に追加されるようにします。TSIGキーは、DNSを有効化し、セカンダリ・ゾーンへの更新を認証するために使用します。セカンダリ・イングレスおよびセカンダリ・エグレスDNSの両方にTSIGキーを構成できます。

外部マスターまたはそれらを使用する外部ダウンストリーム・サーバーを使用してゾーンを作成または更新する前に、TSIGキーを作成します。詳細は、TSIGキーを参照してください。

セカンダリDNSの監視

これらのメトリックを使用して、セカンダリDNSゾーンが機能しているかどうかを知らせる通知を構成できます。

たとえば、ゾーン(ZoneTransferFailureCount)のゾーン転送が失敗する回数に基づいてアラームを構成できます。その後、アラームがトリガーされたときにサブスクライバにメッセージを送信する通知を構成できます。メッセージは、電子メール、Slack、SMSなどの様々なプロトコルで送信できます。

この通知の設定方法を次に示します。

1. 指定したゾーン転送失敗数の超過によってトリガーされるアラームの作成 ネームスペースをoci_dnsに、メトリック名をZoneTransferFailureCountに指定します。

   「トリガー・ルール演算子」をgreater thanに設定し、間隔中に許容範囲を超える失敗数を指定します。

   ノート
   
   Zone Transfer Failure Countのアラームを構成する場合は、必ずセカンダリ・ゾーンのSOAのリフレッシュ率の値を慎重に考慮してください。リフレッシュ率は1200から43200秒で異なります。たとえば、リフレッシュ率の値が短く、アラーム間隔が長い場合、大量の重複するアラーム通知を受信できます。

   アラームの通知を取得するには、アラームの送信先のトピックを指定します。必要に応じて、このワークフローで新しいトピックを作成できます。

2. トピックへのサブスクリプションを作成します

   アラームの通知を受信するには、ステップ1でアラームを送信したトピックをサブスクライブします。電子メール、Slack、SMSなどの様々なプロトコルに送信するようにサブスクリプションを構成できます。Eメール・リストを指定することも、単一のアドレスを使用して個々のサブスクリプションを作成することもできます。

   ノート
   
   1分間に60を超えるアラーム・メッセージを予想する場合は、アラームをストリーミング・サービスに送信してストリームを受信できます。

DNSによって生成されるメトリック・タイプの詳細は、DNSメトリックを参照してください。

制限事項および考慮事項

• セカンダリ・ネームサーバーがプライマリ・プロバイダに接続できること、およびセカンダリ・ネームサーバーのIPアドレスへのゾーン転送が許可されていることを確認します。OCIがセカンダリDNSプロバイダ(イングレス)の場合、プライマリ・ネームサーバーがゾーン・ファイルを転送できるホスト・サーバーIPのリストが提供されます。セカンダリDNSプロバイダが外部(エグレス)の場合、プロバイダからIPアドレスを取得できます。
• 外部プライマリプロバイダが DNSSEC でゾーンに署名した場合、署名はゾーンレコードとともに転送されます。OCIはDNSSEC署名済ゾーンを発行しませんが、外部署名済DNSゾーンをサポートしています。
• プライマリDNSプロバイダが提供する拡張機能は、セカンダリDNSではサポートされていません。この文は、OCI DNSへのセカンダリ・イングレスと外部プロバイダへのセカンダリ・エグレスの両方に適用されます。高度な機能の例として、OCIトラフィック管理ステアリング・ポリシー、ラウンドロビン・バランシング、ALIASなどがあります。