セカンダリDNS

Oracle Cloud Infrastructure DNSサービスを使用して、セカンダリ・ドメイン・ネーム・システム(DNS)ゾーンを設定します。

セカンダリDNSは、プライマリDNSサーバーの冗長性を提供します。Oracle Cloud Infrastructure DNSサービスでは、次のセカンダリDNS構成が可能です。
  • エグレス: Oracle Cloud Infrastructure DNSはプライマリ・プロバイダであり、外部DNSプロバイダはセカンダリ・プロバイダです。
  • イングレス:外部DNSプロバイダがプライマリ・プロバイダであり、Oracle Cloud Infrastructureがセカンダリ・プロバイダです。

セカンダリDNSの動作

セカンダリDNSサービスには、プライマリDNSプロバイダに存在するゾーンおよびレコード・データのコピーが含まれています。ゾーン・レコードの変更時にセカンダリ・プロバイダに通知を送信するようにプライマリ・プロバイダを構成できます。通知を受信すると、セカンダリ・プロバイダは、構成されたプライマリ・プロバイダの更新されたゾーン・コンテンツをリクエストします。このプロセスは、ゾーン転送と呼ばれます。

DNSリゾルバは、委任パスに続くドメインを介して、プロバイダのネームサーバーをラウンドロビン方式で問い合せます。両方のプロバイダに委任する場合(二重委任)、DNSリゾルバは、名前の解決時にいずれかのプロバイダを使用し、プロバイダに障害が発生した場合の冗長性を提供します。セカンダリ・プロバイダのみに委任した場合、プライマリ・ネームサーバーは非表示のプライマリとして扱われます。プライマリ・ネームサーバーは、セカンダリ・ゾーンが問合せの回答に使用するゾーン・レコードの正しい情報源を保持します。

ゾーンに対して両方のネームサーバーのセットが指定されているデュアル委任を設定するには、最初にレジストラまたは親ゾーンを更新して、ダウンストリームネームサーバーをゾーンの NS rrset に追加します。これ以上のアクションを実行する必要はありません。DNSリゾルバは、名前の解決時に使用するプロバイダを選択します。

Oracle Cloud Infrastructure DNSから外部DNSプロバイダへのエグレス

OCI DNSでプライマリDNSゾーンを作成する場合、1つ以上の外部ダウンストリーム・サーバーを指定できます。ダウンストリーム・サーバーに変更が通知され、ゾーン転送がリクエストされます。指定したネームサーバーは、Oracleプライマリ・ネームサーバーに転送リクエストを発行することもできます。異なるベンダーによって管理されるネームサーバーを指定できます。

外部DNSプロバイダからOracle Cloud Infrastructure DNSへのイングレス

外部DNSプロバイダにセカンダリDNSゾーンを作成した後、1つ以上のOCI DNSダウンストリーム・サーバーを指定できます。OCIダウンストリーム・サーバーには、プライマリ外部プロバイダによって変更が通知され、ゾーン転送がリクエストされます。指定したネーム・サーバーは、外部プライマリ・ネームサーバーに転送リクエストを発行することもできます。異なるベンダーによって管理される外部ゾーンのダウンストリーム・サーバーを指定できます。

OCI DNSのセカンダリ・ゾーンはアクティブ- アクティブです。つまり、セカンダリ・ゾーンは「常にオン」で、通常のゾーンなどの問合せに対する回答を提供します。プライマリ・プロバイダはセカンダリ・ゾーンのレコードの信頼できる情報源として機能しますが、セカンダリ・プロバイダもゾーンについて信頼できます。

TSIGキーの使用

オプションで、TSIGキーを使用するようにOCIセカンダリDNSを構成できます。TSIG (トランザクション署名)は秘密キー・トランザクション認証とも呼ばれ、共有秘密キーおよび一方向ハッシングを使用することで、権限のある送信者からDNSパケットが送信され、そのDNSパケットに暗号化署名が確実に追加されるようにします。TSIGキーは、DNSを有効化し、セカンダリ・ゾーンへの更新を認証するために使用します。セカンダリ・イングレスおよびセカンダリ・エグレスDNSの両方にTSIGキーを構成できます。

外部マスターまたは外部ダウンストリーム・サーバーを使用するゾーンを作成または更新する前に、TSIGキーを作成します。詳細は、TSIGキーの管理を参照してください。

セカンダリDNSの監視

OCI DNSサービスは、セカンダリ・イングレスとセカンダリ・エグレスの両方のゾーン転送を監視するために、次のメトリックを発行します:
  • ZoneTransferFailureCount
  • ZoneTransferSuccessCount
  • ZoneExpirationInHours

これらのメトリックを使用して、セカンダリDNSゾーンが機能しているかどうかを知らせる通知を構成できます。

たとえば、ゾーン(ZoneTransferFailureCount)のゾーン転送が失敗する回数に基づいてアラームを構成できます。その後、アラームがトリガーされたときにサブスクライバにメッセージを送信する通知を構成できます。メッセージは、電子メール、Slack、SMSなどの様々なプロトコルで送信できます。

この通知の設定方法を次に示します。

  1. 指定したゾーン転送失敗数の超過によってトリガーされるアラームの作成 ネームスペースoci_dnsに、メトリック名をZoneTransferFailureCountに指定します。

    「トリガー・ルール演算子」greater thanに設定し、間隔中に許容範囲を超える失敗数を指定します。

    ノート

    Zone Transfer Failure Countのアラームを構成する場合は、必ずセカンダリ・ゾーンのSOAのリフレッシュ率の値を慎重に考慮してください。リフレッシュ率は1200から43200秒で異なります。たとえば、リフレッシュ率の値が短く、アラーム間隔が長い場合、大量の重複するアラーム通知を受信できます。

    アラームの通知を取得するには、アラームの送信先のトピックを指定します。必要に応じて、このワークフローで新しいトピックを作成できます。

  2. トピックへのサブスクリプションを作成します

    アラームの通知を受信するには、ステップ1でアラームを送信したトピックをサブスクライブします。電子メール、Slack、SMSなどの様々なプロトコルに送信するようにサブスクリプションを構成できます。Eメール・リストを指定することも、単一のアドレスを使用して個々のサブスクリプションを作成することもできます。

    ノート

    1分間に60を超えるアラーム・メッセージを予想する場合は、アラームをストリーミング・サービスに送信してストリームを受信できます。

DNSによって生成されるメトリック・タイプの詳細は、DNSメトリックを参照してください。

制限事項および考慮事項

  • セカンダリ・ネームサーバーがプライマリ・プロバイダに接続できること、およびセカンダリ・ネームサーバーのIPアドレスへのゾーン転送が許可されていることを確認してください。OCIがセカンダリDNSプロバイダ(イングレス)の場合、プライマリ・ネームサーバーがゾーン・ファイルを転送できるホスト・サーバーIPのリストを提供します。セカンダリDNSプロバイダが外部(エグレス)の場合、プロバイダからIPアドレスを取得できます。
  • 外部プライマリ・プロバイダがDNSSECを使用してゾーンに署名した場合、署名はゾーン・レコードとともに転送されます。OCIはDNSSEC署名付きゾーンを発行しませんが、外部署名付きDNSゾーンをサポートしています。
  • プライマリDNSプロバイダによって提供される拡張機能は、セカンダリDNSではサポートされていません。この文は、OCI DNSへのセカンダリ・イングレスと外部プロバイダへのセカンダリ・エグレスの両方に適用されます。拡張機能の例として、OCI Traffic Management Steering Policies、ラウンドロビン・バランシング、ALIASがあります。

セカンダリ・エグレスの設定

Oracle Cloud Infrastructure DNSから外部DNSプロバイダへのエグレスを設定します。

前提条件:

  • 外部ダウンストリーム・サーバーのIPアドレス。
  • (オプション)各ダウンストリーム・サーバーに割り当てるTSIGキーを作成します。
  • 外部管理マスターDNSサーバー上のOCIエグレス・ネームサーバーのIPアドレスへの接続。OCI IPアドレスへの接続は、セカンダリDNSを正常に構成するための要件です。これにより、サービスでセカンダリへの必要なゾーン転送を実行して、ゾーンとの同期を維持できるためです。

設定を開始する前に、Oracle Cloud Infrastructure APIを使用してゾーン転送を実行するOCI IPアドレスを取得できます。 ListZoneTransferServersは、指定したルート・コンパートメントに提供されているIPアドレスのリストを返します。提供されている転送ネーム・サーバーのIPアドレスは、リージョンごとに異なります。

セカンダリ・エグレス設定タスク

  1. (オプション)ゾーン転送サーバーのリスト
  2. (オプション)TSIGキーの作成
  3. パブリックDNSゾーンの作成
  4. プライマリDNSゾーンへのダウンストリーム・サーバーの追加

セカンダリ・イングレスの設定

外部DNSプロバイダからOracle Cloud Infrastructure DNSへのイングレスを設定します。

前提条件:
  • プライマリ・アップストリーム・サーバーのIPアドレス。
  • (オプション)各アップストリーム・サーバーに割り当てるTSIGキーを作成します。
  • 外部管理マスターDNSサーバー上のOCIイングレス・ネームサーバーIPアドレスへの接続。OCI IPアドレスへの接続は、サービスでプライマリから必要なゾーン転送プロセスを実行してセカンダリ・ゾーンとの同期を維持できるため、セカンダリDNSを正常に構成するための要件です。

設定を開始する前に、Oracle Cloud Infrastructure APIを使用してゾーン転送を実行するOCI IPアドレスを取得できます。 ListZoneTransferServersは、指定されたルート・コンパートメントに提供されているIPアドレスのリストを返します。提供されている転送ネーム・サーバーのIPアドレスは、リージョンごとに異なります。

セカンダリ・イングレス設定タスク