Documentação do Oracle Cloud Infrastructure

DNS Secundário

Configure zonas do sistema de nomes de domínio (DNS) secundário usando o serviço Oracle Cloud Infrastructure DNS.

O DNS secundário fornece redundância para servidores DNS primários . O serviço Oracle Cloud Infrastructure DNS suporta as seguintes configurações de DNS secundárias:
  • Saída: O Oracle Cloud Infrastructure DNS é o provedor principal e um provedor DNS externo é o provedor secundário.
  • Entrada: Um provedor de DNS externo é o provedor principal e o Oracle Cloud Infrastructure é o provedor secundário.

Como o DNS Secundário funciona

O serviço DNS secundário contém uma cópia dos dados de zona e registro que existem no provedor de DNS primário. Você pode configurar o provedor principal para enviar uma notificação ao provedor secundário quando os registros de zona forem alterados. Depois que uma notificação é recebida, os provedores secundários solicitam o conteúdo da zona atualizada do provedor principal configurado. Esse processo é chamado de transferência de zona.

Os resolvedores de DNS consultam os servidores de nome dos provedores de consulta no estilo "round-robin" nos domínios que seguem o caminho de delegação. Se você delegar a ambos os provedores ("delegação dupla"), os resolvedores de DNS poderão usar ambos os provedores ao resolver um nome, fornecendo redundância caso um provedor falhe. Se você delegar apenas ao provedor secundário, o servidor de nome principal será tratado como um servidor principal "oculto". O servidor de nomes principal mantém a origem da verdade para os registros de zona, que a zona secundária usa para responder às consultas.

Para configurar delegação dupla em que ambos os conjuntos de servidores de nome são especificados para uma zona, primeiro atualize o registrador ou a zona pai para adicionar os servidores de nome downstream ao NS rrset para a zona. Não é necessária uma ação adicional. Os resolvedores de DNS decidem qual provedor usar ao resolver um nome.

Saída do Oracle Cloud Infrastructure DNS para um Provedor de DNS Externo

Ao criar uma zona DNS primária no DNS do OCI, você pode especificar um ou mais servidores downstream externos. Os servidores downstream são notificados sobre alterações e, em seguida, solicitam transferências de zona. Os servidores de nomes especificados também podem emitir solicitações de transferência para os servidores de nomes principais da Oracle. Você pode especificar nameservers gerenciados por diferentes fornecedores.

Entrada de um Provedor de DNS Externo para o Oracle Cloud Infrastructure DNS

Depois de criar uma zona de DNS secundária em um provedor de DNS externo, você poderá especificar um ou mais servidores downstream de DNS do OCI. Os servidores downstream do OCI são notificados sobre alterações pelo provedor externo principal e, em seguida, solicitam transferências de zona. Os servidores de nomes especificados também podem emitir solicitações de transferência para os servidores de nomes principais externos. Você pode especificar servidores downstream para zonas externas gerenciadas por diferentes fornecedores.

As zonas secundárias no OCI DNS são ativas-ativas. Isso significa que a zona secundária está "sempre ativa" e fornece respostas para consultas como uma zona regular. Embora o provedor principal sirva como a origem da verdade para os registros da zona secundária, o provedor secundário ainda é autorizado para a zona.

Usando Chaves TSIG

Opcionalmente, você pode configurar o DNS secundário do OCI para usar chaves TSIG. O TSIG (Transaction Signature), também chamado de Autenticação da Transação de Chave Secreta, garante que os pacotes DNS se originem de um remetente autorizado usando chaves secretas compartilhadas e hash unilateral para adicionar uma assinatura criptográfica aos pacotes DNS. As chaves TSIG são usadas para permitir que o DNS autentique atualizações em zonas secundárias. Você pode configurar chaves TSIG para DNS de entrada e saída secundárias.

Crie chaves TSIG antes de criar ou atualizar uma zona com mestres externos ou servidores externos downstream que as usam. Consulte Gerenciando Chaves TSIG para obter mais informações.

Monitorando o DNS Secundário

O serviço DNS do OCI emite as seguintes métricas para ajudar você a monitorar transferências de zona para entrada secundária e saída secundária:
  • ZoneTransferFailureCount
  • ZoneTransferSuccessCount
  • ZoneExpirationInHours

Essas métricas podem ser usadas para configurar notificações que permitem saber se as zonas de DNS secundárias estão funcionando.

Por exemplo, você pode configurar um alarme com base no número de vezes que a Transferência de Zona falha para uma zona (ZoneTransferFailureCount). Em seguida, você pode configurar uma notificação que envia aos assinantes uma mensagem quando o alarme é acionado. Você pode enviar mensagens por diferentes protocolos, incluindo e-mail, Slack ou SMS.

Veja como essa notificação é definida:

  1. Crie um alarme que seja acionado por exceder uma Contagem de Falhas de Transferência de Zona especificada Especifique o Namespace como oci_dns e o nome da Métrica como ZoneTransferFailureCount.

    Defina o Operador de regra de trigger como greater than e especifique a contagem de falhas que excede a tolerância durante o intervalo.

    Observação

    Ao configurar um alarme para Zone Transfer Failure Count, certifique-se de considerar cuidadosamente o valor da taxa de atualização no SOA da zona secundária. A taxa de atualização varia de 1200 a 43200 segundos. Por exemplo, se o valor da taxa de atualização for curto, mas o intervalo de alarme for alto, você poderá receber muitas notificações de alarme duplicadas.

    Para obter uma notificação do alarme, especifique um Tópico para o qual enviar o alarme. Você pode criar um novo tópico neste workflow, se necessário.

  2. Crie uma assinatura para o tópico

    Para receber uma notificação de um alarme, inscreva-se no Tópico para o qual você enviou o alarme na etapa 1. Você pode configurar a assinatura para enviar a diferentes protocolos, como e-mail, Slack ou SMS. Você pode especificar uma lista de e-mails ou criar assinaturas individuais com um único endereço.

    Observação

    Se você esperar mais de 60 mensagens de alarme em um minuto, poderá enviar o alarme ao serviço Streaming e receber um stream.

Consulte Métricas do DNS para obter uma descrição detalhada dos tipos de métrica emitidos pelo DNS.

Limitações e Considerações

  • Certifique-se de que servidores de nomes secundários possam estabelecer conexão com provedores principais e que eles suportem transferências de zona para os endereços IP do servidor de nomes secundário. Para casos em que o OCI é o provedor de DNS secundário (entrada), fornecemos uma lista de IPs do servidor host para os quais os servidores de nomes principais podem transferir arquivos de zona. Para casos em que o provedor de DNS secundário é externo (saída), você pode obter os endereços IP do provedor.
  • Se um provedor principal externo assinar zonas com DNSSEC , as assinaturas serão transferidas com os registros de zona. O OCI não emite zonas assinadas pelo DNSSEC, mas suporta zonas de DNS assinadas externamente. Para que os registros DNSSEC sejam transferidos para o DNS do OCI como secundários, o principal externo precisaria transferir uma zona assinada. Se o principal externo só fizer assinatura em linha, os registros DNSSEC não serão incluídos na transferência.
  • Não há suporte para recursos avançados fornecidos por um provedor de DNS primário no DNS secundário. Esta instrução se aplica à entrada secundária para o DNS do OCI e à saída secundária para um provedor externo. Exemplos de recursos avançados incluem Políticas de Orientação do OCI Traffic Management, balanceamento de round-robin ou ALIAS.

Definindo Saída Secundária

Configure a saída do Oracle Cloud Infrastructure DNS para um provedor de DNS externo.

Pré-requisitos:

  • Endereços IP dos servidores downstream externos.
  • (Opcional) Crie chaves TSIG para atribuir a cada servidor downstream.
  • Conectividade com endereços IP do servidor de nomes de saída do OCI em servidores DNS mestres gerenciados externamente. A conectividade com endereços IP do OCI é um requisito para configurar com sucesso o DNS secundário porque ele permite que o serviço execute a transferência de zona necessária para secundária para manter a zona em sincronia.

Você pode obter os endereços IP do OCI que executam as transferências de zona usando a API do Oracle Cloud Infrastructure antes de começar a configuração. ListZoneTransferServers retorna uma lista de endereços IP fornecidos para um compartimento-raiz especificado. Os endereços IP do servidor de nomes de transferência fornecidos variam de acordo com a região.

Tarefas Secundárias de Configuração de Saída

  1. (Opcional) Listando servidores de transferência de regiões
  2. (Opcional) Criando uma Chave TSIG
  3. Criar uma Zona de DNS Pública
  4. Adicionando Servidores Downstream a uma Zona de DNS Primária

Definindo a Entrada Secundária

Configure a entrada de um provedor DNS externo para o Oracle Cloud Infrastructure DNS.

Pré-requisitos:
  • Endereços IP do servidor upstream principal.
  • (Opcional) Crie chaves TSIG para atribuir a cada servidor upstream.
  • Conectividade com endereços IP do servidor de nomes de entrada do OCI em servidores DNS mestres gerenciados externamente. A conectividade com endereços IP do OCI é um requisito para configurar com sucesso o DNS secundário porque ele permite que o serviço execute o processo de transferência de zona necessário do principal para manter a zona secundária em sincronia.

Você pode obter os endereços IP do OCI que executam as transferências de zona usando a API do Oracle Cloud Infrastructure antes de começar a configuração. ListZoneTransferServers retorna uma lista de endereços IP fornecidos para o compartimento-raiz especificado. Os endereços IP do servidor de nomes de transferência fornecidos variam de acordo com a região.

Tarefas Secundárias de Configuração de Entrada

  1. (Opcional) Listando servidores de transferência de regiões
  2. (Opcional) Criando uma Chave TSIG
  3. Criando uma Zona de DNS Secundária