注：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

为 Oracle Cloud Infrastructure 和内部部署服务配置双向域名解析

简介

域名系统 (Domain Name System，DNS) 是一种在内部部署环境中使用的通用服务，但在您使用云时，可以应用相同技术，但也可以采用特定配置。如果要使用已经在应用程序上没有硬编码 IP 地址的通用名称访问系统、计算机、服务和其他资源，则“名称解析”非常有用。

目标

为 Oracle Cloud Infrastructure (OCI) 和内部部署服务配置双向域名解析。

先决条件

1. 访问具有足够 IAM 权限的 Oracle Cloud Infrastructure (OCI) 控制台，以配置 VCN 服务检查。有关更多详细信息，请参阅必需的 IAM 服务策略。
2. 内部部署 DNS 服务器（本教程中未介绍安装）。
3. 使用公共和专用子网部署的 OCI VCN（本教程中未介绍初始配置）。
4. OCI 与内部部署之间的连接（本教程中未介绍 FastConnect 或 VPN 部署）。
5. OCI 与内部部署（内部部署安全访问列表、OCI 安全列表或网络安全组）之间的连接可允许 DNS 流量（例如 TCP/UDP 端口 53 等等）。
6. 在本教程中，我们将使用 2 台服务器，一台服务器部署在 OCI 上，一台服务器部署在内部部署中。确保您已设置此设置，并有权访问这些服务器以运行名称解析测试。

注意事项：

1. OCI 子网 A (10.0.0.0 /24) 与 内部部署子网 (172.16.11.0 /24) 之间的连接，其中 example.local DNS 服务器驻留。本教程不涉及建立连接的详细步骤。有关更多信息，请参见 FastConnect 、DRG 、 VPN 文档。
2. 配置 OCI DNS 的用户必须具有足够的权限才能对 VCN 进行更改。策略定义超出了本教程的范围。有关更多详细信息，请参阅必需的 IAM 服务策略。

拓扑

本教程使用以下拓扑：

在 OCI 上运行 DNS 服务

最初创建 VCN 和子网时，可以为每个子网指定 DNS 标签。只有当创建的 VCN 本身具有 DNS 标签时，才能设置子网 DNS 标签。这些标签以及 oraclevcn.com 的父域构成了 VCN 域名和子网域名：

• VCN 域名：<VCN DNS label>.oraclevcn.com
• 子网域名：<subnet DNS label>.<VCN DNS label>.oraclevcn.com

启动实例时，您可以分配主机名。它分配给在实例启动（主要 VNIC）期间自动创建的 VNIC。主机名与子网域名一起构成全限定域名 (Fully Qualified Domain Name，FQDN)：

• 实例 FQDN：<hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com

例如：instance-remote.publicsubnet.vcnremote.oraclevcn.com。

任务 1：设置初始配置

内部部署初始状态

• example.local 域配置为本地域

• 主 DNS 服务器为 172.16.11.55

• 静态主机注册表创建为 server1.example.local、ip 地址 172.16.11.3

  

• 通过名称解析与 OCI 资源没有连接

  

OCI 初始状态

• 我们具有默认 DNS 配置

• 本地 OCI 名称已解析

  

• 通过名称解析无法连接到内部部署资源

  

任务 2：设置 OCI 环境

为了将 DNS 条目从内部部署解析为 OCI，我们将对两个 DNS 创建一些规则。这些规则将根据需要将 DNS 查询转发到特定域。查找 OCI 域的内部部署查询将转发到 OCI DNS 服务；查找内部部署域的 OCI 查询将转发到内部部署 DNS 服务器。

注：DNS 解析程序在 VCN 级别有影响，对此更改将应用于其中的所有子网。

1. 导航到“VCN 详细信息”页并验证 DNS 解析程序配置

   

2. 在 VCN/DNS 解析程序“详细信息”页中，单击创建端点。您可以按以下步骤所述选择监听或转发。

   

• 如果选择监听端点类型，则此端点将监听转发到 OCI 的所有 DNS 查询。

  

  A.选择监听端点类型。

  B。提供定制名称。

  C. 为端点选择区间和子网。确保您可以从内部部署网络（特别是内部部署 DNS 服务器转发 DNS 查询）访问此子网，并且这些查询必须能够访问此网络。

  D 。提供定制 IP，如果您不选择定制 IP，服务会为您选择一个 IP，此 IP 将在子网中。

  E 。您可以限制对此端点的访问，这是一种安全最佳做法，就是分配 NSG。请确保已配置入站规则，以便允许来自内部部署 DNS 服务器 IP 的 DNS 流量。

• 如果选择转发端点类型，则转发到内部部署 DNS 的所有 DNS 查询都将由此端点转发。

  

  A.选择转发端点类型。

  B。提供定制名称。

  C. 为端点选择区间和子网。确保您可以从内部部署网络（特别是内部部署 DNS 服务器转发 DNS 查询）访问此子网，并且这些查询必须能够访问此网络。

  D 。提供定制 IP，如果您不选择定制 IP，服务会为您选择一个 IP，此 IP 将在子网中。

  E 。您可以限制对此端点的访问，这是一种安全最佳做法，就是分配 NSG。请确保已配置入站规则，以便允许来自内部部署 DNS 服务器 IP 的 DNS 流量。

注：

• 到内部部署 DNS 服务器的所有 DNS 流量都使用 IP A 进行转发。
• 到 OCI DNS 服务的所有 DNS 流量都应从内部部署转发到 IP B 。
• 确保通过 VPN/FastConnect 从内部部署到这些 IP 地址（路由、防火墙访问列表、NSG 等）的连接。

设置转发规则

我们将创建一个规则，将所有 DNS 查询从 example.local 域转发到内部部署 DNS 服务器 (172.16.11.55)。此规则将所有 DNS 查询与 example.local 域匹配，并将此查询转发到 172.16.11.55 IP，以查找名称解析。

1. 转至“VCN/专用解析程序详细信息”中的规则/管理规则。

   

   

   A 。选择域或 CIDR 块以匹配规则，在本教程中，我们将使用域。

   B。您最多可以添加 10 个域条目来匹配规则，应该对共享同一目标 DNS IP 地址条目的所有域进行分组。

   C. 选择源端点以转发查询，请记住应通过 VPN/FastConnect 连接在不同的访问列表中路由并允许此 IP。

   D.输入目标内部部署 DNS 服务器 IP 地址。

任务 3：设置内部部署环境

我们正在使用在域控制器中运行的 Microsoft® DNS 服务，我们将创建一个条件转发规则，将查找 oraclevcn.com 域的所有 DNS 查询转发到 OCI DNS 解析程序服务。

1. 在“DNS 管理器配置”页中，右键单击条件转发器/新条件转发器。

   

   

   A.输入要从内部部署网络解析的 OCI DNS 名称。

   B。输入 OCI 监听程序端点 [IP Address]。

   C. 单击确定。

现在，我们将 DNS 名称解析配置为从 OCI 到内部部署，反之亦然。

任务 4：测试配置

测试配置，结果应类似于以下屏幕截图。

从本地到 OCI

OCI 到本地

相关链接

• OCI VCN 文档

确认

• 作者 - Jaime Rojas（LAD A-Team 工程师）

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services

F78338-02

April 2023

Copyright © 2023, Oracle and/or its affiliates.