附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特定的值。

使用 Oracle Cloud Infrastructure DNS 解析原生網域

簡介

OraStage 是能源部門的領導公司，專精於可再生能源解決方案和創新的電力技術，該公司宣布將工作負載移轉至 Oracle Cloud Infrastructure (OCI) 以提升效能、擴展性及安全性。

考慮到 OraStage 概述的特定需求和條件，公司需要雲端的混合網域名稱系統 (DNS) 解決方案，而在此混合方式則代表除了 OCI DNS 服務之外，還使用自己的 Berkeley 網際網路名稱網域版本 9 (BIND9) DNS 系統，其中的最終架構會顯示在下列映像檔中。

OraStage DNS 需求：

• 該公司有數個內部網域和子網域，所有這些網域都應由其在 OCI 中的 BIND9 DNS 解析，其中 OraStage 將管理所有相關區域和記錄。其中一個網域是 orastage.com，我們將在此教學課程中使用。因此，任何 orastage.com 查詢都必須轉寄至其 BIND9。

• 在某些情況下，他們仍需要解析 OCI 原生網域 (oraclevcn.com、oraclecloud.com 等)，而這會透過使用 OCI 專用 DNS 元件來完成：專用檢視、轉送端點和規則，以及監聽端點。

• 所有查詢都必須經過 pfSense 防火牆執行處理檢查。

• 為了避免單一故障點，OraStage 計畫使用另一個 DNS 伺服器，並利用 OCI Load Balancer 在主要和次要 DNS 之間分配查詢。

本教學課程系列將引導您逐步達成上述概述的需求，從頭開始建立整個解決方案。您可以從下列清單輕鬆導覽至每個教學課程：

• 教學課程 1：在 OCI 中設定 BIND9 DNS 。瞭解如何在運算執行處理上安裝並設定 BIND9，讓它成為 OCI 中兩個測試環境的本機 DNS 伺服器。這些環境將由「前端」和「後端」伺服器組成，每個伺服器都由個別網輻網路代管。BIND9 伺服器將處理所有導向至 orastage.com 的 DNS 查詢。

• 教學課程 2：在 OCI 的 BIND9 DNS 案例上導入高可用性。本教學課程著重於新增次要 BIND9 伺服器，以及設定網路負載平衡器 (NLB)，以便在兩部伺服器之間分配 DNS 流量。orastage.com 的 DNS 查詢將會導向 NLB IP，以平衡主要和次要 BIND9 伺服器之間的負載。如果一個伺服器無法使用，DNS 解析將繼續而不會中斷服務。

• 教學課程 3：使用 OCI DNS 解析原生網域。只著重於特定使用案例，如果需要解析原生網域 (例如 oraclevcn.com 和 oraclecloud.com)，我們會在 OCI 中使用原生 DNS 元件。本教學課程中未使用 BIND9 DNS。

• 教學課程 4： 使用 pfSense 防火牆新增 DNS 架構安全。著重於在 OCI 中心 VCN 中安裝 pfSense 防火牆，並執行必要的網路組態，以透過防火牆遞送所有東西方流量，包括 DNS 查詢 (在過去的教學課程中完成) 以進行檢查。

概觀

在本教學課程中，我們將專注於處理 OCI 原生網域，例如 oraclevcn.com 和 oraclecloud.com。在此區段中，我們將不再使用 BIND9 解析自訂網域 (例如 orastage.com)，而是改為探索 OCI 內建 DNS 功能。

我們將深入探討 OCI Private DNS 的元件，以及查詢處理涉及的關鍵元素，這些元素在管理 OCI 專用網路中的 DNS 流量方面扮演關鍵角色。您會注意到，我們已在自學課程 1 和自學課程 2 的某些部分中使用了它們。這些元件為:

• 專用 DNS 區域： 包含只能從 VCN 內存取的 DNS 資料，例如專用 IP 位址。專用 DNS 區域的功能與網際網路 DNS 區域類似, 但只能提供回應給能透過 VCN 與其聯繫的從屬端.每個區域都屬於單一檢視。

• 專用 DNS 檢視：專用區域的群組，每個檢視都可與解析器關聯，以控制 DNS 查詢的解析方式。多個解析器可以使用單一檢視，以便在不同的 VCN 之間共用專用 DNS 資料。每個區域只能屬於一個檢視。

  例如，您建立了兩個新的 VCN：VCN-A 和 VCN-B。VCN-A 內的資源預設可在不進行額外組態的情況下相互解析，因為其記錄儲存在 VCN-A 專用檢視的相同專用區域中。同樣適用於 VCN-B。不過，如果您希望 VCN-A 中的資源解析 VCN-B 中的資源，則必須將 VCN-B 的專用檢視關聯至 VCN-A 解析器。如果您希望 VCN-B 中的資源解析 VCN-A 中的資源，則必須將 VCN-A 的專用檢視關聯至 VCN-B 解析器。

• 專用 DNS 解析器：VCN 專用 DNS 解析器會依下列順序提供對 DNS 查詢的回應：首先，它會先檢查所連附專用檢視中的區域，然後檢查其預設檢視中的區域，最後再使用網際網路 DNS。它基本上是尋找執行處理查詢答案的引擎。

  例如，下列映像檔螢幕擷取畫面顯示 VCN 解析器頁面，解析此 VCN 中執行處理的查詢時所遵循的順序如下：

  

• 轉送端點和規則：轉送端點可作為 OCI VCN 與外部 DNS 解析器或其他 DNS 區域之間的連線器。使用轉送規則，您可以將特定 DNS 查詢導向其他 VCN 解析器中的指定外部伺服器或監聽器，讓混合雲 DNS 架構或多重區域解析。

• 監聽端點：這些端點是用來接收來自外部來源的 DNS 查詢。它們可讓您的 OCI DNS 基礎架構監聽及回應內送 DNS 要求，增強您管理各種網路組態之 DNS 查詢的能力。

這些元件一起提供了強大的工具，可讓您在 OCI 環境中管理和自訂 DNS。

本教學課程結束後，您將完全瞭解如何使用這些 OCI DNS 元件，有效地管理和解決雲端環境中的查詢。

目標

• 本教學課程的主要目標是啟用 FE-VM 從屬端 (fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com) 來查詢 BE-VM (be-vm.beprivatesubnet.backendvcn.oraclevcn.com)，反之亦然，監聽器 LSN 則會回答所有這些查詢。

最終架構

注意：

• 當您一開始建立 VCN 和一個子網路時，您可以為每個子網路指定 DNS 標籤，然後啟動運算執行處理，就可以為它指定一個主機名稱。最後，執行處理「完整網域名稱 (FQDN)」看起來會像這樣：<VM-HOSTNAME>.<SUBNET-DNS-Label>.<VCN-DNS-Label>.oraclevcn.com。指定這些標籤是選擇性的，如果您將標籤留白，系統會提供從資源名稱取得的隨機名稱，就像本教學課程中的 FE-VM 和 BE-VM 一樣。

• 如果我們只需要 OCI 資源來相互解析，則此處不需要監聽器，因為只有使用「總覽」區段中所述的專用檢視才能完成。不過，選擇在此使用監聽器的理由，也是處理來自任何其他環境 (例如內部部署和其他雲端) 的 DNS 解析，並將所有專用檢視新增至此監聽器的解析器將會足夠。此設定解決了特定使用案例，您可能還需要其他環境 (內部部署或其他雲端環境) 來解決 OCI 資源。但是，此自學課程不包括此內容。

• 不論查詢來自 OCI、內部部署網路或其他雲端提供者網路，所有 oraclevcn.com 和 oraclecloud.com 查詢都應該轉送至相同的監聽器，因為 LSN-VCN 的解析器將會處理這些來自專用檢視的查詢。

• 在本教學課程中，我們不會從內部部署或 Microsoft Azure 測試查詢，但只會從 OCI 執行處理進行測試。因此，下圖僅供說明之用。

必要條件

• 存取 OCI 租用戶和管理所需網路和運算服務的權限。

• 瞭解 OCI 網路路由和安全性及其功能的基本知識：虛擬雲端網路 (VCN)、路由表、動態路由閘道 (DRG)、安全清單、堡壘主機及 OCI 網路負載平衡器。

• 一般來說對 DNS 的基本瞭解。

• 請務必完成前兩個教學課程：

  1. 在 Oracle Cloud Infrastructure 中設定 BIND9 網域名稱系統。

  2. 在 Oracle Cloud Infrastructure 中的 BIND9 網域名稱系統導入高可用性。

• 其中只有一個專用子網路需要一個 VCN，然後將其連附至現有的 DRG。如需詳細資訊，請參閱任務 1.3：將 VCN 附加至 DRG 。

  • LSN-VCN：這會代管監聽器。請注意，監聽器不需要位於專用 VCN 中，但我們建議在此教學課程中執行此操作，以便與其他資源分開。

• 根據先決條件，您應該已經建立下列架構。

  

作業 1：設定網路元件 (例如路由與安全)

作業 1.1：建立虛擬雲端網路 (LSN-VCN)

確定已經建立包含 LSN-Private-Subnet (10.3.0.0/24) 的 LSN-VCN (10.3.0.0/16)。

• 按一下左上角的漢堡功能表 ()。

  

  1. 按一下網路。
  2. 按一下虛擬雲端網路。

  

• 我們就地可以看到 VCN，目前只有一個專用子網路，以及已連附的預設路由表和安全清單。

  

作業 1.2：設定 LSN-VCN 的路由與安全性

• 這必須在子網路層次完成。瀏覽至 VCN 頁面，然後按一下 LSN-VCN 。

  

• 按一下專用子網路。

  

• 按一下路由表，這是指定的路由表。

  

• 新增下列規則。

  • 10.0.0.0/16 - DRG：將傳送至 DNS-VCN 的流量遞送至 DRG。
  • 10.1.0.0/16 - DRG：將目的地為 Frontend-VCN 的流量遞送至 DRG。
  • 10.2.0.0/16 - DRG：將傳送至 Backend-VCN 的流量遞送至 DRG。

  

• 立即進行安全性操作。移至子網路詳細資訊頁面，然後按一下指定的安全清單。

  

• 允許來自 DNS-VCN 、 Frontend-VCN 及 Backend-VCN 的傳入流量 (TCP/port 53 和 UDP/port 53)。

  

• 允許所有傳出流量。

  

作業 1.3：設定 DNS-VCN 的路由與安全

• 瀏覽至 VCN 頁面，然後按一下 DNS-VCN 。

  

• 按一下專用子網路。

  

• 按一下路由表，這是指定的路由表。

  

• 新增下列規則。

  • 10.3.0.0/16 - DRG：將目的地為 LSN-VCN 的流量遞送至 DRG。

  

• 已新增必要的安全規則。如需詳細資訊，請參閱教學課程 1：作業 1.4 - 設定 DNS-VCN 的路由與安全性。

作業 1.4：設定前端 VCN 的路由與安全性

• 針對前端 -VCN 重複在任務 1.3 中完成的步驟。

作業 1.5：設定後端 VCN 的路由與安全

• 針對後端 -VCN 在作業 1.3 中執行的重複步驟。

作業 2：設定 OCI 專用 DNS 元件

作業 2.1：新增專用檢視至 LSN-VCN 解析器

• 瀏覽至 LSN-VCN 並按一下 DNS 解析器。

  

  1. 向下捲動並按一下關聯的專用檢視。
  2. 按一下管理專用檢視。
  3. 選取 DNS-VCN 、 Frontend-VCN 以及 Backend-VCN 的專用檢視。
  4. 按一下儲存變更。
  5. 已順利新增專用檢視。

  

  

  

  目前， LSN-VCN 解析器可以查看在其他專用區域中建立的所有 DNS 記錄。因此，當監聽器收到 FE-VM 和 BE-VM FQDN 的任何查詢時，就會直接使用關聯的專用檢視進行解析。

作業 2.2：在 LSN-VCN 解析器中設定監聽端點

• 前往 OCI 主控台。

  1. 在相同的解析器中，按一下端點。
  2. 按一下建立端點。
  3. 名稱：輸入端點的名稱。
  4. 子網路： 選取 LSN-VCN 的專用子網路。
  5. 端點類型：選取監聽。
  6. 監聽 IP 位址：輸入 10.3.0.6。
  7. 按一下建立端點。
  8. 監聽端點已順利建立。

  

  

  

作業 2.3：在前端 VCN 解析器中設定轉送規則

• 按一下左上角的漢堡功能表 ()。

  

  1. 按一下網路。
  2. 按一下虛擬雲端網路。

  

• 按一下 Frontend-VCN 。

• 按一下 VCN 的 DNS 解析器。

• 向下捲動。

  1. 按一下規則。
  2. 按一下管理規則。
  3. 新增其他含有下列資訊的規則，如螢幕擷取畫面所示。
  4. 按一下儲存變更。
  5. 已順利建立轉寄規則。

  

  

  

作業 2.4：設定後端 VCN 解析器中的轉送規則

• 按一下左上角的漢堡功能表 ()。

  

  1. 按一下網路。
  2. 按一下虛擬雲端網路。

  

• 按一下後端 VCN 。

  

• 按一下 VCN 的 DNS 解析器。

  

• 向下捲動。

  1. 按一下規則。
  2. 按一下管理規則。
  3. 新增其他含有下列資訊的規則，如螢幕擷取畫面所示。
  4. 按一下儲存變更。
  5. 已順利建立轉寄規則。

  

  

  

• 架構應該和這樣。

  

作業 3：測試並驗證

測試案例 1:FE-VM 以查詢 BE-VM 原生網域的監聽器

• FE-VM 用戶端機器應該可以解析 be-vm.beprivatesubnet.backendvcn.oraclevcn.com。下圖說明我們要達成的測試案例。

  

• 移至 OCI 主控台，瀏覽至 BE-VM 執行處理，然後複製 Internal FQDN 以在測試中使用。

  

• 存取 FE-VM 並使用與教學課程 2：測試案例 1 - 次要 DNS 停止運作時，主要 DNS 回應 FE-VM 查詢相同的 OCI 堡壘主機服務執行查詢測試。連線之後，請執行 oraclevcn.com 查詢，從 FE-VM 至 be-vm.beprivatesubnet.backendvcn.oraclevcn.com，並驗證組態。您可以使用各種方法來驗證設定是否正常運作。

  1. 執行 host 指令。
  2. 執行 ping 指令。
  3. 執行 dig 指令。

  

  

  

如測試案例所示，我們可以擷取 BE-VM 原生網域的 IP 位址，而 ping 正在使用 FQDN 運作，這表示測試成功。

測試案例 2:BE-VM 以查詢 FE-VM 原生網域的監聽器

• BE-VM 用戶端機器應該可以解析 fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com。下圖說明我們要達成的測試案例。

  

• 移至 OCI 主控台，瀏覽至 FE-VM 執行處理並複製 Internal FQDN 以在測試中使用該執行處理。

  

• 存取 BE-VM 並使用 OCI 堡壘主機服務執行查詢測試。連線之後，請執行 oraclevcn.com 查詢，從 BE-VM 至 fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com，然後驗證組態。您可以使用各種方法來驗證設定是否正常運作。

  1. 執行 host 指令。
  2. 執行 ping 指令。
  3. 執行 dig 指令。

  

  

  

如測試案例所示，我們可以擷取 BE-VM 原生網域的 IP 位址，而 ping 正在使用 FQDN 運作，這表示測試成功。

接下來的步驟

在本教學課程中，我們使用 OCI 專用檢視、轉送端點和規則以及監聽端點，以便在虛擬雲端網路內提供彈性且健全的 DNS 管理。這些元件一起簡化了 DNS 作業，確保 OCI 環境內有效率且可擴展的名稱解析，特別是包含整合式多雲端和內部部署環境的混合 DNS 案例。

在本系列的下一個和最後一個教學課程中，使用 pfSense 防火牆將安全性新增至 DNS 架構，我們將透過設定 pfSense 防火牆來檢查和控制所有 DNS 查詢，這包括內部 OCI 網域 (oraclevcn.com 和 oraclecloud.com) 和 BIND9 中管理之自訂網域 (例如 orastage.com) 的監控和篩選要求，來增強 DNS 基礎架構的安全性。

認可

• 作者 - Anas abdallah (雲端網路專家)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

<

Use Oracle Cloud Infrastructure DNS to Resolve Native Domains

G16590-02

Copyright ©2025, Oracle and/or its affiliates.