注意：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值替代為您雲端環境特定的值。

設定 Oracle Cloud Infrastructure 和內部部署服務的雙向網域名稱解析

簡介

網域名稱系統 (DNS) 是內部部署環境使用的常用服務，不過一旦您位於雲端，就可以套用相同技術但具有特定組態。如果您想要使用已經沒有將 IP 位址硬式編碼的通用名稱來存取系統、電腦、服務及其他資源，名稱解析會很有用。

目標

設定 Oracle Cloud Infrastructure (OCI) 和內部部署服務的雙向網域名稱解析。

必要條件

1. 存取 Oracle Cloud Infrastructure (OCI) 主控台，即可擁有足夠的 IAM 權限來設定 VCN 服務檢查。如需詳細資訊，請參閱必要的 IAM 服務原則。
2. 內部部署 DNS 伺服器 (本教學課程未涵蓋安裝)。
3. 使用公用和專用子網路部署的 OCI VCN (此教學課程未涵蓋起始組態)。
4. 本教學課程不涵蓋 OCI 與內部部署之間的連線 (FastConnect 或 VPN 部署)。
5. OCI 與內部部署之間的連線 (內部部署安全存取清單、OCI 安全清單或網路安全群組)，以允許 DNS 流量 (例如 TCP/UDP 連接埠 53 等)。
6. 在本教學課程中，我們將使用部署在 OCI 上的 2 個伺服器，一個已部署在企業內部部署環境。請確定您有此設定，且可存取這些伺服器以執行名稱解析測試。

注意：

1. example.local DNS 伺服器所在的 OCI 子網路 A (10.0.0.0 /24) 與內部部署子網路 (172.16.11.0 /24) 之間的連線。此教學課程的建立連線詳細步驟超出範圍。如需詳細資訊，請參閱 FastConnect 、DRG 、 VPN 文件。
2. 設定 OCI DNS 的使用者必須具備足夠的權限，才能在 VCN 上進行變更。此教學課程的原則定義超出範圍。如需詳細資訊，請參閱必要的 IAM 服務原則。

拓樸

本教學課程使用下列拓樸：

OCI 上的 DNS 服務

一開始建立 VCN 和子網路時，您可以為每個子網路指定 DNS 標籤。只有在使用 DNS 標籤的情況下建立 VCN 本身，才能設定子網路 DNS 標籤。標籤 (以及 oraclevcn.com 的父項網域) 會形成 VCN 網域名稱和子網路網域名稱：

• VCN 網域名稱：<VCN DNS label>.oraclevcn.com
• 子網路網域名稱：<subnet DNS label>.<VCN DNS label>.oraclevcn.com

您可以在啟動執行處理時指定主機名稱。它是指定給在執行處理啟動期間 (主要 VNIC) 自動建立的 VNIC。除了子網路網域名稱之外，主機名稱也會形成完整的網域名稱 (FQDN)：

• 執行處理 FQDN：<hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com

例如：instance-remote.publicsubnet.vcnremote.oraclevcn.com。

作業 1：設定初始組態

內部部署初始狀態

• example.local 網域設定為本機網域

• 主要 DNS 伺服器為 172.16.11.55

• 靜態主機登錄建立為 server1.example.local，ip 位址為 172.16.11.3

  

• 沒有透過名稱解析與 OCI 資源的連線

  

OCI 初始狀態

• 我們有預設的 DNS 組態

• 已解析本機 OCI 名稱

  

• 沒有透過名稱解析來連線至內部部署資源

  

作業 2：設定 OCI 環境

為了將內部部署的 DNS 項目解析為 OCI，我們會在這兩個 DNS 上建立一些規則。這些規則將視需要將 DNS 查詢轉送給特定網域。查詢 OCI 網域的內部部署查詢將會轉送至 OCI DNS 服務；查詢內部部署網域的 OCI 查詢將會轉送至內部部署 DNS 伺服器。

注意：DNS 解析器會影響 VCN 層次，因此任何對其進行的變更都會套用至其中的所有子網路。

1. 瀏覽至 VCN 詳細資訊頁面並確認 DNS 解析器組態

   

2. 在「VCN/DNS 解析器詳細資訊」頁面中，按一下建立端點。您可以依下列步驟所述選取監聽或轉送。

   

• 如果您選取監聽端點類型，則所有轉送至 OCI 的 DNS 查詢都將由此端點監聽。

  

  A.選取監聽端點類型。

  B.提供自訂名稱。

  C.選取端點的區間和子網路。確保您可以從企業內部部署網路連線此子網路，特別是企業內部部署 DNS 伺服器轉送 DNS 查詢必須能夠存取此網路。

  D.若未選取自訂 IP，服務將會為您選擇一個 IP，此 IP 將在子網路中。

  E 。您可以限制對此端點的存取，最佳安全做法是指定 NSG，請確定您已設定內送規則，以允許來自內部部署 DNS 伺服器 IP 的 DNS 流量。

• 如果您選取轉送端點類型，則轉送至企業內部部署 DNS 的所有 DNS 查詢都將由此端點轉送。

  

  A.選取轉送端點類型。

  B.提供自訂名稱。

  C.選取端點的區間和子網路。確保您可以從企業內部部署網路連線此子網路，特別是企業內部部署 DNS 伺服器轉送 DNS 查詢必須能夠存取此網路。

  D.若未選取自訂 IP，服務將會為您選擇一個 IP，此 IP 將在子網路中。

  E 。您可以限制對此端點的存取，最佳安全做法是指定 NSG，請確定您已設定內送規則，以允許來自內部部署 DNS 伺服器 IP 的 DNS 流量。

注意：

• 所有前往內部部署 DNS 伺服器的 DNS 流量都會使用 IP A 轉送。
• 所有通往 OCI DNS 服務的 DNS 流量都應該從內部部署轉送至 IP B 。
• 確保從企業內部部署環境透過 VPN/FastConnect 進行這些 IP 位址 (路由、防火牆存取清單、NSG 等) 的連線。

設定轉寄規則

我們會建立一個規則，將所有 DNS 查詢從 example.local 網域轉送至企業內部部署 DNS 伺服器 (172.16.11.55)。此規則會將所有 DNS 查詢與 example.local 網域相符，並將此查詢轉送至尋找名稱解析的 172.16.11.55 IP。

1. 前往 VCN/ 專用解析器詳細資訊、規則 / 管理規則。

   

   

   A.選取「網域」或「CIDR 區塊」來比對此教學課程中的規則，我們將會使用網域。

   B.您最多可以新增 10 個網域項目來比對規則，您應該將共用相同目的地 DNS IP 位址項目的所有網域分組。

   C.選取「來源端點」以轉送查詢，請記住此 IP 必須透過 VPN/FastConnect 連線，在不同存取清單上遞送並允許。

   D.輸入目的地內部部署 DNS 伺服器 IP 位址。

作業 3：設定內部部署環境

我們正在與網域控制器中執行的 Microsoft® DNS 服務搭配運作，將建立一個條件性轉送規則，將尋找 oraclevcn.com 網域的所有 DNS 查詢轉送至 OCI DNS 解析器服務。

1. 在「DNS 管理程式」組態頁面中，在條件式轉送器 / 新條件式轉送器上按一下滑鼠右鍵。

   

   

   A.輸入要從內部部署網路解析的 OCI DNS 名稱。

   B.輸入 OCI 監聽器端點 [IP 位址 ]。

   C.按一下確定。

現在，我們有兩種方式都設定了從 OCI 到內部部署的 DNS 名稱解析，反之亦然。

作業 4：測試組態

測試配置且結果應該與下列螢幕擷取畫面類似。

從內部部署到 OCI

OCI 至內部部署

相關連結

• OCI VCN 文件

確認

• 作者 - Jaime Rojas (LAD A-Team 工程師)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室，或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外，請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與版權資訊

Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services

F78338-02

April 2023

Copyright © 2023, Oracle and/or its affiliates.