説明
セカンダリDNS機能を使用して、自己管理型データセンターからAlibaba CloudにDNS設定を同期できます。
ゾーンのセカンダリDNS機能を有効にした後、Alibaba Cloud DNSコンソールでゾーンのDNSレコードを変更することはできません。 Alibaba Cloud DNSコンソールでDNSレコードを更新するには、プライマリDNSサーバーからDNSレコードを同期する必要があります。
自己管理型データセンターのプライマリDNSサーバーからのデータを同期するには、データ同期をサポートするパブリックIPアドレスを指定し、TCPポート53またはUDPポート53を有効にする必要があります。
準備
セカンダリDNSを有効にする前に、プライマリDNSサーバーで関連データを設定する必要があります。 次に、Alibaba Cloud DNSコンソールでセカンダリDNSを有効にします。 次の例は、BIND 9.9.4以降を使用する自己管理プライマリDNSサーバーを構成する方法を示しています。
BIND 9を使用するプライマリDNSサーバーの構成ファイル "named.conf" に次のコードを追加します。
zone "Zone, such as example.com" IN {
type master;
allow-update { 127.0.0.1; };
allow-transfer {key test_key;};
notify explicit;
also-notify {39.107.XXX.XXX port 53 key test_key;39.107.XXX.XXX port 53 key test_key;};
file "zone_file";
};パラメーターの説明
ゾーン: セカンダリDNS機能を有効にするゾーン。
allow-transfer: プライマリDNSサーバーとセカンダリDNSサーバー間の通信を有効にするために使用されるトランザクション署名 (TSIG) キーの名前。
注: RFCプロトコルに基づいて、DNSサーバー間の通信のセキュリティを確保するためにTSIGを使用することを推奨します。 通常、TSIGは共有キーと一方向ハッシュを使用してDNSサーバー間の通信を認証します。 これにより、プライマリDNSサーバーとセカンダリDNSサーバー間でデータを安全に同期できます。 Message-Digest algorithm 5 (MD5) 、Secure Hash Algorithm 256 (SHA-256) 、またはSHA-1アルゴリズムで暗号化されたTSIGキーを生成し、プライマリおよびセカンダリDNSサーバーの設定でキーを指定できます。
also-notify: ゾーンが変更された場合に通知が送信されるセカンダリDNSサーバーのIPアドレス。 複数のセカンダリDNSサーバーのIPアドレスを指定できます。 この例では、2つのセカンダリDNSサーバーのIPアドレスが設定されています。 Alibaba Cloud DNSコンソールのセカンダリDNSページに移動して、サーバーのIPアドレスを取得できます。
Secondary DNS servers: 39.107.XXX.XXX, 39.107.XXX.XXX注意: 名前付き. confファイルを変更した後、次のコマンドを実行してプライマリDNSサービスを再起動する必要があります。
Restart command: rndc reconfigTSIGキーの生成
1. DNS Security Extensions (DNSSEC) キー生成ツールdnssec-keygenを使用して、TSIGキーを生成します。 サンプルコマンド:
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key上記のコマンドは、rootユーザーのみが実行できます。 システムの安定性やデータセキュリティの問題を回避するために、rootユーザーとして操作を実行する場合は注意してください。
返される結果 :
Generating key pair
test_key.+157+64252コマンドの説明:
-a: キーの生成に使用される暗号化アルゴリズム。 有効な値: HMAC-MD5、HMAC-SHA1、HMAC-SHA256。
-b: キーのバイト数。 鍵のサイズは、使用される暗号化アルゴリズムによって決定される。 HMACキーのサイズは1〜512バイトである必要があります。
-n: キーファイルの所有者タイプ。 有効な値: ZONE、HOST、ENTITY、およびUSER。 ほとんどの場合、-nの値はHOSTまたはZONEです。
test_key: キーファイルの名前。 このパラメーターの値は、プライマリDNSサーバーのBIND設定ファイルの設定でallow-transferパラメーターの値として使用され、Alibaba Cloud DNSコンソールのプライマリDNS情報セクションでTSIGキー名パラメーターの値としても使用されます。
上記のコマンドを実行すると、がします。キーファイルと。現在のディレクトリにプライベートファイルが生成されます。 たとえば、Ktest_key.+ 157 + 64252.keyおよびKtest_key.+ 157 + 64252.privateファイルが生成されます。 。keyファイルには、生成されたTSIGキーの値を示すDNS KEYレコードが含まれています。 Alibaba Cloud DNSコンソールのプライマリDNS情報セクションでパラメーターを設定する場合、TSIGキー値パラメーターをDNSキーレコードに設定します。 。プライベートファイルには、使用される暗号化アルゴリズムによって指定されるフィールドが含まれます。
2. 生成されたTSIGキーを名前付きの. confファイルに追加します。
次の設定をコピーして、名前付きの. confファイルに貼り付けます。
key "test_key" { algorithm hmac-sha256; secret "Key content";};include() メソッドを使用して、名前付きの. confファイルにTSIGキーを追加します。
サンプルコマンド:
include "/etc/named/dns-key";/etc/named/dns-keyファイルの内容は、次の形式です。
key "test_key" {
algorithm hmac-sha256;
secret "Key content";
};手順
Alibaba Cloud DNS コンソールにログインします。
左側のナビゲーションウィンドウで、[セカンダリDNS] をクリックします。 表示されるページで、[セカンダリDNSの追加] をクリックします。 [セカンダリDNSの追加] パネルで、セカンダリDNS機能を有効にするゾーンを指定します。
[セカンダリDNSの追加] ページで、[プライマリDNS情報] および [通知送信者のサーバーIPアドレス] セクションの設定を完了し、障害時に通知を受信するかどうかを指定します。
プライマリDNS情報: このセクションの右上隅にある [追加] をクリックします。 次に、プライマリDNSサーバーのレコードを追加します。
パラメーターの説明
IP Address: the IP address of the primary DNS server. Make sure that the IP address can be accessed over the Internet.
TSIG Key Type: the encryption algorithm. Valid values: SHA1, SHA256, and MD5.
TSIG Key Name: the name of the generated TSIG key.
TSIG Key Value: the value of the generated TSIG key.
通知送信者のサーバーIPアドレス: このセクションの右上隅にある [追加] をクリックします。 次に、IP AddressパラメーターまたはStart IP AddressパラメーターとEnd IP Addressパラメーターを指定します。
IPアドレス: プライマリDNSサーバーのDNSレコードが標準の通知プロトコルに基づいて変更されたときに通知を送信するために使用されるサーバーのIPアドレス。 通知がブロックされないように、IPアドレスが接続できることを確認してください。
失敗時に通知を受信するかどうかの設定: プライマリDNSサーバーとセカンダリDNSサーバー間の通信が中断された場合、チェックボックスをオンにすると、Private DNSからテキストメッセージが送信されます。
セカンダリDNS機能を設定した後、[セカンダリDNS] ページでセカンダリDNS機能のステータスを表示できます。
同期列のスイッチがオンの場合、プライベートDNSのゾーンでセカンダリDNS機能が有効になります。
[プライマリ /セカンダリDNS接続ステータス] 列に表示される値が [ブロック] の場合、セカンダリDNSページの設定が正しいかどうか、プライマリDNSサーバーが期待どおりに実行されるかどうか、プライマリDNSサーバーのIPアドレスが接続できるかどうかを確認します。 問題のトラブルシューティング後、[プライマリDNSに接続] をクリックしてプライマリDNSサーバーに接続します。