概要
- PrivateZoneを使用すると、Alibaba Cloud DNS (Secondary Domain Name System) を使用して、オンプレミスのデータセンターからAlibaba CloudにDNSレコードを同期できます。
- プライベートゾーンのセカンダリDNSを有効にすると、プライベートゾーンの構成を変更して既存のDNSレコードを変更することはできません。 すべてのDNSレコードはプライマリDNSサーバーから同期されます。
- オンプレミスデータセンターのプライマリDNSサーバーに接続するには、データ同期をサポートするパブリックIPアドレスを指定し、TCPポート53とUDPポート53を有効にする必要があります。
プライマリDNSサーバーの設定
セカンダリDNSを有効にするには、まずオンプレミスデータセンターのDNSアプリケーションを使用してプライマリDNSサーバーを構成する必要があります。 次に、Alibaba Cloud DNSコンソールでAlibaba CloudセカンダリDNSを有効にします。 以下では、DNSアプリケーションBINDを例として使用して、プライマリDNSサーバーを構成する方法を説明します。 BIND 9.9.4以降がサポートされています。
1 . BIND9を使用してプライマリDNSサーバーを構成する
設定ファイル "named.conf" で、パラメーターを次のように設定します。<>ゾーン "プライベートゾーンの名前、そのようなs xxx.com。IN {
タイプマスター;
allow-update { 127.0.0.1; };
allow-transfer {key test_;key };
明示的に通知する。
また-通知 {39.107.199.178ポート53キーtest_key;39.107.199.179ポート53キーtest_;key };
ファイル "zone_file";
}; パラメーターの説明
zone: セカンダリDNSを有効にするプライベートゾーンの名前。
allow-transfer: プライマリDNSサーバーとセカンダリDNSサーバー間のデータ同期に使用されるキー。 現在、トランザクション署名 (TSIG) キーがサポートされています。 DNS更新を許可するTSIGキーを指定します。
注: Request for Comments (RFC) によると、DNSレコードのセキュリティを保証するためにTSIGを使用することを推奨します。 TSIGは、共有秘密鍵および一方向ハッシュを使用して、一次DNSサーバと二次DNSサーバとの間の接続の各エンドポイントを認証する安全な手段を提供する。 MD5、SHA-256、またはSHA-1関数を使用してTSIGキーを生成し、プライマリおよびセカンダリDNSサーバーの設定でキーを指定できます。 詳細については、「TSIGキーの生成」をご参照ください。
- also-notify: プライマリDNSサーバーのDNSレコードが変更されたときに通知を送信するために使用されるサーバーのIPアドレスまたはIPアドレス範囲。 複数のサーバーを指定できます。 この例では、次の2つのセカンダリDNSサーバーが指定されています。
セカンダリDNSサーバー: 39.107.199.178, 39.107.199.179注: 名前付き. conf設定ファイルを編集した後、変更を有効にするにはアプリケーションを再起動する必要があります。
再起動コマンド: rndc reconfigTSIGキーの生成
1. DNS Security Extensions (DNSSEC) キー生成ツールdnssec-keygenを使用して、TSIGキーを生成します。 コマンドは次の通りです。
[root @ www ~]# dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
キーペアの生成
test_key.+ 157 + 64252 コマンドの説明
-a: キーの生成に使用される暗号アルゴリズム。 サポートされているアルゴリズムには、HMAC-MD5、HMAC-SHA1、HMAC-SHA256があります。
-b: キーのビット数。 キーのサイズは、使用されるアルゴリズムに依存する。 HMAC鍵は、サイズが1〜512ビットでなければならない。
-n: キーの所有者タイプ。 サポートされている所有者タイプには、ZONE、HOST、ENTITY、USERがあります。 典型的には、HOSTまたはZONEが指定される。
test_key: キーの名前。 この名前は、BIND9設定ファイルのallow-transferパラメーター、またはAlibaba Cloud DNSコンソールのプライマリDNS情報設定のTSIGキー名パラメーターに使用されます。
前述のコマンドを実行した後、キーファイルと。プライベートファイルが現在のディレクトリに生成されます。たとえば、Ktest_key.+ 157 + 64252.keyやKtest_key.+ 157 + 64252.privateです。 だ keyファイルには、生成されたTSIGキーの値を示すDNS KEYレコードが含まれます。 Alibaba Cloud DNSコンソールでプライマリDNS情報を設定するときに、TSIGキー値をこの値に設定します。 だ プライベートファイルには、指定された暗号アルゴリズムで必要なパラメーターが含まれます。
2. 生成されたTSIGキーを名前付きの. confファイルに追加します。
- 次のコマンドをコピーして. confファイルに貼り付けることができます。
キー "test_key" {アルゴリズムhmac-sha256; 秘密 "キー値" ;};- include() メソッドを使用して、名前付きの. confファイルにTSIGキーを追加することもできます。
次のコマンドを実行してinclude() メソッドを使用し、名前付き. confファイルにTSIGキーを追加します。
include "/etc/named/dns-key";/etc/named/dns-keyファイルの形式は次のとおりです。
キー "test_key" {
アルゴリズムhmac-sha256;
秘密の "キー値";
}; コンソールでAlibaba CloudセカンダリDNSを有効にする
1 . Alibaba Cloud DNS コンソールにログインします。
2 . 左側のナビゲーションウィンドウで、[セカンダリDNS] をクリックします。 セカンダリDNSページで、[セカンダリDNSの追加] をクリックします。 表示される [セカンダリDNSの追加] ダイアログボックスで、セカンダリDNSを有効にする対象のプライベートゾーンを選択し、[確認] をクリックします。
3 . 表示される [セカンダリDNSの追加] ページで、[プライマリDNSサーバー] および [通知送信者IP] セクションの設定を完了し、セカンダリDNSサーバーがプライマリDNSサーバーに接続できなかったときに通知を送信するかどうかを指定します。
- プライマリDNSサーバー: 右側の [追加] をクリックします。 表示されるダイアログボックスで、プライマリDNSサーバーのIPアドレスとデータ同期に使用するTSIGキーを指定します。
パラメーターの説明:
IPアドレス: プライマリDNSサーバーのIPアドレス。 パブリックネットワーク経由でIPアドレスにアクセスできることを確認してください。
TSIGキータイプ: TSIGキーを生成するために使用される暗号アルゴリズム。 有効な値: md5、sha1、sha256。
TSIGキー名: TSIGキーの名前。
TSIGキー値: TSIGキーの値。
- 通知送信者IP: 右側の [追加] をクリックします。 表示されるダイアログボックスで、通知を送信するサーバーのIPアドレスまたはIPアドレス範囲を指定します。
IPアドレス: notify() メソッドに基づいてプライマリDNSサーバーのDNSレコードが変更されたときに通知を送信するために使用されるサーバーのIPアドレス。 指定されたIPアドレスがホワイトリストに追加され、通知が予期せずブロックされないようにします。
- セカンダリDNSサーバーがプライマリDNSサーバーに接続できなかった場合に通知を送信するかどうかを指定します。このオプションを選択すると、セカンダリDNSサーバーがプライマリDNSサーバーに接続できなかった場合、Alibaba Cloud DNSはシステム管理者にショートメッセージを送信します。
4 . 上記の設定が完了したら、[セカンダリDNS] ページで作成されたセカンダリDNS設定のステータスを表示します。
- ステータスが [Connected] と表示された場合、指定されたドメイン名に対してAlibaba CloudセカンダリDNSが正常に有効化されています。
- ステータスが [切断] と表示された場合は、[セカンダリDNSの変更] ページで設定、プライマリDNSサーバーのステータス、またはトラブルシューティングのためにパブリックネットワーク経由でプライマリDNSサーバーのIPアドレスにアクセスできるかどうかを確認できます。 問題を修正した後、[プライマリDNSに接続] をクリックして、セカンダリDNSサーバーをプライマリDNSサーバーに再度接続します。