全部產品
Search

搜尋本產品

    Alibaba Cloud DNS:開啟輔助DNS

    文件中心

    Alibaba Cloud DNS:開啟輔助DNS

    更新時間:Jun 30, 2024

    功能簡介

    • 內網DNS解析可以利用輔助DNS,將自建IDC中的DNS資料同步至阿里雲上來。

    • 內網DNS解析開啟輔助DNS後,解析設定中不能手動修改解析記錄,所有解析記錄都需要從主DNS同步過來。

    • 自建IDC的主DNS需要提供可以同步資料的公網IP地址,並開放TCP/UDP 53連接埠。

    準備工作

    開啟輔助DNS,首先需要在主DNS上完成相關配置,然後在 雲解析控制台 開啟內網網域名稱輔助DNS同步。由於DNS系統的實現方式多樣,以下以自建DNS(BIND 9.9.4及以上版本)為例說明如何配置主DNS。

    1. 自建DNS軟體配置在Bind9的設定檔“named.conf”中完成一下配置:

    zone "網域名稱(如:example.com)" IN {
    type master;
    allow-update { 127.0.0.1; };
    allow-transfer {key test_key;};
    notify explicit;
    also-notify {39.107.XXX.XXX port 53 key test_key;39.107.XXX.XXX port 53 key test_key;};
    file "zone_file";
};

    配置含義說明

    • 網域名稱(Zone) :配置您指定的網域名稱(Zone)。

    • allow-transfer :目前支援通過TSIG進行主輔DNS間通訊,此處請指定為允許伺服器通過TSIG方式來更新的KEY名稱。

      說明:根據RFC標準協議,我們推薦使用事務簽名(簡稱TSIG)來保證DNS訊息的安全性。TSIG通常使用共用密鑰和單向雜湊函數來驗證DNS訊息,能較好地確保主輔DNS之間資訊同步的安全性。您可以通過產生一個MD5、SHA256或SHA1型的TSIG密鑰,產生後將TSIG同時配置到您的主DNS、輔DNS。

    • also-notify :當地區(ZONE)發生變更時,需要通知輔助DNS伺服器IP地址,支援多個。此處請指定為雲解析輔助DNS伺服器,具體IP地址請查看控制台輔助DNS配置頁面。

    輔助DNS伺服器:39.107.XXX.XXX、39.107.XXX.XXX

    注意: 設定檔named.conf中完成配置更改後,需要重啟應用

    重啟命令:rndc reconfig

    產生TSIG密鑰

    1. 可以通過 dnssec-keygen工具產生TSIG密鑰,命令如下:

    dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
    警告

    以上命令僅支援通過root使用者權限操作。使用root許可權具有一定的風險,如果操作不當可能導致系統穩定性問題或資料安全問題。請謹慎操作。

    命令執行結果:

    Generating key pair
test_key.+157+64252

    命令說明:

    • -a :指定密碼編譯演算法,我們支援的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。

    • -b: 指定密鑰中位元組的數量。密鑰檔案大小的選擇依賴於所使用的演算法,HMAC密鑰必須在1和512位之間。

    • -n: 指定密鑰檔案的所有者類型,可選值包括:ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。

    • test_key :指定密鑰檔案的名稱。該名稱用於使用BIND配置主DNSallow-transfer的填寫,和添加主DNS資訊TSIG名稱的填寫。

    命令執行後,在目前的目錄下會有.key.private的檔案(例如:Ktest_key.+157+64252.key Ktest_key.+157+64252.private)。.key 檔案中包含了 DNS KEY record,這個record用於配置輔助DNS時,在添加主DNS資訊時,用於TSIG值的填寫;.private 檔案中包含演算法指定的欄位。

    2. 將產生的密鑰添加到 named.conf檔案中。

    • 按如下格式粘貼到 named.conf中:

    key "test_key" {        algorithm hmac-sha256;       secret "金鑰產製原料";};

    • 通過include檔案方式:

    需要通過include的方式添加到named.conf檔案中,例如:

    include "/etc/named/dns-key";

    /etc/named/dns-key檔案格式如下

    key "test_key" {
        algorithm hmac-sha256;
        secret "金鑰產製原料";
};

    操作步驟

    1. 登入Alibaba Cloud DNS控制台

    2. 左側導覽列選擇 輔助DNS,然後單擊 添加輔助DNS 按鈕,選擇需要開啟輔助DNS的網域名稱(Zone)

    3. 在輔助DNS頁,完成三項配置:設定主DNS資訊設定發送NOTIFY通知的伺服器IP地址當輔助DNS無法串連您的主DNS時,我們將傳送簡訊通知您的管理員。

      配置輔助DNS頁面

    • 設定主DNS資訊: 單擊右側添加按鈕,添加主DNS記錄。

    參數說明:

    IP地址:填寫主DNS伺服器IP地址,確保該地址能夠被外網訪問到。
TSIG密鑰類型:選擇合適的密碼編譯演算法類型,可選值包括:SHA1、SHA256、MD5。
TSIG密鑰名稱:填寫產生的TSIG名稱。
TSIG密鑰值:填寫產生的TSIG值。

    添加主DNS資訊

    • 設定發送NOTIFY通知的伺服器IP地址: 單擊右側添加按鈕,輸入發送通知的伺服器IP地址或IP段。

    IP地址:當主DNS解析記錄發生變更,則需要向輔助DNS發送變更通知(基於標準NOTIFY協議),因此您需要在這裡配置發送變更通知的伺服器IP地址,以避免您的請求被拒絕。

    IP地址

    • 勾選是否使用故障通知:開啟後,當出現主輔DNS串連中斷時,雲解析將簡訊通知您。

    通知

    1. 完成上述輔助DNS的配置後,您可以在輔助DNS列表頁查看到輔助DNS的運行狀態。

    • 輔助DNS同步開關狀態為 已開啟:代表您的網域名稱已在Privatezone中開啟了輔助DNS功能。

    • 串連狀態顯示為 阻斷:則需要檢查在輔助DNS頁面的配置是否有誤,或者主DNS伺服器是否正常運轉,對外IP是否可以連通。排查並修複後,再單擊 串連主DNS 嘗試主動串連主DNS。