全部產品
Search
文件中心

Alibaba Cloud DNS PrivateZone:雲下網路通過VPN網關訪問阿里雲DNS

更新時間:Jul 06, 2024

背景

DNS服務的作用是通過網域名稱找到對應IP。對於一家科技企業來說,搭建一套內網DNS是很有必要的。當企業將服務整體搬遷到阿里雲上後,就面臨著辦公網路環境和阿里雲互聯互連的問題。這裡面,DNS扮演著企業內部定址服務的關鍵角色,如何在辦公網環境下也能利用阿里雲DNS完成內部網域名稱解析,成了很多客戶上雲後的痛點。

本文介紹一種在VPN互聯互連情境下,利用阿里雲DNS解析內部網域名稱的實踐方案。

應用情境

適用情境

阿里雲VPC內提供的DNS server支援PrivateZone功能,通過VPN網關可以使用ipsec協議把線下的網路(如本機資料中心/分公司)和VPC進行互連。本教程介紹通過VPN網關訪問阿里雲上PrivateZone的方法。

資源準備

  • 阿里雲PrivateZone的DNS伺服器位址如下:

序號

PrivateZone伺服器IP地址

1

100.100.2.136/32

2

100.100.2.138/32

具體配置:

第一步 在VPN網關上配置訪問DNS伺服器的ipsec串連

  • 在現有的VPN網關上建立新的ipsec串連:建立IPsec

  • 點擊“編輯”,注意點開“進階配置”,配置資訊如下:

配置項

配置內容

名稱

自訂

VPN網關

系統自動產生

使用者網關

系統自動產生

本端網段

192.168.0.0/16(根據實際網段進行替換)

對端網段

10.0.0.0/24(根據實際網段進行替換)

立即生效

預先共用金鑰

自訂

版本

ikev1

協商模式

main

密碼編譯演算法

aes

認證演算法

sha1

DH分組

group2

SA生存周期(秒)

86400

LocalId

39.96.2.138(根據實際進行替換)

Remoteld

39.96.0.248(根據實際進行替換)

  • IPsec配置資訊

配置項

配置內容

密碼編譯演算法

aes

認證演算法

sha1

DH分組

group2

SA生存周期(秒)

86400

第二步 建立從線下網路到VPN網關的IPSec

  • 點擊建立IPSec串連,在相同的VPN網關上建立ipsec串連,除了本地網段換為100.100.2.136/32以外,其它參數保持完全一致。否則ipsec的第一階段協商可能會失敗.

配置項

配置內容

名稱

自訂

VPN網關

自訂

使用者網關

自訂

本端網段

100.100.2.128/25(DNS服務網段)

對端網段

192.168.0.0/16(根據實際網段進行替換)

立即生效

預先共用金鑰

自訂

版本

ikev1

協商模式

main

密碼編譯演算法

aes

認證演算法

sha1

DH分組

group2

SA生存周期(秒)

86400

LocalId

39.96.0.248(根據實際進行替換)

Remoteld

39.96.2.128(根據實際進行替換)

  • IPSec配置

配置項

配置內容

密碼編譯演算法

aes

認證演算法

sha1

DH分組

group2

SA生存周期(秒)

86400

第三步 線下網路設定(聯絡公司網工)

  • VPN網關配置對應的ipsec串連,參數跟上面一致,請參考具體裝置產商說明書配置;

  • 配置線下網路路由,把100.100.2.136/32的路由指向線下VPN網關上的ipsec隧道

第四步 觀察ipsec隧道

如果一切配置正確,應該能觀察到ipsec隧道協商成功。如果還有問題,請聯絡阿里雲網路支援人員,或者公司網工;狀態

第五步 網域名稱解析驗證

  • 先ping驗證到DNS連通性,時延取決於從idc到vpn網關的公網品質網路聯通驗證

  • 使用100.100.2.136解析Privatezone網域名稱網域名稱解析驗證

驗證成功後,即可完成線下網路和阿里雲VPC通過VPN網關共用DNS解析的方案