全部产品
Search
文档中心

边缘安全加速:DNS记录

更新时间:Dec 04, 2024

站点接入ESA后,您需要为使用ESA加速的域名配置DNS记录,正确配置后,这些加速域名才可被正常解析和访问。

注意事项

新增或者修改DNS记录时,需要同时检查主机名和源站的值:

  • 主机名的值不能是已经添加的某个DNS记录的主机名或者源站,也不能是某个源地址池中的源站。

  • 源站的值不能是已经添加的某个DNS记录的主机名。

手动添加DNS记录

  1. 登录ESA控制台

  2. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  3. 在左侧导航栏,选择DNS > 记录

  4. 单击添加记录

  5. 添加记录页面,根据不同的记录类型添加解析记录。

    A/AAAA记录

    添加A/AAAA记录可实现将域名指向IPv4或IPv6地址。

    image

    代理状态为代理加速的情况下,默认使用客户端请求中携带的HOST作为回源HOST,如需修改为其它HOST的值,请前往回源规则

    image

    参数

    说明

    记录类型

    选择A/AAAA

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    代理状态

    开启代理加速后,访问该记录的请求将获得ESA的加速和保护。关闭代理加速后,ESA仅为该记录做DNS解析,无加速和保护效果。

    记录值/源站

    记录值为IP地址,例如:123.123.XXX.XXX,2001:0db8:86a3:08d3:1319:8a2e:0370:7344,多个IP间用英文半角逗号(,)隔开,支持填写IPv4或IPv6地址。

    回源HOST

    回源规则中的回源host参数的生效优先级高于在DNS记录中设置的回源host参数,同时设置的情况下,回源规则中的回源host参数配置的值将会最终生效。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    说明

    开启代理加速的DNS记录无法调整TTL。

    备注

    非必填。自定义备注信息。

    CNAME记录

    当需要将域名指向另一个域名,再由另一个域名提供IP地址,就需要添加CNAME记录。

    image

    代理状态为代理加速的情况下,默认使用客户端请求中携带的HOST作为回源HOST,如需修改为其它HOST的值,请前往回源规则

    image

    参数

    说明

    记录类型

    选择CNAME

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    代理状态

    开启代理加速后,访问该记录的请求将获得ESA的加速和保护。关闭代理加速后,ESA仅为该记录做DNS解析,无加速和保护效果。

    记录值/源站

    记录值支持选择域名OSSS3 兼容负载均衡源地址池

    • 域名:支持配置域名作为源站地址。

      说明

      源站域名不能与加速域名相同,否则会造成循环解析,无法回源。

    • OSS:资源已存储在阿里云OSS中,可在下拉列表中选择或自定义输入阿里云OSS Bucket的外网域名作为源站(不支持OSS内网域名作为源站),例如:***.oss-cn-hangzhou.aliyuncs.com

      说明
      • 获取OSS外网访问域名(Endpoint)请参见访问域名

      • OSS作为源站时,回源类型支持公共访问私有访问-同账号私有访问-跨账号三种方式。如果回源类型您选择私有访问-同账号私有访问-跨账号,还需要配置鉴权相关信息,具体请参见配置阿里云OSS源站

      • 阿里云ESA回源阿里云OSS的流量优惠说明:

        • 用户需要在控制台上把源站类型设置为OSS,这样阿里云OSS产品会将来自阿里云ESA产品的回源流量识别为“CDN回源流出流量”,从而享受到更优惠的价格,具体可以查看OSS官网定价页面

        • 如果用户在控制台上把源站类型误设为域名,阿里云OSS产品会将来自阿里云ESA产品的回源流量识别为“外网流出流量”,这种情况下就享受不到优惠价格。

    • S3 兼容:支持配置AWS S3 Bucket外网访问地址作为源站地址。回源类型支持公共访问私有访问两种方式。如果回源类型您选择私有访问,还需要配置鉴权相关信息,具体请参见配置S3兼容源站

    • 负载均衡:可在下拉列表中选择已创建的负载均衡器作为源站,如果您还未创建负载均衡器,请参考负载均衡器管理章节进行创建。

    • 源地址池:可在下拉列表中选择已创建的源地址池作为源站,如果您还未创建源地址池,请参考创建源地址池章节进行创建。

    回源HOST

    • 记录值/源站是域名、负载均衡、源地址池时:

      • 回源HOST的默认配置是跟随请求HOST,表示使用客户端请求中携带的HOST作为回源HOST。

    • 记录值/源站是OSS、S3兼容时:

      • 回源HOST的默认配置是跟随源站域名,表示使用源站的域名作为回源host。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    说明

    开启代理加速的DNS记录无法调整TTL。

    备注

    非必填。自定义备注信息。

    MX记录

    当您需要将域名指向邮件服务器地址,您可以选择添加电子邮件交换MX记录。

    image

    参数

    说明

    记录类型

    选择MX

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    优先级

    按邮件注册商的要求填写优先级,数值越低,优先级越高。

    邮件服务

    填写您的邮件服务器域名,例如:mx.example.com

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    TXT记录

    当您需要将域名指向任意可读的文本DNS记录,如验证类信息或对外的公开信息,您可以选择添加文本TXT记录。

    image

    参数

    说明

    记录类型

    选择TXT

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    记录值/源站

    填写您需要指向的文本数据。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    NS记录

    当您需要将域名委托给其他DNS服务商解析,您可以选择添加名称服务器NS记录。

    image

    参数

    说明

    记录类型

    选择NS

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    记录值/源站

    填写您需要指向的权威服务器的域名,如ns1.example.com

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    SRV记录

    当您需要将域名指向提供了特定服务的服务器,如微软系统的目录管理,您可以选择添加服务器资源SRV记录。

    image

    参数

    说明

    记录类型

    选择SRV

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    优先级

    表示记录的优先级,数值越低,优先级越高。

    权重

    表示服务器接受的流量比例值,数值越大,权重比例越高。

    端口

    填写需要监听的网络端口号。

    目标

    填写服务器对应的域名,如srvhosname.example.com

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    CAA记录

    CAA(Certification Authority Authorization,证书颁发机构授权)记录是一种DNS记录类型,它允许域名所有者指定哪些证书颁发机构(CAs)被授权为其域名签发SSL/TLS证书。通过配置CAA记录,可以提升安全性,防止未经授权的CA为您的域颁发证书。

    image

    参数

    说明

    记录类型

    选择CAA

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    标志

    一个8位无符号整数标志字段,通常用来控制CAA记录的遗传和进一步的处理。常用值为0

    标记

    标签字段,表示不同的CA策略。常见的标签包括:

    • issue:授权指定的CA颁发证书。

    • issuewild:授权指定的CA颁发通配符证书。

    • iodef:指定违规报告的电子邮件地址或URI,通常用于收集颁发违规情况的信息。

    CA域名

    标记字段的值,一般是CA厂商的域名或者报告URI。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    CERT记录

    当您需要将域名指向公钥证书地址,用于让客户端或者其他服务查询来进行验证时,您可以选择添加CERT记录。

    image

    参数

    说明

    记录类型

    选择CERT

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    证书类型

    用于指明证书的种类,根据数字的不同,含义也有所不同。以下是常见的证书类型及其对应的数字和说明:

    • 0:保留字段(尚未使用)

    • 1:PKIX(X.509证书)

    • 2:SPKI(Simple Public Key Infrastructure)公钥

    • 3:PGP(OpenPGP证书)

    • 4:IPKIX(IPsec End Entity)

    • 5:ISPKI(IPsec信赖第三方)

    • 6:IPGP(IPsec OpenPGP Key)

    • 7:ACPKIX(Attribute Certificate PKIX)

    • 8:IACPKIX(Attribute Certificate PKIX IPSEC)

    • 252:URI(Uniform Resource Identifier)

    • 253:OID(Object Identifier)

    以上只是部分常见类型,如需了解全部范围内的定义或最新更新,请参考相关的RFC文档或其他权威资料。

    密钥标记

    与证书相关的标签。

    算法

    用于指示公钥加密技术所使用的算法,这些算法通常用数字来表示。以下是常见的数字与加密算法的对应关系:

    • 0: 未分配或保留

    • 1: RSA公钥加密与签名算法(RSA)

    • 2: MD2摘要加密算法与RSA加密

    • 3: MD4摘要加密算法与RSA加密

    • 4: MD5摘要加密算法与RSA加密

    • 5: SHA-1摘要算法与RSA加密

    • 6: DSA数字签名算法

    • 7: ECDSA椭圆曲线数字签名算法

    • 8: SHA256摘要算法与RSA加密

    • 9: SHA384摘要算法与RSA加密

    • 10: SHA512摘要算法与RSA加密

    • 11: SHA224摘要算法与RSA加密

    • 12: 不常用或备用

    上述映射只是一个常见的参考,具体使用过程中,可能因标准和实现的差异有所不同。在实践中,请务必参考具体协议的规范文档来确保准确性。

    证书(base64)

    Base64 编码的证书。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    SMIMEA记录

    SMIMEA记录是一种用来发布S/MIME(Secure/Multipurpose Internet Mail Extensions)证书关联的DNS记录。S/MIME是一种广泛用于电子邮件加密和数字签名的标准,它依赖于公钥基础设施(PKI)来提供邮件内容的机密性和身份验证。

    image

    参数

    说明

    记录类型

    选择SMIMEA

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    使用类型

    用于指定证书的用途。根据数字的不同,含义也有所不同,以下是常见的使用类型值及其对应的说明:

    • 0:保留(Reserved),这一值目前保留,不能使用。

    • 1:S/MIME端到端加密(S/MIME End-to-End Encryption),表示用于S/MIME的端到端加密。这个证书将用于加密发送给接收者的邮件,以确保只有接收者能够解密并读取邮件内容。

    • 2:S/MIME中间人(S/MIME Intermediary),表示用于S/MIME中间人的证书。这通常用于企业的邮件服务器,它们可以对邮件进行检查、过滤或存档,然后再将其转发给最终接收者。

    • 3:S/MIME验证(S/MIME Validation),表示用于S/MIME签名验证。这个证书将用于验证发送者对邮件的数字签名,以确保邮件的真实性和完整性。

    选择器

    用来指定证书中的哪部分数据被包含在记录中。根据数字的不同,含义也有所不同,以下是常见的选择器值及其对应的说明:

    • 0:整个证书(完整的证书)。表示包含完整的X.509证书。

    • 1:仅公钥(SubjectPublicKeyInfo)。表示只包含证书中的公钥信息。

    匹配类型

    主要用于指定证书关联的匹配类型。支持的匹配类型通常有以下几种数字表示:

    • 0:完整证书。这意味着记录中存储的是整个证书。

    • 1:SHA-256Hash。表示记录中存储的是证书的SHA-256哈希值。

    • 2:SHA-512Hash。表示记录中存储的是证书的SHA-512哈希值。

    证书(16进制)

    Base64编码的证书关联数据。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    SSHFP记录

    SSHFP记录用于在DNS系统中存储SSH服务器的公钥指纹信息。SSHFP记录允许客户端自动地验证远程SSH服务器的身份,以减少中间人攻击的风险。

    image

    参数

    说明

    记录类型

    选择SSHFP

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    算法

    SSH密钥的算法类型,以下是一些常见算法的说明:

    • 0:未指定

    • 1:RSA(用于RSA加密算法的公钥)

    • 2:DSA(用于数字签名算法的公钥)

    • 3:ECDSA(用于椭圆曲线数字签名算法的公钥)

    • 4:ED25519(用于EdDSA算法的公钥)

    类型

    用于在DNS中存储SSH公钥的指纹信息,以便在客户端通过公钥认证时验证服务器的身份。SSHFP记录中包含算法类型(Algorithm)和指纹类型(Fingerprint Type)。以下是一些常见类型的说明:

    • 算法类型(Algorithm)

      • 0:预留。不适用于任何有效使用,该值保留供将来使用。

      • 1:RSA。表示使用RSA算法的公钥。

      • 2:DSA。表示使用DSA算法的公钥。

      • 3:ECDSA。表示使用ECDSA算法的公钥。

      • 4:Ed25519。表示使用Ed25519算法的公钥。

    • 指纹类型(Fingerprint Type)

      • 0:预留。不适用于任何有效使用,该值保留供将来使用。

      • 1:SHA-1。表示使用SHA-1算法生成的指纹。

      • 2:SHA-256。表示使用SHA-256算法生成的指纹。

    指纹(16进制)

    Base64编码的指纹数据。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    TLSA记录

    TLSA记录用于为在特定端口和传输协议上提供服务的服务器关联TLS(传输层安全性)证书。

    image

    参数

    说明

    记录类型

    选择TLSA

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    使用类型

    用于指定TLSA记录的使用方法,以下是一些常见使用类型的说明:

    • 0:PKIX-TA(CA 证书发布者信任锚点),指定TLS证书是基于CA(Certificate Authority)证书链验证的,并且CA证书是信任锚点。

    • 1:PKIX-EE(CA 证书发布者实体证书),指定TLS证书是基于CA证书链验证的,并且验证的是服务器的最终实体证书。

    • 2 :DANE-TA(DANE 信任锚点),指定TLS证书是基于DNSSEC(基于域名系统的认证)信任的,并且TLSA记录中的公钥是信任锚点。

    • 3:DANE-EE(DANE 实体证书),指定TLS证书是基于DNSSEC信任的,并且验证的是服务器的最终实体证书。

    选择器

    用来指定证书中的哪部分数据被包含在记录中。根据数字的不同,含义也有所不同,以下是常见的选择器值及其对应的说明:

    • 0:整个证书(完整的证书)。表示包含完整的X.509证书。

    • 1:仅公钥(SubjectPublicKeyInfo)。表示只包含证书中的公钥信息。

    匹配类型

    主要用于指定证书关联的匹配类型。支持的匹配类型通常有以下几种数字表示:

    • 0:完整证书。这意味着记录中存储的是整个证书。

    • 1:SHA-256Hash。表示记录中存储的是证书的SHA-256哈希值。

    • 2:SHA-512Hash。表示记录中存储的是证书的SHA-512哈希值。

    证书(16进制)

    Base64编码的证书关联数据。

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

    URI记录

    URI记录用于提供将域名映射到统一资源标识符(URI)的方法。这种记录类型定义在RFC 7553中,允许DNS参与URI的解析过程,它可以链接任何形式的服务、信息或资源的位置。

    image

    参数

    说明

    记录类型

    选择URI

    主机记录

    一般是指子域名的前缀(如需创建子域名为www.example.com主机记录输入www;如需设置主域名本身example.com主机记录输入@;如需匹配其他所有子域名*.example.com主机记录输入*)。

    优先级

    优先级,数值越小优先级越高。

    权重

    权重,同优先级下用以负载均衡。

    目标

    目标URI(资源路径),例如https://example.com/service

    TTL

    TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动

    备注

    非必填。自定义备注信息。

  6. 单击下一步

  7. 如果您选择的记录类型A/AAAACNAME,且开启了代理加速开关,您还需要选择适用的加速场景,选择后单击完成

    批注 2024-09-27 143146.png

    应用场景

    说明

    网站页面

    适用于加速小文件和API请求动静混合的网站业务。例如:您的个人博客网站、小型UGC社区、小型电商独立站等场景。

    API接口

    适用于加速纯动态的API接口类业务,该类业务一般无需缓存。例如:账号密码校验接口、下单支付接口、日志上传接口、数据实时同步等场景。

    图片视频

    适用于加速纯静态文件的业务。例如:大量的图片下载、在线视频点播、游戏安装包等场景。

批量导入DNS记录

  1. 登录ESA控制台

  2. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  3. 在左侧导航栏,选择DNS > 记录

  4. 单击导入

  5. 导入界面,单击下载文件模板,获取DNS文件导入模板并根据您业务的实际情况修改DNS文件导入模板。文件模板示例:

    ;主机记录 TTL IN 记录类型 记录值
    
    $ORIGIN example.com.
    
    ; A 记录
    1.example.com.   600 IN  A   8.8.8.8
    
    ; AAAA 记录
    2.example.com.   600 IN  AAAA		2400:cb00:2049:1::a29f:f9
    
    ; CNAME 记录
    2.example.com.   600 IN  CNAME     example.com.
    
    ; MX 记录
    4.example.com.    600 IN  MX	15 mailhost.example.com.
    
    ; TXT 记录
    4.example.com.   600 IN  TXT	xxxxxxxxxxxxxxxxxxx
    
    ; NS 记录
    4.example.com.    600 IN  NS	ns.example.com.
    
    ; SRV 记录
    _sip._tcp.example.com.   600 IN  SRV	1 5 7001 srvhostname.example.com.
    
    ; CAA 记录
    hostname.example.com.    600 IN  CAA	0 issue example.com
    
    ; CERT 记录
    cert.example.com.	1	IN	CERT	0 0 0 VEVwQk5GWXlUR3RXVVZwc1RIcGFhMGh0UVhWUGQweFJFZENNM0JSVFROV2JVd3lWbFJOTkVSS1dnPT0=
    
    ; SMIMEA 记录
    smimea.example.com.	1	IN	SMIMEA	12 12 12 436c6f7564666c61726520444e53
    
    ; SSHFP 记录
    sshfp.example.com.	1	IN	SSHFP	12 12 436C6F7564666C61726520444E53
    
    ; TLSA 记录
    tlsa.example.com.	1	IN	TLSA	12 12 12 436c6f7564666c61726520444e53
    
    ; URI 记录
    uri.example.com.	1	IN	URI	12 12 "http://www.example.com/service"
  6. 完成修改后,单击选择文件上传并导入DNS记录。

    说明

    导入后,主机记录相同的A和AAAA记录将被合并为1条A/AAAA记录。

  7. DNS记录导入后,为需要ESA代理加速的域名开启代理加速开关并选择业务场景

    image

      说明
      • 建议为您的A/AAAA、CNAME记录开启代理加速,以获得ESA带来的加速和安全防护。

      • 请选择合适的业务场景,正确的业务场景可以进一步提升加速性能。

  8. 确认无误后,单击确定导入

后续步骤

根据接入方式不同,在添加DNS记录后,您还需要进行如下操作:

  • 通过CNAME模式接入:完成DNS记录添加后,您还需要在DNS服务商处将加速域名的DNS解析记录指向分配的CNAME域名,使访问请求转发到ESA节点上,实现全站加速、边缘计算和安全防护。具体操作请参见配置CNAME使代理加速生效

记录类型说明

ESA DNS支持A/AAAA、CNAME、MX、TXT、SRV、AAAA、NS、CAA等记录类型。具体如下:

记录类型

功能描述

A/AAAA

IPv4/IPv6记录,支持将域名映射到IPv4/IPv6地址使用。

CNAME

别名记录,支持将域名指向另外一个域名。

MX

电子邮件交互记录,支持将域名指向邮件服务器地址。

TXT

文本记录,是任意可读的文本DNS记录。

SRV

服务器资源记录,用来标识某台服务器使用了某个服务,常见于微软系统的目录管理。

NS

名称服务器记录,支持将子域名委托给其他DNS服务商解析。

CAA

CAA资源记录,可以限定域名颁发证书和CA(证书颁发机构)之间的联系。

CERT

CERT记录的目的是将与DNS名相关的证书和相关安全信息公布在一个公共的可访问位置,从而可以被客户端或者其他服务查询来进行验证。

SMIMEA

SMIMEA记录是一种用来发布S/MIME(Secure/Multipurpose Internet Mail Extensions)证书关联的DNS记录。S/MIME是一种广泛用于电子邮件加密和数字签名的标准,它依赖于公钥基础设施(PKI)来提供邮件内容的机密性和身份验证。

SSHFP

SSHFP记录用于在DNS系统中存储SSH服务器的公钥指纹信息。SSHFP记录允许客户端自动地验证远程SSH服务器的身份,以减少中间人攻击的风险。

TLSA

TLSA记录用于为在特定端口和传输协议上提供服务的服务器关联TLS(传输层安全性)证书。

URI

用于提供将域名映射到统一资源标识符(URI)的方法。这种记录类型定义在RFC 7553中,允许DNS参与URI的解析过程,它可以链接任何形式的服务、信息或资源的位置。