Dalam arsitektur jaringan yang kompleks, sistem bisnis sering menggunakan server Domain Name System (DNS) pribadi untuk menyelesaikan nama domain internal. Server DNS pribadi dapat berupa server DNS Pribadi Alibaba Cloud atau server DNS yang dikelola sendiri. Nama domain tersebut biasanya mengarah ke alamat IP internal atau node tertentu. Secara default, Cloud Firewall menggunakan server DNS Alibaba Cloud dengan alamat IP 100.100.2.136 dan 100.100.2.138 untuk resolusi nama domain dinamis. Anda dapat mengonfigurasi node sinkronisasi agar Cloud Firewall dapat memperoleh hasil resolusi dari server DNS Pribadi Alibaba Cloud atau server DNS yang dikelola sendiri. Topik ini menjelaskan cara menyinkronkan hasil resolusi server DNS pribadi di Cloud Firewall.
Batasan
Sinkronisasi hasil resolusi DNS pribadi hanya berlaku dalam skenario di mana mode identifikasi nama domain pada kebijakan kontrol akses diatur ke Resolusi Dinamis Berbasis DNS atau Resolusi Dinamis Berbasis FQDN dan DNS.
Gambaran Umum
Sebelum | Sesudah |
Sistem bisnis menggunakan server DNS pribadi untuk menyelesaikan nama domain arah keluar, tetapi Cloud Firewall menggunakan server DNS Alibaba Cloud dengan alamat IP 100.100.2.136 dan 100.100.2.138 untuk menyelesaikan nama domain. Hal ini dapat menyebabkan kebijakan kontrol akses menjadi tidak valid karena ketidaksesuaian hasil resolusi dari server DNS yang berbeda. | Untuk menyelesaikan masalah ini, Cloud Firewall menyediakan node sinkronisasi untuk secara otomatis mendapatkan hasil resolusi dari server DNS Pribadi Alibaba Cloud atau server DNS yang dikelola sendiri. Ini mencegah kebijakan kontrol akses menjadi tidak valid karena ketidaksesuaian hasil resolusi dari server DNS yang berbeda. |
Prosedur
Sebelum memulai, periksa jenis server DNS Anda dan pastikan persiapan berikut telah selesai:
Jika server DNS Anda adalah server DNS Pribadi Alibaba Cloud, pastikan catatan resolusi telah dikonfigurasi.
Jika server DNS Anda adalah server DNS yang dikelola sendiri, pastikan pemetaan antara nama domain dan alamat IP telah dikonfigurasi untuk server DNS tersebut.
Lakukan langkah-langkah berikut untuk mengonfigurasi pengaturan resolusi DNS pribadi:
Langkah 1: Buat node sinkronisasi untuk resolusi DNS pribadi
Node sinkronisasi mencakup sumber daya seperti Titik akhir, vSwitch, dan antarmuka jaringan elastis titik akhir (ENI).
Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih .
Pada tab Private DNS, klik Create.
Di panel Buat, konfigurasikan parameter berikut.
Parameter
Deskripsi
Synchronization Node Name
Masukkan nama untuk node sinkronisasi.
Private DNS Type
Jika Anda memilih PrivateZone, alamat IP default dari server DNS adalah 100.100.2.136 dan 100.100.2.138.
Jika Anda memilih Server DNS yang Dikelola Sendiri, Anda harus menentukan alamat IP dari server DNS utama. Anda juga dapat menentukan alamat IP dari server DNS sekunder sesuai dengan kebutuhan bisnis Anda.
Sistem akan menggunakan server DNS utama sebagai prioritas untuk resolusi nama domain. Jika nama domain gagal diselesaikan oleh server DNS utama, sistem akan menggunakan server DNS sekunder untuk menyelesaikan nama domain.
Jika server DNS menggunakan alamat IP publik, pastikan VPC bisnis Anda memiliki gateway NAT untuk memungkinkan node sinkronisasi yang dibuat mengakses server DNS.
Jika server DNS menggunakan alamat IP privat, pastikan VPC bisnis Anda dan server DNS dapat berkomunikasi satu sama lain untuk memungkinkan node sinkronisasi yang dibuat mengakses server DNS.
Region
Pilih wilayah VPC tempat node sinkronisasi berada. Hasil resolusi nama domain diterapkan di wilayah yang dipilih. Jika beban kerja Anda berjalan di dua wilayah, Anda harus membuat node sinkronisasi di setiap wilayah, dan mengonfigurasi nama domain untuk setiap node sinkronisasi. Dengan cara ini, hasil resolusi server DNS pribadi Anda diterapkan ke kebijakan kontrol akses di kedua wilayah.
VPC
Pilih VPC untuk node sinkronisasi. VPC digunakan untuk mengakses server DNS pribadi. Kami menyarankan Anda untuk tidak memilih VPC yang digunakan oleh firewall VPC atau firewall NAT.
Zone and vSwitch
Pilih vSwitch untuk node sinkronisasi. Anda juga dapat menentukan alamat IP untuk ENI node sinkronisasi. Anda harus memilih alamat IP yang berada dalam blok CIDR vSwitch yang dipilih dan tidak sedang digunakan. Jika Anda tidak menentukan alamat IP, Cloud Firewall akan secara otomatis mengalokasikan alamat IP.
Anda dapat mengonfigurasi jenis pengaturan zona dan vSwitch berikut:
Skenario dua zona (direkomendasikan): Anda dapat membuat dua node sinkronisasi di vSwitch di dua zona berbeda. Kami menyarankan Anda mengonfigurasi jenis pengaturan ini untuk skenario pemulihan bencana.
Skenario satu zona: Anda hanya dapat membuat satu node sinkronisasi di vSwitch di satu zona. Pemulihan bencana tidak didukung dalam skenario satu zona.
DNS Resolution Protocol
Jika server DNS pribadi Anda adalah server DNS Pribadi Alibaba Cloud, parameter ini diatur ke UDP.
Jika server DNS pribadi Anda adalah server DNS yang dikelola sendiri, Anda harus memilih protokol. UDP dan TCP didukung.
DNS Resolution Port
Jika server DNS pribadi Anda adalah server DNS Pribadi Alibaba Cloud, parameter ini diatur ke 53.
Jika server DNS pribadi Anda adalah server DNS yang dikelola sendiri, Anda harus menentukan port server. Nilai defaultnya adalah 53.
Firewall Border
Pilih batas firewall tempat Anda ingin hasil resolusi berlaku. Satu node sinkronisasi dapat berlaku di beberapa batas firewall. Namun, satu batas firewall hanya mendukung satu node sinkronisasi. Anda harus memilih setidaknya satu batas firewall. Nilai valid:
Batas Internet
Batas NAT
Batas VPC
DNS Resolution Synchronization Cycle
Parameter ini diatur ke Setiap 5 Menit.
Klik Next.
Langkah 2: Tambahkan nama domain untuk resolusi DNS pribadi
Pada halaman Synchronization Nodes, temukan node sinkronisasi yang telah dibuat dan klik Configure Domain Names di kolom Actions.
Di panel Konfigurasikan Nama Domain, klik Add untuk menambahkan nama domain.
Anda dapat menambahkan hingga 10.000 nama domain secara total dan hingga 1.000 nama domain dalam satu batch. Nama domain wildcard tidak didukung.
Klik View Resolution Details untuk memeriksa apakah alamat IP yang diperoleh setelah resolusi nama domain sama dengan alamat IP aktual yang dipetakan ke nama domain.
Klik OK.
Langkah 3: Konfigurasikan kebijakan kontrol akses berbasis nama domain
Konfigurasikan kebijakan kontrol akses untuk mengelola lalu lintas dari aset yang menghadap Internet ke Internet. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internet.
Konfigurasikan kebijakan kontrol akses untuk mengelola lalu lintas dari sumber daya seperti Instance ECS atau instance kontainer elastis di VPC ke Internet melalui gateway NAT. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall NAT.
Konfigurasikan kebijakan kontrol akses untuk mengelola lalu lintas antar instance jaringan yang terhubung menggunakan router transit dari instance Cloud Enterprise Network (CEN) atau sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall VPC.
Operasi Lainnya
Ubah Node Sinkronisasi: Jika Anda ingin mengubah nama node sinkronisasi atau alamat IP server DNS yang dikelola sendiri terkait, temukan node sinkronisasi dan klik Edit Instance di halaman Synchronization Nodes.
Hapus Node Sinkronisasi: Jika Anda tidak lagi memerlukan node sinkronisasi untuk terhubung ke server DNS pribadi Anda, temukan node sinkronisasi dan klik Delete di halaman Synchronization Nodes. Sebelum menghapus node sinkronisasi, Anda harus menghapus nama domain yang telah dikonfigurasi.
PentingSetelah menghapus node sinkronisasi, sistem secara otomatis menggunakan hasil resolusi dari server DNS default, dan hasil resolusi tersebut diterapkan ke kebijakan kontrol akses yang telah dikonfigurasi. Hal ini dapat menimbulkan risiko bisnis. Lanjutkan dengan hati-hati.