Cloud Firewall:Private DNS

Batasan

Sinkronisasi private DNS hanya berlaku untuk kebijakan kontrol akses yang mode identifikasi nama domain-nya diatur ke DNS-based Dynamic Resolution atau FQDN and DNS-based Dynamic Resolution.

Cara kerja

Prosedur

Sebelum memulai, identifikasi jenis server DNS Anda.

• Jika Anda menggunakan PrivateZone, pastikan catatan resolusi yang diperlukan telah dikonfigurasi.

• Jika Anda menggunakan server DNS yang dikelola sendiri, pastikan pemetaan domain ke IP telah dikonfigurasi di server tersebut.

Lengkapi langkah-langkah berikut untuk mengonfigurasi sinkronisasi private DNS:

1. Buat node sinkronisasi private DNS

Node sinkronisasi terdiri atas titik akhir, vSwitch, dan antarmuka jaringan elastis (ENI) untuk titik akhir tersebut.

1. Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Address Book > Sync Nodes.

2. Pada halaman Sync Nodes > Private DNSCreate.

3. Pada panel yang muncul, konfigurasikan parameter berikut.

   Parameter	Deskripsi
   Synchronization node name	Masukkan nama kustom untuk node sinkronisasi.
   Private DNS type	Untuk PrivateZone: Server DNS default adalah 100.100.2.136 dan 100.100.2.138.
   	Untuk server DNS yang dikelola sendiri: Anda harus menentukan alamat server DNS utama. Alamat server DNS cadangan bersifat opsional. Sistem memprioritaskan server DNS utama untuk resolusi. Jika server utama gagal meng-resolve nama domain, server cadangan akan digunakan. Jika server DNS menggunakan alamat IP publik, pastikan VPC bisnis memiliki gerbang NAT agar node sinkronisasi dapat mengakses server DNS. Jika server DNS menggunakan alamat IP pribadi, pastikan konektivitas jaringan antara VPC bisnis dan server DNS.
   Region	Pilih wilayah untuk node sinkronisasi. Hasil resolusi diterapkan di wilayah ini. Jika bisnis Anda mencakup beberapa wilayah, buat node sinkronisasi di setiap wilayah agar resolusi private DNS diterapkan ke semua kebijakan kontrol akses yang relevan.
   VPC	Pilih VPC untuk node sinkronisasi. VPC ini digunakan untuk mengakses server DNS dan dapat berupa salah satu VPC bisnis Anda. Kami menyarankan memilih VPC yang tidak memiliki firewall VPC Border atau NAT Border.
   Zone and vSwitch	Pilih vSwitch untuk node sinkronisasi. Anda juga dapat menentukan alamat IP secara manual untuk ENI node sinkronisasi. Alamat IP tersebut tidak boleh bentrok dengan alamat IP yang sudah ada di vSwitch. Jika Anda tidak menentukan alamat IP, Cloud Firewall akan menetapkannya secara otomatis. Tersedia dua opsi penerapan ketersediaan tinggi: Skema dual-zona (direkomendasikan): Buat dua node sinkronisasi di vSwitch berbeda yang berada di dua zona ketersediaan berbeda. Pendekatan ini direkomendasikan untuk disaster recovery. Skema single-zona: Buat satu node sinkronisasi di vSwitch dalam satu zona ketersediaan. Opsi ini tidak menyediakan disaster recovery.
   DNS resolution protocol	Jika jenis server DNS Anda adalah PrivateZone, protokolnya adalah UDP. Jika jenis server DNS Anda adalah server DNS yang dikelola sendiri, pilih protokol yang digunakan oleh server DNS Anda. UDP dan TCP didukung.
   DNS resolution port	Jika jenis server DNS Anda adalah PrivateZone, port-nya adalah 53. Jika jenis server DNS Anda adalah server DNS yang dikelola sendiri, tentukan port yang digunakan oleh server DNS Anda. Port default adalah 53.
   Firewall border	Pilih batas firewall tempat hasil resolusi DNS akan diterapkan. Satu node sinkronisasi dapat diterapkan ke beberapa batas Cloud Firewall, tetapi setiap batas di suatu wilayah hanya dapat dikaitkan dengan satu node sinkronisasi. Anda harus memilih minimal satu batas. Batas yang tersedia adalah: Internet Border NAT Border VPC Border
   DNS resolution synchronization cycle	Hasil resolusi DNS disinkronkan setiap 5 menit.

4. Klik OK.

2. Tambahkan domain untuk resolusi privat

1. Pada tab Synchronization Nodes di halaman Synchronization Nodes, temukan node sinkronisasi yang telah Anda buat dan klik Configure Domain Names di kolom Actions.

2. Klik Add untuk menambahkan nama domain.

   Anda dapat menambahkan hingga 10.000 nama domain secara total, dengan maksimal 1.000 per operasi. Nama domain wildcard tidak didukung.

3. Klik View Resolution Details untuk memverifikasi bahwa alamat IP yang di-resolve sesuai dengan alamat IP aktual domain Anda.

   

4. Setelah menambahkan semua nama domain yang diperlukan, klik OK.

3. Konfigurasikan kebijakan kontrol akses berbasis domain

• Untuk mengonfigurasi kebijakan kontrol akses untuk traffic antara aset publik Anda dan internet, lihat Konfigurasikan kebijakan kontrol akses untuk Internet Border.

• Untuk mengonfigurasi kebijakan kontrol akses untuk traffic dari sumber daya dalam VPC, seperti Instance ECS atau kontainer, ke internet melalui gerbang NAT, lihat Konfigurasikan kebijakan kontrol akses untuk NAT Border.

• Untuk mengonfigurasi kebijakan kontrol akses untuk traffic antara instans jaringan yang terhubung melalui Cloud Enterprise Network (CEN) atau Express Connect, lihat Konfigurasikan kebijakan kontrol akses untuk VPC Border.

Operasi lainnya

• Edit Instance: Untuk mengubah nama node sinkronisasi atau mengganti alamat IP server DNS yang dikelola sendiri, temukan node tersebut di tab Private DNS dan klik Edit Instance.

• Delete: Jika node sinkronisasi tidak lagi diperlukan, Anda dapat menghapusnya. Sebelum menghapus node tersebut, Anda harus menghapus semua nama domain yang dikonfigurasi untuknya. Di tab Private DNS, klik Delete.

  Penting

  Setelah Anda menghapus node sinkronisasi, kebijakan kontrol akses terkait akan kembali menggunakan server DNS default untuk resolusi. Hal ini dapat menyebabkan gangguan bisnis. Lakukan dengan hati-hati.