再帰的解決サービス (パブリックDNS) は、[暗号化アクセス (HTTP、HTTPS、DoH、および DoT 経由のアクセス)] と 非暗号化アクセス (TCP および UDP 経由のアクセス) をサポートしています。 [Alibaba Cloud DNS コンソール] にログインし、左側のナビゲーションウィンドウで [再帰的解決 (パブリックDNS)] をクリックすると、[アクセス構成] タブにアクセスできます。
暗号化アクセス (HTTP、HTTPS、DoH、および DoT 経由のアクセス)
パブリックDNS は、3種類の暗号化アクセスを提供します。[SDK ベースのアクセス]、[JSON API を呼び出すことによるアクセス]、および [DoT/DoH ベースのアクセス] です。 SDK ベースのアクセス方法または JSON API を呼び出すアクセス方法を使用する場合は、認証用のキーペアを作成する必要があります。 詳細については、「サービス認証」をご参照ください。
方法 1:SDK ベースのアクセス
シナリオ: この方法は、モバイルアプリや IoT デバイスのドメイン名が解決中にハイジャックされるのを防ぎたい場合に適しています。 Alibaba Cloud パブリックDNS SDK を統合すると、HTTPDNS を統合した場合と同じ機能が提供されます。
アプリのオペレーティングシステムに基づいて、Android 用パブリックDNS SDK または iOS 用パブリックDNS SDK をダウンロードします。
SDK をアプリに統合します。 詳細については、以下のトピックをご参照ください。
[Alibaba Cloud DNS コンソール] の [再帰的解決 (パブリックDNS)] ページに移動します。 [トラフィック分析] タブで、解決に関する統計が表示されているかどうかを確認します。 解決に関する統計が表示されている場合、Alibaba Cloud パブリックDNS は DNS サービスとして正常に構成されています。
2. JSON API を呼び出すことによるアクセス
シナリオ: この方法は、SDK を使用できず、ネイティブ API 操作を使用して DNS リクエストを開始する必要がある場合に適しています。
次の URL を使用して、DNS over HTTPS (DoH) 用の JSON API を呼び出すことができます。 Transport Layer Security (TLS) API 操作と非 TLS API 操作の両方が提供されています。
https://223.5.5.5/resolve?name=Domain name&type=Record type&uid=Account ID&ak=AccessKey ID&key=****&ts=Timestamp
http://223.5.5.5/resolve?name=Domain name&type=Record type&uid=Account ID&ak=AccessKey ID&key=****&ts=Timestamp
https://223.6.6.6/resolve?name=Domain name&type=Record type&uid=Account ID&ak=AccessKey ID&key=****&ts=Timestamp
http://223.6.6.6/resolve?name=Domain name&type=Record type&uid=Account ID&ak=AccessKey ID&key=****&ts=Timestamp
詳細については、「DoH 用 JSON API」をご参照ください。
方法 3:DoT/DoH ベースのアクセス
シナリオ: この方法は、ブラウザや携帯電話などのクライアントに適しています。 ただし、サービス認証はサポートされていません。 この方法を使用しないことをお勧めします。
対応する形式に基づいて、DNS over TLS (DoT) または DoH サーバーのアドレスを構成します。 user_id は、Alibaba Cloud DNS コンソールの [再帰的解決 (パブリックDNS)] ページの [アクセス構成] タブから取得できる [アカウント ID] パラメーターの値に置き換えます。
方法 1:短いアドレスベースのアクセス (セキュリティが低いため、推奨されません)
DoT サーバーのアドレス: user_id.alidns.com
DoH サーバーのアドレス: https://user_id.alidns.com/dns-query
権限のないユーザーが、お客様のアカウントを使用して DNS 解決を実行する可能性があります。 アカウント ID を機密にしてください。
方法 2:カスタムアドレスベースのアクセス
この方法を使用して、サービスにアクセスできるアドレスをカスタマイズすることをお勧めします。 これにより、セキュリティが向上し、不正アクセスやデータ漏洩のリスクが軽減されます。
DoT サーバーのアドレス: user_id-custom field.alidns.com
DoH サーバーのアドレス: https://user_id-custom field.alidns.com/dns-query
DoT または DoH ベースのアクセス: デフォルトでは、DoT または DoH ベースのアクセスは無効になっています。 DoT または DoH ベースのアクセスを手動で有効にすることができます。
DoT または DoH ベースのアクセスが無効になっている場合、DoT または DoH 経由の DNS リクエストは拒否されます。
DoT の詳細については、「DoT を使用して Alibaba Cloud パブリックDNS にアクセスする」をご参照ください。
DoH の詳細については、「DoH を使用して Alibaba Cloud パブリックDNS にアクセスする」をご参照ください。
非暗号化アクセス (TCP および UDP 経由のアクセス)
非暗号化アクセス方法は、DNS 再帰リクエストが UDP または TCP 経由で開始される場合に適用されます。 非暗号化アクセス方法を使用する場合は、PC や IoT デバイスなどのデバイスの DNS 設定で 223.5.5.5、223.6.6.6、2400:3200::1、2400:3200:baba::1 などのアドレスを構成する必要があります。 非暗号化アクセス方法での DNS リクエストは、ユーザー属性 ID を伝送しません。 その結果、システムは DNS リクエストソースを区別できません。 この問題に対処するには、ネットワーク出口 IP アドレス (DNS リクエストの送信元 IP アドレス) を Alibaba Cloud アカウントにバインドして、DNS リクエストを識別してカウントできるようにします。 さらに、これにより、パブリックDNS が異常トラフィックの攻撃を受けたり、トラフィックが急激に増加したりするシナリオなど、再帰的解決のインテリジェントなスロットリングをトリガーする可能性のあるシナリオで、バインドされた IP アドレスからの DNS リクエストがスロットリングから優先的に保護されます。 スロットリングの詳細については、「パブリックDNS フリーエディションのスロットリングに関するお知らせ」をご参照ください。
ネットワーク出口 IP アドレス (DNS リクエストの送信元 IP アドレス) を Alibaba Cloud アカウントにバインドする
パブリックDNS では、ネットワーク出口 IP アドレスを Alibaba Cloud アカウントにバインドできます。 バインドされると、この IP アドレスから UDP または TCP 経由で開始された DNS リクエストは、Alibaba Cloud アカウントに属します。 極端な場合にインテリジェント DNS スロットリングポリシーが有効になっていると、システムはバインドされた IP アドレスからの DNS リクエストをスロットリングから優先的に保護します。 バインドされた IP アドレスからの DNS リクエストは課金されます。 パブリックDNS は、UDP/TCP 経由の DNS リクエストを月 2,000 万回、または HTTP 経由の DNS リクエストを月 1,000 万回まで無料で利用できるリソースプランを提供しています。 詳細については、「課金対象項目」をご参照ください。
企業認証に合格したユーザーのみがネットワーク出口 IP アドレスを Alibaba Cloud アカウントにバインドでき、インターネット出口の送信元 IPv4 アドレスのみをバインドできます。 つまり、ネットワーク出口 IP アドレスが属するネットワーク環境でのみネットワーク出口 IP アドレスをバインドでき、IP アドレスは検証に合格する必要があります。
ホームネットワークのユーザーがアクセスするドメイン名の大部分は、ホットスポットドメイン名です。 これらのホットスポットドメイン名は、インターネット経由で多くのユーザーによってアクセスされ、その DNS 結果は DNS キャッシュに保存されます。 ほとんどの場合、パブリックDNS はこれらのホットスポットドメイン名に対してスロットリングを実装しません。