このトピックでは、セカンダリDNS機能を有効にする方法について説明します。
説明
Alibaba Cloud DNS PrivateZoneを使用すると、セカンダリDNSを使用して、DNSレコードをデータセンターからAlibaba Cloudに同期できます。
プライベートゾーンのセカンダリDNSを有効にすると、プライベートゾーンの構成を変更して既存のDNSレコードを変更することはできません。 すべてのDNSレコードはプライマリDNSサーバーから同期されます。
データセンターのプライマリDNSサーバーからのデータを同期するには、データ同期をサポートするパブリックIPアドレスを指定し、TCPポート53またはUDPポート53を有効にする必要があります。
準備
セカンダリDNSを有効にする前に、Alibaba Cloud DNSコンソールでプライマリDNSサーバーを設定する必要があります。 次に、Alibaba Cloud DNSコンソールでセカンダリDNSを有効にします。 次の例は、BIND 9.9.4以降を使用する自己管理プライマリDNSサーバーを構成する方法を示しています。
BIND 9を使用するプライマリDNSサーバーの構成ファイル "named.conf" に次のコードを追加します。
ゾーン "ドメイン名、そのようなs example.com" IN {
タイプマスター;
allow-update { 127.0.0.1; };
allow-transfer {key test_;key };
明示的に通知する。
また-通知 {39.107.XXX.XXXポート53キーtest_key;39.107.XXX.XXXポート53キーtest_key };
ファイル "zone_file";
}; Parameters
zone: セカンダリDNSを有効にするプライベートゾーンの名前。
allow-transfer: プライマリDNSサーバーとセカンダリDNSサーバー間のデータ同期に使用されるトランザクション署名 (TSIG) キー。
注: Request for Comments (RFC) 標準に基づいて、DNSレコードのセキュリティを確保するためにTSIGを使用することを推奨します。 ほとんどの場合、TSIGは共有秘密鍵と一方向ハッシュを使用してDNSレコードを認証します。 これにより、プライマリDNSサーバーとセカンダリDNSサーバー間でデータを安全に同期できます。 MD5、SHA-256、またはSHA-1アルゴリズムによって暗号化されたTSIGキーを生成し、プライマリおよびセカンダリDNSサーバーの設定でキーを指定できます。
also-notify: プライマリDNSサーバーのDNSレコードが変更された場合に通知が送信されるセカンダリDNSサーバーのIPアドレス。 複数のセカンダリDNSサーバーのIPアドレスを指定できます。 この例では、2つのセカンダリDNSサーバーのIPアドレスが設定されています。 Alibaba Cloud DNSコンソールのセカンダリDNSページに移動して、サーバーのIPアドレスを取得できます。
セカンダリDNSサーバー: 39.107.XXX.XXX、39.107.XXX.XXX注意: 名前付き. confファイルを変更した後、次のコマンドを実行してDNSを再起動する必要があります。
再起動コマンド: rndc reconfigTSIGキーの生成
DNS Security Extensions (DNSSEC) キー生成ツールdnssec-keygenを使用して、TSIGキーを生成します。 サンプルコマンド:
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key上記のコマンドは、rootユーザーのみが実行できます。 システムの安定性やデータセキュリティの問題を回避するために、rootユーザーとして操作を実行する場合は注意してください。
返される結果 :
キーペアの生成
test_key.+ 157 + 64252 コマンドの説明:
-a: キーの生成に使用される暗号化アルゴリズム。 有効な値: HMAC-MD5、HMAC-SHA1、HMAC-SHA256。
-b: キーのバイト数。 鍵のサイズは、使用される暗号化アルゴリズムによって決定される。 HMACキーのサイズは1〜512バイトである必要があります。
-n: キーファイルの所有者タイプ。 有効な値: ZONE、HOST、ENTITY、およびUSER。 ほとんどの場合、-nの値はHOSTまたはZONEです。
test_key: キーファイルの名前。 このパラメーターの値は、プライマリDNSサーバーのBIND設定ファイルの設定でallow-transferパラメーターの値として使用され、Alibaba Cloud DNSコンソールのプライマリDNS情報セクションでTSIGキー名パラメーターの値としても使用されます。
上記のコマンドを実行した後、. キーファイルと. プライベートファイルが現在のディレクトリに生成されます。 たとえば、Ktest_key.+ 157 + 64252.keyおよびKtest_key.+ 157 + 64252.privateファイルが生成されます。 . キーファイルには、DNS KEYレコードこれは、生成されたTSIGキーの値を示します。 Alibaba Cloud DNSコンソールのプライマリDNS情報セクションでパラメーターを設定する場合、TSIGキー値パラメーターをDNSキーレコードに設定します。 . プライベートファイルには、使用される暗号化アルゴリズムで指定されたフィールドが含まれます。
生成されたTSIGキーを名前付きの. confファイルに追加します。
次の設定をコピーして、名前付きの. confファイルに貼り付けます。
キー "test_key" {アルゴリズムhmac-sha256; 秘密 "キーコンテンツ" ;};include() メソッドを使用して、名前付きの. confファイルにTSIGキーを追加します。
サンプルコマンド:
include "/etc/named/dns-key";/etc/named/dns-keyファイルの内容は、次の形式です。
キー "test_key" {
アルゴリズムhmac-sha256;
秘密 "キーコンテンツ";
}; 手順
Alibaba Cloud DNS コンソールにログオンします。
左側のナビゲーションウィンドウで、[セカンダリDNS] をクリックします。 セカンダリDNSページで、[セカンダリDNSの有効化] をクリックします。 [パブリックドメイン名] タブで、[セカンダリDNSの追加] をクリックします。 [セカンダリDNSの追加] パネルで、[ドメイン名] ドロップダウンリストからセカンダリDNSを有効にするプライベートゾーンを選択し、[OK] をクリックします。
[セカンダリDNSの追加] ページで、[プライマリDNS情報] および [通知送信者のサーバーIPアドレス] セクションのパラメーターを設定し、[セカンダリDNSがプライマリDNSに接続できない場合、通知はテキストメッセージで管理者に送信されます。
プライマリDNS情報: このセクションの右上隅にある [追加] をクリックします。 次に、プライマリDNSサーバーのレコードを追加します。
Parameters
IPアドレス: プライマリDNSサーバーのIPアドレス。 インターネット経由でIPアドレスにアクセスできることを確認してください。
TSIGキータイプ: 暗号化アルゴリズム。 有効な値: SHA1、SHA256、およびMD5。
TSIGキー名: 生成されたTSIGキーの名前。
TSIGキー値: 生成されたTSIGキーの値。
通知送信者のサーバーIPアドレス: このセクションの右上隅にある [追加] をクリックします。 次に、IP AddressパラメーターまたはStart IP AddressパラメーターとEnd IP Addressパラメーターを指定します。
IPアドレス: プライマリDNSサーバーのDNSレコードが標準の通知プロトコルに基づいて変更されたときに通知を送信するために使用されるサーバーのIPアドレス。 通知がブロックされないように、IPアドレスが接続できることを確認してください。
セカンダリDNSがプライマリDNSに接続できない場合、通知はテキストメッセージで管理者に送信されます。チェックボックスをオンにすると、Alibaba Cloud DNSは、セカンダリDNSサーバーがプライマリDNSサーバーに接続できない場合に通知するテキストメッセージを送信します。
4. セカンダリDNSの上記の設定が完了したら、[セカンダリDNS] ページでセカンダリDNSのステータスを表示します。
[同期] 列のスイッチが [接続] の場合、Alibaba Cloud DNSのプライベートゾーンでセカンダリDNS機能が有効になっています。
[プライマリ /セカンダリDNS接続ステータス] 列に表示される値が [切断] の場合、[セカンダリDNS] ページの設定が有効かどうか、プライマリDNSサーバーが期待どおりに実行されるかどうか、プライマリDNSサーバーのIPアドレスが接続できるかどうかを確認します。 問題のトラブルシューティング後、[プライマリDNSに接続] をクリックしてプライマリDNSサーバーに接続します。