Článek přečtěte do 3 min.

Použití sekundárního serveru názvů domén (DNS) na Oracle Cloud Infrastructure (OCI) se skrytou primární konfigurací může nabídnout některé užitečné výhody při správě a zabezpečení vašich zón v DNS. Skrytá primární konfigurace je obvykle taková, kde se správa zón (nakonfigurována jako primární) provádí ve vašem místním prostředí, kde společnosti běžně spravují své externí DNS prostřednictvím svých DNS, DHCP a správy IP adres (IPAM) nebo DDI., spotřebič. Zóny na OCI DNS jsou nakonfigurovány jako sekundární a přijímají aktualizace z místní primární pomocí DNS NOTIFY a zónových přenosů. Skrytá část přichází do hry s řetězcem delegování jmenného serveru.

OCI DNS jako sekundární konfigurace

Ve skryté primární síti jsou v delegování pouze jmenné servery pro zóny nakonfigurované jako sekundární (v tomto příkladu na OCI). Tím jsou z pohledu internetu viditelné pouze jmenné servery OCI. Neexistuje žádný koncept serverů DNS pro místní primární, kde zóny spravujete. Hlavní výhodou konfigurace DNS tímto způsobem je, že si zachováte schopnost a pohodlí správy DNS, jak jste zvyklí u místních a DDI.

Všechny dotazy DNS pro vaše zóny však jdou na okraj DNS OCI, aby byly vyřešeny, a nejsou směrovány na váš místní server DNS. OCI DNS edge je celosvětově anycast, sestávající z téměř 40 bodů přítomnosti, což poskytuje schopnost zůstat výkonné, vysoce dostupné a schopné elegantně zvládat velké objemy provozu. OCI je vybaveno ke zvládnutí škodlivých útoků cílených na DNS, jako jsou útoky DDOS. OCI je dobře vybavena k tomu, aby reagovala na tyto útoky, identifikovala je a zmírňovala je, protože útoky zasáhly místní prostředí, kde se obvykle jedná o unicastové umístění, a dopad útoku by byl velmi vážný.

Správa a tok provozu skryté primární s jedním poskytovatelem DNS.

Skrytý primární u více poskytovatelů DNS

Pro uživatele, kteří chtějí zachovat redundanci v autoritativním DNS, je skrytá primární konfigurace zcela životaschopná, když jsou dva poskytovatelé DNS nakonfigurováni jako sekundární mimo váš skrytý primární DNS. Namísto přidání jedné sady jmenných serverů v delegování přidáte oba poskytovatele DNS, kteří jsou nakonfigurováni jako sekundární, přičemž primární místní DNS zůstane skrytý. Obecně platí, že konfigurace sekundárního DNS zůstává synchronizována s vaším primárním prostřednictvím mechanismů DNS, jako je DNS NOTIFY, přenosy zón IXFR/AXFR a hodnoty SOA, které vám pomohou, když sekundární DNS zkontroluje aktualizace.

Správa a tok provozu skryté primární pomocí poskytovatelů DNS od různých dodavatelů

Klíčové body pro vytvoření skryté primární volby pomocí OCI

Při vytváření skryté primární volby v OCI mějte na paměti následující faktory:

  • Vaše primární jmenné servery DNS by neměly být delegovány u registrátora. Ujistěte se, že jsou definovány pouze jmenné servery OCI.
  • Vytvořte zónu na primárním DNS. Ať už vytváříte zónu nebo používáte existující zónu, zajistěte, aby jmenné servery OCI byly jedinými jmennými servery definovanými v apexu zóny, aby byly vaše primární jmenné servery skryté.
  • OCI DNS podporuje klíče TSIG, takže můžete zabezpečit komunikaci mezi primárním a sekundárním DNS.

Závěr

Celkově vzato je spuštění skryté primární konfigurace skvělý způsob, jak využít sekundární DNS s globální hranou DNS Anycast OCI. Získáte tak všechny výhody, které s tím souvisejí, jako jsou reakce s nízkou latencí, vysoká dostupnost a ponechání OCI, aby zvládlo jakékoli útoky DDOS, a přitom si zachováte kontrolu a správu svých zón prostřednictvím vašeho místního nebo DDI prostředí.

Další informace o sekundárním DNS na OCI naleznete v dokumentaci k sekundárnímu DNS. Další informace o OCI a nabídce DNS najdete v tématu Domain Name System (DNS). Chcete-li začít s implementací DNS na Oracle Cloud Infrastructure, přečtěte si dokumentaci Public DNS.

Zdroj: Oracle