全部产品
云市场

开启辅助DNS

更新时间:2019-09-06 17:16:53

产品限制

  • 辅助DNS面向云解析DNS企业旗舰版用户开放使用。立即购买

  • 云解析目前只能作为 辅DNS 使用,您当前使用的DNS为 主DNS

  • 域名开启辅助DNS后,在云解析解析设置中不能手动修改解析记录,所有解析记录都需要从主DNS同步过来。

  • 辅助DNS功能适用于使用 自建DNS第三方DNS托管服务 的用户。如使用的是 第三方DNS托管服务,请确认您当前的托管厂商也支持配置辅助DNS功能。

  • 如使用的是 自建DNS,经测试,云解析辅助DNS与BIND v9.1.0以上版本兼容良好,且需要DNS服务器支持RFC标准的XFR、NOTIFY协议。

准备工作

开启辅助DNS,首先 需要在主DNS上完成配置,然后 在云解析DNS中开启辅助DNS。由于DNS系统的实现方式多样,以下以自建DNS(BIND 9.9.4及以上版本)为例说明如何配置主DNS。

使用BIND配置主DNS

在配置文件 /etc/named.conf 完成以下配置:

  1. zone "域名(如:xxx.com)" IN {
  2. type master;
  3. allow-update { 127.0.0.1; };
  4. allow-transfer {key test_key;};
  5. notify explicit;
  6. also-notify {47.92.14.234 port 53 key test_key;47.92.14.51 port 53 key test_key;};
  7. file "zone_file";
  8. };

配置含义说明

  • zone :配置您指定的域名。

  • allow-transfer :目前支持通过TSIG进行主辅DNS间通讯,此处请指定为允许服务器通过TSIG方式来更新的KEY名称。

    说明:根据RFC标准协议,我们推荐使用事务签名(简称TSIG)来保证DNS消息的安全性。TSIG通常使用共享密钥和单向哈希函数来验证DNS消息,能较好地确保主辅DNS之间信息同步的安全性。您可以通过生成一个MD5、SHA256或SHA1型的TSIG密钥,生成后将TSIG同时配置到您的主DNS、辅DNS。具体操作请参考生成TSIG密钥

  • also-notify :当区域(ZONE)发生变更时,需要通知辅助DNS服务器IP地址,支持多个。此处请指定为云解析辅助DNS服务器:

  1. DNS服务器名称:
  2. 对应IP地址为:47.92.14.51,47.92.14.234

注意: 配置文件named.conf中完成配置更改后,需要 重启应用

  1. 重启命令:rndc reconfig


生成TSIG密钥


1. 可以通过 dnssec-keygen工具 生成TSIG密钥,命令如下:

  1. [root@www ~]# dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
  2. Generating key pair
  3. test_key.+157+64252

命令说明

  • -a :指定加密算法,我们支持的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。

  • -b: 指定密钥中字节的数量。密钥文件大小的选择依赖于所使用的算法,HMAC密钥必须在1和512位之间。

  • -n: 指定密钥文件的所有者类型,可选值包括:ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。

  • test_key :指定密钥文件的名称。该名称用于 使用BIND配置主DNSallow-transfer 的填写,和 添加主DNS信息TSIG名称的填写。

命令执行 后,在当前目录下会有 “.key”和 “.private” 的文件(例如:“ Ktest_key.+157+64252.key ” 和“ Ktest_key.+157+64252.private ”)。“.key” 文件中包含了 DNS KEY record,这个record用于配置辅助DNS时,在添加主DNS信息时,用于TSIG值的填写;“.private” 文件中包含算法指定的字段。


2. 将生成的秘钥添加到 named.conf文件中

  • 按如下格式粘贴到 named.conf中
  1. key "test_key" { algorithm hmac-sha256; secret "秘钥内容";};
  • 通过include文件方式

需要通过include的方式添加到named.conf文件中,例如:

  1. include "/etc/named/dns-key";

/etc/named/dns-key文件格式如下

  1. key "test_key" {
  2. algorithm hmac-sha256;
  3. secret "秘钥内容";
  4. };


操作步骤

1 . 登录云解析DNS控制台

2 . 在左侧目录单击 辅助DNS,点击 使用辅助DNS 按钮


开启辅助DNS

3 . 单击 添加辅助DNS 按钮,在添加辅助DNS的对话框中,选择需要开启辅助DNS的域名,并点击 确认 按钮。
添加辅助DNS域名
选择域名


4 . 在辅助DNS页,完成三项配置: 设置主DNS信息设置发送NOTIFY通知的服务器IP地址、 配置完毕后点击 确认


开启辅助DNS的配置

  • 设置主DNS信息: 单击右侧 添加按钮,添加主DNS记录。
    添加

  • 设置发送NOTIFY通知的服务器IP地址: 单击右侧 添加按钮,输入发送通知的服务器IP地址或IP段。


变更IP地址配置


  • 勾选是否使用故障通知:开启后,当出现主辅DNS连接中断时,云解析将短信通知您。最后点击 确认


勾选并确认


5 . 完成上述辅助DNS的配置后,在辅助DNS页面的列表中可以看到添加的域名,说明该域名已开启辅助DNS。

主辅DNS列表

  • 主辅连接状态为 正常:说明辅助DNS可以正常连接到主DNS服务器。

  • 主辅连接状态为为 阻断:则代表辅助DNS无法连接到主DNS服务器。请您检查如下2点。

    ① 辅助DNS配置参数信息是否填写正确,主DNS服务器的IP地址外网是否可以访问。

    ② 主DNS服务器目前是否正常运转。