< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台 EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
区块链
云市场
API与工具
解决方案
钉钉
会员服务
专有云
更多
云游戏

    开启辅助DNS

    更新时间:2019-06-14 16:21:47

    ★ 我的收藏
    本页目录

    功能简介

    • PrivateZone可以利用辅助DNS,将自建IDC中的DNS数据同步至阿里云上来;
    • PrivateZone开启辅助DNS后,解析设置中不能手动修改解析记录,所有解析记录都需要从主DNS同步过来;
    • 自建IDC的主DNS需要提供可以同步数据的公网IP地址,并开放TCP/UDP 53端口;

    准备工作

    开启辅助DNS,首先 需要在主DNS上完成相关配置,然后在 云解析控制台 开启内网域名辅助DNS同步。由于DNS系统的实现方式多样,以下以自建DNS(BIND 9.9.4及以上版本)为例说明如何配置主DNS。

    1. 自建DNS软件配置在Bind9的配置文件“named.conf”中完成一下配置:<br >
    1. zone "域名(如:xxx.com)" IN {
    2.     type master;
    3.     allow-update { 127.0.0.1; };
    4.     allow-transfer {key test_key;};
    5.     notify explicit;
    6.     also-notify {39.107.199.178 port 53 key test_key;39.107.199.179 port 53 key test_key;};
    7.     file "zone_file";
    8. };

    配置含义说明

    • zone :配置您指定的域名。

    • allow-transfer :目前支持通过TSIG进行主辅DNS间通讯,此处请指定为允许服务器通过TSIG方式来更新的KEY名称。

      说明:根据RFC标准协议,我们推荐使用事务签名(简称TSIG)来保证DNS消息的安全性。TSIG通常使用共享密钥和单向哈希函数来验证DNS消息,能较好地确保主辅DNS之间信息同步的安全性。您可以通过生成一个MD5、SHA256或SHA1型的TSIG密钥,生成后将TSIG同时配置到您的主DNS、辅DNS。具体操作请参考生成TSIG密钥

    • also-notify :当区域(ZONE)发生变更时,需要通知辅助DNS服务器IP地址,支持多个。此处请指定为云解析辅助DNS服务器:

    1. 辅助DNS服务器:39.107.199.17839.107.199.179

    注意: 配置文件named.conf中完成配置更改后,需要 重启应用

    1. 重启命令:rndc reconfig


    生成TSIG密钥

    1. 可以通过 dnssec-keygen工具 生成TSIG密钥,命令如下:

    1. [root@www ~]# dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
    2. Generating key pair
    3. test_key.+157+64252

    命令说明

    • -a :指定加密算法,我们支持的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。

    • -b: 指定密钥中字节的数量。密钥文件大小的选择依赖于所使用的算法,HMAC密钥必须在1和512位之间。

    • -n: 指定密钥文件的所有者类型,可选值包括:ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。

    • test_key :指定密钥文件的名称。该名称用于 使用BIND配置主DNSallow-transfer 的填写,和 添加主DNS信息TSIG名称的填写。

    命令执行 后,在当前目录下会有 .key.private; 的文件(例如: Ktest_key.+157+64252.key Ktest_key.+157+64252.private)。.key 文件中包含了 DNS KEY record,这个record用于配置辅助DNS时,在添加主DNS信息时,用于TSIG值的填写; .private 文件中包含算法指定的字段。


    2. 将生成的秘钥添加到 named.conf文件中

    • 按如下格式粘贴到 named.conf中
    1. key "test_key" {        algorithm hmac-sha256;       secret "秘钥内容";};
    • 通过include文件方式

    需要通过include的方式添加到named.conf文件中,例如:

    1. include "/etc/named/dns-key";

    /etc/named/dns-key文件格式如下

    1. key "test_key" {
    2.         algorithm hmac-sha256;
    3.         secret "秘钥内容";
    4. };


    操作步骤

    1 . 登录云解析DNS控制台
    控制台首页

    2 . 单击 添加辅助DNS 按钮,选择需要开启辅助DNS的 域名

    添加辅助DNS

    3 . 在辅助DNS页,完成三项配置: 设置主DNS信息设置发送NOTIFY通知的服务器IP地址勾选是否使用故障通知


    配置辅助DNS页面

    • 设置主DNS信息: 单击右侧 添加按钮,添加主DNS记录。

    参数说明:

    1. IP地址:填写主DNS服务器IP地址,确保该地址能够被外网访问到。
    2. TSIG类型:选择合适的加密算法类型,可选值包括:SHA1SHA256MD5
    3. TSIG名称:填写生成的TSIG名称。
    4. TSIG值:填写生成的TSIG值。


    添加主DNS信息

    • 设置发送NOTIFY通知的服务器IP地址: 单击右侧 添加按钮,输入发送通知的服务器IP地址或IP段。

    IP地址: 当主DNS解析记录发生变更,则需要向辅助DNS发送变更通知(基于标准NOTIFY协议),因此您需要在这里配置发送变更通知的服务器IP地址,以避免您的请求被拒绝。


    IP地址


    • **勾选是否使用故障通知:开启后,当出现主辅DNS连接中断时,云解析将短信通知您。


    通知


    4 . 完成上述辅助DNS的配置后,您可以在辅助DNS列表页查看到辅助DNS的运行状态。

    • 辅助DNS开启状态为已开启:代表您的域名已在云解析DNS中开启了辅助DNS功能。


    同步状态


    • 连接状态显示为「阻断」:则需要检查在辅助DNS页面的配置是否有误,或者主DNS服务器是否正常运转,对外IP是否可以连通。排查并修复后,再单击连接主DNS尝试主动连接主DNS。
    上一篇:递归解析代理
    下一篇:修改同步配置
    相关文档
    相关产品
    • 云解析 PrivateZone
      云解析 PrivateZone,是基于阿里云专有网络VPC(Virtual Private Cloud)环境的私有域名解析和管理服务。您能够在自定义的一个或多个专有网络中将私有域名映射到IP资源地址,同时在其他网络环境无法访问您的私有域名。
    • 云解析 DNS
      云解析DNS(Alibaba Cloud DNS)是一种安全、快速、稳定、可扩展的权威DNS服务,云解析DNS为企业和开发者将易于管理识别的域名转换为计算机用于互连通信的数字IP地址,从而将用户的访问路由到相应的网站或应用服务器。
    • 专有网络 VPC
      专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。