更新时间:2019-06-14 16:21
开启辅助DNS,首先 需要在主DNS上完成相关配置,然后在 云解析控制台 开启内网域名辅助DNS同步。由于DNS系统的实现方式多样,以下以自建DNS(BIND 9.9.4及以上版本)为例说明如何配置主DNS。
zone "域名(如:xxx.com)" IN {
type master;
allow-update { 127.0.0.1; };
allow-transfer {key test_key;};
notify explicit;
also-notify {39.107.199.178 port 53 key test_key;39.107.199.179 port 53 key test_key;};
file "zone_file";
};
配置含义说明
zone :配置您指定的域名。
allow-transfer :目前支持通过TSIG进行主辅DNS间通讯,此处请指定为允许服务器通过TSIG方式来更新的KEY名称。
说明:根据RFC标准协议,我们推荐使用事务签名(简称TSIG)来保证DNS消息的安全性。TSIG通常使用共享密钥和单向哈希函数来验证DNS消息,能较好地确保主辅DNS之间信息同步的安全性。您可以通过生成一个MD5、SHA256或SHA1型的TSIG密钥,生成后将TSIG同时配置到您的主DNS、辅DNS。具体操作请参考生成TSIG密钥。
also-notify :当区域(ZONE)发生变更时,需要通知辅助DNS服务器IP地址,支持多个。此处请指定为云解析辅助DNS服务器:
辅助DNS服务器:39.107.199.178、39.107.199.179
注意: 配置文件named.conf中完成配置更改后,需要 重启应用。
重启命令:rndc reconfig
[root@www ~]# dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
Generating key pair
test_key.+157+64252
命令说明
-a :指定加密算法,我们支持的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。
-b: 指定密钥中字节的数量。密钥文件大小的选择依赖于所使用的算法,HMAC密钥必须在1和512位之间。
-n: 指定密钥文件的所有者类型,可选值包括:ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。
test_key :指定密钥文件的名称。该名称用于 使用BIND配置主DNS 中 allow-transfer 的填写,和 添加主DNS信息 中TSIG名称的填写。
命令执行 后,在当前目录下会有 .key 和 .private; 的文件(例如: Ktest_key.+157+64252.key 和 Ktest_key.+157+64252.private)。.key 文件中包含了 DNS KEY record,这个record用于配置辅助DNS时,在添加主DNS信息时,用于TSIG值的填写; .private 文件中包含算法指定的字段。
key "test_key" { algorithm hmac-sha256; secret "秘钥内容";};
需要通过include的方式添加到named.conf文件中,例如:
include "/etc/named/dns-key";
/etc/named/dns-key文件格式如下
key "test_key" {
algorithm hmac-sha256;
secret "秘钥内容";
};
1 . 登录云解析DNS控制台
2 . 单击 添加辅助DNS 按钮,选择需要开启辅助DNS的 域名
3 . 在辅助DNS页,完成三项配置: 设置主DNS信息 、设置发送NOTIFY通知的服务器IP地址、 勾选是否使用故障通知。
参数说明:
IP地址:填写主DNS服务器IP地址,确保该地址能够被外网访问到。
TSIG类型:选择合适的加密算法类型,可选值包括:SHA1、SHA256、MD5。
TSIG名称:填写生成的TSIG名称。
TSIG值:填写生成的TSIG值。
IP地址: 当主DNS解析记录发生变更,则需要向辅助DNS发送变更通知(基于标准NOTIFY协议),因此您需要在这里配置发送变更通知的服务器IP地址,以避免您的请求被拒绝。
4 . 完成上述辅助DNS的配置后,您可以在辅助DNS列表页查看到辅助DNS的运行状态。
在文档使用中是否遇到以下问题
更多建议
匿名提交