全部产品
阿里云办公

开启辅助DNS

更新时间:2018-07-31 17:48:57

阿里云解析辅助DNS功能目前只支持(并且默认)使用阿里云解析DNS作为辅助DNS,您当前使用的DNS服务作为主DNS。使用辅助DNS时,您需要先在主DNS上完成相关配置,然后通过阿里云解析DNS开通辅助DNS。

前提条件

如果您使用自建DNS系统,在使用本功能时,请确认您的DNS服务器支持XFRNOTIFY协议。如果您使用托管DNS,在使用本功能时,请确认您的DNS服务厂商也提供配置辅助DNS的功能。以下配置以自建DNS系统为例进行说明;托管DNS用户请参考DNS服务厂商的说明。

阿里云云解析DNS作为辅助DNS,从主DNS上同步解析资源记录。因此需要在主DNS上配置相应发送规则并使用加密机制确保主辅DNS间消息的安全性。由于DNS系统的实现方式多样,以下以BIND(9.9.4及以上版本)为例说明如何配置主DNS。

使用BIND配置主DNS

在配置文件/etc/named.conf中完成以下配置:

  1. zone "域名(如:xxx.com)" IN {
  2. type master;
  3. allow-update { 127.0.0.1; };
  4. allow-transfer {key test_key};
  5. notify explicit;
  6. also-notify {47.101.22.159 port 53;106.15.210.94 port 53;};
  7. file "zone_file";
  8. };

其中,

  • zone指定您的域名。

  • allow-transfer目前只支持通过TSIG进行主辅DNS间通讯,此处请指定为允许服务器通过TSIG方式来更新的KEY名称。

    说明:根据RFC标准协议,我们推荐使用事务签名(简称TSIG)来保证DNS消息的安全性。TSIG通常使用共享密钥和单向哈希函数来验证DNS消息,能较好地确保主辅DNS之间信息同步的安全性。您可以通过生成一个MD5、SHA256或SHA1型的TSIG密钥,生成后将TSIG同时配置到您的主DNS、辅DNS。具体操作请参考生成TSIG密钥

  • also-notify指定zone发生资源记录变更时,需要通知的辅助DNS服务器IP地址,支持多个。此处请指定为阿里云解析以下服务器:secondarydns1.alidns.com、secondarydns2.alidns.com(对应IP地址为:47.101.22.159、106.15.210.94)。

生成TSIG密钥

您可以使用dnssec-keygen工具生成TSIG密钥,命令如下:

  1. [root@www ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST test_key
  2. Generating key pair
  3. test_key.+157+64252

其中,

  • -a指定加密算法,请使用我们支持的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。
  • -b指定密钥中字节的数量。密钥文件大小的选择依赖于所使用的算法,HMAC密钥必须在1和512位之间。
  • -n指定密钥文件的所有者类型,可选值包括:ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。
  • test_key指定密钥文件的名称。该名称用于配置主DNS中填入allow-transfer,和配置辅助DNS步骤8-i中填入TSIG名称

该命令执行后,在当前目录下会一个.key和一个.private文件(示例:Ktest_key.+157+64252.keyKtest_key.+157+64252.private)。.key文件中包含了DNS KEY record,这个record用于配置辅助DNS步骤8-i中填入TSIG值.private文件中包含算法指定的字段。

操作步骤

参照以下步骤,为您的域名开启辅助DNS:

  1. 登录云解析DNS控制台

  2. 前往域名解析列表,如果您的域名已经在列表中,请前往步骤4,否则单击添加域名

  3. 添加域名对话框,输入您的域名,单击确定

  4. 选择您的域名,单击操作列下的更多 > 升级VIP DNS。如果您的域名已经绑定VIP DNS实例,此处没有升级VIP DNS操作,请前往步骤6。

  5. 云解析DNS购买页,选择合适的VIP DNS实例,完成购买和自动绑定。具体操作请参考购买流程

  6. 前往辅助DNS页面,单击添加辅助DNS

    辅助DNS

  7. 在下拉列表中选择要开启辅助DNS的域名,然后单击确认

    说明:辅助DNS功能目前只针对绑定VIP DNS实例的域名开启公测,所以您的域名必须已添加到域名解析列表,且已绑定VIP DNS实例。具体操作请参考步骤2至步骤5。

    添加辅助DNS

  8. 添加辅助DNS页,完成辅助DNS配置。

    配置

    1. 设置主DNS信息:单击右侧添加,添加主DNS记录。参数描述如下:

      主DNS

      说明:TSIG用法请参考生成TSIG密钥

      • IP地址:填写主DNS服务器IP地址。确保该地址能够被外网访问到。
      • TSIG类型:选择合适的加密算法类型,可选值包括:SHA1、SHA256、MD5。
      • TSIG名称:填写生成的TSIG名称。
      • TSIG值:填写生成的TSIG值。
    2. 设置发送NOTIFY通知的服务器IP地址:单击右侧添加,设置发送DNS配置变更的服务器IP(或IP段)。

      当您主DNS资源记录发生变化时,您需要通过主DNS的配置,确保其向云解析辅助DNS发送通知(基于标准NOTIFY协议)。您必须向云解析辅助DNS提供发送通知的服务器IP地址,以免您的请求被拒绝。

      NOTIFY通知

    3. 勾选是否使用故障通知。开启故障通知后,当主辅DNS连接中断时,我们将短信通知您。

      故障通知

  9. 完成辅助DNS配置后,系统将为您的域名在阿里云解析开启辅助DNS功能。这时您可以看到辅助DNS的运行状态,如下图中的已开启

    说明:如果云解析DNS服务器配置显示为异常,则请完成步骤10和步骤11,让辅助DNS正式为您的网站用户提供解析服务。

    状态

  10. 在您的主DNS解析记录中增加指向vip1.alidns.com、vip2.alidns.com的NS记录。记录类型:NS;主机记录:@;记录值:vip1.alidns.com、vip2.alidns.com(分两条资源记录来创建)。

  11. 在您的域名注册商处将阿里云解析的DNS服务器(vip1.alidns.com、vip2.alidns.com)添加到DNS服务器列表中,具体操作请参考不同域名注册商修改 DNS 方法

域名开启辅助DNS后,您在阿里云解析域名解析列表中不能修改其解析资源记录,所有的资源记录都是从主DNS同步过来,不能手动修改。

已开启