同步节点

当您需要使用业务已接入的PrivateZone解析结果或者自建DNS的解析结果,您可以手动配置私有DNS服务器的同步节点,使得云防火墙获取Private Zone或者自建DNS服务器的域名解析结果,实现基于私有DNS的ACL访问控制策略的安全管理。本文介绍如何接入私有DNS域名解析服务器。

接入私有DNS服务器的两种场景

仅对基于DNS动态解析同时基于FQDN和DNS动态解析的域名识别模式的访问控制策略有效。

内网DNS解析(PrivateZone)

当您云上业务采用了阿里云内网DNS解析服务实现VPC内网环境下的各种客户端(如ECS主机、容器)和云产品的私有权威域名解析,云防火墙可通过私有DNS同步节点实现自动获取PrivateZone内网解析结果,并应用于不同边界ACL访问控制策略。

自建DNS服务

当您云上业务部署了自建DNS服务器,来实现业务应用基于自建DNS解析结果的互访,云防火墙可通过私有DNS同步节点实现自动获取您的自建DNS内网解析结果,并应用于不同边界ACL访问控制策略。

组网灾备示意图
image

操作步骤

在使用该方案前,请确定您的DNS服务器类型,以及完成对应的前置操作。

  • 如果您的DNS服务器类型为PrivateZone,确保已配置解析记录。

  • 如果您的DNS服务器类型为自建DNS服务器,确保已在自建DNS服务器配置域名和IP的映射关系。

image

1. 创建私有DNS解析所需的同步节点

  1. 登录云防火墙控制台在左侧导航栏,选择防护配置 > 同步节点

    image

  2. 同步节点页面,单击创建私有DNS解析同步节点

  3. 根据下列配置项说明,创建同步节点实例。

    配置项

    说明

    同步节点名称

    自定义同步节点的名称。

    私有DNS类型

    当您的DNS服务器类型为PrivateZone时,默认的DNS服务器为100.100.2.136和100.100.2.138。

    当您的DNS服务器类型为自建DNS服务时,需要配置主DNS服务器地址,备DNS服务器地址为可选。

    优先使用主DNS服务器进行域名解析,当主DNS服务器解析不出结果时,再使用备DNS服务器进行域名解析。

    • 如果DNS服务器地址是公网地址,需要确保业务VPC存在NAT网关,允许创建的同步节点访问DNS服务器。

    • 如果DNS服务器地址是私网地址,需要确保业务VPC和DNS服务器网络互通,允许创建的同步节点访问DNS服务器。

    所属地域

    同步节点所属VPC的地域,该地域是访问控制域名解析结果的地域。如果您的业务分布在两个地域,您需要为两个地域都创建同步节点,并为每个同步节点配置域名,使两个地域的访问控制策略都应用私有DNS服务器的域名解析结果。

    专有网络

    选择同步节点所属的VPC,该VPC用于访问DNS服务器,可为任意业务VPC。建议不要选择VPC边界防火墙和NAT边界防火墙占用的VPC实例。

    可用区与交换机

    选择同步节点所属的交换机。您也可以手动为同步节点的弹性网卡指定IP地址,该IP地址不能与交换机内已被占用的IP地址冲突。如果您没有手动指定IP地址,云防火墙会自动为您分配该IP地址。

    当前支持两种灾备场景的可用区和交换机配置:

    • 双可用区场景(推荐):在两个不同可用区的不同交换机创建两个同步节点,该方式考虑容灾场景,推荐使用。

    • 单可用区场景:只创建在一个可用区的交换机创建一个同步节点。单可用区没有灾备。

    DNS解析协议

    • 当您的DNS服务器类型为PrivateZone时,协议为UDP。

    • 当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的协议,支持UDP和TCP协议。

    DNS解析端口

    • 当您的DNS服务器类型为PrivateZone时,解析端口为53。

    • 当您的DNS服务器类型为自建DNS服务时,需要填写DNS服务器的端口,默认端口为53。

    应用的防火墙边界

    选择DNS解析结果应用的防火墙边界,一个节点实例可应用于多个云防火墙边界,每个地域的每个边界只能被一个同步节点应用。至少配置1个边界。可应用的边界如下:

    • 互联网边界

    • NAT边界

    • VPC边界

    DNS解析同步周期

    每5分钟同步一次DNS解析结果。

  4. 创建完成后,单击确定image

2. 添加使用私有DNS解析的域名

  1. DNS解析页面,定位到已创建的DNS解析同步节点,单击操作配置域名

  2. 单击新增,添加域名。

    支持添加多个域名,一次最多可以添加1000个域名,最多可以添加10000个域名,不支持添加泛域名。

  3. 单击查看解析详情,查看域名解析的IP地址是否与您的域名实际对应的解析IP一致。

    image

  4. 域名全部添加完成后,单击确定

3. 配置目的为域名的访问控制策略

其他操作

  • 编辑实例:如果需要修改私有DNS解析同步节点实例的名称或者更换自建DNS服务器的IP,可以在DNS解析页面,单击编辑实例进行修改。

  • 删除实例:当您业务已不需要通过该同步节点实例与私有DNS解析打通时,可以在DNS解析页面,单击删除。删除同步节点实例前,需先删除所配置的域名。

    重要

    您删除该同步节点实例后,DNS解析结果和使用该DNS解析结果的ACL访问控制策略,将恢复为默认DNS解析的结果,可能存在业务风险。建议您谨慎操作。