セカンダリDNS

セカンダリDNSの動作

セカンダリDNSサービスには、プライマリDNSプロバイダに存在するゾーンおよびレコード・データのコピーが含まれています。ゾーン・レコードが変更されたときにセカンダリ・プロバイダに通知を送信するようにプライマリ・プロバイダを構成できます。通知を受信すると、セカンダリ・プロバイダは、構成されたプライマリ・プロバイダの更新されたゾーン・コンテンツをリクエストします。このプロセスはゾーン転送と呼ばれます。

DNSは、委任パスに続くドメインに対して、問合せプロバイダのネームサーバーをラウンドロビン方式で解決します。両方のプロバイダに委任する場合(二重委任)、DNSリゾルバは、名前の解決時にいずれかのプロバイダを使用し、プロバイダが失敗した場合に冗長性を提供できます。セカンダリ・プロバイダのみに委任する場合、プライマリ・ネームサーバーは非表示のプライマリとして扱われます。プライマリ・ネームサーバーは、セカンダリ・ゾーンが問合せに回答するために使用するゾーン・レコードの信頼できる情報源を維持します。

ゾーンに対して両方のネームサーバーセットが指定されている二重委任を設定するには、最初にレジストラまたは親ゾーンを更新して、そのゾーンの NS rrset にダウンストリームネームサーバーを追加します。これ以上のアクションを実行する必要はありません。DNSリゾルバは、名前の解決時に使用するプロバイダを決定します。

Oracle Cloud Infrastructure DNSから外部DNSプロバイダへのエグレス

OCI DNSでプライマリDNSゾーンを作成する場合、1つ以上の外部ダウンストリーム・サーバーを指定できます。ダウンストリーム・サーバーに変更が通知され、ゾーン転送がリクエストされます。指定されたネームサーバーは、Oracleプライマリ・ネームサーバーへの転送リクエストを発行することもできます。異なるベンダーが管理するネームサーバーを指定できます。

外部DNSプロバイダからOracle Cloud Infrastructure DNSへのイングレス

外部DNSプロバイダでセカンダリDNSゾーンを作成した後、1つ以上のOCI DNSダウンストリーム・サーバーを指定できます。OCIダウンストリーム・サーバーには、プライマリ外部プロバイダによる変更が通知され、ゾーン転送がリクエストされます。指定されたネームサーバーは、外部プライマリ・ネームサーバーへの転送リクエストを発行することもできます。異なるベンダーが管理する外部ゾーンのダウンストリーム・サーバーを指定できます。

OCI DNSのセカンダリ・ゾーンはアクティブ- アクティブです。つまり、セカンダリ・ゾーンは「常にオン」で、通常のゾーンなどの問合せに対する回答を提供します。プライマリ・プロバイダはセカンダリ・ゾーンのレコードの信頼できる情報源として機能しますが、セカンダリ・プロバイダもゾーンについて信頼できます。

TSIGキーの使用

オプションで、TSIGキーを使用するようにOCIセカンダリDNSを構成できます。TSIG (トランザクション署名)は秘密キー・トランザクション認証とも呼ばれ、共有秘密キーおよび一方向ハッシングを使用することで、権限のある送信者からDNSパケットが送信され、そのDNSパケットに暗号化署名が確実に追加されるようにします。TSIGキーは、DNSを有効化し、セカンダリ・ゾーンへの更新を認証するために使用します。セカンダリ・イングレスおよびセカンダリ・エグレスDNSの両方に対してTSIGキーを構成できます。

外部マスターまたは外部ダウンストリーム・サーバーを使用するゾーンを作成または更新する前に、TSIGキーを作成します。詳細は、TSIGキーの管理を参照してください。

セカンダリDNSの監視

これらのメトリックは、セカンダリDNSゾーンが機能しているかどうかを知らせる通知を構成するために使用できます。

たとえば、ゾーンのゾーン転送が失敗する回数(ZoneTransferFailureCount)に基づいて、アラームを構成できます。その後、アラームがトリガーされたときにサブスクライバにメッセージを送信する通知を構成できます。電子メール、Slack、SMSなど、様々なプロトコルでメッセージを送信できます。

この通知の設定方法は次のとおりです。

1. 指定したゾーン転送失敗数を超えてトリガーされるアラームの作成 ネームスペースをoci_dnsに、メトリック名をZoneTransferFailureCountに指定します。

   トリガー・ルール演算子をgreater thanに設定し、間隔中に許容範囲を超える失敗数を指定します。

   ノート
   
   Zone Transfer Failure Countのアラームを構成する場合は、セカンダリ・ゾーンのSOAのリフレッシュ・レート値を慎重に検討してください。リフレッシュ・レートは1200から43200秒で異なります。たとえば、リフレッシュ・レートの値が短く、アラーム間隔が高い場合、多数の重複するアラーム通知を受信できます。

   アラームの通知を取得するには、アラームの送信先のトピックを指定します。必要に応じて、このワークフローで新しいトピックを作成できます。

2. トピックへのサブスクリプションを作成します

   アラームの通知を受信するには、ステップ1でアラームを送信したトピックをサブスクライブします。サブスクリプションを構成して、電子メール、Slack、SMSなどの様々なプロトコルに送信できます。電子メール・リストを指定することも、単一のアドレスで個々のサブスクリプションを作成することもできます。

   ノート
   
   1分間に60を超えるアラーム・メッセージが予想される場合は、アラームをストリーミング・サービスに送信してストリームを受信できます。

DNSによって生成されるメトリック・タイプの詳細は、DNSメトリックを参照してください。

制限事項および考慮事項

• セカンダリ・ネームサーバーがプライマリ・プロバイダに接続でき、セカンダリ・ネームサーバーのIPアドレスへのゾーン転送をサポートしていることを確認します。OCIがセカンダリDNSプロバイダ(イングレス)の場合、プライマリ・ネームサーバーがゾーン・ファイルを転送できるホスト・サーバーIPのリストを提供します。セカンダリDNSプロバイダが外部(エグレス)の場合、プロバイダからIPアドレスを取得できます。
• 外部プライマリ・プロバイダがDNSSECを使用してゾーンに署名した場合、署名はゾーン・レコードとともに転送されます。OCIは、DNSSEC署名付きゾーンを発行しませんが、外部署名付きDNSゾーンをサポートしています。DNSSECレコードをセカンダリとしてOCI DNSに転送するには、外部プライマリが署名付きゾーンを転送する必要があります。外部プライマリがインライン署名のみを行う場合、DNSSECレコードは転送に含まれません。
• プライマリDNSプロバイダによって提供される拡張機能は、セカンダリDNSではサポートされていません。この文は、OCI DNSへのセカンダリ・イングレスと外部プロバイダへのセカンダリ・エグレスの両方に適用されます。高度な機能の例としては、OCI Traffic Management Steering Policies、ラウンドロビン・バランシング、ALIASなどがあります。