功能簡(jiǎn)介

• PrivateZone可以利用輔助DNS，將自建IDC中的DNS數(shù)據(jù)同步至阿里云上來(lái)。

• PrivateZone開(kāi)啟輔助DNS后，解析設(shè)置中不能手動(dòng)修改解析記錄，所有解析記錄都需要從主DNS同步過(guò)來(lái)。

• 自建IDC的主DNS需要提供可以同步數(shù)據(jù)的公網(wǎng)IP地址，并開(kāi)放TCP/UDP 53端口。

準(zhǔn)備工作

開(kāi)啟輔助DNS，首先需要在主DNS上完成相關(guān)配置，然后在 云解析控制臺(tái) 開(kāi)啟內(nèi)網(wǎng)域名輔助DNS同步。由于DNS系統(tǒng)的實(shí)現(xiàn)方式多樣，以下以自建DNS（BIND 9.9.4及以上版本）為例說(shuō)明如何配置主DNS。

1. 自建DNS軟件配置在Bind9的配置文件“named.conf”中完成一下配置：

zone "域名（如：example.com）" IN {
    type master;
    allow-update { 127.0.0.1; };
    allow-transfer {key test_key;};
    notify explicit;
    also-notify {39.107.XXX.XXX port 53 key test_key;39.107.XXX.XXX port 53 key test_key;};
    file "zone_file";
};

配置含義說(shuō)明

• zone ：配置您指定的域名。

• allow-transfer ：目前支持通過(guò)TSIG進(jìn)行主輔DNS間通訊，此處請(qǐng)指定為允許服務(wù)器通過(guò)TSIG方式來(lái)更新的KEY名稱。

  說(shuō)明：根據(jù)RFC標(biāo)準(zhǔn)協(xié)議，我們推薦使用事務(wù)簽名（簡(jiǎn)稱TSIG）來(lái)保證DNS消息的安全性。TSIG通常使用共享密鑰和單向哈希函數(shù)來(lái)驗(yàn)證DNS消息，能較好地確保主輔DNS之間信息同步的安全性。您可以通過(guò)生成一個(gè)MD5、SHA256或SHA1型的TSIG密鑰，生成后將TSIG同時(shí)配置到您的主DNS、輔DNS。

• also-notify ：當(dāng)區(qū)域（ZONE）發(fā)生變更時(shí)，需要通知輔助DNS服務(wù)器IP地址，支持多個(gè)。此處請(qǐng)指定為云解析輔助DNS服務(wù)器，具體IP地址請(qǐng)查看控制臺(tái)輔助DNS配置頁(yè)面。

輔助DNS服務(wù)器：39.107.XXX.XXX、39.107.XXX.XXX

注意： 配置文件named.conf中完成配置更改后，需要重啟應(yīng)用。

重啟命令：rndc reconfig

生成TSIG密鑰

1. 可以通過(guò) dnssec-keygen工具生成TSIG密鑰，命令如下：

dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key

命令執(zhí)行結(jié)果：

Generating key pair
test_key.+157+64252

命令說(shuō)明：

• -a ：指定加密算法，我們支持的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。

• -b： 指定密鑰中字節(jié)的數(shù)量。密鑰文件大小的選擇依賴于所使用的算法，HMAC密鑰必須在1和512位之間。

• -n： 指定密鑰文件的所有者類型，可選值包括：ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。

• test_key ：指定密鑰文件的名稱。該名稱用于使用BIND配置主DNS中allow-transfer的填寫，和添加主DNS信息中TSIG名稱的填寫。

命令執(zhí)行后，在當(dāng)前目錄下會(huì)有.key和.private的文件（例如：Ktest_key.+157+64252.key 和 Ktest_key.+157+64252.private）。.key 文件中包含了 DNS KEY record，這個(gè)record用于配置輔助DNS時(shí)，在添加主DNS信息時(shí)，用于TSIG值的填寫；.private 文件中包含算法指定的字段。

2. 將生成的密鑰添加到 named.conf文件中。

• 按如下格式粘貼到 named.conf中：

key "test_key" {        algorithm hmac-sha256;       secret "密鑰內(nèi)容";};

• 通過(guò)include文件方式：

需要通過(guò)include的方式添加到named.conf文件中，例如：

include "/etc/named/dns-key";

/etc/named/dns-key文件格式如下

key "test_key" {
        algorithm hmac-sha256;
        secret "密鑰內(nèi)容";
};

操作步驟

1. 登錄云解析DNS控制臺(tái)。

2. 左側(cè)導(dǎo)航欄選擇輔助DNS，然后單擊 添加輔助DNS 按鈕，選擇需要開(kāi)啟輔助DNS的域名。

3. 在輔助DNS頁(yè)，完成三項(xiàng)配置：設(shè)置主DNS信息、設(shè)置發(fā)送NOTIFY通知的服務(wù)器IP地址、當(dāng)輔助DNS無(wú)法連接您的主DNS時(shí)，我們將發(fā)送短信通知您的管理員。

   

• 設(shè)置主DNS信息： 單擊右側(cè)添加按鈕，添加主DNS記錄。

參數(shù)說(shuō)明：

IP地址：填寫主DNS服務(wù)器IP地址，確保該地址能夠被外網(wǎng)訪問(wèn)到。
TSIG密鑰類型：選擇合適的加密算法類型，可選值包括：SHA1、SHA256、MD5。
TSIG密鑰名稱：填寫生成的TSIG名稱。
TSIG密鑰值：填寫生成的TSIG值。

• 設(shè)置發(fā)送NOTIFY通知的服務(wù)器IP地址： 單擊右側(cè)添加按鈕，輸入發(fā)送通知的服務(wù)器IP地址或IP段。

IP地址：當(dāng)主DNS解析記錄發(fā)生變更，則需要向輔助DNS發(fā)送變更通知（基于標(biāo)準(zhǔn)NOTIFY協(xié)議），因此您需要在這里配置發(fā)送變更通知的服務(wù)器IP地址，以避免您的請(qǐng)求被拒絕。

• 勾選是否使用故障通知：開(kāi)啟后，當(dāng)出現(xiàn)主輔DNS連接中斷時(shí)，云解析將短信通知您。

4. 完成上述輔助DNS的配置后，您可以在輔助DNS列表頁(yè)查看到輔助DNS的運(yùn)行狀態(tài)。

• 輔助DNS同步開(kāi)關(guān)狀態(tài)為已開(kāi)啟：代表您的域名已在Privatezone中開(kāi)啟了輔助DNS功能。

• 連接狀態(tài)顯示為阻斷：則需要檢查在輔助DNS頁(yè)面的配置是否有誤，或者主DNS服務(wù)器是否正常運(yùn)轉(zhuǎn)，對(duì)外IP是否可以連通。排查并修復(fù)后，再單擊連接主DNS嘗試主動(dòng)連接主DNS。