背景
DNS服務的作用是通過域名找到對應IP。對于一家科技企業來說,搭建一套內網DNS是很有必要的。當企業將服務整體搬遷到阿里云上后,就面臨著辦公網絡環境和阿里云互聯互通的問題。這里面,DNS扮演著企業內部尋址服務的關鍵角色,如何在辦公網環境下也能利用阿里云DNS完成內部域名解析,成了很多客戶上云后的難點。
本文介紹一種在VPN互聯互通場景下,利用阿里云DNS解析內部域名的實踐方案。
適用場景
阿里云VPC內提供的DNS server支持PrivateZone功能,通過VPN網關可以使用ipsec協議把線下的網絡(如本地數據中心/分支機構)和VPC進行互通。本教程介紹通過VPN網關訪問阿里云上PrivateZone的方法。
資源準備
阿里云PrivateZone的DNS服務器地址如下:
序號 | PrivateZone服務器IP地址 |
1 | 100.100.2.136/32 |
2 | 100.100.2.138/32 |
阿里云VPN服務(https://www.aliyun.com/product/vpn?)
具體配置:
第一步 在VPN網關上配置訪問DNS服務器的ipsec連接
在現有的VPN網關上創建新的ipsec連接:
點擊“編輯”,注意點開“高級配置”,配置信息如下:
配置項 | 配置內容 |
名稱 | 自定義 |
VPN網關 | 系統自動生成 |
用戶網關 | 系統自動生成 |
本端網段 | 192.168.0.0/16(根據實際網段進行替換) |
對端網段 | 10.0.0.0/24(根據實際網段進行替換) |
立即生效 | 是 |
預共享密鑰 | 自定義 |
版本 | ikev1 |
協商模式 | main |
加密算法 | aes |
認證算法 | sha1 |
DH分組 | group2 |
SA生存周期(秒) | 86400 |
LocalId | 39.96.2.138(根據實際進行替換) |
Remoteld | 39.96.0.248(根據實際進行替換) |
IPsec配置信息
配置項 | 配置內容 |
加密算法 | aes |
認證算法 | sha1 |
DH分組 | group2 |
SA生存周期(秒) | 86400 |
第二步 新建從線下網絡到VPN網關的IPSec
點擊創建IPSec連接,在相同的VPN網關上新建ipsec連接,除了本地網段換為100.100.2.136/32以外,其它參數保持完全一致。否則ipsec的第一階段協商可能會失敗.
配置項 | 配置內容 |
名稱 | 自定義 |
VPN網關 | 自定義 |
用戶網關 | 自定義 |
本端網段 | 100.100.2.128/25(DNS服務網段) |
對端網段 | 192.168.0.0/16(根據實際網段進行替換) |
立即生效 | 是 |
預共享密鑰 | 自定義 |
版本 | ikev1 |
協商模式 | main |
加密算法 | aes |
認證算法 | sha1 |
DH分組 | group2 |
SA生存周期(秒) | 86400 |
LocalId | 39.96.0.248(根據實際進行替換) |
Remoteld | 39.96.2.128(根據實際進行替換) |
IPSec配置
配置項 | 配置內容 |
加密算法 | aes |
認證算法 | sha1 |
DH分組 | group2 |
SA生存周期(秒) | 86400 |
第三步 線下網絡配置(聯系公司網工)
VPN網關配置對應的ipsec連接,參數跟上面一致,請參考具體設備產商說明書配置;
配置線下網絡路由,把100.100.2.136/32的路由指向線下VPN網關上的ipsec隧道
第四步 觀察ipsec隧道
如果一切配置正確,應該能觀察到ipsec隧道協商成功。如果還有問題,請聯系阿里云網絡技術支持,或者公司網工;
第五步 域名解析驗證
先ping驗證到DNS連通性,時延取決于從idc到vpn網關的公網質量
使用100.100.2.136解析Privatezone域名
驗證成功后,即可完成線下網絡和阿里云VPC通過VPN網關共享DNS解析的方案