edit-icon download-icon

セカンダリ DNS の有効化

最終更新日: Aug 27, 2019

Alibaba Cloud DNS のセカンダリ DNS 機能を有効化することにより、Alibaba ClouCloud DNS がセカンダリ DNS となり、お客様が現在使用中の DNS サービスがプライマリ DNS となります。セカンダリ DNS を使用する場合は、まずプライマリ DNS の設定を完了してから、Alibaba Cloud DNS のセカンダリ DNS 機能を有効にする必要があります。

前提条件

自己構築 DNS システムを使用している場合は、この機能を使用する際に、お客様の DNS サーバーが XFRNOTIFY プロトコルをサポートしていることを確認してください。ホスティング DNS を使用している場合は、この機能を使用する際に、お客様の DNS サービスプロバイダーがセカンダリ DNS を設定する機能も提供していることを確認してください。次の説明では、自己構築 DNS システムを例として説明します。ホスティング DNS ユーザーについては、DNS サービスプロバイダーから情報を入手してください。

Alibaba Cloud DNS は、セカンダリ DNS としてプライマリ DNS からリソースレコードを同期する必要があります。したがって、プライマリ DNS で対応するデータ転送ルールを設定し、プライマリ DNS とセカンダリ DNS との間のメッセージのセキュリティを保証するための暗号化が必要となります。次に、BIND DNS サーバー (9.9.4 以降) を例として、プライマリ DNS の設定方法について説明します。

BIND DNS サーバーの設定

設定ファイル /etc/named.conf で次の設定を行います。

  1. zone "Domain (for example, xxx.com)" IN {
  2. type master;
  3. allow-update { 127.0.0.1; };
  4. allow-transfer {key test_key};
  5. notify explicit;
  6. also-notify {47.101.22.159 port 53;106.15.210.94 port 53;};
  7. file "zone_file";
  8. };

ここで、パラメーターは次の通りです。

  • zone はドメインを指定します。

  • allow-transfer は鍵ファイルを指定します。Alibaba Cloud DNS は現在、TSIG (Transaction Signature) だけをサポートします。TSIG により、プライマリとセカンダリの DNS サーバー間の通信が実現できます。ここでは、TSIG でサーバー間通信を行うための key 名を指定します。

    注意:DNS メッセージのセキュリティを確保するために TSIG を使用することを推奨します。TSIG は通常、共有秘密鍵と一方向ハッシュ関数を使用して DNS メッセージを検証します。MD5、SHA256、SHA1 などのハッシュ関数で TSIG 秘密鍵を生成し、生成した TSIG をプライマリ DNS とセカンダリ DNS に設定します。詳細については、TSIG 秘密鍵の生成をご参照ください。

  • also-notify は、プライマリ DNS サーバーでリソースレコードの変更が発生したときに通知されるセカンダリ DNS サーバーの IP アドレスを指定します。複数のアドレス指定が可能です。ここでは、次の Alibaba Cloud DNS サーバーを指定しています:secondarydns1.alidns.com、secondarydns2.alidns.com (対応する IP アドレス:47.101.22.159、106.15.210.94)。

TSIG 秘密鍵の生成

dnssec-keygen ツールを使用して、次のコマンドで TSIG 秘密鍵を生成できます。

  1. [root@www ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST test_key
  2. Generating key pair
  3. test_key.+157+64252

ここで、パラメーターは次の通りです。

  • -a は暗号化アルゴリズムを指定します。次の暗号化アルゴリズムがサポートされています:HMAC-MD5、HMAC-SHA1、および HMAC-SHA256。
  • -b はキーのビット数を指定します。キーファイルサイズの選択は、使用されるアルゴリズムに依存します。HMAC キーは 1〜512 ビットでなければなりません。
  • -n は、キーファイルの所有者の種類を指定します。設定可能の値は、ZONE、HOST、ENTITY、および USER です。通常、HOST または ZONE を使用します。
  • test_keyはキーファイルの名前を指定します。この名前は、プライマリ DNS の設定allow-transfer に入力され、セカンダリ DNS の設定ステップ 8-i の [TSIG キー名] に入力します。

コマンドが実行されると、カレントディレクトリに 1 つの .key ファイルと 1 つの .private ファイルが生成されます (例:Ktest_key.+157+64252.keyKtest_key.+157+64252.private)。.key ファイルには DNS KEY レコードが含まれています。このレコードは、セカンダリ DNS の構成に使用され、ステップ 8-i の [TSIG キー値] に入力します。.private ファイルには、アルゴリズム固有のフィールドが含まれています。

操作手順

以下の手順に従って、セカンダリ DNS を有効にしてください。

  1. Alibaba Cloud DNS コンソールにログインします。

  2. [ドメインリスト] に移動します。ドメイン名がすでにリストにある場合はステップ 4 に進み、そうでない場合は、[ドメインの追加] をクリックします。

  3. [ドメインの追加] ダイアログボックスで、 ドメインを入力して [OK] をクリックします。

  4. ドメインを選択し、[詳細] > [Advanced DNS にアップグレード] をクリックします。ドメインがすでに Advanced DNS (エンタプライズ DNS) インスタンスにバインドされている場合、[Advanced DNS にアップグレード] が表示されません。手順のステップ 6 に進みます。

  5. Alibaba Cloud DNS の購入ページでエンタプライズ DNS インスタンスを選択して購入し、ドメインをこのインスタンスにバインドします。詳細については、購入および管理をご参照ください。

  6. [セカンダリ DNS] ページに移動し、[セカンダリ DNS を有効にする] をクリックします。

    add-secondary-dns-button

  7. セカンダリ DNS を有効にするドメインを選択し、[OK] をクリックします。

    注意:セカンダリ DNS 機能は現在パブリックベータテスト中であり、エンタプライズ DNS インスタンスにバインドされたドメインのみに提供されています。このサービスを利用するには、ドメインがドメインリストに追加され、エンタプライズ DNS インスタンスにバインドされている必要があります。詳細については、手順のステップ 2〜5 をご参照ください。

  8. [セカンダリ DNS の追加] ページで、セカンダリ DNS の設定を行います。

    adding-secondary-dns-dialog

    1. プライマリ DNS サーバー:右側の [追加] をクリックして、プライマリ DNS レコードを追加します。パラメーターは次の通りです。

      primary-dns-info

      注意:TSIG の使用方法については、TSIG 秘密鍵の生成をご参照ください。

      • IP アドレス:プライマリ DNS サーバーの IP アドレス。入力したアドレスが外部ネットワークからアクセスできることを確認してください。
      • TSIG キータイプ:ハッシュ関数のタイプ。SHA1、SHA256、または MD5 を選択します。
      • TSIG キー名:TSIG キーの名前。
      • TSIG キー値:TSIG キーの値。
    2. 通知送信元 IP アドレス:右側の [追加] をクリックして、DNS の設定変更通知を送信するサーバーの IP アドレスまたは IP アドレス範囲を設定します。

      プライマリ DNS のリソースレコードが変更されたときに、Alibaba Cloud DNS のセカンダリ DNS に (標準の NOTIFY プロトコルを使用して) 通知を送信するために、プライマリ DNS を設定する必要があります。Alibaba Cloud DNS のセカンダリ DNS に通知送信元サーバーの IP アドレスを設定し、リクエストが拒否されないようにします。

      notification-sender-ip

    3. 障害通知を使用するかどうかを設定します。障害通知を有効にすると、セカンダリ DNS がプライマリ DNS と接続できないときに SMS で通知を行います。

      check-message-notification

  9. 設定が完了すると、お客様のドメインに対してセカンダリDNS 機能が有効になります。この時点で、次の図に示すように、セカンダリ DNS の実行状態を確認することができます。

    secondary-dns-enabled

    注意[Cloud DNS サーバー設定][異常] と表示されている場合は、手順ステップ 10 と 11 を実行して、セカンダリ DNS でお客様の Web サイトユーザーに DNS サービスを提供できるように設定してください。

  10. プライマリ DNS のリソースレコードに、vip1.alidns.com および vip2.alidns.com に NS レコードを追加します。レコードタイプ:NS;ホストレコード:@;レコード値:vip1.alidns.com および vip2.alidns.com(2 つのリソースレコードで作成します)。

  11. Alibaba Cloud DNS サーバー vip1.alidns.com および vip2.alidns.com をお客様のドメインレジストラの DNS サーバーリストに追加します。

    ドメインのセカンダリ DNS 機能を有効になると、Alibaba Cloud DNS の [ドメインリスト] でリソースレコードを手動で変更することはできなくなります。すべてのリソースレコードはプライマリ DNS から同期されます。

  • プライマリ DNS 上のリソースレコードを手動で同期させる場合は、手動同期のトリガーをご参照ください。
  • プライマリ DNS 設定が変更された場合、セカンダリ DNS を同期して設定を変更する必要があります。詳細については、設定パラメーターの変更をご参照ください。
  • セカンダリ DNS を無効にする場合は、セカンダリ DNS の無効化をご参照ください。
  • プライマリ DNS とセカンダリ DNS の間で同期エラーが発生した場合は、同期エラー時の動作をご参照ください。