概述
辅助 DNS 是腾讯云解析为使用自建 DNS 或第三方 DNS 的用户提供的 DNS 容灾备份服务,当为域名开启辅助 DNS ,则域名当前使用的 DNS 为主 DNS ,腾讯云解析则默认为辅助 DNS。
腾讯云基于 RFC 标准的 AXFR (authoritative transfer) 和 IXFR (incremental zone transfer) 协议,在主 DNS 和辅助 DNS 之间建立区域数据传输机制(Zone Transfer),当主 DNS 遇到故障或者服务中断时,辅助 DNS 仍可以继续提供解析服务,因此可以保障您的业务在全球范围稳定运行。
前提条件
该功能支持企业版和尊享版套餐。
操作步骤
配置主 DNS
开启辅助 DNS,首先需要在主 DNS 上完成配置,然后在云解析 DNS 中开启辅助 DNS。由于 DNS 系统的实现方式多样,本文以 BIND 9(9.18.5及以上版本)为例说明如何配置主 DNS。
生成 TSIG 密钥
通过
tsig-keygen
工具生成 TSIG 密钥,命令如下:tsig-keygen -a HMAC-SHA256 test-key-name
说明:
-a :指定 TSIG 密钥类型,支持 HMAC-SHA256 和 HMAC-SHA1 两种密钥类型。
test-key-name :指定 TSIG 密钥名称。该名称用于 BIND 配置主 DNS 中 allow-transfer 的填写,和添加主 DNS 信息中 TSIG 密钥名称的填写。
命令执行后,您将会看到如下所示输出:
key "test-key-name" {algorithm hmac-sha256;secret "1xl7rOqDQ38uVrl7Bj3x8WKDxo9w2AnhtA+/0CDreDQ=";};
说明:
secret 字段即为 TSIG 密钥值,该值用于配置辅助 DNS 时,在添加主 DNS 信息时,用于 TSIG 密钥值的填写。
修改 BIND 配置
在配置文件
/etc/bind/named.conf
完成以下配置:key "test-key-name" {algorithm hmac-sha256;secret "1xl7rOqDQ38uVrl7Bj3x8WKDxo9w2AnhtA+/0CDreDQ=";};zone "域名(如:xxx.com)" {type primary;file "zone_file";allow-transfer {key test-key-name;};also-notify {43.140.xx.xx key test-key-name;114.132.xx.xx key test-key-name;};};
说明:
key:上述生成的 TSIG 密钥。
zone:配置您指定的域名。
allow-transfer:配置允许执行区域传输的方式。目前支持通过 TSIG 进行主辅 DNS 间通讯,此处需要指定为 TSIG 密钥名称。
also-notify:当区域(ZONE)发生变更时,需要通知 DNSPod 的辅助 DNS 服务器,支持多个。此处填写 DNSPod 提供的辅助 DNS 服务器 IP 地址,具体 IP 地址请查看控制台辅助 DNS 配置页面。
test-key-name:指定 TSIG 密钥名称。该名称需要与上述生成的 TSIG 密钥名称以及添加主 DNS 信息时填写的 TSIG 密钥名称保持一致。
重载 BIND 9 配置
完成上述配置后,我们需要重载 BIND 9:
# 检查配置文件是否有误,如若配置无问题,则不会有任何输出sudo named-checkconf /etc/bind/named.conf# 重载 BIND 9sudo systemctl reload named
腾讯云解析 DNS 配置
1. 登录 云解析 DNS 控制台。
2. 单击域名名称,打开域名解析详情页,在域名设置页签中,选择辅助 DNS,单击立即启用。
3. 在设置 DNS 信息的设置框内,单击立即添加。
4. 根据说明填写主 DNS 信息,并点击确定。
说明:
IPV4 地址:请填写主 DNS 服务器的 IPV4 地址。
TSIG 密钥类型:支持 sha1 和 sha256 两种类型,请与生成的 TSIG 密钥类型保持一致。
TSIG 密钥名称:请与生成的 TSIG 密钥名称保持一致。
TSIG 密钥值:生成 TSIG 密钥中的 secret 对应值。
同步模式:支持 AXFR 和 IXFR 两种模式。
5. 在设置发送 NOTIFY 通知的服务器 IP 的设置框内,单击立即添加。
6. 填写发送 NOTIFY 的 IP 地址或 IP 地址段,并单击确定。
注意:
请填写准确的发送 NOTIFY 的 IP 地址或 IP 地址段,并确保您的主 DNS 服务器在资源记录发生变化时,会发送 NOTIFY 通知 DNSPod 服务器,否则在您修改资源记录后,辅助 DNS 将无法及时更新。
7. 勾选当辅助 DNS 无法连接上您的主 DNS 时,我们将发送短信通知给您,并单击确认,即可启用辅助 DNS。
8. 配置完成后,可查看辅助 DNS 设置详情,同步状态显示为成功,即已成功开启该功能。