ENCORE CLOUD ARCHITECTURE TIL 3/22 Linux CentOS
2925 ワード
DNS冗長
1台のサーバはゾーンデータを直接管理するMasterです
ダイレクトエリアファイルの設定
named.confファイルに領域コンテンツを追加する
ゾーン転送設定が必要:セキュリティの考慮事項
他のサーバがMasterからデータを受信
ゾーンファイルを手動で作成する必要はありません:自動生成じどうせいせい
named.confファイルに領域コンテンツを追加する
DNS冗長構成練習
2台目のサーバの構成:IP : 192.168.100.200/24
Gateway : 192.168.100.2
DNS : 192.168.100.100
# nmcli connection add con-name static ifname ens33 type ethernet ipv4.addresses 192.168.100.200/24 ipv4.gateway 192.168.100.2 ipv4.dns 192.168.100.100 ipv4.method manual
# nmcli connection up static
Masterサーバのゾーン転送の設定
領域転送を許可する設定項目に、以下の内容(/etc/named.confの領域領域項目)を追加します.
Allow-transfer{[転送を許可するサーバ];};
設定の確認# named-checkconf
サービスの再起動# systemctl restart named.service
# systemctl status named.service
slaveで/etc/named.confファイルの変更
デフォルトアクセス制御設定を変更して領域設定を追加(Slave)zone "example.local" IN {
type slave;
masters { 192.168.100.100; };
file "slaves/example.local.zone";
};
slaveで設定を確認する# named-checkconf /etc/named.conf
slaveサービスの開始# systemctl start named.service
アクションの確認# host example.local localhost
# ls -l /var/named/slaves/
# cat /var/named/slaves/example.local.zone
DNSサーバのみキャッシュ
DNSサーバを直接管理する必要はありません(BINDなど)
BINDなどの本格的なDNSサーバは、領域を直接管理するのではなく、キャッシュ専用のサーバとして使用される
キャッシュ専用DNSサーバ用の個別のツール
必要:流量などを減らす.
転送(Forward):再帰クエリ:要求を指定したDNSサーバに転送し、直接循環クエリを実行しない
DNSサーバ実習のみキャッシュ:unboundbound 설치
# yum search unbound
unbound.x86_64 : Validating, recursive, and caching DNS(SEC) resolver
# yum install unbound
bound 기본 설정 변경
# vi /etc/unbound/unbound.conf
…
interface [인터페이스IP]
…
access-control: [접근제어대상IP/네트워크] [allow/refuse/deny]
…
forward-zone:
name: [전달할 영역]
forward-addr: [전달할 DNS 서버]
ex)전체 접근 허용 예시
interface: 192.168.100.200
access-control: 0.0.0.0/0 allow
ex) 기본적으로 google dns로 전달하도록, 특정 영역만 bind로 전달하도록 설정
forward-zone:
name: “.”
forward-addr: 8.8.8.8
forward-zone:
name: “example.local”
forward-addr: 192.168.100.100
DNSサービスドライバ# systemctl start unbound.service
# systemctl enable unbound.service
ファイアウォールサービスの無効化# firewall-cmd --add-service=dns --permanent
# firewall-cmd --reload
ubound動作の確認# host google.com 192.168.100.200
unboundコントロールコマンドの確認unbound-control
start : 시작
stop : 중지
reload : 설정 다시 읽기
status : 상태 확인
lookup [대상] : 대상을 찾기 위해 요청을 전달할 서버 확인
dump_cache : dns 요청 캐시 확인. 리다이렉션으로 저장
load_cache : 캐시 파일로부터 읽기
flush : 요청 항목 캐시 삭제
flush_zone : 요청 항목 영역 캐시 전체 삭제
Reference
この問題について(ENCORE CLOUD ARCHITECTURE TIL 3/22 Linux CentOS), 我々は、より多くの情報をここで見つけました
https://velog.io/@tlsalsckd13/ENCORE-CLOUD-ARCHITECTURE-TIL-322-Linux-CentOS
テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol
2台目のサーバの構成:
IP : 192.168.100.200/24
Gateway : 192.168.100.2
DNS : 192.168.100.100
# nmcli connection add con-name static ifname ens33 type ethernet ipv4.addresses 192.168.100.200/24 ipv4.gateway 192.168.100.2 ipv4.dns 192.168.100.100 ipv4.method manual
# nmcli connection up static領域転送を許可する設定項目に、以下の内容(/etc/named.confの領域領域項目)を追加します.
Allow-transfer{[転送を許可するサーバ];};
設定の確認
# named-checkconf# systemctl restart named.service
# systemctl status named.serviceデフォルトアクセス制御設定を変更して領域設定を追加(Slave)
zone "example.local" IN {
type slave;
masters { 192.168.100.100; };
file "slaves/example.local.zone";
};# named-checkconf /etc/named.conf# systemctl start named.service# host example.local localhost
# ls -l /var/named/slaves/
# cat /var/named/slaves/example.local.zoneDNSサーバを直接管理する必要はありません(BINDなど)
BINDなどの本格的なDNSサーバは、領域を直接管理するのではなく、キャッシュ専用のサーバとして使用される
キャッシュ専用DNSサーバ用の個別のツール
必要:流量などを減らす.
転送(Forward):再帰クエリ:要求を指定したDNSサーバに転送し、直接循環クエリを実行しない
DNSサーバ実習のみキャッシュ:unbound
bound 설치
# yum search unbound
unbound.x86_64 : Validating, recursive, and caching DNS(SEC) resolver
# yum install unbound
bound 기본 설정 변경
# vi /etc/unbound/unbound.conf
…
interface [인터페이스IP]
…
access-control: [접근제어대상IP/네트워크] [allow/refuse/deny]
…
forward-zone:
name: [전달할 영역]
forward-addr: [전달할 DNS 서버]
ex)전체 접근 허용 예시
interface: 192.168.100.200
access-control: 0.0.0.0/0 allow
ex) 기본적으로 google dns로 전달하도록, 특정 영역만 bind로 전달하도록 설정
forward-zone:
name: “.”
forward-addr: 8.8.8.8
forward-zone:
name: “example.local”
forward-addr: 192.168.100.100# systemctl start unbound.service
# systemctl enable unbound.service# firewall-cmd --add-service=dns --permanent
# firewall-cmd --reload# host google.com 192.168.100.200unbound-control
start : 시작
stop : 중지
reload : 설정 다시 읽기
status : 상태 확인
lookup [대상] : 대상을 찾기 위해 요청을 전달할 서버 확인
dump_cache : dns 요청 캐시 확인. 리다이렉션으로 저장
load_cache : 캐시 파일로부터 읽기
flush : 요청 항목 캐시 삭제
flush_zone : 요청 항목 영역 캐시 전체 삭제Reference
この問題について(ENCORE CLOUD ARCHITECTURE TIL 3/22 Linux CentOS), 我々は、より多くの情報をここで見つけました https://velog.io/@tlsalsckd13/ENCORE-CLOUD-ARCHITECTURE-TIL-322-Linux-CentOSテキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol