DNS概要

Transcript

1. OCI DNS 概要 OCI DNS Level 100 Oracle Cloud Infrastructure

   技術資料 2024年10月

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2024, Oracle and/or its affiliates 2

3. OCI インターネット・エッジサービスの全体像 Copyright © 2024, Oracle and/or its affiliates 3

   この資料のカバー範囲 マネージドDNSサービス • DNSゾーン & レコード管理 • アクティブヘルスチェック • グローバルトラフィック管理(フェイルオーバー, ロードバランシング, 地理ベース振分け) Email配信管理(メールリレーサービス) • Transactional email delivery, SMTP sending, SPF authentication, Suppression list management • DKIM, DMARC, Email delivery within a VCN, Send API DDoS対策 • OCI上のエンドポイントに対するDDoS対策が無償で付属 Web Application Firewall • 最新のフィルタリング・ルールが付属するフルマネージドのWAFサービス • AIを利用したインテリジェントなボット防御機能

4. Copyright © 2024, Oracle and/or its affiliates 4 OCI DNSサービスの概要

5. DNSはドメイン名とIPアドレスの対応を管理し、クライアントの要求に応じて”名前解決”を行う ドメイン・ネーム・システム(DNS) の働き Copyright © 2024, Oracle and/or its affiliates

   5 権威DNS (Authoritatives) ドメインツリー DNSキャッシュ (Resolvers) フルサービスリゾルバ (再帰DNS) クライアント (スタブリゾルバ) ルート(Root) DNSサーバ トップレベルドメイン (TLD)DNSサーバ 権威DNSサーバ www.example.com? 1.1.1.1 を応答 www.example.com? 他DNSサーバーに反復(iterative)問合せを 行い、結果を取得してクライアントに返答 管理するドメインの DNSゾーン情報を返答 DNS DNS DNS DNS root com net org jp example.com aaa.com bbb.com

6. VCN • 外部公開ドメインの運用 • インターネット上の公開ホストの名前解決 • 独自プライベートドメイン(社内限定など)の運用 • オンプレミスのプライベートネットワーク内のホストの 名前解決

   OCI DNSサービスの種類 Copyright © 2024, Oracle and/or its affiliates 6 パブリックDNS プライベートDNS 名前解決 インターネット DNS グローバルIP 例） example.com のゾーン ／レコードを管理 DNS 例） example.private のゾーン／レコードを 管理 名前解決 プライベートIP 本資料はこちらをメインに解説

7. OCI パブリックDNSサービス Copyright © 2024, Oracle and/or its affiliates 7

   実績豊富なグローバル・エニキャストDNSサービスがOCIに統合 特長 • Dyn Inc (https://dyn.com) 時代から20年にわたるエンタープライズ領域のDNS運用/サポートの実績 • OCI、他クラウド、オンプレミスなどの幅広いシステムをカバー • プライマリDNSに加えセカンダリDNSサービスをサポート (パブリック・クラウドで唯一) • 業界で最も正確なIP地理情報を保持 • 世界中のサービス拠点を利用した高速なレスポンス • 平均応答速度 8ms（業界最速レベルのDNS情報の伝搬速度） • DDoS対策をビルトイン • RFCの標準に準拠 • OCIの管理インフラに統合 (課金、コンソール、API)

8. DNSサービスの重要性 Copyright © 2024, Oracle and/or its affiliates 8 アプリ処理

   DBトラン ザクション ストレージ I/O ユーザーからの アクセス エッジ領域 Time to First Byte インターネット 接続 DNS参照 時間 クラウド基盤 50-70% 30-50% アプリケーション応答時間のうちエッジ領域が最大50%を占める

9. OCI エッジサービスの主要顧客 Copyright © 2024, Oracle and/or its affiliates 9

10. OCIとDynのManaged DNSサービスの関係 Copyright © 2024, Oracle and/or its affiliates 10

    DynのエニキャストDNSのグローバルネットワークをOracle Cloudの管理インフラに統合 Dyn Managed DNS • DNS問合せを処理 Oracle Cloud Infrastructure • コンソール / API • ID/アクセス管理 • 使用量&課金管理 • サービス制限 OCIの管理コンソールからDNSを構築/管理 • OCIのリソースID (OCID) による管理 • OCIの課金システムを利用した従量課金 • サービス制限によるリソースガバナンス

11. OCI DNSサービスの主な機能 Copyright © 2024, Oracle and/or its affiliates 11

    名前解決機能だけでなく、管理用APIや高度なトラフィック機能なども提供 • 全世界をカバーする堅牢なエニキャストDNSネットワーク • DNSゾーン管理 • DNSゾーンとDNSレコードの作成、管理、変更の一括パブリッシュ • ゾーンファイルのインポート • ゾーン情報、レコード情報のソート、フィルタリング • DNS問合せ数のレポート • セカンダリーDNSのサポート • API と SDK (Java, Go, Python, Ruby) • HTTPリダイレクト • トラフィック管理 (グローバル・ロードバランス、地理ベース振り分け、フェイルオーバーなど)

12. OCI DNS構成パターン Copyright © 2024, Oracle and/or its affiliates 12

    1. OCIのみでDNS (プライマリDNS) を構成 2. OCIとオンプレミス or 他社のDNSサービスを組み 合わせてプライマリとセカンダリを構成 例）プライマリDNS：オンプレミス or 他社DNS セカンダリDNS：OCI OCI DNS #1 OCI DNS #2 OCI DNS #n ・・・ 設定 管理者@OCIコンソール オンプレミス/ 他社DNS (プライマリ) OCI DNS (セカンダリ) 更新通知 設定 管理者 ゾーン転送 DNS DNS DNS DNS DNS

13. OCI DNSをプライマリに、顧客管理の外部セカンダリ DNSへゾーンを転送 ゾーン情報の管理はOCIコンソールで行うことで運用を 簡素化 ※セカンダリDNSのIPアドレスを登録できない場合、 Dynから移行されたDNSの可能性があるためSRを 起票してOCI NativeなDNSに切り替えが必要。 切り替えの間、ゾーン情報は一時的に削除される。

    ユースケース：プライマリDNS + 外部セカンダリDNS Copyright – © 2023 Oracle and/or its affiliates. All rights reserved. 13 Other DNS プライマリDNS DNS DNS セカンダリDNS ORACLE DNS example.jp. 3600 IN SOA ns1.example.jp. ( 2023031401 ; Serial 3600 ; Refresh … example.jp. 3600 IN NS ns1.example.jp. example.jp. 3600 IN MX 10 mx1.example.jp. ; ゾーン情報

14. ユースケース : セカンダリDNS Copyright © 2024, Oracle and/or its affiliates

    14 他DNS (プライマリ) の情報を OCI DNS (セカンダリ) にゾーン転送 プライマリ、セカンダリ両方のネームサーバーがDNSクエリに応答 既存サービスに影響を与えずにDNSの応答時間とDDoSへの耐性を 向上 Secondary DNS ユーザー フルサービスリゾルバ (再帰DNS) Webサイト 権威DNSサーバー セカンダリDNS DNS ORACLE DNS Other DNS DNS 権威DNSサーバー プライマリDNS Provisioning セカンダリの更新

15. ユースケース : 外部隠しマスター + セカンダリDNS Copyright © 2024, Oracle and/or

    its affiliates 15 OCIに置いたセカンダリDNSのネームサーバーのみを公開、全ての クエリはセカンダリDNSサーバーが応答 マスターDNSはファイアウォールの内側で保護 既存のDNSサーバーの運用は変更せずに、OCI DNSの堅牢性 と応答時間を享受 ORACLE DNS フルサービスリゾルバ (再帰DNS) Webサイト Other DNS Provisioning セカンダリの更新 権威DNSサーバー セカンダリDNS (パブリック) DNS DNS ユーザー 権威DNSサーバー 隠しマスター（オンプレミス） Firewall

16. 参考）OCI プライベートDNS Copyright © 2024, Oracle and/or its affiliates 16

    VCN プライベート・ネットワーク内での名前解決にはOCI プライベートDNSを利用する。VCN上のプライベートDNSリゾルバ がDNSクエリに応答する（エンドポイントと転送ルールを設定し、オンプレミスと相互のクエリ転送も可能）。 リスニング・エンドポイント 転送エンドポイント • プライベートDNSリゾルバ：VCNにてDNSクエリに応答 • VCNの169.254.169.254でリッスン • 転送エンドポイントから、設定した転送ルールに応じて クエリを特定のDNSサーバーに転送 • リスニング・エンドポイントにて、オンプレミスなどのDNS サーバーから転送されたクエリを受信 • プライベートDNSゾーン：DNSレコードを含む • プライベート・ビュー：プライベートDNSゾーンを含む • リゾルバは紐づいたビューのゾーン情報を参照 • 同一リージョンでは他のVCNのビューも紐づけ可能 転送 DNSサーバー オンプレミス DNSクエリ プライベートDNSリゾルバ 169.254.169.254 プライベート・ビュー プライベートDNSゾーン1 vcn1.oraclevcn.com suba.vcn1.oraclevcn.com プライベートDNSゾーン2 prod.domain.internal ... 転送 リゾルバの転送ルールに応 じて転送アクションが発生 DNSクエリ 参照

17. Copyright © 2024, Oracle and/or its affiliates 17 OCIゾーン管理方法

18. ゾーン管理の概要 Copyright © 2024, Oracle and/or its affiliates 18 DNSサーバはゾーン情報を利用して問い合わせに応答する

    • 「ゾーン」とは、ドメイン名のツリー構造の一部を構成するDNSの管理単位 • ドメイン名に対して、正当に管理できる状態にあることを「権威を持つ」という 権威DNSサーバにはプライマリとセカンダリがあり、プライマリDNSが管理するゾーン情報がセカンダリDNSへ同期される • プライマリDNSサーバ : マスターとなるゾーン情報を管理 • セカンダリDNSサーバ : プライマリDNSサーバからゾーン情報を同期 OCI DNSでゾーン作成する場合は以下3パターン 1. 手動作成 2. BINDファイル形式のゾーンファイル(RFC1035に準拠)をインポート 3. セカンダリDNSサーバとして、他DNSサーバー(プライマリ)からのゾーン転送を設定

19. ゾーン作成方法1 : 手動作成 Copyright © 2024, Oracle and/or its affiliates

    19 メソッド：[手動]を指定 ゾーン名：作成する任意のドメイン名を指定 コンパートメントに作成：所属させるコンパートメントを指定 ゾーン・タイプ：[プライマリ]を指定

20. ゾーン作成方法2 : ゾーンファイルインポート Copyright © 2024, Oracle and/or its affiliates

    20 メソッド：[インポート]を指定 ゾーン・ファイルインポート： • [ファイルの選択]をクリックし、BIND形式のファイル (RFC1035に準拠)をインポート • ゾーンファイルフォーマット例は以下参照 • https://docs.cloud.oracle.com/en- us/iaas/Content/DNS/Reference/formattingzonefi le.htm

21. ゾーン作成方法3 : セカンダリDNSとしてゾーンを複製 Copyright © 2024, Oracle and/or its affiliates

    21 メソッド：[手動]を指定 ゾーン名：作成する任意のドメイン名を指定 コンパートメントに作成：所属させるコンパートメントを指定 ゾーン・タイプ：[セカンダリ]を指定 マスター・サーバーIP： 複製元となるプライマリDNSサーバのIPアドレスを指定 • 複製元がDNSプロトコル (Notify、IXFR、AXFR)に対 応している必要がある TSIGキー：必要に応じて指定

22. ゾーン作成後に自動で登録される初期レコード Copyright © 2024, Oracle and/or its affiliates 22 •

    SOA レコード：ゾーンの管理情報を指定するリソースレコードで、以下のようなオーソリティ情報を含む • プライマリDNSサーバーのFQDN • ゾーンファイルのバージョンを表す「シリアル番号」 • ゾーンの情報をリフレッシュするまでの時間 • リトライ間隔など • NS レコード：ゾーンに対する名前解決を提供するネーム・サーバーとして４つの権威DNSサーバーが自動で登録

23. サポートするDNSレコードタイプ Copyright © 2024, Oracle and/or its affiliates 24 A

    (IPv4 IPアドレス) - RFC 1035 AAAA (IPv6 IPアドレス) - RFC 3596 CDNSKEY (Child DNSKEY) - RFC 7344 CDS (Child Delegation Signer) - RFC 7344 CERT (Certificate Record) - RFC 2538, RFC 4398 CNAME (別名レコード) - RFC 1035 CSYNC (Child-toParent sync Record) - RFC 7477 DHCID (DHCP Identification Record) - RFC 4701 DKIM (Domain Key Identified Mail Record - RFC 6376 DNAME (Delegation Name Record) - RFC 6672 DNSKEY (DNS Key Record) - RFC 4034 DS (Delegation Signer Record) - RFC 4034 IPSECKEY (IPSec Key Record) - RFC 4025 KEY (Key Record) - RFC 4025 KX (Key Exchanger Record) - RFC 2230 LOC (Location Record) - RFC 1876 MX (電子メール交換レコード) - RFC 1035 NS (ネームサーバーレコード) - RFC 1035 PTR (ポインターレコード) - RFC 1035 SOA (権威の開始レコード) - RFC 1035 SPF (Sender Policy Framework) - RFC 4408 SRV (Service Locator Record) - RFC 2782 SSHFP (SSH Public Key Fingerprint) - RFC 6594 TLSA (Transport Layer Security Auth) - RFC 6698 TXT (Text Record) - RFC 1035 ALIAS (CNAME at the apex) • Zone Apex でCNAME機能を許可するプライベート疑似レコード ※Zone Apex:頭にサブドメインを伴わない、ドメイン名自体のこと

24. 主要な DNSレコードタイプ の解説 Copyright © 2024, Oracle and/or its affiliates

    25 タイプ 説明(英語) 説明(日本語) 機能 A Address record IPv4 IPアドレスレコード 32ビットのIPv4 IPアドレスを回答 AAAA IPv6 address record IPv6 IPアドレスレコード 128ビットのIPv6 IPアドレスを回答 CNAME Canonical name record 別名レコード 他の名称へのエイリアス(別名)で使用 DNS問合せ処理はCNAMEで指定された新しい名前を使用して継続する ALIAS * Alias record エイリアスレコード OCI DNS(Dyn DNS)の独自拡張タイプ Compute, Network, DB, StorageなどのOCIリソースやその他のホスト名に指定可能 CNAMEと異なり、外部にはAレコードとして見え(直接IPv4が見える)、またゾーンのAPEXレコード (そのゾーンのトップレコード)としても利用可能 NS Name server record ネームサーバーレコード DNSゾーン自身や下位ドメインの権威DNSサーバを指定 MX Mail exchange record 電子メール交換レコード ドメインのメール転送エージェント(MTA)のリストとドメイン名をマッピング PTR Pointer record ポインタレコード Canonical Nameへのポインタ CNAMEとは異なりDNS処理が停止し名前のみ回答される 最も一般的な用途はDNSの逆引き、他にDNS-SDにも SOA Start of authority record 権威の開始レコード DNSゾーン情報を管理する権限を持っていること(=権威情報)を明示する プライマリネームサーバ、ドメイン管理者の電子メール、ドメインのシリアル番号、ゾーンのリフレッシュに 関連するいくつかのタイマーを含む SRV Service locator サービスロケータ 特定プロトコルのサービス情報を含むホスト名をマップする(ポート番号など) TXT Text record テキストレコード テキスト情報(文字列)を定義、またRFC 1464に規定されているような特別な用途に利用 SPFレコード(自ドメインで送信を許可するメールサーバー)など

25. 逆引き (PTR) レコードについて Copyright © 2024, Oracle and/or its affiliates

    26 OCI内で払い出されたグローバルIPに対する逆引き (IPアドレスからホスト名を名前解決する) を使用する場合は、 PTRレコードをOracleが所有する逆引きゾーンに設定する必要があるため、サポートへPTRレコード登録申請 が必要 となります。 $TTL 86400 @ IN SOA ns1.example.com.postmaster.example.com. ( ～省略～ ns IN A 129.213.8.1 mail IN A 129.213.8.2 www IN A 129.213.8.3 $TTL 86400 $ORIGIN 8.213.129.in-addr.arpa. ～省略～ 1 IN PTR www.company1.com 2 IN PTR www.company2.com 3 IN PTR www.example.com 正引きゾーン：example.com(例) 逆引きゾーン：129.213.8.0/24 (例) 正引きゾーンの権威はユーザが所有しているため、 任意にレコード追加・変更・削除可能 逆引きゾーンの権威は Oracle が所有している ため、追加・変更・削除には Oracle への依頼 が必要

26. ゾーン管理 利用上の制限 Copyright © 2024, Oracle and/or its affiliates 27

    初期のサービス制限 • 1テナンシーあたり 1,000 ゾーン • 1ゾーンあたり 25,000レコード ゾーンファイルをアップロードする際は1ファイルあたり1MB以下 • 1MBを超える場合は、1MB以下に分割し複数回に分けてアップロードが必要

27. Copyright © 2024, Oracle and/or its affiliates 28 価格

28. OCI パブリックDNSサービス 価格 Copyright © 2024, Oracle and/or its affiliates

    29 サービス 価格 メトリック Part No. DNSサービス（1,000個のサポート対象ゾーン、 ゾーンあたり25,000レコード） ¥131.75 1,000,000 クエリー/月 B88525

29. https://docs.oracle.com/en-us/iaas/api/#/en/dns/20180115/ OCI DNS API ドキュメント Copyright © 2024, Oracle and/or

    its affiliates 30

30. OCI DNS 関連の技術情報 Copyright © 2024, Oracle and/or its affiliates

    31 日本語マニュアル – DNSサービス・ゾーンの管理 • https://docs.oracle.com/cd/E97706_01/Content/DNS/Tasks/managingdnszones.htm チュートリアル – DNSサービスを使う - Oracle Cloud Infrastructureアドバンスド • https://community.oracle.com/docs/DOC-1019659 OCI DNSに関するFAQ • https://www.oracle.com/jp/cloud/networking/dns-faq.html ホワイトペーパー- How Cloud-Based DNS Improves Digital Performance and Resilience • https://www.oracle.com/a/ocom/docs/how-cloud-based-dns-improves-digital- performance-and-resilience.pdf

31. Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2024, Oracle and/or its

    affiliates 32 Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ - APIリファレンス • https://docs.cloud.oracle.com/ja- jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja- jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、 SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください

32. Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2024, Oracle and/or its

    affiliates 33 Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary

33. Thank you Copyright © 2024, Oracle and/or its affiliates 34

34. None

35. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.