本地IDC通过解析器互通云上DNS服务
概述
使用解析器的前提是需要云上 VPC 和用户 IDC 相互打通!
- 用户内网 IDC 解析云上 DNS-Server 中的记录(如服务网卡域名解析等)—— 入站解析器
- 云上 VPC 内的机器解析用户内网 IDC DNS-Server 中的记录 —— 出站解析器
入站解析器
典型应用场景:云下 IDC 请求云上某个服务网卡
步骤一:服务网卡关联创建云上解析记录
首先已有一张服务网卡,并且关联创建了域名解析服务
服务网卡在智能云解析 DNS 私有域产品中 bcebos.com 这个 zone 里面添加了泛解析 *bd.bcebos.com -> 192.168.0.2
步骤二:控制台创建入站解析器
步骤三:获取云上入站 VPC 所属的 DNS-Server IP
步骤四:用户根据需求设置内网IDC DNS-Server的转发规则(以 bind9 为例)
如一个最简 dns-server(bind9)的配置,设置为将 bd.bcebos.com 域下所有域名都转发到百度云上 VPC 的 DNS-Server:
# /etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
allow-query { any; };
...
};
...
zone "bcebos.com" {
type forward;
forward only;
forwarders { 192.168.0.8; };
};
include "/etc/named.rfc1912.zones";用户可以根据需要在内网 IDC DNS-Server 中配置自己的转发策略即可。
注:
- forward first(默认行为)设置优先使用 forwarders DNS 服务器做域名解析,如果查询不到再使用本地 DNS 服务器做域名解析。
- forward only 设置只使用 forwarders DNS 服务器做域名解析,如果查询不到则返回 DNS 客户端查询失败。「建议使用forward only,百度云上 DNS 也具有递归公网的能力」
步骤五:路由放行 IP 地址
用户除了打通内网 IDC 和云上 VPC,还需要设置双端路由,放行入站解析器以及访问入站解析器的用户 IDC DNS-Server IP 。此外,如果用户内网 IDC 的 DNS-Server 有设置防火墙之类的安全措施,应当允许入站源 IP 的流量访问。
已专线为例:
用户如果是通过专线打通内网 IDC 和云上 VPC,则需要设置专线双端路由,放行入站解析器(如 192.168.0.8)的 IP(第 2 步中获取),以及访问入站解析器的用户 IDC DNS-Server IP 。一般专线路由放行了当前 VPC / Subnet 以及用户 IDC 的 CIDR 则无需再进行操作。同时防火墙等安全措施需要允许这部分 IP 的流量。
出站解析器
典型应用场景:云上虚机请求用户 IDC 某个域名如 idc.test.com
步骤一:控制台创建出站解析器的出站终端节点
步骤二:获取云上出站 VPC 所属的 Forward IP(多个)
步骤三:控制台创建出站解析器的转发规则
如设置 test.com 域下的域名转发到用户内网 IDC 解析:
需要注意的是,百度云上的私有域优先级高于出站解析器的转发规则,如 test.com 域实际的匹配原则是:私有域 test.com 中的域名
步骤四:控制台绑定 VPC 与转发规则
解析器落在某个 VPC 只是占用了其资源,不代表该 VPC 就已经具备 DNS 出站能力,需要将设置的转发规则与指定 VPC 进行绑定,支持绑定多个 VPC 共享一个解析器出站终端节点。
步骤五:路由放行 IP 地址
用户除了打通内网 IDC 和云上 VPC,还需要设置双端路由。另外,如果用户内网 IDC 的 DNS-Server 有设置防火墙之类的安全措施,应当允许出站源 IP 的流量访问。
以专线为例:
用户如果是通过专线打通内网 IDC 和云上 VPC,则需要设置专线双端路由,放行出站解析器(如 192.168.0.2、192.168.1.2)的 IP(第 2 步中获取),以及出站解析器 Forward 到用户 IDC 的目标 DNS-Server IP(如 10.0.0.2、10.0.0.3)。一般专线路由放行了当前 VPC / Subnet 以及用户 IDC 的 CIDR 则无需再进行操作。同时防火墙等安全措施需要允许这部分 IP 的流量。