DNS概要

OCI DNS 概要 OCI DNS Level 100 Oracle Cloud Infrastructure
技術資料 2023年2月

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2021, Oracle and/or its affiliates 2

OCI インターネット・エッジサービスの全体像 Copyright © 2021, Oracle and/or its affiliates 3
この資料のカバー範囲マネージドDNSサービス • DNSゾーン & レコード管理 • アクティブヘルスチェック • グローバルトラフィック管理(フェイルオーバー, ロードバランシング, 地理ベース振分け) Email配信管理(メールリレーサービス) • Transactional email delivery, SMTP sending, SPF authentication, Suppression list management • DKIM, DMARC, Email delivery within a VCN, Send API DDoS対策 • OCI上のエンドポイントに対するDDoS対策が無償で付属 Web Application Firewall • 最新のフィルタリング・ルールが付属するフルマネージドのWAFサービス • AIを利用したインテリジェントなボット防御機能

Copyright © 2021, Oracle and/or its affiliates 4 OCI DNSサービスの概要
About OCI DNS Service

DNSはドメイン名とIPアドレスの対応を管理し、クライアントの要求に応じて”名前解決”を行うドメイン・ネーム・システム(DNS) の働き Copyright © 2021, Oracle and/or its affiliates
5 権威DNS (Authoritatives) ドメインツリー DNSキャッシュ (Resolvers) フルサービスリゾルバ (再帰DNS) クライアント (スタブリゾルバ) ルート(Root) DNSサーバトップレベルドメイン (TLD)DNSサーバ権威DNSサーバ www.example.com? 1.1.1.1 を応答 www.example.com? 他DNSサーバーに反復(iterative)問合せを行い、結果を取得してクライアントに返答管理するドメインの DNSゾーン情報を返答 DNS DNS DNS DNS root com net org jp example.com aaa.com bbb.com

DNSサービスの重要性 Copyright © 2021, Oracle and/or its affiliates 6 アプリ処理
DBトランザクションストレージ I/O ユーザーからのアクセスエッジ領域 Time to First Byte インターネット接続 DNS参照時間クラウド基盤 50-70% 30-50% アプリケーション応答時間のうちエッジ領域が最大50%を占める

VCN • 外部公開ドメインの運用 • インターネット上の公開ホストの名前解決 • 独自プライベートドメイン(社内限定など)の運用 • オンプレミスのプライベートネットワーク内のホストの名前解決
OCI DNSサービスの種類 Copyright © 2021, Oracle and/or its affiliates 7 パブリックDNS プライベートDNS 名前解決インターネット DNS グローバルIP 例） example.com のゾーン／レコードを管理 DNS 例） example.private のゾーン／レコードを管理名前解決プライベートIP 本資料はこちらをメインに解説

パブリックDNS Copyright © 2021, Oracle and/or its affiliates 8 OCIと統合された、実績豊富な
グローバル・エニキャストDNSサービス特長 • Dyn Inc (https://dyn.com) 時代から20年にわたるエンタープライズ領域のDNS運用/サポートの実績 • OCI、他クラウド、オンプレミスなどの幅広いシステムをカバー • プライマリDNSに加えセカンダリDNSサービスをサポート (パブリック・クラウドで唯一) • 業界で最も正確なIP地理情報を保持 • 世界中のサービス拠点を利用した高速なレスポンス • 平均応答速度 8ms • 業界最速レベルのDNS情報の伝搬速度 • DDoS対策をビルトイン • RFCの標準に準拠 • OCIの管理インフラに統合 (課金、コンソール、API)

Oracle Cloud Infrastructure エッジ・サービス・ネットワーク Copyright © 2021, Oracle and/or its
affiliates 10 世界中のOCIリージョンとPoP(Point of Presence)の最も近い拠点からIPエニキャスト* サービスを提供 OCIリージョン OCI Gov. リージョン Edge Points of Presence 赤字の拠点でDNS/WAFを提供( ) 世界中で一貫したサービス品質 Tier 1プロバイダーとの間の安定したトランジット高いDDoS耐性 1分以内のDNS伝播時間 * IPエニキャスト : すべてのサーバーが同一IPアドレスを共有する堅牢で応答性の高いシステム PHOENIX CHICAGO TORONTO ASHBURN SAO PAULO LONDON FRANKURT ZURICH MUMBAI SYDNEY SEOUL TOKYO OSAKA HYDERABAD

OCI のエッジ・サービスを支えるもの Copyright © 2021, Oracle and/or its affiliates 11
Superior geolocation accuracy Comprehensive internet performance data 権威DNS問合せログ 6TB/day: 240カ国から1日あたり320億クエリ再帰DNS問合せログ 360GB/day: 246カ国から1日あたり100億回クエリ Traceroute データ 220GB/day: 約300箇所からの1日あたり 6.5億件の IPv4 & IPv6 トレースネットワーク・プリフィクス / AS番号登録情報 10GB/day: 50以上のデータ・ソース (5 RIRs, 22 IRRs, 2 commercial geo sources, etc.) BGPルーティング情報 2GB/day: 700以上の IPv4 & IPv6 ピアから通知される1日あたり2.5億件の BGP アップデートを処理 IPジオロケーション情報 2GB/day: 6.1億件のIPアドレスのIPジオロケーション情報を保持 270,000,000,000 data points daily

OCI と DynのManaged DNSサービスの関係 Copyright © 2021, Oracle and/or its
affiliates 12 Dyn のエニキャストDNSのグローバルネットワークをOracle Cloudの管理インフラに統合 Dyn Managed DNS • DNS問合せを処理 Oracle Cloud Infrastructure • コンソール / API • ID/アクセス管理 • 使用量&課金管理 • サービス制限 • 管理コンソール : OCIの管理コンソールの利用 • Identity : OCID : Oracle Cloudの管理 ID を使ったリソース管理 • OCIのメータリング、課金の仕組みの利用 • サービス・リミット

OCI DNSサービスの主な機能 Copyright © 2021, Oracle and/or its affiliates 13
• 全世界をカバーする堅牢なエニキャストDNSネットワーク • DNSゾーン管理 • DNSゾーンとDNSレコードの作成、管理、変更の一括パブリッシュ • ゾーンファイルのインポート • ゾーン情報、レコード情報のソート、フィルタリング • DNS問合せ数のレポート • API と SDK (Java, Go, Python, Ruby) • セカンダリーDNSのサポート • API と SDK (Java, Go, Python, Ruby) • HTTPリダイレクト • トラフィック管理 (グローバル・ロードバランス、地理ベース振り分け、フェイルオーバーなど)

OCI DNS構成パターン Copyright © 2021, Oracle and/or its affiliates 14
1. OCIのみでDNS(プライマリDNS)を構成 2. オンプレミス、または他社のDNSサービスをプライマリ DNS、OCIをセカンダリDNS OCI DNS #1 OCI DNS #2 OCI DNS #n ・・・設定管理者@OCIコンソールオンプレミス/ 他社DNS (プライマリ) OCI DNS (セカンダリ) 更新通知設定管理者ゾーン転送 DNS DNS DNS DNS DNS

Copyright © 2021, Oracle and/or its affiliates 15 OCI ゾーン管理方法
OCI DNS Zone Management

ゾーンの管理 Copyright © 2021, Oracle and/or its affiliates 16 ゾーンとは
• 「ゾーン」とは、ドメイン名のツリー構造の一部を構成するDNSの管理単位 • ドメイン名に対して、正当に管理できる状態にあることを「権威を持つ」という権威DNSサーバのゾーンタイプは2種類 • プライマリDNSサーバ : マスターとなるゾーン情報を管理 • セカンダリDNSサーバ : プライマリDNSサーバからゾーン情報を同期 OCI DNSでゾーン作成する場合は以下3パターン 1. 手動作成 2. BINDファイル形式のゾーンファイル(RFC1035に準拠)をインポート 3. セカンダリDNSサーバとして、他DNSサーバー(プライマリ)からのゾーン転送を設定

ゾーン作成方法1 : 手動作成 Copyright © 2021, Oracle and/or its affiliates
17 メソッド：[手動]を指定ゾーン名：作成する任意のドメイン名を指定コンパートメントに作成：所属させるコンパートメントを指定ゾーン・タイプ：[プライマリ]を指定

ゾーン作成方法2 : ゾーンファイルインポート Copyright © 2021, Oracle and/or its affiliates
18 メソッド：[インポート]を指定ゾーン・ファイルインポート： • [ファイルの選択]をクリックし、BIND形式のファイル (RFC1035に準拠)をインポート • ゾーンファイルフォーマット例は以下参照 • https://docs.cloud.oracle.com/en- us/iaas/Content/DNS/Reference/formattingzonefi le.htm

ゾーン作成方法3 : セカンダリDNSとしてゾーンを複製 Copyright © 2021, Oracle and/or its affiliates
19 メソッド：[手動]を指定ゾーン名：作成する任意のドメイン名を指定コンパートメントに作成：所属させるコンパートメントを指定ゾーン・タイプ：[セカンダリ]を指定マスター・サーバーIP：複製元となるプライマリDNSサーバのIPアドレスを指定 • 複製元がDNSプロトコル (Notify、IXFR、AXFR)に対応している必要がある TSIGキー：必要に応じて指定

ゾーン作成後に登録されているレコード Copyright © 2021, Oracle and/or its affiliates 20 •
SOA レコード：ゾーンの起点を示し、ゾーンの管理情報を指定するリソースレコード。ゾーンファイルのバージョンを表す「シリアル番号」や、ゾーンの情報をリフレッシュするまでの時間、リトライ間隔など、分割されたゾーンそれぞれのオーソリティ情報が記されている。 • NS レコード：作成したゾーンに対する名前解決を提供するネーム・サーバーとして、４つの権威DNSサーバーが登録されている。

サポートするDNSレコードタイプ Copyright © 2021, Oracle and/or its affiliates 22 A
(IPv4 IPアドレス) - RFC 1035 AAAA (IPv6 IPアドレス) - RFC 3596 CDNSKEY (Child DNSKEY) - RFC 7344 CDS (Child Delegation Signer) - RFC 7344 CERT (Certificate Record) - RFC 2538, RFC 4398 CNAME (別名レコード) - RFC 1035 CSYNC (Child-toParent sync Record) - RFC 7477 DHCID (DHCP Identification Record) - RFC 4701 DKIM (Domain Key Identified Mail Record - RFC 6376 DNAME (Delegation Name Record) - RFC 6672 DNSKEY (DNS Key Record) - RFC 4034 DS (Delegation Signer Record) - RFC 4034 IPSECKEY (IPSec Key Record) - RFC 4025 KEY (Key Record) - RFC 4025 KX (Key Exchanger Record) - RFC 2230 LOC (Location Record) - RFC 1876 MX (電子メール交換レコード) - RFC 1035 NS (ネームサーバーレコード) - RFC 1035 PTR (ポインターレコード) - RFC 1035 SOA (権威の開始レコード) - RFC 1035 SPF (Sender Policy Framework) - RFC 4408 SRV (Service Locator Record) - RFC 2782 SSHFP (SSH Public Key Fingerprint) - RFC 6594 TLSA (Transport Layer Security Auth) - RFC 6698 TXT (Text Record) - RFC 1035 ALIAS (CNAME at the apex) • Zone Apex でCNAME機能を許可するプライベート疑似レコード ※Zone Apex:頭にサブドメインを伴わない、ドメイン名自体のこと

主要な DNSレコードタイプの解説 Copyright © 2021, Oracle and/or its affiliates
23 タイプ説明(英語) 説明(日本語) 機能 A Address record IPv4 IPアドレスレコード 32ビットのIPv4 IPアドレスを回答 AAAA IPv6 address record IPv6 IPアドレスレコード 128ビットのIPv6 IPアドレスを回答 CNAME Canonical name record 別名レコード他の名称へのエイリアス(別名)で使用 DNS問合せ処理はCNAMEで指定された新しい名前を使用して継続する ALIAS * Alias record エイリアスレコード OCI DNS(Dyn DNS)の独自拡張タイプ Compute, Network, DB, StorageなどのOCIリソースやその他のホスト名に指定可能 CNAMEと異なり、外部にはAレコードとして見え(直接IPv4が見える)、またゾーンのAPEXレコード (そのゾーンのトップレコード)としても利用可能 NS Name server record ネームサーバーレコード DNSゾーン自身や下位ドメインの権威DNSサーバを指定 MX Mail exchange record 電子メール交換レコードドメインのメール転送エージェント(MTA)のリストとドメイン名をマッピング PTR Pointer record ポインタレコード Canonical Nameへのポインタ CNAMEとは異なりDNS処理が停止し名前のみ回答される最も一般的な用途はDNSの逆引き、他にDNS-SDにも SOA Start of authority record 権威の開始レコード DNSゾーン情報を管理する権限を持っていること(=権威情報)を明示するプライマリネームサーバ、ドメイン管理者の電子メール、ドメインのシリアル番号、ゾーンのリフレッシュに関連するいくつかのタイマーを含む SRV Service locator サービスロケータ特定プロトコルのサービス情報を含むホスト名をマップする(ポート番号など) TXT Text record テキストレコードテキスト情報(文字列)を定義、またRFC 1464に規定されているような特別な用途に利用 SPFレコード(自ドメインで送信を許可するメールサーバー)など

ゾーン管理利用上の制限 Copyright © 2021, Oracle and/or its affiliates 24
初期のサービス制限 • 1テナンシーあたり 1,000 ゾーン • 1ゾーンあたり 25,000レコードゾーンファイルをアップロードする際は1ファイルあたり1MB以下 • 1MBを超える場合は、1MB以下に分割し複数回に分けてアップロードが必要

ユースケース : セカンダリDNS Copyright © 2021, Oracle and/or its affiliates
26 他DNS(プライマリ)の情報を OCI DNS(セカンダリ)にゾーン転送プライマリ、セカンダリ両方のネームサーバーがDNSクエリに応答既存サービスに影響を与えずにDNSの応答時間とDDoSへの耐性を向上 Secondary DNS ユーザーフルサービスリゾルバ (再帰DNS) Webサイト権威DNSサーバーセカンダリDNS DNS ORACLE DNS Other DNS DNS 権威DNSサーバープライマリDNS Provisioning セカンダリの更新

ユースケース : 隠しマスター + セカンダリDNS Copyright © 2021, Oracle and/or
its affiliates 27 OCIに置いたセカンダリDNSのネームサーバーのみを公開、全てのクエリはセカンダリDNSサーバーが応答マスターDNSはファイアウォールの内側で保護既存のDNSサーバーの運用は変更せずに、OCI DNSの堅牢性と応答時間を享受 ORACLE DNS フルサービスリゾルバ (再帰DNS) Webサイト Other DNS Provisioning セカンダリの更新権威DNSサーバーセカンダリDNS (パブリック) DNS DNS ユーザー権威DNSサーバー隠しマスター（オンプレミス） Firewall

逆引き(PTR)レコードについて Copyright © 2021, Oracle and/or its affiliates 28 OCI内で払い出されたグローバルIPに対する逆引き(IPアドレスからホスト名を名前解決する)
を使用する場合は、 PTRレコードを Oracle が所有する逆引きゾーンに設定する必要があるため、サポートへPTRレコード登録申請が必要となります。 $TTL 86400 @ IN SOA ns1.example.com.postmaster.example.com. ( ～省略～ ns IN A 129.213.8.1 mail IN A 129.213.8.2 www IN A 129.213.8.3 $TTL 86400 $ORIGIN 8.213.129.in-addr.arpa. ～省略～ 1 IN PTR www.company1.com 2 IN PTR www.company2.com 3 IN PTR www.example.com 正引きゾーン：example.com(例) 逆引きゾーン：129.213.8.0/24 (例) 正引きゾーンの権威はユーザが所有しているため、任意にレコード追加・変更・削除可能逆引きゾーンの権威は Oracle が所有しているため、追加・変更・削除には Oracle への依頼が必要

参考）プライベートDNS Copyright © 2021, Oracle and/or its affiliates 30 VCN
内部リゾルバ 169.254.169.254 VCN Oracle Cloud Infrastructure DNS サービスのプライベートDNSを利用することで、プライベート・ネットワークの名前解決を行うためのゾーンとレコード管理が可能また、プライベートDNSリゾルバで、VNC間、オンプレミスや他のネットワークとの間でのゾーン転送が可能リスニング・エンドポイント転送エンドポイント • プライベートDNSゾーン • プライベートネットワーク内で利用可能なDNSデータ。 • 複数VCNにまたがってゾーンを複製することも可能 • プライベートDNSビュー • プライベート・ゾーンの集まり。リゾルバからはビューを関連付けることができる • プライベートDNSリゾルバ • VCN内でDNSクエリに応答するリゾルバ • VCN内でデフォルトで169.254.169.254でリッスン • エンドポイントを利用しゾーン転送可能リスニング転送 DNSサーバー名前解決 prod.domain.internal vcn1.oraclevcn.com suba.vcn1.oraclevcn.co m デフォルトのプライベート・ビュープライベートDNSゾーンで構成されるプライベート・ビューオンプレミス名前解決

OCI DNS 関連の技術情報 Copyright © 2021, Oracle and/or its affiliates
32 日本語マニュアル – DNSサービス・ゾーンの管理 • https://docs.oracle.com/cd/E97706_01/Content/DNS/Tasks/managingdnszones.htm チュートリアル – DNSサービスを使う - Oracle Cloud Infrastructureアドバンスド • https://community.oracle.com/docs/DOC-1019659 OCI DNSに関するFAQ • https://www.oracle.com/jp/cloud/networking/dns-faq.html ホワイトペーパー- How Cloud-Based DNS Improves Digital Performance and Resilience • https://www.oracle.com/a/ocom/docs/how-cloud-based-dns-improves-digital- performance-and-resilience.pdf

Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2021, Oracle and/or its
affiliates 33 Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ - APIリファレンス • https://docs.cloud.oracle.com/ja- jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja- jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、 SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください

Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2021, Oracle and/or its
affiliates 34 Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary

Our mission is to help people see data in new
ways, discover insights, unlock endless possibilities.

DNS概要

DNS概要

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Featured

Transcript