DNS-zónák és -rekordok áttekintése
Ez a cikk bemutatja a tartományokkal, DNS-zónákkal, DNS-rekordokkal és rekordkészletekkel kapcsolatos fő fogalmakat. Megtudhatja, hogyan támogatottak az Azure DNS-ben.
Tartománynevek
A tartománynévrendszer tartományok hierarchiájából áll. A hierarchia a root
tartományból indul ki, amelynek a neve egyszerűen ".". Az alábbiakban a legfelső szintű tartományok, például com
a , net
, org
uk
vagy jp
a . A legfelső szintű tartományok alatt a második szintű tartományok találhatók, például org.uk
vagy co.jp
. A DNS-hierarchia tartományai globálisan vannak elosztva, és világszerte DNS-névkiszolgálók üzemeltetik.
A tartománynév-regisztráló egy olyan szervezet, amely lehetővé teszi egy tartománynév megvásárlását, például contoso.com
. A tartománynév vásárlásával szabályozhatja az adott név alatti DNS-hierarchiát, például lehetővé teszi a név www.contoso.com
céges webhelyre irányítását. Előfordulhat, hogy a regisztráló saját névkiszolgálóin üzemelteti a tartományt az Ön nevében, vagy lehetővé teszi alternatív névkiszolgálók megadását.
Az Azure DNS egy globálisan elosztott és magas rendelkezésre állású névkiszolgálói infrastruktúrát biztosít, amelyet a tartomány üzemeltetéséhez használhat. Ha tartományait az Azure DNS-ben üzemelteti, a DNS-rekordokat ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel, számlázással és támogatással kezelheti, mint a többi Azure-szolgáltatás.
Az Azure DNS jelenleg nem támogatja a tartománynevek vásárlását. Éves díjért vásárolhat tartománynevet App Service-tartományok vagy külső tartománynév-regisztrálók használatával. A tartományokat ezután üzemeltetheti az Azure DNS-ben rekordok kezeléséhez. További információ: Delegate a domain to Azure DNS (Tartomány delegálása az Azure DNS-be).
DNS-zónák
A DNS-zóna egy adott tartomány DNS-rekordjait tárolja. A tartománya Azure DNS-ben való üzemeltetésének megkezdéséhez létre kell hoznia egy DNS-zónát az adott tartománynévhez. Ezután a tartománya összes DNS-rekordja ebben a DNS-zónában jön létre.
A „contoso.com” tartomány például számos DNS-rekordot tartalmazhat, például „mail.contoso.com” (levelezési kiszolgálóhoz) és „www.contoso.com” (webhelyhez).
DNS-zóna Azure DNS-ben való létrehozásakor:
- A zóna nevének egyedinek kell lennie az erőforráscsoporton belül, és nem egyezhet egy meglévő névvel. Ellenkező esetben a művelet sikertelen lesz.
- Az egyes zónanevek újra felhasználhatók egy másik erőforráscsoportban vagy egy másik Azure-előfizetésben.
- Abban az esetben, ha több zóna rendelkezik ugyanazzal a névvel, minden példány különböző névkiszolgálócímet kap. Csak egy címkészlet konfigurálható a tartományregisztrálóhoz.
Feljegyzés
Nem kell ahhoz tartománynévvel rendelkeznie, hogy azzal a tartománynévvel létrehozzon egy DNS-zónát az Azure DNS-ben. Azonban ahhoz, hogy az Azure DNS névkiszolgálókat a tartománynév helyes névkiszolgálójaként konfigurálhassa a tartományregisztrálóhoz, birtokolnia kell a tartományt.
További információ: Delegate a domain to Azure DNS (Tartomány delegálása az Azure DNS-be).
DNS records
Rekordnevek
Az Azure DNS-ben a rekordok relatív nevek használatával vannak meghatározva. A teljes tartománynév (FQDN) tartalmazza a zónanevet, míg a relatív név nem. A zóna contoso.com
relatív rekordneve www
például a teljes rekordnevet www.contoso.com
adja.
Egy csúcsrekord a gyökérnél egy DNS-rekord vagy egy DNS-zóna csúcsa. A DNS-zónában contoso.com
például egy csúcsrekord teljes névvel contoso.com
is rendelkezik (ezt néha meztelen tartománynak is nevezik). A szabályok szerint a '@' relatív név csúcsrekordokat jelöl.
Rekordtípusok
Minden DNS-rekord rendelkezik névvel és típussal. A rekordok különféle típusokba vannak rendezve attól függően, hogy milyen adatokat tartalmaznak. A leggyakoribb típus az „A” rekord, amely egy nevet képez le egy IPv4-címhez. Egy másik gyakori típus, az „MX” rekord, egy nevet képez le egy levelezési kiszolgálóhoz.
Az Azure DNS támogatja az összes gyakori DNS-rekordtípust: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV és TXT. Vegye figyelembe, hogy az SPF-rekordok TXT-rekordok használatával vannak jelölve.
További rekordtípusok akkor támogatottak, ha a zóna dns-biztonsági bővítményekkel (DNSSEC) van aláírva, például delegálás-aláíró (DS) és transport layer security authentication (TLSA) erőforrásrekordokkal.
A DNSSEC-erőforrásrekord-típusok, például a DNSKEY, az RRSIG és az NSEC3 rekordok automatikusan hozzáadódnak, amikor egy zóna alá van írva a DNSSEC-szel. Ezek a DNSSEC-erőforrásrekordok nem hozhatók létre és nem módosíthatók a zónaaláírás után.
Rekordhalmazok
Előfordulhat, hogy több, azonos nevű és típusú DNS-rekordot is létre kell hoznia. Tegyük fel például, hogy a „www.contoso.com” webhely két különböző IP-címről is üzemel. A webhelynek két különböző A-rekordra van szüksége a két IP-címhez. Íme egy példa egy rekordhalmazra:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Az Azure DNS minden DNS-rekordot a rekordhalmazok használatával kezel. A rekordhalmazok (más néven az erőforrás-rekordhalmazok) az egy zónába tartozó, ugyanazzal a névvel és típussal rendelkező DNS-rekordok gyűjteményei. A legtöbb rekordhalmaz egyetlen rekordot tartalmaz. Az olyan példák, mint a fenti, amelyben egy rekordhalmaz egynél több rekordot tartalmaz, nem gyakoriak.
Tegyük fel például, hogy már létrehozott egy A „www” rekordot a „contoso.com” zónában, amely a „134.170.185.46” IP-címre mutat (a fenti első rekord). A második rekord létrehozása esetén a rekordot a meglévő rekordhalmazhoz kellene hozzáadnia, egy további rekordhalmaz létrehozása helyett.
A SOA és CNAME típusú rekordok kivételt jelentenek ez alól. A DNS-szabványok nem engedélyeznek ugyanazzal a névvel több rekordot ezen típusok esetén, ezért ezek a rekordhalmazok csak egy rekordot tartalmazhatnak.
Élettartam
Az élettartam vagy a TTL azt határozza meg, hogy az ügyfelek mennyi ideig gyorsítótárazzák az egyes rekordokat a lekérdezés előtt. A fenti példában a TTL 3600 másodperc vagy 1 óra.
Az Azure DNS-ben a TTL a rekordhalmazhoz lesz megadva, nem minden rekordhoz, így a rendszer ugyanazt az értéket használja az adott rekordhalmaz összes rekordja esetében. Bármilyen TTL-értéket megadhat 1 és 2 147 483 647 másodperc között.
Helyettesítő karakterek rekordjai
Az Azure DNS helyettesítő rekordok használatát is támogatja. A helyettesítő karakterek rekordjai egyező névvel rendelkező lekérdezésre válaszul lesznek visszaadva, kivéve, ha egy nem helyettesítő rekordhalmazból van közelebbi egyezés. Az Azure DNS az NS és az SOA kivételével minden rekordtípushoz támogatja a helyettesítő rekordkészleteket.
Helyettesítő karakteres rekordkészlet létrehozásához használja a következő rekordkészlet nevét: "*". A "*" nevű nevet is használhatja a bal oldali címkeként, például "*.foo".
CAA-rekordok
A CAA-rekordok lehetővé teszik a tartománytulajdonosok számára, hogy megadják, mely hitelesítésszolgáltatók jogosultak a tartományuk tanúsítványainak kiállítására. Ez a rekord lehetővé teszi a hitelesítésszolgáltatók számára, hogy bizonyos körülmények között elkerüljék a hibás tanúsítványok kiállítását. A CAA-rekordok három tulajdonsággal rendelkeznek:
- Jelzők: Ez a mező egy 0 és 255 közötti egész szám, amely az RFC6844
- Címke: ASCII-sztring, amely az alábbiak egyike lehet:
- probléma: ha olyan hitelesítésszolgáltatókat szeretne megadni, amelyek engedélyezve vannak a tanúsítvány kiállításához (minden típus)
- issuewild: ha olyan hitelesítésszolgáltatókat szeretne megadni, amelyek engedélyezve vannak a tanúsítvány kiállításához (csak helyettesítő tanúsítványok)
- iodef: adjon meg egy e-mail-címet vagy állomásnevet, amelyről a hitelesítésszolgáltatók értesíthetik a jogosulatlan tanúsítványokkal kapcsolatos problémákra vonatkozó kéréseket
- Érték: a kiválasztott címke értéke
CNAME rekordok
A CNAME rekordhalmazok nem tudnak együtt létezni más, azonos nevű rekordhalmazokkal. Nem hozható létre például egy relatív névvel www
rendelkező CNAME rekordkészlet, valamint egy A rekord, amelynek a relatív neve www
egyszerre van megadva.
Mivel a zóna csúcsa (neve = '@') a zóna létrehozásakor mindig tartalmazza az NS- és SOA-rekordkészleteket, a zóna csúcspontján nem hozható létre CNAME rekordkészlet.
Ezek a korlátozások a DNS-szabványokból erednek, és nem az Azure DNS korlátozásai.
NS-rekordok
A zóna csúcsán (@) beállított NS-rekord automatikusan létrejön az egyes DNS-zónákkal, és a zóna törlésekor automatikusan törlődik. Nem törölhető külön.
Ez a rekordkészlet tartalmazza a zónához rendelt Azure DNS-névkiszolgálók nevét. Több névkiszolgálót is hozzáadhat ehhez az NS-rekordkészlethez, hogy támogassa a több DNS-szolgáltatóval rendelkező tartományok tárolását. A rekordhalmaz TTL-t és metaadatait is módosíthatja. Az előre feltöltött Azure DNS-névkiszolgálók eltávolítása vagy módosítása azonban nem engedélyezett.
Ez a korlátozás csak a zónacsúcson beállított NS-rekordra vonatkozik. A zónában (a gyermekzónák delegálásához használt) egyéb NS-rekordhalmazok korlátozás nélkül hozhatók létre, módosíthatók és törölhetők.
SOA-rekordok
Az SOA rekordkészletek automatikusan létrejönnek az egyes zónák csúcsán (név = @), és a zóna törlésekor automatikusan törlődik. A SOA-rekordok nem hozhatók létre és nem törölhetők külön.
Az SOA rekord minden tulajdonságát módosíthatja a host
tulajdonság kivételével. Ez a tulajdonság előre konfigurálva lesz, hogy az Azure DNS által megadott elsődleges névkiszolgáló nevére hivatkozzon.
Az SOA rekord zóna sorozatszáma nem frissül automatikusan a zóna rekordjainak módosításakor. Szükség esetén manuálisan is frissíthető az SOA rekord szerkesztésével.
Feljegyzés
Az Azure DNS jelenleg nem támogatja a "" előtti pont (.) használatát az@ SOA hostmaster postaláda-bejegyzésében. Például: john.smith@contoso.xyz
(john.smith.contoso.xyz) és john\.smith@contoso.xyz
nem engedélyezett.
SPF rekordok
A küldőházirend-keretrendszer (SPF) rekordjai határozzák meg, hogy mely e-mail-kiszolgálók küldhetnek e-mailt egy tartománynév nevében. Az SPF-rekordok helyes konfigurálása fontos, hogy a címzettek ne jelölhessenek levélszemétként e-mailt.
A DNS RFC-k eredetileg egy új SPF rekordtípust vezetnek be a forgatókönyv támogatásához. A régebbi névkiszolgálók támogatásához a TXT rekordtípus használatát is lehetővé tették az SPF-rekordok megadásához. Ez a kétértelműség zavart okozott, amelyet az RFC 7208 megoldott. Azt állítja, hogy az SPF rekordokat TXT rekordtípussal kell létrehozni. Azt is jelzi, hogy az SPF rekordtípus elavult.
Az SPF-rekordokat az Azure DNS támogatja, és TXT rekordtípussal kell létrehozni. Az elavult SPF rekordtípus nem támogatott. DNS-zónafájl importálásakor az SPF rekordtípust használó SPF-rekordok TXT rekordtípusúvá lesznek konvertálva.
SRV rekordok
Az SRV rekordokat különböző szolgáltatások használják a kiszolgálóhelyek megadásához. SRV-rekord megadásakor az Azure DNS-ben:
- A szolgáltatást és a protokollt a rekordkészlet nevének részeként kell megadni, aláhúzásjelekkel előtaggal, például "_sip._tcp.name" előtaggal. A zóna csúcspontján lévő rekordok esetében nincs szükség "@" megadására a rekord nevében, egyszerűen használja a szolgáltatást és a protokollt, például a "_sip._tcp"-t.
- A prioritás, a súly, a port és a cél a rekordhalmaz egyes rekordjainak paramétereiként van megadva.
TXT rekordok
A TXT rekordok a tartománynevek tetszőleges szöveges sztringekre való leképezésére szolgálnak. Ezeket több alkalmazásban használják, különösen az e-mail-konfigurációhoz, például a feladói házirend-keretrendszerhez (SPF) és a DomainKeys Identified Mailhez (DKIM) kapcsolódóan.
A DNS-szabványok lehetővé teszik, hogy egyetlen TXT rekord több sztringet tartalmazzon, amelyek mindegyike legfeljebb 255 karakter hosszúságú lehet. Ha több sztringet használ, az ügyfelek összefűzik őket, és egyetlen sztringként kezelik őket.
Az Azure DNS REST API meghívásakor külön kell megadnia az egyes TXT-sztringeket. Az Azure Portal, a PowerShell vagy a CLI-felületek használatakor rekordonként egyetlen sztringet kell megadnia. Ez a sztring szükség esetén automatikusan 255 karakterből álló szegmensekre oszlik.
A DNS-rekord több sztringje nem tévesztendő össze a TXT rekordkészlet több TXT rekordjával. A TXT rekordhalmazok több rekordot is tartalmazhatnak, amelyek mindegyike több sztringet is tartalmazhat. Az Azure DNS az egyes TXT rekordhalmazokban legfeljebb 4096 karakter hosszúságú sztringet támogat (az összes rekord összesítése esetén).
DS-rekordok
A delegálás-aláíró (DS) rekord egy DNSSEC-erőforrásrekordtípus , amely a delegálás védelmére szolgál. Ha DS-rekordot szeretne létrehozni egy zónában, először alá kell írnia a zónát a DNSSEC-lel.
TLSA-rekordok
A TLSA (Transport Layer Security Authentication) rekord használatával TLS-kiszolgálói tanúsítványt vagy nyilvános kulcsot társíthat a rekordot tartalmazó tartománynévhez. Egy TLSA-rekord összekapcsolja a nyilvános kulcsot (egy TLS-kiszolgálói tanúsítványt) a tartománynévvel, és további biztonsági réteget biztosít a TLS-kapcsolatok számára.
A TLSA-rekordok hatékony használatához a DNSSEC-et engedélyezni kell a tartományban. Ez biztosítja, hogy a TLSA-rekordok megbízhatók és megfelelően érvényesíthetők legyenek
Címkék és metaadatok
Címkék
A címkék név-érték párok listája, és az Azure Resource Manager az erőforrások címkézésére használja. Az Azure Resource Manager címkék használatával engedélyezi az Azure-számla szűrt nézeteit, és lehetővé teszi bizonyos címkék házirendjének beállítását is. A címkékkel kapcsolatos további információért tekintse meg Az Azure-erőforrások rendszerezése címkék használatával című cikket.
Az Azure DNS támogatja az Azure Resource Manager-címkék használatát a DNS-zónaerőforrásokon. Nem támogatja a DNS-rekordhalmazok címkéinek használatát, de alternatív megoldásként a metaadatok támogatottak a DNS-rekordhalmazokon az alább ismertetett módon.
Metaadatok
A rekordhalmazok címkéinek alternatívájaként az Azure DNS támogatja a rekordhalmazok metaadatokkal történő jegyzetelését. A címkékhez hasonlóan a metaadatok segítségével név-érték párokat társíthat az egyes rekordhalmazokhoz. Ez a funkció hasznos lehet, például az egyes rekordhalmazok céljának rögzítéséhez. A címkékkel ellentétben a metaadatok nem használhatók az Azure-számla szűrt nézetének biztosítására, és nem adhatók meg az Azure Resource Manager-szabályzatokban.
Etagek
Tegyük fel, hogy két vagy két folyamat egyszerre próbál módosítani egy DNS-rekordot. Melyik nyer? És tudja a győztes, hogy valaki más felülírta a módosításokat?
Az Azure DNS Etags használatával kezeli az ugyanazon erőforrás egyidejű módosításait biztonságosan. Az etagek különböznek az Azure Resource Manager címkéitől. Minden DNS-erőforráshoz (zónához vagy rekordkészlethez) tartozik egy Etag. Amikor lekér egy erőforrást, a rendszer lekéri az Etagjét is. Egy erőforrás frissítésekor dönthet úgy, hogy átadja az Etaget, hogy az Azure DNS ellenőrizni tudja az Etaget a kiszolgálón. Mivel egy erőforrás minden egyes frissítése az Etag újragenerálását eredményezi, az Etag eltérés azt jelzi, hogy egyidejű változás történt. Az etagek új erőforrás létrehozásakor is használhatók annak biztosítására, hogy az erőforrás még nem létezik.
Az Azure DNS PowerShell alapértelmezés szerint Etags használatával blokkolja a zónák és rekordhalmazok egyidejű módosításait. Az opcionális -Overwrite kapcsolóval letilthatja az etag-ellenőrzéseket, ebben az esetben a rendszer felülírja az egyidejű módosításokat.
Az Azure DNS REST API szintjén az etagek HTTP-fejlécekkel vannak megadva. Viselkedésüket a következő táblázatban adtuk meg:
Fejléc | Működés |
---|---|
Egyik sem | A PUT mindig sikeres (nincs Etag-ellenőrzés) |
If-match <etag> | A PUT csak akkor sikeres, ha az erőforrás létezik, és az Etag egyezik |
Ha egyezés * | A PUT csak akkor sikeres, ha létezik erőforrás |
Ha nincs egyezés * | A PUT csak akkor sikeres, ha az erőforrás nem létezik |
Korlátok
Az Azure DNS használatakor a következő alapértelmezett korlátozások érvényesek:
Nyilvános DNS-zónák
Erőforrás | Korlát |
---|---|
Nyilvános DNS-zónák előfizetésenként | 250 1 |
Rekordhalmazok nyilvános DNS-zónánként | 10 000 1 |
Rekordhalmazonkénti rekordok a nyilvános DNS-zónában | 20 |
Egyetlen Azure-erőforrás aliasrekordjainak száma | 20 |
1Ha növelnie kell ezeket a korlátokat, forduljon az Azure ügyfélszolgálatához.
Következő lépések
- Az Azure DNS használatának megkezdéséhez ismerje meg, hogyan hozhat létre DNS-zónákat és hozhat létre DNS-rekordokat.
- Meglévő DNS-zóna migrálásához ismerje meg, hogyan importálhat és exportálhat DNS-zónafájlokat.