Omówienie stref i rekordów DNS
W tym artykule wyjaśniono kluczowe pojęcia dotyczące domen, stref DNS, rekordów DNS i zestawów rekordów. Dowiesz się, jak są one obsługiwane w usłudze Azure DNS.
Nazwy domen
System nazw domen (DNS, Domain Name System) jest hierarchią domen. Hierarchia rozpoczyna się od root
domeny, której nazwa to po prostu ".". Poniżej przedstawiono domeny najwyższego poziomu, takie jak com
, net
, org
uk
lub jp
. Poniżej domen najwyższego poziomu znajdują się domeny drugiego poziomu, takie jak org.uk
lub co.jp
. Domeny w hierarchii DNS są globalnie rozproszone, hostowane przez serwery nazw DNS na całym świecie.
Rejestrator nazw domen to organizacja, która umożliwia zakup nazwy domeny, takiej jak contoso.com
. Zakup nazwy domeny daje prawo do kontrolowania hierarchii DNS pod tą nazwą, na przykład umożliwiając kierowanie nazwy www.contoso.com
do firmowej witryny sieci Web. Rejestrator może hostować domenę na własnych serwerach nazw w Twoim imieniu lub zezwolić na określenie alternatywnych serwerów nazw.
Usługa Azure DNS zapewnia globalnie rozproszoną i wysoką dostępność infrastrukturę serwera nazw, której można użyć do hostowania domeny. Hostując domeny w usłudze Azure DNS, możesz zarządzać rekordami DNS przy użyciu tych samych poświadczeń, interfejsów API, narzędzi, rozliczeń i pomocy technicznej co inne usługi platformy Azure.
Usługa Azure DNS obecnie nie obsługuje zakupu nazw domen. Za roczną opłatą możesz kupić nazwę domeny, używając domen usługi App Service lub innego rejestratora nazw domen. Następnie możesz hostować domeny w usłudze Azure DNS na potrzeby zarządzania rekordami. Więcej informacji można znaleźć w temacie Delegowanie domeny do usługi DNS platformy Azure.
Strefy DNS
Strefa DNS służy do hostowania rekordów DNS dla konkretnej domeny. Aby rozpocząć hostowanie domeny w usłudze Azure DNS, musisz utworzyć strefę DNS dla tej nazwy domeny. Każdy rekord DNS domeny zostanie utworzony w tej strefie DNS.
Na przykład domena „contoso.com” może zawierać wiele rekordów DNS, takich jak „mail.contoso.com” (dla serwera poczty) i „www.contoso.com” (dla witryny sieci Web).
Podczas tworzenia strefy DNS w usłudze Azure DNS należy uwzględnić następujące kwestie:
- Nazwa strefy musi być unikatowa w obrębie grupy zasobów, a strefa nie może wcześniej istnieć. W przeciwnym razie operacja zakończy się niepowodzeniem.
- Danej nazwy strefy można użyć ponownie w innej grupie zasobów lub w ramach innej subskrypcji platformy Azure.
- W przypadku wielu stref o tej samej nazwie do każdego wystąpienia jest przypisywany inny adres serwera nazw. W rejestratorze nazw domen można skonfigurować tylko jeden zestaw adresów.
Uwaga
Nie musisz być właścicielem nazwy domeny, aby utworzyć strefę DNS z tą nazwą domeny w usłudze Azure DNS. Jednak musisz być właścicielem domeny, aby skonfigurować serwery nazw usługi Azure DNS jako poprawne serwery nazw dla nazwy domeny w rejestratorze nazw domen.
Więcej informacji można znaleźć w temacie Delegowanie domeny do usługi DNS platformy Azure.
Rekordy DNS
Nazwy rekordów
W usłudze DNS platformy Azure rekordy są określane przy użyciu nazw względnych. W pełni kwalifikowana nazwa domeny (FQDN) zawiera nazwę strefy, natomiast nazwa względna nie. Na przykład względna nazwa www
rekordu w strefie contoso.com
daje w pełni kwalifikowaną nazwę www.contoso.com
rekordu .
Rekord wierzchołka to rekord DNS w katalogu głównym (wierzchołku) strefy DNS. Na przykład w strefie contoso.com
DNS rekord wierzchołka ma również w pełni kwalifikowaną nazwę contoso.com
(jest to czasami nazywane nagą domeną). Zgodnie z konwencją nazwa względna '@' jest używana do reprezentowania rekordów wierzchołków.
Typy rekordów
Każdy rekord DNS ma nazwę i typ. Rekordy są pogrupowane w różne typy według danych, które zawierają. Najczęściej spotykanym typem jest rekord „A”, który mapuje nazwę na adres IPv4. Innym często spotykanym typem jest rekord „MX”, który mapuje nazwę na serwer poczty e-mail.
Usługa Azure DNS obsługuje wszystkie typowe typy rekordów DNS: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV i TXT. Należy pamiętać, że rekordy SPF są reprezentowane przy użyciu rekordu TXT.
Dodatkowe typy rekordów są obsługiwane, jeśli strefa jest podpisana przy użyciu rozszerzeń zabezpieczeń DNS (DNSSEC), takich jak delegowanie signer (DS) i Transport Layer Security Authentication (TLSA) rekordy zasobów.
Typy rekordów zasobów DNSSEC, takie jak DNSKEY, RRSIG i NSEC3 rekordy są dodawane automatycznie po podpisaniu strefy przy użyciu protokołu DNSSEC. Tych typów rekordów zasobów DNSSEC nie można utworzyć ani zmodyfikować po podpisaniu strefy.
Zestawy rekordów
Czasami trzeba utworzyć więcej niż jeden rekord DNS określonego typu o danej nazwie. Na przykład załóżmy, że witryna sieci Web „www.contoso.com” jest hostowana pod dwoma różnymi adresami IP. Witryna sieci Web wymaga dwóch różnych rekordów A, po jednym dla każdego adresu IP. Oto przykład zestawu rekordów:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
System DNS platformy Azure zarządza wszystkimi rekordami DNS za pomocą zestawów rekordów. Zestaw rekordów (określany także jako zestaw rekordów zasobów) jest kolekcją rekordów DNS w strefie, które mają taką samą nazwę i są tego samego typu. Większość zestawów rekordów zawiera jeden rekord. Jednak przykłady, takie jak powyższe, w których zestaw rekordów zawiera więcej niż jeden rekord, nie są rzadkością.
Na przykład załóżmy, że utworzono wcześniej rekord A „www” w strefie „contoso.com” wskazujący na adres IP „134.170.185.46” (pierwszy rekord powyżej). W celu utworzenia drugiego rekordu ten rekord zostanie dodany do istniejącego zestawu rekordów zamiast tworzenia dodatkowego zestawu rekordów.
Typy rekordów SOA i CNAME stanowią wyjątki. Standardy systemu DNS nie zezwalają na występowanie wielu rekordów tych typów o takiej samej nazwie, w związku z czym te zestawy rekordów mogą zawierać tylko jeden rekord.
Czas wygaśnięcia
Czas wygaśnięcia (TTL) określa, jak długo każdy rekord jest buforowany przez klientów przed wykonaniem zapytania. W powyższym przykładzie czas wygaśnięcia wynosi 3600 sekund lub 1 godzinę.
W usłudze Azure DNS czas wygaśnięcia jest określony dla zestawu rekordów, a nie dla każdego rekordu, więc ta sama wartość jest używana dla wszystkich rekordów w tym zestawie rekordów. Można określić dowolną wartość czasu wygaśnięcia z zakresu od 1 do 2 147 483 647 sekund.
Rekordy z symbolami wieloznacznymi
Usługa DNS platformy Azure obsługuje rekordy z użyciem symboli wieloznacznych. Rekordy z symbolami wieloznacznymi są zwracane w odpowiedzi na dowolne zapytanie z pasującą nazwą, chyba że istnieje bliższe dopasowanie z zestawu rekordów innych niż wieloznaczne. Usługa Azure DNS obsługuje zestawy rekordów wieloznacznych dla wszystkich typów rekordów z wyjątkiem NS i SOA.
Aby utworzyć zestaw rekordów wieloznacznych, użyj nazwy zestawu rekordów "*". Możesz również użyć nazwy "*" jako etykiety z lewej, na przykład "*.foo".
Rekordy CAA
Rekordy CAA umożliwiają właścicielom domeny określenie, które urzędy certyfikacji są autoryzowane do wystawiania certyfikatów dla swojej domeny. Ten rekord pozwala urzędom certyfikacji uniknąć błędnego wystawiania certyfikatów w pewnych okolicznościach. Rekordy CAA mają trzy właściwości:
- Flagi: to pole jest liczbą całkowitą z zakresu od 0 do 255, używaną do reprezentowania flagi krytycznej, która ma specjalne znaczenie dla RFC6844
- Tag: ciąg ASCII, który może być jednym z następujących elementów:
- problem: jeśli chcesz określić urzędy certyfikacji, które mogą wystawiać certyfikaty (wszystkie typy)
- issuewild: jeśli chcesz określić urzędy certyfikacji, które mogą wystawiać certyfikaty (tylko certyfikaty z symbolami wieloznacznymi)
- iodef: określ adres e-mail lub nazwę hosta, do którego urzędy certyfikacji mogą powiadamiać o żądaniach problemów z nieautoryzowanym certyfikatem
- Wartość: wartość wybranego tagu
Rekordy CNAME
Zestawy rekordów CNAME nie mogą współistnieć z innymi zestawami rekordów o tej samej nazwie. Na przykład nie można utworzyć zestawu rekordów CNAME z nazwą www
względną i rekordem A o nazwie www
względnej w tym samym czasie.
Ponieważ wierzchołek strefy (name = '@') zawsze będzie zawierać zestawy rekordów NS i SOA podczas tworzenia strefy, nie można utworzyć zestawu rekordów CNAME w wierzchołku strefy.
Te ograniczenia wynikają ze standardów dotyczących serwerów DNS i nie stanowią ograniczeń usługi DNS platformy Azure.
Rekordy NS
Zestaw rekordów NS w wierzchołkach strefy (nazwa "@") jest tworzony automatycznie z każdą strefą DNS i jest usuwany automatycznie po usunięciu strefy. Nie można go usunąć oddzielnie.
Ten zestaw rekordów zawiera nazwy serwerów nazw usługi Azure DNS przypisanych do strefy. Do tego zestawu rekordów NS można dodać więcej serwerów nazw, aby obsługiwać domeny współhostowania z więcej niż jednym dostawcą DNS. Można również zmodyfikować czas wygaśnięcia i metadane dla tego zestawu rekordów. Jednak usunięcie lub zmodyfikowanie wstępnie wypełnionych serwerów nazw usługi Azure DNS nie jest dozwolone.
To ograniczenie dotyczy tylko zestawu rekordów NS w wierzchołkach strefy. Inne zestawy rekordów NS w strefie (używane do delegowania stref podrzędnych) można tworzyć, modyfikować i usuwać bez ograniczeń.
Rekordy SOA
Zestaw rekordów SOA jest tworzony automatycznie na wierzchołku każdej strefy (nazwa = "@") i jest usuwany automatycznie po usunięciu strefy. Rekordy SOA nie mogą być tworzone ani usuwane oddzielnie.
Można zmodyfikować wszystkie właściwości rekordu SOA z wyjątkiem host
właściwości . Ta właściwość jest wstępnie skonfigurowana w celu odwoływania się do podstawowej nazwy serwera nazw dostarczonej przez usługę Azure DNS.
Numer seryjny strefy w rekordzie SOA nie jest aktualizowany automatycznie, gdy zmiany są wprowadzane do rekordów w strefie. Można go zaktualizować ręcznie, edytując rekord SOA, w razie potrzeby.
Uwaga
Usługa Azure DNS obecnie nie obsługuje użycia kropki (.) przed wpisem@ skrzynki pocztowej soA hostmaster. Na przykład: john.smith@contoso.xyz
(przekonwertowane na john.smith.contoso.xyz) i john\.smith@contoso.xyz
są niedozwolone.
Rekordy SPF
Rekordy platformy zasad nadawcy (SPF) służą do określania, które serwery poczty e-mail mogą wysyłać wiadomości e-mail w imieniu nazwy domeny. Prawidłowa konfiguracja rekordów SPF jest ważna, aby uniemożliwić adresatom oznaczanie wiadomości e-mail jako wiadomości-śmieci.
Kontrolery RFC DNS pierwotnie wprowadziły nowy typ rekordu SPF do obsługi tego scenariusza. Aby obsługiwać starsze serwery nazw, zezwolili również na używanie typu rekordu TXT do określania rekordów SPF. Ta niejednoznaczność doprowadziła do zamieszania, które zostało rozwiązane przez RFC 7208. Stwierdza się, że rekordy SPF muszą być tworzone przy użyciu typu rekordu TXT. Stwierdza również, że typ rekordu SPF jest przestarzały.
Rekordy SPF są obsługiwane przez usługę Azure DNS i muszą być tworzone przy użyciu typu rekordu TXT. Przestarzały typ rekordu SPF nie jest obsługiwany. Podczas importowania pliku strefy DNS wszystkie rekordy SPF używające typu rekordu SPF są konwertowane na typ rekordu TXT.
Rekordy SRV
Rekordy SRV są używane przez różne usługi do określania lokalizacji serwera. Podczas określania rekordu SRV w usłudze Azure DNS:
- Usługa i protokół muszą być określone jako część nazwy zestawu rekordów, poprzedzone podkreśleniami, takimi jak "_sip._tcp.name". W przypadku rekordu w wierzchołce strefy nie ma potrzeby określania ciągu "@" w nazwie rekordu, po prostu użyj usługi i protokołu, takiego jak "_sip._tcp".
- Priorytet, waga, port i cel są określane jako parametry każdego rekordu w zestawie rekordów.
Rekordy TXT
Rekordy TXT są używane do mapowania nazw domen na dowolne ciągi tekstowe. Są one używane w wielu aplikacjach, w szczególności związanych z konfiguracją poczty e-mail, takich jak Struktura zasad nadawcy (SPF) i DomainKeys Zidentyfikowana poczta (DKIM).
Standardy DNS umożliwiają pojedynczemu rekordowi TXT zawierać wiele ciągów, z których każdy może mieć długość maksymalnie 255 znaków. W przypadku użycia wielu ciągów są one łączone przez klientów i traktowane jako pojedynczy ciąg.
Podczas wywoływania interfejsu API REST usługi Azure DNS należy oddzielnie określić każdy ciąg TXT. W przypadku korzystania z witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia należy określić pojedynczy ciąg dla każdego rekordu. Ten ciąg jest automatycznie podzielony na 255-znakowe segmenty w razie potrzeby.
Wiele ciągów w rekordzie DNS nie powinno być mylone z wieloma rekordami TXT w zestawie rekordów TXT. Zestaw rekordów TXT może zawierać wiele rekordów, z których każdy może zawierać wiele ciągów. Usługa Azure DNS obsługuje łączną długość ciągu wynoszącą maksymalnie 4096 znaków w każdym zestawie rekordów TXT (we wszystkich połączonych rekordach).
Rekordy DS
Rekord podpisywania delegowania (DS) jest typem rekordu zasobu DNSSEC używanym do zabezpieczania delegowania. Aby utworzyć rekord DS w strefie, strefa musi być najpierw podpisana przy użyciu protokołu DNSSEC.
Rekordy TLSA
Rekord TLSA (Transport Layer Security Authentication) służy do skojarzenia certyfikatu serwera TLS lub klucza publicznego z nazwą domeny, w której znajduje się rekord. Rekord TLSA łączy klucz publiczny (certyfikat serwera TLS) z nazwą domeny, zapewniając dodatkową warstwę zabezpieczeń dla połączeń TLS.
Aby efektywnie korzystać z rekordów TLSA, należy włączyć protokół DNSSEC w domenie. Gwarantuje to, że rekordy TLSA mogą być zaufane i prawidłowo zweryfikowane
Tagi i metadane
Tagi
Tagi są listą par nazwa-wartość i są używane przez usługę Azure Resource Manager do etykietowania zasobów. Usługa Azure Resource Manager używa tagów do włączania filtrowanych widoków rachunku za korzystanie z platformy Azure, a także umożliwia ustawienie zasad dla określonych tagów. Aby uzyskać więcej informacji na temat tagów, zobacz Porządkowanie zasobów na platformie Azure za pomocą tagów.
Usługa Azure DNS obsługuje używanie tagów usługi Azure Resource Manager w zasobach strefy DNS. Nie obsługuje tagów w zestawach rekordów DNS, chociaż jako alternatywa metadane są obsługiwane w zestawach rekordów DNS, jak wyjaśniono poniżej.
Metadane
Alternatywą dla tagów zestawu rekordów usługa Azure DNS obsługuje dodawanie adnotacji do zestawów rekordów przy użyciu metadanych. Podobnie jak w przypadku tagów, metadane umożliwiają kojarzenie par name-value z każdym zestawem rekordów. Ta funkcja może być przydatna, na przykład do rejestrowania przeznaczenia każdego zestawu rekordów. W przeciwieństwie do tagów metadane nie mogą służyć do udostępniania filtrowanego widoku rachunku za korzystanie z platformy Azure i nie można ich określić w zasadach usługi Azure Resource Manager.
Etagi
Załóżmy, że dwie osoby lub dwa procesy próbują zmodyfikować rekord DNS w tym samym czasie. Który z nich wygrywa? I czy zwycięzca wie, że nadpisali zmiany utworzone przez kogoś innego?
Usługa Azure DNS bezpiecznie obsługuje współbieżne zmiany w tym samym zasobie przy użyciu elementów Etag. Znaczniki Etag są oddzielone od usługi Azure Resource Manager "Tagi". Każdy zasób DNS (strefa lub zestaw rekordów) ma skojarzony element Etag. Za każdym razem, gdy zasób jest pobierany, jego element Etag jest również pobierany. Podczas aktualizowania zasobu możesz przekazać element Etag, aby usługa Azure DNS mogła zweryfikować element Etag na serwerze. Ponieważ każda aktualizacja zasobu powoduje ponowne wygenerowanie elementu Etag, niezgodność elementu Etag wskazuje, że wystąpiła współbieżna zmiana. Tagi Etag mogą być również używane podczas tworzenia nowego zasobu, aby upewnić się, że zasób jeszcze nie istnieje.
Domyślnie program Azure DNS PowerShell używa elementów Etag do blokowania współbieżnych zmian w strefach i zestawach rekordów. Opcjonalny przełącznik -Overwrite może służyć do pomijania kontroli Etag, w takim przypadku wszelkie współbieżne zmiany, które wystąpiły, zostaną zastąpione.
Na poziomie interfejsu API REST usługi Azure DNS tagi Etag są określane przy użyciu nagłówków HTTP. Ich zachowanie jest podane w poniższej tabeli:
Nagłówek | Zachowanie |
---|---|
Brak | FUNKCJA PUT zawsze kończy się powodzeniem (bez testów Etag) |
W przypadku dopasowania <etag> | FUNKCJA PUT kończy się powodzeniem tylko wtedy, gdy zasób istnieje i dopasowanie elementu Etag |
Dopasowanie warunkowe * | Funkcja PUT kończy się powodzeniem tylko wtedy, gdy zasób istnieje |
If-none-match * | Funkcja PUT kończy się powodzeniem tylko wtedy, gdy zasób nie istnieje |
Limity
Podczas korzystania z usługi Azure DNS obowiązują następujące domyślne limity:
Publiczne strefy DNS
Zasób | Limit |
---|---|
Publiczne strefy DNS na subskrypcję | 250 1 |
Zestawy rekordów dla publicznej strefy DNS | 10 000 1 |
Rekordy na zestaw rekordów w publicznej strefie DNS | 20 |
Liczba rekordów aliasu dla pojedynczego zasobu platformy Azure | 20 |
1Jeśli musisz zwiększyć te limity, skontaktuj się z pomocą techniczną platformy Azure.