DNS bölgelerine ve kayıtlarına genel bakış
Bu makalede etki alanları, DNS bölgeleri, DNS kayıtları ve kayıt kümelerinin temel kavramları açıklanır. Bunların Azure DNS'de nasıl desteklendiği hakkında bilgi ediniyorsunuz.
Etki alanı adları
Etki Alanı Adı Sistemi, bir etki alanları hiyerarşisidir. Hiyerarşi, adı basitçe '.' olan etki alanından başlarroot. Bunun altında , net, uk orgveya jpgibi comüst düzey etki alanları gelir. En üst düzey etki alanlarının altında veya co.jpgibi org.uk ikinci düzey etki alanları bulunur. DNS hiyerarşisindeki etki alanları genel olarak dağıtılır ve dünyanın dört bir yanındaki DNS ad sunucuları tarafından barındırılır.
Etki alanı adı kayıt şirketi, gibi contoso.combir etki alanı adı satın almanızı sağlayan bir kuruluşdur. Etki alanı adı satın almak, bu adın altındaki DNS hiyerarşisini denetleme hakkını verir; örneğin, adı www.contoso.com şirketinizin web sitesine yönlendirmenize olanak tanır. Kayıt şirketi, etki alanını sizin adınıza kendi ad sunucularında barındırabilir veya alternatif ad sunucuları belirtmenize izin verebilir.
Azure DNS, etki alanınızı barındırmak için kullanabileceğiniz genel olarak dağıtılmış ve yüksek kullanılabilirlikli bir ad sunucusu altyapısı sağlar. Etki alanlarınızı Azure DNS'de barındırarak, DNS kayıtlarınızı diğer Azure hizmetlerinizle aynı kimlik bilgileri, API'ler, araçlar, faturalama ve destekle yönetebilirsiniz.
Azure DNS şu anda etki alanı adlarının satın alımını desteklemez. Yıllık ücret karşılığında App Service etki alanlarını veya üçüncü taraf etki alanı adı kayıt şirketini kullanarak bir etki alanı adı satın alabilirsiniz. Ardından etki alanlarınızı kayıt yönetimi için Azure DNS'de barındırabilirsiniz. Daha fazla bilgi için bkz. Bir etki alanını Azure DNS'ye devretme.
DNS bölgeleri
DNS bölgesi, belirli bir etki alanına yönelik DNS kayıtlarını barındırmak için kullanılır. Etki alanınızı Azure DNS'de barındırmaya başlamak için bir DNS bölgesi oluşturmanız gerekir. Ardından bu DNS bölgesinde etki alanınız için tüm DNS kayıtları oluşturulur.
Örneğin "contoso.com" etki alanı, "mail.contoso.com" (bir posta sunucusu için) ve "www.contoso.com" (bir web sitesi için) gibi birden fazla DNS kaydını içerebilir.
Azure DNS'de bir DNS bölgesi oluştururken:
- Bölge adı kaynak grubunda benzersiz olmalıdır ve bölge daha önceden var olmamalıdır. Aksi takdirde işlem başarısız olur.
- Aynı bölge adı farklı bir kaynak grubunda veya farklı bir Azure aboneliğinde yeniden kullanılabilir.
- Birden fazla bölgenin aynı adı paylaştığı durumda her örneğe farklı bir ad sunucusu adresi atanır. Etki alanı kayıt şirketinde yalnızca bir adres kümesi yapılandırılabilir.
Not
Azure DNS'de aynı etki alanıyla DNS bölgesi oluşturmak için bir etki alanına sahip değilsiniz. Ancak Azure DNS ad sunucularını etki alanı kayıt şirketinde etki alanı adı için doğru ad sunucuları olarak yapılandırmak üzere etki alanının sahibi olmanız gerekmez.
Daha fazla bilgi için bkz. Bir etki alanını Azure DNS'ye devretme.
DNS kayıtları
Kayıt adları
Azure DNS’de, kayıtlar göreli adlar kullanılarak belirtilir. Tam etki alanı adı (FQDN), bölge adını içerirken göreli ad içermez. Örneğin, bölgedeki contoso.com göreli kayıt adı www tam kayıt adını www.contoso.comverir.
Tepe kaydı, bir DNS bölgesinin kökündeki (veya tepesindeki) DNS kaydıdır. Örneğin, DNS bölgesinde contoso.combir apex kaydı da tam ada contoso.com sahiptir (bu bazen çıplak etki alanı olarak adlandırılır). Kural olarak tepe kayıtlarını göstermek için '@' göreli adı kullanılır.
Kayıt türleri
Her DNS kaydında bir ad ve bir tür vardır. Kayıtlar, içerdikleri verilere göre çeşitli türlerde düzenlenmiştir. En yaygın tür olan "A" kaydı bir adı bir IPv4 adresiyle eşleştirir. Başka bir sık kullanılan tür olan "MX" kaydıysa bir adı bir posta sunucusuyla eşleştirir.
Azure DNS tüm yaygın DNS kayıt türlerini destekler: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV ve TXT. SPF kayıtlarının TXT kaydı kullanılarak gösterildiğini unutmayın.
Bölge, Temsilci İmzalayıcısı (DS) ve Aktarım Katmanı Güvenliği Kimlik Doğrulaması (TLSA) kaynak kayıtları gibi DNS Güvenlik Uzantıları (DNSSEC) ile imzalanmışsa ek kayıt türleri desteklenir.
DNSKEY, RRSIG ve NSEC3 kayıtları gibi DNSSEC kaynak kaydı türleri, bir bölge DNSSEC ile imzalandığında otomatik olarak eklenir. Bu tür DNSSEC kaynak kayıtları, bölge imzalamadan sonra oluşturulamaz veya değiştirilemez.
Kayıt kümeleri
Bazen, verilen ada ve türe sahip birden fazla DNS kaydı oluşturmanız gerekebilir. Örneğin, "www.contoso.com" web sitesinin iki farklı IP adresinde barındırıldığını var sayalım. Web sitesine, her IP adresi için bir tane olmak üzere iki farklı A kaydı gerekir. Aşağıda bir kayıt kümesi örneği verilmişti:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Azure DNS tüm DNS kayıtlarını kayıt kümeleri kullanarak yönetir. Kayıt kümesi (kaynak kayıt kümesi olarak da bilinir), bir bölgede yer alan aynı ada sahip ve aynı türde olan DNS kayıtlarının koleksiyonudur. Çoğu kayıt kümesinde tek bir kayıt bulunur. Ancak, bir kayıt kümesinin birden fazla kayıt içerdiği yukarıdaki gibi örnekler yaygın değildir.
Örneğin, "contoso.com" bölgesinde "134.170.185.46" adresini işaret eden bir "www" A kaydı oluşturduğunuzu var sayalım (yukarıdaki ilk kayıt). ikinci kaydı oluşturmak için yeni bir kayıt kümesi oluşturma yerine bu kaydı var olan kayıt kümesine ekleyebilirsiniz.
SOA ve CNAME kaydı kümeleri farklıdır. DNS standartları bu türler için aynı ada sahip birden fazla kayda izin vermediği için bu kayıt kümeleri yalnızca bir kayıt içerebilir.
Yaşam süresi
Yaşam süresi veya TTL, her kaydın sorgulanmadan önce istemciler tarafından ne kadar süreyle önbelleğe alındığını belirtir. Yukarıdaki örnekte, TTL 3600 saniye veya 1 saattir.
Azure DNS'de TTL her kayıt için değil kayıt kümesi için belirtilir, bu nedenle bu kayıt kümesindeki tüm kayıtlar için aynı değer kullanılır. 1 ile 2.147.483.647 saniye arasında herhangi bir TTL değeri belirtebilirsiniz.
Joker karakter kayıtları
Azure DNS joker kayıtlarını destekler. Joker karakter olmayan bir kayıt kümesinden daha yakın bir eşleşme olmadığı sürece joker karakter kayıtları eşleşen bir ada sahip sorguya yanıt olarak döndürülür. Azure DNS, NS ve SOA dışındaki tüm kayıt türleri için joker karakter kayıt kümelerini destekler.
Joker karakter kayıt kümesi oluşturmak için '*' kayıt kümesi adını kullanın. En sol etiket olarak '*' olan bir ad da kullanabilirsiniz; örneğin, '*.foo'.
CAA kayıtları
CAA kayıtları, etki alanı sahiplerinin etki alanları için sertifika verme yetkisi olan Sertifika Yetkilileri'ni (CA) belirtmesine olanak sağlar. Bu kayıt, CA'ların bazı durumlarda sertifikaların hatalı verilmesini önlemesine olanak tanır. CAA kayıtlarının üç özelliği vardır:
- Bayraklar: Bu alan, RFC6844 başına özel anlamı olan kritik bayrağı temsil etmek için kullanılan 0 ile 255 arasında bir tamsayıdır
- Etiket: Aşağıdakilerden biri olabilecek bir ASCII dizesi:
- sorun: Sertifika vermesine izin verilen CA'ları belirtmek istiyorsanız (tüm türler)
- issuewild: Sertifika vermesine izin verilen CA'ları belirtmek istiyorsanız (yalnızca joker karakter sertifikaları)
- iodef: CA'ların yetkisiz sertifika sorunu istekleri için bildirim gönderebileceği bir e-posta adresi veya ana bilgisayar adı belirtin
- Değer: Seçilen belirli Etiketin değeri
CNAME kayıtları
CNAME kayıt kümeleri aynı ada sahip diğer kayıt kümeleriyle birlikte var olamaz. Örneğin, göreli ada ve göreli ada www sahip bir A kaydına sahip www bir CNAME kaydı kümesini aynı anda oluşturamazsınız.
Bölge zirvesi (ad = '@') bölgenin oluşturulması sırasında her zaman NS ve SOA kayıt kümelerini içereceğinden, bölge tepesinde bir CNAME kayıt kümesi oluşturamazsınız.
Bu kısıtlamalar DNS standartları kaynaklıdır, Azure DNS sınırlamaları değildir.
NS kayıtları
Bölge tepesindeki NS kaydı kümesi ('@' adı) her DNS bölgesiyle otomatik olarak oluşturulur ve bölge silindiğinde otomatik olarak silinir. Ayrı ayrı silinemez.
Bu kayıt kümesi, bölgeye atanan Azure DNS ad sunucularının adlarını içerir. Birden fazla DNS sağlayıcısına sahip etki alanlarını birlikte barındırmayı desteklemek için bu NS kayıt kümesine daha fazla ad sunucusu ekleyebilirsiniz. Bu kayıt kümesinin TTL ve meta verilerini de değiştirebilirsiniz. Ancak, önceden doldurulmuş Azure DNS ad sunucularının kaldırılmasına veya değiştirilmesine izin verilmez.
Bu kısıtlama yalnızca bölge zirvesinde ayarlanan NS kaydı için geçerlidir. Bölgenizdeki diğer NS kayıt kümeleri (alt bölgeleri temsilci olarak kullanmak için kullanılır) kısıtlama olmadan oluşturulabilir, değiştirilebilir ve silinebilir.
SOA kayıtları
SoA kayıt kümesi her bölgenin tepesinde otomatik olarak oluşturulur (ad = '@') ve bölge silindiğinde otomatik olarak silinir. SOA kayıtları ayrı ayrı oluşturulamaz veya silinemez.
SOA kaydının özelliği dışında host tüm özelliklerini değiştirebilirsiniz. Bu özellik, Azure DNS tarafından sağlanan birincil ad sunucusu adına başvuracak şekilde önceden yapılandırılır.
SOA kaydındaki bölge seri numarası, bölgedeki kayıtlarda değişiklik yapıldığında otomatik olarak güncelleştirilmez. Gerekirse SOA kaydı düzenlenerek el ile güncelleştirilebilir.
Not
Azure DNS şu anda SOA konak yöneticisi posta kutusu girişinde '@' öncesinde nokta (.) kullanımını desteklemez. Örneğin: john.smith@contoso.xyz (john.smith.contoso.xyz dönüştürülür) ve john\.smith@contoso.xyz izin verilmez.
SPF kayıtları
Gönderen ilkesi çerçevesi (SPF) kayıtları, etki alanı adı adına hangi e-posta sunucularının e-posta gönderebileceğini belirtmek için kullanılır. SPF kayıtlarının doğru yapılandırılması, alıcıların e-postanızı gereksiz olarak işaretlemesini önlemek için önemlidir.
DNS RFC'leri başlangıçta bu senaryoyu desteklemek için yeni bir SPF kayıt türü kullanıma sunulmuştur. Eski ad sunucularını desteklemek için, SPF kayıtlarını belirtmek için TXT kayıt türünün kullanılmasına da izin verdiler. Bu belirsizlik, RFC 7208 tarafından çözümlenen karışıklığa neden oldu. SPF kayıtlarının TXT kayıt türü kullanılarak oluşturulması gerektiğini belirtir. Ayrıca SPF kayıt türünün kullanım dışı bırakıldığını belirtir.
SPF kayıtları Azure DNS tarafından desteklenir ve TXT kayıt türü kullanılarak oluşturulmalıdır. Eski SPF kayıt türü desteklenmez. Dns bölgesi dosyasını içeri aktardığınızda, SPF kayıt türünü kullanan tüm SPF kayıtları TXT kayıt türüne dönüştürülür.
SRV kayıtları
SRV kayıtları çeşitli hizmetler tarafından sunucu konumlarını belirtmek için kullanılır. Azure DNS'de bir SRV kaydı belirtirken:
- Hizmet ve protokol, '_sip._tcp.name' gibi alt çizgilerle ön ekli kayıt kümesi adının bir parçası olarak belirtilmelidir. Bölge zirvesindeki bir kayıt için, kayıt adında '@' belirtmeniz gerekmez; yalnızca hizmeti ve protokolü (örneğin, '_sip._tcp' kullanın.
- Öncelik, ağırlık, bağlantı noktası ve hedef, kayıt kümesindeki her kaydın parametreleri olarak belirtilir.
TXT kayıtları
TXT kayıtları, etki alanı adlarını rastgele metin dizeleriyle eşlemek için kullanılır. Bunlar, özellikle Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) gibi e-posta yapılandırmasıyla ilgili birden çok uygulamada kullanılır.
DNS standartları, tek bir TXT kaydının her biri en fazla 255 karakter uzunluğunda olabilecek birden çok dize içermesine izin verir. Birden çok dize kullanıldığında, istemciler tarafından birleştirilir ve tek bir dize olarak değerlendirilir.
Azure DNS REST API'sini çağırırken her TXT dizesini ayrı ayrı belirtmeniz gerekir. Azure portalı, PowerShell veya CLI arabirimlerini kullandığınızda, kayıt başına tek bir dize belirtmeniz gerekir. Gerekirse, bu dize otomatik olarak 255 karakterli bölümlere ayrılır.
DNS kaydındaki birden çok dize, TXT kayıt kümesindeki birden çok TXT kaydıyla karıştırılmamalıdır. TXT kayıt kümesi birden çok kayıt içerebilir ve bunların her biri birden çok dize içerebilir. Azure DNS, her TXT kayıt kümesinde (birleştirilmiş tüm kayıtlar arasında) 4096 karaktere kadar toplam dize uzunluğunu destekler.
DS kayıtları
Temsilci imzalayan (DS) kaydı, temsilci seçmenin güvenliğini sağlamak için kullanılan bir DNSSEC kaynak kaydı türüdür. Bir bölgede DS kaydı oluşturmak için, önce bölgenin DNSSEC ile imzalanması gerekir.
TLSA kayıtları
TLS sunucu sertifikasını veya ortak anahtarı kaydın bulunduğu etki alanı adıyla ilişkilendirmek için bir TLSA (Aktarım Katmanı Güvenlik Kimlik Doğrulaması) kaydı kullanılır. TLSA kaydı, ortak anahtarı (TLS sunucu sertifikası) etki alanı adına bağlayarak TLS bağlantıları için ek bir güvenlik katmanı sağlar.
TLSA kayıtlarını etkili bir şekilde kullanmak için etki alanınızda DNSSEC'in etkinleştirilmesi gerekir. Bu, TLSA kayıtlarının güvenilir ve düzgün bir şekilde doğrulanmasını sağlar
Etiketler ve meta veriler
Etiketler
Etiketler, ad-değer çiftlerinin listesidir ve Azure Resource Manager tarafından kaynakları etiketlemek için kullanılır. Azure Resource Manager, Azure faturanızın filtrelenmiş görünümlerini etkinleştirmek için etiketleri kullanır ve ayrıca belirli etiketler için bir ilke ayarlamanıza olanak tanır. Etiketler hakkında daha fazla bilgi için bkz. Etiketleri kullanarak Azure kaynaklarınızı düzenleme.
Azure DNS, DNS bölgesi kaynaklarında Azure Resource Manager etiketlerini kullanmayı destekler. DNS kayıt kümelerinde etiketleri desteklemez, ancak alternatif olarak, meta veriler aşağıda açıklandığı gibi DNS kayıt kümelerinde desteklenir.
Meta veri
Kayıt kümesi etiketlerine alternatif olarak Azure DNS, meta verileri kullanarak kayıt kümelerine açıklama ekleme özelliğini destekler. Etiketlere benzer şekilde meta veriler, ad-değer çiftlerini her kayıt kümesiyle ilişkilendirmenizi sağlar. Bu özellik, örneğin her kayıt kümesinin amacını kaydetmek için yararlı olabilir. Etiketlerden farklı olarak meta veriler Azure faturanızın filtrelenmiş bir görünümünü sağlamak için kullanılamaz ve Azure Resource Manager ilkesinde belirtilmez.
Etag'ler
İki kişinin veya iki işlemin aynı anda bir DNS kaydını değiştirmeyi denemiş olduğunu varsayalım. Hangisi kazanır? Kazanan, başka biri tarafından oluşturulan değişikliklerin üzerine yazıldığını biliyor mu?
Azure DNS, aynı kaynakta yapılan eşzamanlı değişiklikleri güvenli bir şekilde işlemek için Etag'leri kullanır. Etag'ler Azure Resource Manager 'Etiketler'den ayrıdır. Her DNS kaynağının (bölge veya kayıt kümesi) kendisiyle ilişkilendirilmiş bir Etag'i vardır. Bir kaynak her alındığında, Etag'i de alınır. Bir kaynağı güncelleştirirken, Azure DNS'nin sunucudaki Etag'in eşleşmelerini doğrulayabilmesi için Etag'i geri geçirmeyi seçebilirsiniz. Bir kaynakta yapılan her güncelleştirme Etag'in yeniden üretildiğine neden olduğundan, Etag uyuşmazlığı eş zamanlı bir değişikliğin oluştuğuna işaret eder. Etag'ler, kaynağın mevcut olmadığından emin olmak için yeni bir kaynak oluştururken de kullanılabilir.
Varsayılan olarak Azure DNS PowerShell, bölgelere ve kayıt kümelerine yapılan eşzamanlı değişiklikleri engellemek için Etag'leri kullanır. İsteğe bağlı -Overwrite anahtarı, Etag denetimlerini engellemek için kullanılabilir ve bu durumda gerçekleşen tüm eşzamanlı değişikliklerin üzerine yazılır.
Azure DNS REST API düzeyinde, Etag'ler HTTP üst bilgileri kullanılarak belirtilir. Davranışları aşağıdaki tabloda verilmiştir:
| Üst bilgi | Davranış |
|---|---|
| Hiçbiri | PUT her zaman başarılı olur (Etag denetimi yoktur) |
| Etag ile eşleşiyorsa <> | PUT yalnızca kaynak varsa ve Etag eşleşiyorsa başarılı olur |
| If-match * | PUT yalnızca kaynak varsa başarılı olur |
| Eşleşmiyorsa * | PUT yalnızca kaynak yoksa başarılı olur |
Sınırlar
Azure DNS kullanılırken aşağıdaki varsayılan sınırlar geçerlidir:
Genel DNS bölgeleri
| Kaynak | Sınır |
|---|---|
| Abonelik başına genel DNS bölgeleri | 250 1 |
| Genel DNS bölgesi başına kayıt kümeleri | 10.000 1 |
| Genel DNS bölgesinde kayıt kümesi başına kayıt sayısı | 20 |
| Tek bir Azure kaynağı için Diğer Ad kayıtlarının sayısı | 20 |
1Bu sınırları artırmanız gerekiyorsa Azure Desteği'ne başvurun.
Sonraki adımlar
- Azure DNS'yi kullanmaya başlamak için DNS bölgesi oluşturmayı ve DNS kayıtları oluşturmayı öğrenin.
- Var olan bir DNS bölgesini geçirmek için bir DNS bölgesi dosyasını içeri ve dışarı aktarmayı öğrenin.