Johdanto

tärkeä osa palvelimen kokoonpanon ja infrastruktuurin hallintaa sisältää helpon tavan etsiä verkkoliittymiä ja IP-osoitteita nimen perusteella perustamalla asianmukainen Verkkotunnusjärjestelmä (DNS). Täysin hyväksyttyjen verkkotunnusten (FQDNs) käyttäminen IP-osoitteiden sijasta verkko-osoitteiden määrittämiseen helpottaa palvelujen ja sovellusten konfigurointia ja lisää asetustiedostojen ylläpidettävyyttä. Oman DNS: n perustaminen yksityiselle verkolle on loistava tapa parantaa palvelinten hallintaa.

tässä opetusohjelmassa käymme läpi sisäisen DNS-palvelimen perustamisen CentOS 7: n BIND name server-ohjelmiston (BIND9) avulla, jota virtuaaliset yksityiset palvelimet (VPS) voivat käyttää yksityisten isäntien nimien ja yksityisten IP-osoitteiden selvittämiseen. Tämä tarjoaa keskeisen tavan hallita sisäisiä isäntänimiä ja yksityisiä IP-osoitteita, mikä on välttämätöntä, kun ympäristö laajenee useampaan kuin muutamaan isäntään.

tämän opetusohjelman Ubuntu-versio löytyy täältä.

edeltävät edellytykset

tämän opetusohjelman loppuun saattamiseksi tarvitset seuraavat:

• jotkut palvelimet, jotka toimivat samassa konesalissa ja joilla on yksityinen verkko käytössä
• Uusi VPS ensisijaisena DNS-palvelimena, ns1
• valinnainen: Uusi VPS toissijaisena DNS-palvelimena, ns2
• pääkäyttäjä kaikkiin edellä mainittuihin (vaiheet 1-4 tässä)

Jos et tunne DNS-käsitteitä, on suositeltavaa, että luet ainakin kolme ensimmäistä osaa johdannostamme DNS: n hallintaan.

esimerkki-isännät

esimerkkitarkoituksissa oletetaan seuraavaa:

• meillä on kaksi olemassa olevaa VPS: ää nimeltä ”host1” ja ”host2”
• molemmat VPS: t ovat olemassa nyc3-tietokeskuksessa
• molemmilla VPS: llä on yksityinen verkko käytössä (ja ovat 10.128.0.0/16-aliverkossa)
• molemmat VPS: t liittyvät jotenkin verkkosovellukseemme, että jatkuu ”example.com”

näillä oletuksilla päätämme, että on järkevää käyttää nimeämisjärjestelmää, joka käyttää ”nyc3.example.com” viitataksemme yksityiseen aliverkostoomme tai vyöhykkeeseemme. Siksi host1: n yksityinen täysin pätevä verkkotunnus (FQDN) on ”host1.nyc3.example.com”. katso seuraavasta taulukosta asiaan liittyvät tiedot:

isäntä	yksityinen FQDN	yksityinen IP-osoite
host1	Generic Host 1	host1.nyc3.example.com	10.128.100.101
host2	Generic Host 2	host2.nyc3.example.com	10. 128.200.102

huomaa: olemassa olevat asetukset ovat erilaiset, mutta esimerkkien nimiä ja IP-osoitteita käytetään osoittamaan, miten DNS-palvelin määritetään tarjoamaan toimiva sisäinen DNS. Sinun pitäisi pystyä helposti sopeuttamaan tämä asetus omaan ympäristöösi korvaamalla isäntänimet ja yksityiset IP-osoitteet omillasi. Ei ole tarpeen käyttää datakeskuksen aluenimeä nimeämisjärjestelmässäsi, mutta käytämme sitä tässä osoittaaksemme, että nämä isännät kuuluvat tiettyyn datakeskuksen yksityiseen verkkoon. Jos käytät useita datakeskuksia, voit määrittää sisäisen DNS kunkin vastaavan datakeskuksen.

tavoitteemme

tämän opetusohjelman loppuun mennessä meillä on ensisijainen DNS-palvelin, ns1, ja valinnaisesti Toissijainen DNS-palvelin, ns2, joka toimii varmuuskopiona.

tässä on taulukko esimerkkinimineen ja IP-osoitteineen:

yksityinen FQDN

isäntä	rooli	yksityinen IP-osoite
NS1	ensisijainen DNS-palvelin	ns1.NY3.example.com	10.128.10.11
ns2	Toissijainen DNS-palvelin	ns2.nyc3.example.com	10.128.20.12

aloitetaan asentamalla Ensisijainen DNS-palvelimemme, ns1.

Asenna BIND DNS-palvelimille

Huom: punaisella korostettu teksti on tärkeää! Sitä käytetään usein merkitsemään jotain, joka on korvattava omilla asetuksilla tai että sitä pitäisi muokata tai lisätä asetustiedostoon. Esimerkiksi, jos näet jotain host1.NY3.esimerkiksi.com, korvaa se FQDN oman palvelimen. Samoin, jos näet host1_private_IP, korvaa se yksityinen IP-osoite oman palvelimen.

Asenna BIND molemmilla DNS-palvelimilla, ns1: llä ja ns2: lla, Yum:

sudo yum install bind bind-utils

Vahvista kehote syöttämällä y.

nyt kun BIND on asennettu, määritetään ensisijainen DNS-palvelin.

configure Primary DNS Server

Bindin kokoonpano koostuu useista tiedostoista, jotka sisältyvät pääasetustiedostoon named.conf. Nämä tiedostonimet alkavat ”nimetty”, koska se on nimi prosessi, joka sitoo toimii. Aloitamme asetukset-tiedoston määrittämisestä.

Configure Bind

Bindin prosessi tunnetaan nimettynä. Sellaisenaan, monet tiedostot viittaavat ”nimetty”sijaan ” sitoa”.

ns1: ssä avaa named.conf tiedosto muokattavaksi:

sudo vi /etc/named.conf

olemassa olevan options lohko, Luo uusi ACL-lohko, jota kutsutaan ”luotetuksi”. Tämä on, jos me määrittelemme luettelon asiakkaista, jotka me sallimme rekursiiviset DNS kyselyt (ts. palvelimet, jotka ovat samassa datakeskuksessa kuin ns1). Käyttämällä esimerkkejämme yksityisiä IP-osoitteita lisäämme ns1: n, ns2: n, host1: n ja host2: n luotettavien asiakkaiden luetteloon:

acl "trusted" { 10.128.10.11; # ns1 - can be set to localhost 10.128.20.12; # ns2 10.128.100.101; # host1 10.128.200.102; # host2};

nyt kun meillä on lista luotettavista DNS-asiakkaista, haluamme muokata options lohkoa. Lisää ns1: n yksityinen IP-osoite listen-on port 53 direktiiviin ja kommentoi listen-on-v6 rivi:

options { listen-on port 53 { 127.0.0.1; 10.128.10.11; };# listen-on-v6 port 53 { ::1; };...

näiden merkintöjen alla muutetaan allow-transfer direktiivi ”ei mitään” ns2: n yksityiselle IP-osoitteelle. Myös allow-query directive from” localhost ”to”trusted”:

lisää tiedoston loppuun seuraava rivi:

include "/etc/named/named.conf.local";

Nyt Tallenna ja poistu named.conf. Yllä oleva määritys määrittää, että vain omat palvelimesi (”luotetut” palvelimet) voivat kysellä DNS-palvelimeltasi.

seuraavaksi asetamme paikallisen tiedoston määrittelemään DNS-alueemme.

Configure Local File

On ns1, avaa named.conf.local tiedosto muokattavaksi:

sudo vi /etc/named/named.conf.local

tiedoston pitäisi olla tyhjä. Tässä, me määrittelemme eteenpäin ja taaksepäin vyöhykkeet.

Lisää etuvyöhyke seuraavilla viivoilla (korvaa vyöhykkeen nimi omalla):

zone "nyc3.example.com" { type master; file "/etc/named/zones/db.nyc3.example.com"; # zone file path};

olettaen, että yksityinen aliverkostomme on 10.128.0.0/16, lisätään käänteisvyöhyke seuraavilla viivoilla (huomaa, että käänteisvyöhykkeen nimemme alkaa ”128.10”, joka on oktetin käänteisarvo ”10.128”):

zone "128.10.in-addr.arpa" { type master; file "/etc/named/zones/db.10.128"; # 10.128.0.0/16 subnet };

jos palvelimesi kattavat useita yksityisiä aliverkkoja, mutta ovat samassa datakeskuksessa, muista määrittää ylimääräinen alue-ja vyöhyketiedosto jokaiselle erilliselle aliverkolle. Kun olet lisännyt kaikki haluamasi alueet, Tallenna ja poistu named.conf.local – tiedostosta.

nyt kun vyöhykkeemme on määritelty BINDISSÄ, meidän on luotava vastaavat eteenpäin ja taaksepäin vyöhyketiedostot.

luo Forward Zone-tiedosto

forward zone-tiedosto on se, jossa määritellään DNS-tietueet forward DNS-hakuja varten. Eli kun DNS saa nimikyselyn, ”host1.nyc3.example.com” se katsoo esimerkiksi forward zone-tiedostosta ratkaistakseen host1: n vastaavan yksityisen IP-osoitteen.

luodaan hakemisto, jossa vyöhyketiedostomme sijaitsevat. Nimemme mukaan.conf.paikallinen kokoonpano, kyseisen sijainnin tulee olla /etc/named/zones:

 
sudo chmod 755 /etc/named
 
sudo mkdir /etc/named/zones
 

nyt muokataan forward zone-tiedostoa:

sudo vi /etc/named/zones/db.nyc3.example.com 

ensin kannattaa lisätä SOA: n tietue. Korvaa korostettu ns1 FQDN omalla FQDN: lläsi ja vaihda sitten toinen ”nyc3.example.com” omalla verkkotunnuksellasi. Aina kun muokkaat vyöhyketiedostoa, sinun tulee lisätä sarja-arvoa ennen kuin käynnistät named prosessi–lisäämme sen arvoon ”3”. Sen pitäisi näyttää jokseenkin tältä:

tämän jälkeen lisää nimipalvelintietueesi seuraavilla riveillä (korvaa nimet omillasi). Huomaa, että toisessa sarakkeessa ilmoitetaan, että nämä ovat ”NS” — tietueita:

; name servers - NS records IN NS ns1.nyc3.example.com. IN NS ns2.nyc3.example.com.

lisää sitten a-tietueet isännillesi, jotka kuuluvat tähän vyöhykkeeseen. Tämä sisältää kaikki palvelin, jonka nimi haluamme lopettaa”. nyc3.example.com” (korvaa nimet ja yksityiset IP-osoitteet). Käyttämällä esimerkkinimiämme ja yksityisiä IP-osoitteitamme lisäämme tietueet ns1: lle, ns2: lle, host1: lle ja host2: lle näin:

Save and exit the db.nyc3.example.com file.

lopullinen esimerkkimme forward zone — tiedosto näyttää seuraavanlaiselta:

nyt siirrytään käänteiselle vyöhyketiedostolle (- tiedostoille).

Create Reverse Zone File(s)

Reverse zone file (S) on paikka, jossa määritellään DNS PTR tietueet käänteiselle DNS-haulle. Eli kun DNS vastaanottaa kyselyn IP-osoite, ” 10.128.100.101 ”esimerkiksi, se näyttää Käänteinen vyöhyke tiedosto(s) ratkaista vastaavan FQDN,” host1.nyc3.example.com ” tässä tapauksessa.

ns1: ssä jokaiselle named.conf.local – tiedostossa määritellylle käänteiselle vyöhykkeelle luo Käänteinen vyöhyketiedosto.

muokkaa käänteisvyöhyketiedostoa, joka vastaa named.conf.local:

sudo vi /etc/named/zones/db.10.128 

samalla tavalla kuin forward zone-tiedosto, korvaa korostettu ns1 FQDN omalla FQDN: lläsi ja korvaa sitten toinen ”nyc3.example.com” omalla verkkotunnuksellasi. Aina kun muokkaat vyöhyketiedostoa, sinun tulee lisätä sarja-arvoa ennen kuin käynnistät named prosessi–lisäämme sen arvoon ”3”. Sen pitäisi näyttää jokseenkin tältä:

tämän jälkeen lisää nimipalvelintietueesi seuraavilla riveillä (korvaa nimet omilla). Huomaa, että toisessa sarakkeessa ilmoitetaan, että kyseessä ovat ”NS” – tietueet:

; name servers - NS records IN NS ns1.nyc3.example.com. IN NS ns2.nyc3.example.com.

lisää sitten PTR tietueet kaikille palvelimillesi, joiden IP-osoitteet ovat muokkaamasi vyöhyketiedoston aliverkossa. Meidän esimerkki, tämä sisältää kaikki isännät, koska ne ovat kaikki 10.128.0.0 / 16 aliverkon. Huomaa, että ensimmäinen sarake koostuu kahdesta viimeisestä oktetista palvelimiesi yksityisistä IP-osoitteista käänteisessä järjestyksessä. Muista korvata nimet ja yksityiset IP-osoitteet vastaamaan palvelimia:

Tallenna ja poistu käänteisvyöhyketiedostosta (toista tämä kohta, Jos haluat lisätä käänteisvyöhyketiedostoja).

lopullinen esimerkkimme reverse zone-tiedosto näyttää seuraavanlaiselta:

Check BIND Configuration Syntax

suorita seuraava komento tarkistaaksesi named.conf* files:

sudo named-checkconf

Jos nimetyissä asetustiedostoissa ei ole syntaksivirheitä, palaat komentotulkkikehotteeseen etkä näe virheilmoituksia. Jos asetustiedostoissa on ongelmia, tarkista virheilmoitus ja määritä Ensisijainen DNS-palvelin-osio ja yritä named-checkconf uudelleen.

named-checkzone komennolla voidaan tarkistaa vyöhyketiedostojen oikeellisuus. Sen ensimmäinen argumentti määrittää vyöhykkeen nimen ja toinen argumentti määrittää vastaavan vyöhyketiedoston, jotka molemmat on määritelty named.conf.local.

esimerkiksi tarkistaa ”nyc3.example.com” forward zone configuration, suorita seuraava komento (muuta nimet vastaamaan eteenpäin zone ja tiedosto):

sudo named-checkzone nyc3.example.com /etc/named/zones/db.nyc3.example.com 

ja tarkistaa ”128.10.in-addr.arpa” reverse zone configuration, suorita seuraava komento (vaihda numerot vastaamaan käänteistä vyöhykettä ja tiedostoa):

sudo named-checkzone 128.10.in-addr.arpa /etc/named/zones/db.10.128 

kun kaikissa konfiguraatio-ja vyöhyketiedostoissa ei ole virheitä, sinun pitäisi olla valmis käynnistämään BIND-palvelu uudelleen.

Start BIND

Start BIND:

sudo systemctl start named

nyt haluat ottaa sen käyttöön, joten se käynnistyy käynnistyksessä:

sudo systemctl enable named

ensisijainen DNS-palvelimesi on nyt asennettu ja valmis vastaamaan DNS-kyselyihin. Siirrytään toissijaisen DNS-palvelimen luomiseen.

Määritä Toissijainen DNS-palvelin

useimmissa ympäristöissä on hyvä idea perustaa Toissijainen DNS-palvelin, joka vastaa pyyntöihin, jos ensisijainen ei ole käytettävissä. Onneksi, Toissijainen DNS-palvelin on paljon helpompi määrittää.

ns2: ssa muokkaa named.conf tiedosto:

sudo vi /etc/named.conf

Huom: jos haluat ohittaa nämä ohjeet, voit kopioida ns1: n named.conf tiedoston ja muokata sitä kuuntelemaan ns2: n yksityistä IP-osoitetta, eikä sallia siirtoja.

olemassa olevan options – lohkon yläpuolelle, Luo uusi ACL-lohko nimeltä ”trusted”. Tässä kohdassa määritämme luettelon asiakkaista, jotka sallivat rekursiiviset DNS-kyselyt (eli palvelimesi, jotka ovat samassa datakeskuksessa kuin ns1). Käyttämällä esimerkkejämme yksityisiä IP-osoitteita lisäämme ns1: n, ns2: n, host1: n ja host2: n luotettavien asiakkaiden luetteloon:

acl "trusted" { 10.128.10.11; # ns1 - can be set to localhost 10.128.20.12; # ns2 10.128.100.101; # host1 10.128.200.102; # host2};

nyt kun meillä on lista luotettavista DNS-asiakkaista, haluamme muokata options lohkoa. Lisää ns1: n yksityinen IP-osoite listen-on port 53 direktiiviin ja kommentoi listen-on-v6 rivi:

options { listen-on port 53 { 127.0.0.1; 10.128.20.12; };# listen-on-v6 port 53 { ::1; };...

Change allow-query directive from ”localhost” to ”trusted”:

...options {... allow-query { trusted; }; # allows queries from "trusted" clients...

tiedoston loppuun lisätään seuraava rivi:

include "/etc/named/named.conf.local";

Nyt Tallenna ja poistu named.conf. Yllä oleva määritys määrittää, että vain omat palvelimesi (”luotetut” palvelimet) voivat kysellä DNS-palvelimeltasi.

seuraavaksi asetamme paikallisen tiedoston määrittelemään DNS-alueemme.

Tallenna ja poistu named.conf.

muokkaa nyt named.conf.local file:

 
sudo chmod 755 /etc/named
 
sudo vi /etc/named/named.conf.local
 

Määrittele Orja-alueet, jotka vastaavat päävyöhykkeitä ensisijaisella DNS-palvelimella. Huomaa, että tyyppi on ”slave”, tiedosto ei sisällä polkua, ja on masters direktiivi, joka tulisi asettaa ensisijaisen DNS-palvelimen yksityiselle IP: lle. Jos olet määritellyt useita käänteisvyöhykkeitä ensisijaisessa DNS-palvelimessa, muista lisätä ne kaikki tähän:

Nyt Tallenna ja poistu named.conf.local.

suorita seuraava komento asetustiedostojen kelpoisuuden tarkistamiseksi:

sudo named-checkconf

kun se on tarkistettu, aloita BIND:

sudo systemctl start named

ota BIND käyntiin:

sudo systemctl enable named

nyt sinulla on ensisijainen ja Toissijainen DNS-palvelimet yksityisen verkon nimi ja IP-osoitteen resoluutio. Nyt sinun täytyy määrittää palvelimet käyttää yksityisiä DNS-palvelimia.

Configure DNS Clients

ennen kuin kaikki ”luotetun” ACL: n palvelimet voivat kysellä DNS-palvelimiasi, sinun täytyy määrittää jokainen niistä käyttämään ns1: tä ja ns2: ta nimipalvelimina. Tämä prosessi vaihtelee käyttöjärjestelmästä riippuen, mutta useimmissa Linux-jakeluissa siihen kuuluu nimipalvelimien lisääminen /etc/resolv.conf – tiedostoon.

CentOS-asiakkaat

CentOS -, RedHat-ja Fedora Linux VPS-palveluissa yksinkertaisesti muokkaavat resolv.conf tiedostoa:

sudo vi /etc/resolv.conf

lisää tiedoston alkuun seuraavat rivit (korvaa yksityinen verkkotunnus sekä ns1-ja ns2-Yksityiset IP-osoitteet):

search nyc3.example.com # your private domainnameserver 10.128.10.11 # ns1 private IP addressnameserver 10.128.20.12 # ns2 private IP address

Nyt Tallenna ja poistu. Asiakas on nyt määritetty käyttämään DNS-palvelimia.

Ubuntu-asiakkaat

Ubuntussa ja Debian Linux VPS: ssä voi muokata head tiedostoa, joka on edeltänyt resolv.conf käynnistyksessä:

sudo vi /etc/resolvconf/resolv.conf.d/head

Lisää seuraavat rivit tiedostoon (korvaa yksityinen verkkotunnus ja ns1-ja ns2-Yksityiset IP-osoitteet):

search nyc3.example.com # your private domainnameserver 10.128.10.11 # ns1 private IP addressnameserver 10.128.20.12 # ns2 private IP address

nyt ajetaan resolvconf uuden resolv.conf file:

sudo resolvconf -u

asiakkaasi on nyt määritetty käyttämään DNS: ääsi palvelimia.

testiasiakkaat

käytä nslookup—sisältyy ”bind-utils”—pakettiin-testataksesi, voivatko asiakkaasi kysellä nimipalvelimiasi. Sinun pitäisi pystyä tekemään tämä kaikille asiakkaille, jotka olet määrittänyt ja ovat ”luotettu” ACL.

Forward Lookup

esimerkiksi, voimme suorittaa forward lookup hakea IP-osoitteen host1.nyc3.example.com suorittamalla seuraavan komennon:

nslookup host1

tiedustelemalla ”host1” laajenee muotoon ”host1.nyc3.example.com koska search valinta on asetettu yksityiseen aliverkkotunnukseesi, ja DNS-kyselyt yrittävät katsoa kyseistä aliverkkotunnusta ennen kuin etsivät isäntää muualta. Yllä olevan komennon ulostulo näyttäisi seuraavanlaiselta:

Reverse Lookup

testataksesi käänteistä lookupia, tiedustele DNS-palvelinta host1: n yksityisellä IP-osoitteella:

nslookup 10.128.100.101

sinun pitäisi nähdä ulostulo, joka näyttää seuraavalta:

Output:
Server: 10.128.10.11Address: 10.128.10.11#5311.10.128.10.in-addr.arpa name = host1.nyc3.example.com.

Jos kaikki nimet ja IP-osoitteet ratkaisevat oikeat arvot, se tarkoittaa, että aluetiedostosi on määritetty oikein. Jos saat odottamattomia arvoja, muista tarkistaa alue tiedostoja ensisijainen DNS-palvelimen (esim. db.nyc3.example.com ja db.10.128).

Onneksi olkoon! Sisäinen DNS-palvelimet on nyt perustettu kunnolla! Nyt hoidamme aluetietojenne ylläpidon.

DNS-tietueiden ylläpitäminen

nyt kun sinulla on toimiva sisäinen DNS, sinun täytyy ylläpitää DNS-tietueita, jotta ne heijastavat tarkasti palvelinympäristöäsi.

palvelimen lisääminen DNS: ään

aina kun lisäät isännän ympäristöösi (samaan datakeskukseen), haluat lisätä sen DNS: ään. Tässä on luettelo toimenpiteistä, jotka sinun täytyy ottaa:

ensisijainen nimipalvelin

• Forward zone-tiedosto: Lisää ”a” – tietue uudelle palvelimelle, lisää ”Serial”
• Reverse zone-tiedosto: Lisää ”PTR” – tietue uudelle palvelimelle, lisää ”Serial” – arvo
• lisää uuden isännän yksityinen IP-osoite ”trusted” ACL: ään (named.conf.options)

then reload bind:

sudo systemctl reload named

toissijainen nimipalvelin

• lisää uuden isännän yksityinen IP-osoite ”luotettuun” ACL: ään (named.conf.options)

then reload bind:

sudo systemctl reload named

Configure New Host to Use Your DNS

• Configure resolv.conf käyttääksesi DNS-palvelimia
• testi käyttäen nslookup

isännän poistaminen DNS: stä

Jos poistat isännän ympäristöstäsi tai haluat vain poistaa sen DNS: stä, poista kaikki asiat, jotka on lisätty, kun olet lisännyt palvelimen DNS: ään (toisin sanoen edellä mainittujen vaiheiden kääntöpuoli).

johtopäätös

Nyt voit viitata palvelimiesi yksityisiin verkkoliittymiin nimellä IP-osoitteen sijaan. Tämä helpottaa palveluiden ja sovellusten konfigurointia, koska sinun ei enää tarvitse muistaa yksityisiä IP-osoitteita, ja tiedostot on helpompi lukea ja ymmärtää. Myös, nyt voit muuttaa kokoonpanoja osoittamaan uusia palvelimia yhdessä paikassa, ensisijainen DNS-palvelin, sen sijaan, että muokata erilaisia hajautettuja asetustiedostoja, mikä helpottaa huoltoa.

kun sisäinen DNS on perustettu ja asetustiedostot käyttävät yksityisiä FQDNs: iä verkkoyhteyksien määrittämiseen, on tärkeää, että DNS-palvelimia ylläpidetään asianmukaisesti. Jos ne molemmat eivät ole käytettävissä, niihin tukeutuvat palvelusi ja sovelluksesi lakkaavat toimimasta kunnolla. Siksi on suositeltavaa perustaa DNS vähintään yksi toissijainen palvelin, ja ylläpitää toimivat varmuuskopiot niistä kaikista.