Вступление
Важная часть управления конфигурацией сервера и инфраструктурой включает в себя поддержание простого способа поиска сетевых интерфейсов и IP-адресов по имени путем настройки правильной системы доменных имен (DNS). Использование полных доменных имен (FQDN) вместо IP-адресов для указания сетевых адресов облегчает настройку служб и приложений и повышает удобство сопровождения файлов конфигурации. Настройка собственного DNS для вашей частной сети - отличный способ улучшить управление вашими серверами.
В этом руководстве мы рассмотрим, как настроить внутренний DNS-сервер, используя программное обеспечение сервера имен BIND (BIND9) в CentOS 7, которое может использоваться вашими виртуальными частными серверами (VPS) для разрешения частных имен хостов и частных IP-адресов. адреса. Это обеспечивает центральный способ управления внутренними именами хостов и частными IP-адресами, что необходимо, когда ваша среда расширяется до нескольких хостов.
Версия этого руководства для Ubuntu находится вhere.
Предпосылки
Для завершения этого урока вам понадобится следующее:
-
Некоторые серверы, которые работают в одном центре обработки данных и имеютprivate networking enabled
-
Новый VPS в качестве основного DNS-сервера,ns1
-
Необязательно: новый VPS в качестве вторичного DNS-сервера,ns2
-
Доступ с правами root ко всему вышеперечисленному (steps 1-4 here)
Если вы не знакомы с концепциями DNS, рекомендуется прочитать хотя бы первые три части нашегоIntroduction to Managing DNS.
Пример хостов
Для примера, мы будем предполагать следующее:
-
У нас есть два существующих VPS, называемых «host1» и «host2»
-
Оба VPS существуют в центре обработки данных nyc3
-
На обоих VPS включены частные сети (и они находятся в подсети 10.128.0.0/16)
-
Оба VPS так или иначе связаны с нашим веб-приложением, которое работает на «example.com».
Исходя из этих предположений, мы решили, что имеет смысл использовать схему именования, которая использует «nyc3.example.com» для ссылки на нашу частную подсеть или зону. Следовательно, частное полное доменное имя (FQDN)host1 будет «host1.nyc3.example.com». Обратитесь к следующей таблице соответствующих деталей:
Host | Role | Частное полное доменное имя | Частный IP-адрес |
---|---|---|---|
host1 |
Общий хост 1 |
host1.nyc3.example.com |
10.128.100.101 |
host2 |
Общий хост 2 |
host2.nyc3.example.com |
10.128.200.102 |
Note: Существующие настройки будут отличаться, но примеры имен и IP-адресов будут использоваться для демонстрации того, как настроить DNS-сервер для обеспечения работающего внутреннего DNS. Вы сможете легко адаптировать эту настройку к своей среде, заменив имена хостов и частные IP-адреса своими собственными. Нет необходимости использовать имя региона центра обработки данных в вашей схеме именования, но мы используем его здесь для обозначения того, что эти хосты принадлежат частной сети конкретного центра обработки данных. Если вы используете несколько центров обработки данных, вы можете настроить внутренний DNS в каждом соответствующем центре данных.
Наша цель
К концу этого руководства у нас будет первичный DNS-серверns1 и, возможно, вторичный DNS-серверns2, который будет служить резервным.
Вот таблица с примерами имен и IP-адресов:
Host | Role | Частное полное доменное имя | Частный IP-адрес |
---|---|---|---|
ns1 |
Первичный DNS-сервер |
ns1.nyc3.example.com |
10.128.10.11 |
ns2 |
Вторичный DNS-сервер |
ns2.nyc3.example.com |
10.128.20.12 |
Давайте начнем с установки нашего основного DNS-сервера ns1.
Установите BIND на DNS-серверы
Note: Текст, выделенный вred, важен! Он часто используется для обозначения чего-то, что должно быть заменено вашими собственными настройками или что оно должно быть изменено или добавлено в файл конфигурации. Например, если вы видите что-то вродеhost1.nyc3.example.com, замените его на полное доменное имя вашего собственного сервера. Аналогичным образом, если вы видитеhost1_private_IP, замените его частным IP-адресом вашего собственного сервера.
На обоих DNS-серверах,ns1 иns2, установите BIND с помощью yum:
sudo yum install bind bind-utils
Подтвердите запрос, введяy
.
Теперь, когда BIND установлен, давайте настроим основной DNS-сервер.
Настройте основной DNS-сервер
Конфигурация BIND состоит из нескольких файлов, которые включены в основной файл конфигурацииnamed.conf
. Эти имена файлов начинаются с «named», потому что это имя процесса, который запускает BIND. Начнем с настройки файла опций.
Настроить привязку
Процесс BIND известен какnamed. Таким образом, многие из файлов называются «именованными», а не «BIND».
Наns1 откройте файлnamed.conf
для редактирования:
sudo vi /etc/named.conf
Над существующим блокомoptions
создайте новый блок ACL под названием «доверенный». Здесь мы определим список клиентов, которым мы будем разрешать рекурсивные DNS-запросы (т.е. ваши серверы, которые находятся в том же центре обработки данных, что и ns1). Используя наш пример частных IP-адресов, мы добавимns1,ns2,host1 иhost2 в наш список доверенных клиентов:
/etc/named.conf — 1 of 4
acl "trusted" {
10.128.10.11; # ns1 - can be set to localhost
10.128.20.12; # ns2
10.128.100.101; # host1
10.128.200.102; # host2
};
Теперь, когда у нас есть список доверенных DNS-клиентов, нам нужно отредактировать блокoptions
. Добавьте частный IP-адрес ns1 в директивуlisten-on port 53
и закомментируйте строкуlisten-on-v6
:
/etc/named.conf — 2 of 4
options {
listen-on port 53 { 127.0.0.1; 10.128.10.11; };
# listen-on-v6 port 53 { ::1; };
...
Под этими записями измените директивуallow-transfer
с «none» на частный IP-адресns2. Также измените директивуallow-query
с «localhost» на «доверенный»:
/etc/named.conf — 3 of 4
...
options {
...
allow-transfer { 10.128.20.12; }; # disable zone transfers by default
...
allow-query { trusted; }; # allows queries from "trusted" clients
...
В конце файла добавьте следующую строку:
/etc/named.conf — 4 of 4
include "/etc/named/named.conf.local";
Теперь сохраните и выйдите изnamed.conf
. Приведенная выше конфигурация указывает, что только ваши собственные серверы («доверенные») смогут запрашивать ваш DNS-сервер.
Далее мы настроим локальный файл, чтобы указать наши DNS-зоны.
Настроить локальный файл
Наns1 откройте файлnamed.conf.local
для редактирования:
sudo vi /etc/named/named.conf.local
Файл должен быть пустым. Здесь мы укажем нашу прямую и обратную зоны.
Добавьте прямую зону следующими строками (замените имя зоны своим):
/etc/named/named.conf.local — 1 of 2
zone "nyc3.example.com" {
type master;
file "/etc/named/zones/db.nyc3.example.com"; # zone file path
};
Предполагая, что наша частная подсеть -10.128.0.0/16, добавьте обратную зону с помощью следующих строк (обратите внимание, что имя нашей обратной зоны начинается с «128.10», что является инверсией октета «10.128»):
/etc/named/named.conf.local — 2 of 2
zone "128.10.in-addr.arpa" {
type master;
file "/etc/named/zones/db.10.128"; # 10.128.0.0/16 subnet
};
Если ваши серверы охватывают несколько частных подсетей, но находятся в одном центре данных, обязательно укажите дополнительную зону и файл зоны для каждой отдельной подсети. Когда вы закончите добавлять все желаемые зоны, сохраните и выйдите из файлаnamed.conf.local
.
Теперь, когда наши зоны указаны в BIND, нам нужно создать соответствующие файлы прямой и обратной зон.
Создать файл прямой зоны
Файл прямой зоны - это место, где мы определяем записи DNS для прямого поиска DNS. То есть, когда DNS получает запрос имени, например «host1.nyc3.example.com», он будет искать в файле прямой зоны для разрешения соответствующего частного IP-адресаhost1.
Давайте создадим каталог, в котором будут находиться наши файлы зон. Согласно нашей конфигурацииnamed.conf.local, это местоположение должно быть/etc/named/zones
:
sudo chmod 755 /etc/named
sudo mkdir /etc/named/zones
Теперь давайте отредактируем наш файл зоны пересылки:
sudo vi /etc/named/zones/db.nyc3.example.com
Сначала вы захотите добавить запись SOA. Замените выделенное полное доменное имя ns1 на свое собственное полное доменное имя, затем замените второй «nyc3.example.com» своим собственным доменом. Каждый раз, когда вы редактируете файл зоны, вы должны увеличивать значениеserial перед перезапуском процессаnamed
- мы увеличим его до «3». Это должно выглядеть примерно так:
/etc/named/zones/db.nyc3.example.com — 1 of 3
@ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
После этого добавьте свои записи сервера имен со следующими строками (замените имена своими). Обратите внимание, что во втором столбце указано, что это записи «NS»:
/etc/named/zones/db.nyc3.example.com — 2 of 3
; name servers - NS records
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
Затем добавьте записи A для ваших хостов, которые принадлежат этой зоне. Это включает в себя любой сервер, имя которого мы хотим оканчивать на «.nyc3.example.com» (подставьте имена и частные IP-адреса). Используя наши примеры имен и частных IP-адресов, мы добавим записи A дляns1,ns2,host1 иhost2 следующим образом:
/etc/named/zones/db.nyc3.example.com — 3 of 3
; name servers - A records
ns1.nyc3.example.com. IN A 10.128.10.11
ns2.nyc3.example.com. IN A 10.128.20.12
; 10.128.0.0/16 - A records
host1.nyc3.example.com. IN A 10.128.100.101
host2.nyc3.example.com. IN A 10.128.200.102
Сохраните и выйдите из файлаdb.nyc3.example.com
.
Наш последний пример файла зоны пересылки выглядит следующим образом:
/etc/named/zones/db.nyc3.example.com — complete
$TTL 604800
@ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
; name servers - NS records
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
; name servers - A records
ns1.nyc3.example.com. IN A 10.128.10.11
ns2.nyc3.example.com. IN A 10.128.20.12
; 10.128.0.0/16 - A records
host1.nyc3.example.com. IN A 10.128.100.101
host2.nyc3.example.com. IN A 10.128.200.102
Теперь давайте перейдем к файлам обратной зоны.
Создать файл обратной зоны
Файл обратной зоны - это место, где мы определяем записи DNS PTR для обратного поиска DNS. То есть, когда DNS получает запрос по IP-адресу, например, «10.128.100.101», он ищет в файле (-ах) обратной зоны разрешение соответствующего полного доменного имени, в данном случае «host1.nyc3.example.com». ,
Наns1 для каждой обратной зоны, указанной в файлеnamed.conf.local
, создайте файл обратной зоны.
Отредактируйте файл обратной зоны, который соответствует обратной зоне (ам), определенной вnamed.conf.local
:
sudo vi /etc/named/zones/db.10.128
Аналогично файлу пересылки зон замените выделенное полное доменное имя ns1 на свое собственное полное доменное имя, а затем замените второй «nyc3.example.com» собственным доменом. Каждый раз, когда вы редактируете файл зоны, вы должны увеличивать значениеserial перед перезапуском процессаnamed
- мы увеличим его до «3». Это должно выглядеть примерно так:
/etc/named/zones/db.10.128 — 1 of 3
@ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
После этого добавьте свои записи сервера имен со следующими строками (замените имена своими). Обратите внимание, что во втором столбце указано, что это записи «NS»:
/etc/named/zones/db.10.128 — 2 of 3
; name servers - NS records
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
Затем добавьте записиPTR
для всех ваших серверов, IP-адреса которых находятся в подсети файла зоны, который вы редактируете. В нашем примере это включает в себя все наши хосты, потому что они все находятся в подсети 10.128.0.0/16. Обратите внимание, что первый столбец состоит из двух последних октетов частных IP-адресов ваших серверов в обратном порядке. Не забудьте заменить имена и частные IP-адреса в соответствии с вашими серверами:
/etc/named/zones/db.10.128 — 3 of 3
; PTR Records
11.10 IN PTR ns1.nyc3.example.com. ; 10.128.10.11
12.20 IN PTR ns2.nyc3.example.com. ; 10.128.20.12
101.100 IN PTR host1.nyc3.example.com. ; 10.128.100.101
102.200 IN PTR host2.nyc3.example.com. ; 10.128.200.102
Сохраните и закройте файл обратной зоны (повторите этот раздел, если вам нужно добавить больше файлов обратной зоны).
Наш последний пример обратного файла зоны выглядит следующим образом:
/etc/named/zones/db.10.128 — complete
$TTL 604800
@ IN SOA nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
; name servers
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
; PTR Records
11.10 IN PTR ns1.nyc3.example.com. ; 10.128.10.11
12.20 IN PTR ns2.nyc3.example.com. ; 10.128.20.12
101.100 IN PTR host1.nyc3.example.com. ; 10.128.100.101
102.200 IN PTR host2.nyc3.example.com. ; 10.128.200.102
Проверьте синтаксис конфигурации BIND
Выполните следующую команду, чтобы проверить синтаксис файловnamed.conf*
:
sudo named-checkconf
Если в ваших именованных файлах конфигурации нет синтаксических ошибок, вы вернетесь в командную строку и не увидите сообщений об ошибках. Если есть проблемы с вашими файлами конфигурации, просмотрите сообщение об ошибке и разделConfigure Primary DNS Server, затем попробуйтеnamed-checkconf
еще раз.
Командуnamed-checkzone
можно использовать для проверки правильности файлов зоны. Его первый аргумент указывает имя зоны, а второй аргумент указывает соответствующий файл зоны, которые оба определены вnamed.conf.local
.
Например, чтобы проверить конфигурацию зоны пересылки «nyc3.example.com», выполните следующую команду (измените имена, чтобы они соответствовали вашей зоне пересылки и файлу):
sudo named-checkzone nyc3.example.com /etc/named/zones/db.nyc3.example.com
И чтобы проверить конфигурацию обратной зоны «128.10.in-addr.arpa», выполните следующую команду (измените числа, чтобы они соответствовали вашей обратной зоне и файлу):
sudo named-checkzone 128.10.in-addr.arpa /etc/named/zones/db.10.128
Когда все ваши файлы конфигурации и зоны не содержат ошибок, вы должны быть готовы перезапустить службу BIND.
Начать BIND
Начать BIND:
sudo systemctl start named
Теперь вы захотите включить его, чтобы он запускался при загрузке:
sudo systemctl enable named
Ваш основной DNS-сервер теперь настроен и готов отвечать на запросы DNS. Давайте перейдем к созданию вторичного DNS-сервера.
Настройте дополнительный DNS-сервер
В большинстве сред рекомендуется установить дополнительный DNS-сервер, который будет отвечать на запросы, если основной станет недоступным. К счастью, вторичный DNS-сервер гораздо проще настроить.
Наns2 отредактируйте файлnamed.conf
:
sudo vi /etc/named.conf
[.note] #Note: Если вы предпочитаете пропустить эти инструкции, вы можете скопировать файлns1named.conf
и изменить его так, чтобы он прослушивал частный IP-адресns2, не разрешая переводы.
#
Над существующим блокомoptions
создайте новый блок ACL под названием «доверенный». Здесь мы определим список клиентов, которым мы будем разрешать рекурсивные DNS-запросы (т.е. ваши серверы, которые находятся в том же центре обработки данных, что и ns1). Используя наш пример частных IP-адресов, мы добавимns1,ns2,host1 иhost2 в наш список доверенных клиентов:
/etc/named.conf — 1 of 4
acl "trusted" {
10.128.10.11; # ns1 - can be set to localhost
10.128.20.12; # ns2
10.128.100.101; # host1
10.128.200.102; # host2
};
Теперь, когда у нас есть список доверенных DNS-клиентов, нам нужно отредактировать блокoptions
. Добавьте частный IP-адрес ns1 в директивуlisten-on port 53
и закомментируйте строкуlisten-on-v6
:
/etc/named.conf — 2 of 4
options {
listen-on port 53 { 127.0.0.1; 10.128.20.12; };
# listen-on-v6 port 53 { ::1; };
...
Измените директивуallow-query
с «localhost» на «доверенный»:
/etc/named.conf — 3 of 4
...
options {
...
allow-query { trusted; }; # allows queries from "trusted" clients
...
В конце файла добавьте следующую строку:
/etc/named.conf — 4 of 4
include "/etc/named/named.conf.local";
Теперь сохраните и выйдите изnamed.conf
. Приведенная выше конфигурация указывает, что только ваши собственные серверы («доверенные») смогут запрашивать ваш DNS-сервер.
Далее мы настроим локальный файл, чтобы указать наши DNS-зоны.
Сохраните и выйдите изnamed.conf
.
Теперь отредактируйте файлnamed.conf.local
:
sudo chmod 755 /etc/named
sudo vi /etc/named/named.conf.local
Определите подчиненные зоны, которые соответствуют основным зонам на основном DNS-сервере. Обратите внимание, что это тип «подчиненный», файл не содержит пути, и есть директиваmasters
, которая должна быть установлена на частный IP-адрес основного DNS-сервера. Если вы определили несколько обратных зон на основном DNS-сервере, обязательно добавьте их все здесь:
/etc/named/named.conf.local
zone "nyc3.example.com" {
type slave;
file "slaves/db.nyc3.example.com";
masters { 10.128.10.11; }; # ns1 private IP
};
zone "128.10.in-addr.arpa" {
type slave;
file "slaves/db.10.128";
masters { 10.128.10.11; }; # ns1 private IP
};
Теперь сохраните и выйдите изnamed.conf.local
.
Выполните следующую команду, чтобы проверить правильность ваших файлов конфигурации:
sudo named-checkconf
Как только это подтвердится, запустите BIND:
sudo systemctl start named
Включить BIND для запуска при загрузке:
sudo systemctl enable named
Теперь у вас есть основной и дополнительный DNS-серверы для разрешения имен частных сетей и IP-адресов. Теперь вы должны настроить свои серверы для использования ваших частных DNS-серверов.
Настройте DNS-клиенты
Прежде чем все ваши серверы в «доверенном» ACL смогут запрашивать ваши DNS-серверы, вы должны настроить каждый из них на использованиеns1 иns2 в качестве серверов имен. Этот процесс зависит от ОС, но для большинства дистрибутивов Linux он включает добавление серверов имен в файл/etc/resolv.conf
.
Клиенты CentOS
В CentOS, RedHat и Fedora Linux VPS просто отредактируйте файлresolv.conf
:
sudo vi /etc/resolv.conf
Затем добавьте следующие строки в начало файла (замените свой частный домен и частные IP-адресаns1 иns2):
/etc/resolv.conf
search nyc3.example.com # your private domain
nameserver 10.128.10.11 # ns1 private IP address
nameserver 10.128.20.12 # ns2 private IP address
Теперь сохраните и выйдите. Ваш клиент теперь настроен на использование ваших DNS-серверов.
Клиенты Ubuntu
В Ubuntu и Debian Linux VPS вы можете редактировать файлhead
, который добавляется кresolv.conf
при загрузке:
sudo vi /etc/resolvconf/resolv.conf.d/head
Добавьте в файл следующие строки (замените свой частный домен и частные IP-адресаns1 иns2):
/etc/resolvconf/resolv.conf.d/head
search nyc3.example.com # your private domain
nameserver 10.128.10.11 # ns1 private IP address
nameserver 10.128.20.12 # ns2 private IP address
Теперь запуститеresolvconf
, чтобы создать новый файлresolv.conf
:
sudo resolvconf -u
Ваш клиент теперь настроен на использование ваших DNS-серверов.
Тестовые клиенты
Используйтеnslookup
, входящий в пакет «bind-utils», чтобы проверить, могут ли ваши клиенты запрашивать ваши серверы имен. Вы должны быть в состоянии сделать это на всех клиентах, которые вы настроили и находитесь в «доверенном» ACL.
Прямой поиск
Например, мы можем выполнить прямой поиск, чтобы получить IP-адресhost1.nyc3.example.com, выполнив следующую команду:
nslookup host1
Запрос «host1» заменяется на «host1.nyc3.example.com, поскольку параметрsearch
установлен для вашего частного поддомена, и запросы DNS будут пытаться искать этот поддомен перед поиском хоста в другом месте. Вывод команды выше будет выглядеть следующим образом:
Output:Server: 10.128.10.11
Address: 10.128.10.11#53
Name: host1.nyc3.example.com
Address: 10.128.100.101
Обратный поиск
Чтобы проверить обратный поиск, запросите DNS-сервер с частным IP-адресомhost1:
nslookup 10.128.100.101
Вы должны увидеть вывод, который выглядит следующим образом:
Output:Server: 10.128.10.11
Address: 10.128.10.11#53
11.10.128.10.in-addr.arpa name = host1.nyc3.example.com.
Если все имена и IP-адреса соответствуют правильным значениям, это означает, что файлы зоны настроены правильно. Если вы получили неожиданные значения, обязательно просмотрите файлы зон на основном DNS-сервере (например, db.nyc3.example.com
иdb.10.128
).
Поздравляем! Ваши внутренние DNS-серверы теперь настроены правильно! Теперь мы рассмотрим ведение записей вашей зоны.
Ведение DNS-записей
Теперь, когда у вас есть работающий внутренний DNS, вам нужно поддерживать свои записи DNS, чтобы они точно отражали среду вашего сервера.
Добавление хоста в DNS
Всякий раз, когда вы добавляете хост в свою среду (в том же центре данных), вы захотите добавить его в DNS. Вот список шагов, которые вам нужно предпринять:
Основной сервер имен
-
Файл зоны пересылки: добавьте запись «A» для нового хоста, увеличьте значение «Serial»
-
Файл обратной зоны: добавьте запись «PTR» для нового хоста, увеличьте значение «Serial»
-
Добавьте частный IP-адрес вашего нового хоста в «доверенный» ACL (
named.conf.options
)
Затем перезагрузите BIND:
sudo systemctl reload named
Вторичный сервер имен
-
Добавьте частный IP-адрес вашего нового хоста в «доверенный» ACL (
named.conf.options
)
Затем перезагрузите BIND:
sudo systemctl reload named
Настройте новый хост для использования вашего DNS
-
Настройте resolv.conf для использования ваших DNS-серверов
-
Тест с использованием
nslookup
Удаление хоста из DNS
Если вы удаляете хост из своей среды или хотите просто извлечь его из DNS, просто удалите все, что было добавлено, когда вы добавили сервер в DNS (т.е. обратный шаг выше).
Заключение
Теперь вы можете обращаться к частным сетевым интерфейсам ваших серверов по имени, а не по IP-адресу. Это упрощает настройку служб и приложений, поскольку вам больше не нужно запоминать частные IP-адреса, а файлы легче читать и понимать. Кроме того, теперь вы можете изменить свои конфигурации так, чтобы они указывали на новые серверы в одном месте, ваш основной DNS-сервер, вместо того, чтобы редактировать различные распределенные файлы конфигурации, что облегчает обслуживание.
После того, как вы настроили внутренний DNS и ваши файлы конфигурации используют частные полные доменные имена для определения сетевых подключений, этоcritical, что ваши DNS-серверы обслуживаются должным образом. Если они оба станут недоступны, ваши сервисы и приложения, которые на них полагаются, перестанут функционировать должным образом. Вот почему рекомендуется настроить DNS как минимум с одним вторичным сервером и поддерживать рабочие резервные копии всех из них.