10と11のリビジョン間の差分

ＤＮＳのレプリケーション設定と運用

ＤＮＳのレプリケーション設定と運用
ＤＮＳコンテンツサーバーの基本設定（準備）
1. マスターＤＮＳコンテンツサーバーの基本設定
付録１．ＡＰＲレコード
参考文献

検証環境

以下のソフトウェアの利用を前提に検証を実施した。いずれも現時点で最新のリリースに基づいて検証しているが、ある程度古い環境、より新しい環境でも問題無いと思われる。
- ＯＳ： FreeBSD 11.2-R
- ＤＮＳコンテンツサーバー： BIND9 9.13.3
上記以外の環境では、以下の点に相違が発生する。当該環境に応じて読み替えたし。
- インストール方法
- インストールされるディレクトリ
逆に以下の点は参考にできる。
- 設定パラメータとその意味
- 運用事例

検証内容

ＤＮＳコンテンツサーバーの構築。以下の３台のＤＮＳサーバーを構築する。
- マスターＤＮＳサーバー ns0.example.jp
- スレーブＤＮＳサーバー ns1.example.jp
- スレーブＤＮＳサーバー ns2.example.jp
- いわゆる ns0.example.jp を隠れ（hidden）マスターとし、ns1.example, ns2.exmaple.jp が対外的なサービスを提供する。
構成に当り、以下の機能を使用してゾーン転送（レプリケーション）を行う。
- ＡＦＸＲ／ＩＦＸＲによるゾーン転送。
- ＴＳＩＧキーによるマスター／スレーブの認証。
- カタログゾーン機能による、スレーブＤＮＳサーバーの設定フリー（たぶん）。
- なおカタログゾーン機能はＢＩＮＤ９９．１１以降の機能であるため、それ未満のサーバー上では運用できない（残念）。
- 他の実装については今時点不明。現在ドラフト状態にあり、ＲＦＣに移行するかどうかと関わってくると思われる。

レプリケーションについて

この手の設定を調べてみると、あまり「レプリケーション」という「言葉」は出てこない。
では何かというと「セカンダリＤＮＳサーバー」「ゾーン転送」となる。
言わんとすることわかるけど、レプリケーションじゃないかなぁということで、ここではそのように表現しておく。
マスター・スレイブ、プライマリ・セカンダリ、関係ないけど、権威サーバー・コンテンツサーバー、キャッシュサーバー・フルリゾルバ、色々と表現あるけど、適度な使い分けで。

ＤＮＳコンテンツサーバーの基本設定（準備）

マスターＤＮＳコンテンツサーバーの基本設定

ＤＮＳサーバーとして ports/dns/bind913 をインストールする。
ここでは特にカスタムする要素は無いので、デフォルトのままとする。
説明のため、稼働に必要な最低限の設定とする。

/etc/rc.conf

以下の設定を追加する。

named_enable="YES"
named_chrootdir="/var/named"
altlog_proglist="named"

※altlog_proglist が既に設定済みの場合、「 named」を追加する。

あるいは下記コマンドを実行する（結果は同じ）。

sysrc named_enable=YES
sysrc named_chrootdir=/var/named
sysrc altlog_proglist+=named

/usr/local/etc/namedb/named.conf

   1 --- /usr/local/etc/namedb/named.conf.orig       2018-09-25 03:54:24.724317000 +0900
   2 +++ /usr/local/etc/namedb/named.conf    2018-11-10 21:38:31.343856000 +0900
   3 @@ -16,15 +16,22 @@
   4         dump-file       "/var/dump/named_dump.db";
   5         statistics-file "/var/stats/named.stats";
   6 
   7 +       recursion       no;
   8 +       allow-query       { none; };
   9 +       allow-recursion   { none; };
  10 +       allow-query-cache { none; };
  11 +
  12 +       allow-new-zones yes;
  13 +
  14  // If named is being used only as a local resolver, this is a safe default.
  15  // For named to be accessible to the network, comment this option, specify
  16  // the proper IP address, or delete this option.
  17 -       listen-on       { 127.0.0.1; };
  18 +       listen-on       { any; };
  19 
  20  // If you have IPv6 enabled on this system, uncomment this option for
  21  // use as a local resolver.  To give access to the network, specify
  22  // an IPv6 address, or the keyword "any".
  23 -//     listen-on-v6    { ::1; };
  24 +       listen-on-v6    { any; };
  25 
  26  // These zones are already covered by the empty zones listed below.
  27  // If you remove the related empty zones below, comment these lines out.
  28 @@ -378,3 +385,23 @@
  29         };
  30  };
  31  */
  32 +
  33 +include "/usr/local/etc/namedb/ns0-nsN.key";
  34 +
  35 +zone "catalog.example" {
  36 +       type    master;
  37 +       file    "/usr/local/etc/namedb/master/catalog.example.db";
  38 +       notify  explicit;
  39 +       allow-query {
  40 +               { !{ !ｎｓ１のＩＰアドレス; any; }; key "ns0-nsN."; };
  41 +               { !{ !ｎｓ２のＩＰアドレス; any; }; key "ns0-nsN."; };
  42 +       };
  43 +       allow-transfer {
  44 +               { !{ !ｎｓ１のＩＰアドレス; any; }; key "ns0-nsN."; };
  45 +               { !{ !ｎｓ２のＩＰアドレス; any; }; key "ns0-nsN."; };
  46 +       };
  47 +       also-notify {
  48 +                     ｎｓ１のＩＰアドレス          key "ns0-nsN.";
  49 +                     ｎｓ２のＩＰアドレス          key "ns0-nsN.";
  50 +       };
  51 +};
  52

ＤＮＳ隠れコンテンツマスターサーバーとして、以下の設定を行うものとする。
- ＩＰｖ４／ＩＰｖ６問わず、全てのクエリを受け付けない。
- 原則クエリは受け付けないけど、再帰問い合わせには答えないものとする。
ＤＮＳＳＥＣ設定／運用、ログ出力設定、ビュー設定といった機能については説明しない。

※カタログゾーン運用のための設定

「allow-new-zones yes;」を設定する。
カタログゾーン（catalog.example）を定義する。
このゾーンはゾーンのフリしたカタログ管理用データベースを意味し、その具体性はゾーンファイル（/usr/local/etc/namedb/master/catalog.example.db）にて定義される。
よって named.conf レベルの設定では他のマスターゾーン定義と変わらない。
ゾーンの命名規則については「catalog.組織名」辺りが妥当と思われる（本サイトで言うなら catalog.ninth-nine など）。
「catalog.localhost」辺りは実在しそうなゾーンっポイので止めておいた方がいいと思われ。

※catalog.exmaple ゾーンに関する諸設定

マスターゾーンである。
- マスターゾーン変更に対する通知（Notification）は明示的に指定する（notify および also-notify 設定）。
- スレイブサーバーからのＳＯＡクエリがあるので答えられるように設定（allow-query）。
- スレイブサーバーからのゾーン転送に答えられるように設定（allow-transfer）
いずれも、内容に改ざんが無いことを証明するため、ＴＳＩＧキーで保護する（暗号化を意味するわけでは無い）。

/usr/local/etc/namedb/ns0-nsN.key

以下のコマンドを使用してＴＳＩＧキーを作成する。内容例については特に記載しない。

tsig-keygen -a hmac-sha256 ns0-nsN. > /usr/local/etc/namedb/ns0-nsN.key
chown bind:wheel /usr/local/etc/namedb/ns0-nsN.key
chmod 0400       /usr/local/etc/namedb/ns0-nsN.key

/usr/local/etc/namedb/master/catalog.example.db

$TTL    3600
@               IN      SOA     . . ( 1 86400 3600 86400 3600 )
                IN      NS      invalid.
version         IN      TXT     "1"
masters         IN      A       ｎｓ０のＩＰｖ４アドレス
label.masters   IN      A       ｎｓ０のＩＰｖ４アドレス
label.masters   IN      TXT     "ns0-nsN."
allow-query     IN      APL      1:0/0  2:0/0
allow-transfer  IN      APL     !1:0/0 !2:0/0

ゾーン定義ではＳＯＡとＮＳレコードの指定が必須なので、
- 特に意味を持たないのでＳＯＡの指定はシンプルに（だそうで）。
- ＮＳレコードも参照されないのでテキトーに（だそうで）。
よって、「version」レコード（つまり version.catalog.example.）が最低でも必須となる。
- これはテキストレコードで、現時点で「1」だけとなる。
- 今後カタログゾーン自体の仕様変更があれば、この「version」の指定が変わることが予定されている（「1」以外の指定の場合の振る舞いは知らない）。
「masters」レコードにて、スレイブサーバーでの「masters」のデフォルトの設定を指定することができる（後述）。
- デフォルトなので後で指定するゾーン毎にこの設定は変更できる。
「label.masters」レコードにて、指定サーバーに対するＴＳＩＧキー名を指定することができる（後述）。
- デフォルトなので後で指定するゾーン毎にこの設定は変更できる。
もちろんではあるが、これらレコードの設定は「catalog.example」ゾーン自体には適用されない。

masters.catalog.example

本レコード設定は、指定されたＡレコード（orＡＡＡＡレコード）を、スレーブサーバーに対して、以下の設定を行うのと同等となる。

masters {
    ｎｓ０のＩＰアドレス;
};

デフォルトの設定となるため、今後追加されるゾーンに対しては、特に指定せずとも、指定されたマスターサーバーよりゾーン転送しようとするようになる。

label.masters.catalog.example

本レコード設定は、Ａレコード・ＴＸＴレコードを、【スレーブサーバー】に対して、以下の設定を行うのと同等となる。

server ｎｓ０のＩＰアドレス {
    keys "ns0-nsN.";
};

allow-query.catalog.example

本レコード設定は、ＡＰＲレコードを、【スレーブサーバー】に対して、以下の設定を行うのと同等となる。

allow-query { any; };

本設定によりスレーブサーバー側の設定に寄らず、本設定が「デフォルト」として機能する。

allow-transfer.catalog.example