CloudFlare アカウント用のフォールバック DNS サーバーを作成したいと考えています。CloudFlare
でホストされているドメインが 70 個以上あり、ビジネス全体がほとんど無料のサービスに依存しているようです。CloudFlare がダウンしたことは以前にもありました。
このようなイベントに備えてバックアップ プランを用意しておきたいと思います。
各ドメインの NS レコードに 3 番目の DNS サーバーを追加するだけでよいと考えました。
foo.ns.cloudflare.com
bar.ns.cloudflare.com
ns.mydoamin.com
最初の質問は、これが期待どおりに動作するかどうかです (cloudflare が応答しない場合、ブラウザは ns.mydomain.com にクエリを実行します)。
2 つ目の質問は、どのようにすればよいかということです。API
経由で CloudFlare ゾーンを取得し、ローカルの bind9 などを更新する Docker を見つけられるかもしれないと思いましたが、そのような Docker は見つかりませんでした。存在するのでしょうか。存在し
ない場合は、API 経由でレコードを自分でエクスポートできますが、サーバーをどのように設定すればよいのでしょうか。見つけられるチュートリアルはすべて、再帰サーバーとしての内部ネットワークに関するものなので、権限のあるサーバーを構成する必要があると思います。
情報があればよろしくお願いします。
答え1
最初の質問は、これは期待通りに機能するだろうかということです
NSいいえ。ゾーン内のレコードの結合とレジストリ内のすべてのネームサーバーを配置するだけで、複数の DNS プロバイダーを一緒に使用して機能することを期待することはできません。
関係するすべてのプロバイダーは、まったく同じゾーンをまったく同じ方法で提供するために協力する必要があります。これは、ほとんどの場合、両方のプロバイダーに情報を提供する隠れたプライマリ ディストリビューション ネームサーバー、または 1 つのプロバイダーが他のプロバイダーからゾーンを取得する (この場合、複数のプロバイダーを持つことの有用性が大幅に低下します) ことを意味します。
DNSSEC を導入する場合、ドメインが適切に解決されることを望むなら、プロバイダーの協力が絶対に必須となります。
したがって、ランダムに試すのではなく、まずは単一の DNS プロバイダーに問い合わせて、ホット/ホットまたはホット/コールドのシナリオなど、複数のプロバイダーのセットアップに対してどのようなソリューションがあるかを尋ねる必要があります。
CloudFlareゾーンをAPI経由で取得し、ローカルbind9または同様のものを更新するdockerを見つけるかもしれないと思った。
これは 2 番目のシナリオのようで、セットアップの興味を著しく低下させます。なぜこれが役立つと思いますか。または、もっと重要なのは、これによってどのような問題を解決できると思いますか。おそらく、「ああ、Cloudflare に DDOS があるかもしれないので、バックアップ ネームサーバーを用意しておくと役立つ」ということでしょうか。もしそうなら、そして Cloudflare に DDOS がある場合、単独のネームサーバーでも負荷を処理できると本当に思っていますか。それは疑わしいです。
権威あるサーバーを構成する必要があると思います。
もしあなたがこのレベルの疑問を抱いていて、再帰ネームサーバーと権威ネームサーバーの違いをまだ完全に理解していないのであれば、たとえその答えが気に入らなくても、今は DNS を使わないことを強くお勧めします。重要な実稼働ゾーンには適切な DNS プロバイダーを使用し、その間は他の重要でないゾーンを操作したり、ローカル ネットワークで設定したり、デバッグしたり、オプションを試したりしてください。その後、DNS の仕組みをより深く理解し、より高度なシナリオに取り組むことができるはずです。
その間、次のような基本的なセキュリティ確保にさらに力を入れるべきです:
- DNSVizオンラインを使用してゾーンをテストし、警告がないことを確認します
- ゾーンで DNSSEC を有効にし、すべてのケースが考慮されていることを確認します (キーのローテーションなど)。