インターネットのDNS問い合わせと同等の仕組みをローカル環境に構築します。
ローカル環境に、権威サーバ、キャッシュサーバを用意し、再帰問い合わせ、非再帰問い合わせ(反復問い合わせ)をローカル環境内で完結させます。
※ここでは実際に設定、動作したものを掲載していますが、内容について保証するものではありません。流用される場合は各自の責任でお願いします。
要件は以下のとおりです。
- 権威サーバ(ルート以下)への非再帰問い合わせ(反復問い合わせ)をローカル環境内で完結させる。
- 権威サーバは「.(root)」、「jp」、「com」、「test.co.jp」、「test.com」のドメインを管理する。
- 権威サーバは DNSSEC に対応する。
- test.com については master / slave のゾーン転送を行う。
- test.com のゾーン転送は hidden master 構成とする。(master はゾーンデータの原本管理のみを行い、問い合わせには対応しない)
- test.com のゾーン転送は TSIG に対応する。
- test.com の DNSSEC の署名は、ゾーン転送の途中で自動的に行う。(Knot を利用する)
- 複数のドメインを少数のサーバでまとめて管理する。(BIND の View 機能を利用する)
- ルート化、逆引きには対応しない。
構築対象の論理構成は下図のとおりです。
構築対象の物理構成およびアプリのスタックは下図のとおりです。
本環境で使用する OS およびアプリケーションのバージョンは以下のとおりです。
# cat /etc/redhat-release
Rocky Linux release 8.10 (Green Obsidian)
# named -v
BIND 9.11.36-RedHat-9.11.36-16.el8_10.2 (Extended Support Version) <id:68dbd5b>
# knotc -V
knotc (Knot DNS), version 3.3.9構築は以下の順番で行います。
① 権威サーバとキャッシュサーバの構築
② 権威サーバの DNSSEC 対応
③ test.com ゾーンの追加とゾーン転送の設定
④ test.com ゾーン転送の TSIG 対応(作成中)
⑤ test.com ゾーン転送の DNSSEC 対応(作成中)