Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

CloudflareAdvent Calendar 2021Day 19
@khayama(Kyouhei Hayama)inCloudflare Japan 株式会社

Cloudflare を Secondary DNS として使う

Posted at

Secondary DNS が利用可能なプラン

Enterprise Plan で利用できます。

Configuring Secondary DNS – Cloudflare Help Center

Secondary DNS is available for domains on Enterprise plans.

Secondary DNS 用語整理

Secondary DNS - Deep Dive

image-20220113235945697

  • Authoritative Zone Transfer (AXFR)
    • AXFRはTCP接続(ポート53)で行われます。これは、転送中にパケットが失われないようにするために、信頼性の高いプロトコルが必要なためです。このプロトコルを使用すると、プライマリDNSサーバーは、シリアル番号に関係なく、1回の接続で、すべてのゾーンコンテンツをセカンダリDNSサーバーに転送します。AXFRは、レコードが1つも伝搬しない最初のゾーン転送に使用することが推奨され、 それ以降はIXFRが推奨されます。
  • Incremental Zone Transfer (IXFR)
    • AXFRプロトコルとは異なり、IXFRの間、プライマリサーバーは、(シリアル番号に 基づいて)そのゾーンの現在のバージョンから変更されたレコードのみをセカンダリサー バーに送信する。つまり、セカンダリDNSサーバーがIXFRを開始しようとする場合、セカンダリDNS サーバーは現在のシリアル番号をプライマリDNSサーバーに送信する。その後、プライマリDNSサーバは、ゾーンに加えられた変更の 過去のバージョンに基づいて応答をフォーマットする。IXFRはUDPまたはTCP(ポート53)で行うことができますが、やはりパケットロスを避けるために一般的にはTCPが推奨されます。

Cloudflare を Secondary DNS とする構成パターン

以下の「Primary-Secondary(Multi-Vendor)」「Hidden Primary」の構成を取れます。

Announcing Foundation DNS — Cloudflare’s new premium DNS offering

img

NS1 を Primary DNS として設定する

https://ns1.com/signup からフリーアカウントを作成できます。

クレジットカードの入力が必要ですが、DNS クエリが 100万回 / 月を越えない限り無料です。

NS1 will only bill you in the event that your account sees DNS query overages. Overages are billed at $8/million queries on a monthly basis.

以下のガイドに従って、今回は Freenom で取得したドメインを登録します。

Create a DNS zone – NS1 Help Center

image-20220113160641526

その後、以下の NS レコードが確認できます。

image-20220113233145340

Freenom でカスタムネームサーバーとして、NS1のネームサーバーを登録します。

image-20220113162604235

続いて、以下のガイドに従って NS1 からの Zone Transfer を設定します。

Configuring NS1 as the primary DNS provider – NS1 Help Center

転送先としての ACL に Cloudflare の IPv4 を追加します。

Access Control List (ACL) configuration

image-20220113163745391

Cloudflare を Secondary DNS として設定する(「Primary-Secondary(Multi-Vendor)」構成)

以下のガイドに従って設定します。

Configure a Secondary Zone through the Cloudflare Dashboard

https://dash.cloudflare.com/?to=/:account/add-site から「Secondary DNS」を選択します。

image-20220114001251588

続けて NS1 の Primary ネームサーバーの IP アドレス 192.135.223.10

Configuring NS1 as the primary DNS provider – NS1 Help Center

After configuring the zone transfers in the NS1 platform, you must configure the secondary servers to use xfr01.nsone.net (192.135.223.10) as the zone's primary server.

TSIG を設定します。(以下のコマンド結果を入力する。)

% tsig-keygen -a hmac-sha512 tsig-key 
key "tsig-key" {
        algorithm hmac-sha512;
        secret "XXXXX";
};

image-20220114003516908

auto_refresh_seconds の値を確認し、「Linked」となるようにチェックします。

image-20220114004037080

転送されたレコードを確認し、「Continue」します。
(必要に応じて Primary DNS レコードをアップデートの上、再度「Initiate zone transfer」を行い、確認しますが、後からも行えます。)

image-20220114004239811

最後に Cloudflare から Secondary ネームサーバーが割り当てられます。

image-20220114004803583

「Primary-Secondary(Multi-Vendor)」構成とするために、NS1 と Freenom で以下のように設定します。(Freenom で設定できるネームサーバーが最大5個のため、NS1 Primary ネームサーバー3つ、Cloudflare Secondary ネームサーバー2つとします。)

image-20220114104302866

image-20220114005226482

設定完了後は、https://dash.cloudflare.com/?to=/:account/:zone/dns から以下のような画面になります。

image-20220114105006097

% dig xxx.cf NS @1.1.1.1 +short
nsXXXX.secondary.cloudflare.com.
nsXXXX.secondary.cloudflare.com.
dns1.p01.nsone.net.
dns2.p01.nsone.net.
dns3.p01.nsone.net.

Secondary DNS に関する通知設定

以下の通知を設定することができます。

image-20220114012801410

↓「Secondary DNS Successfully Updated」の通知例です。

image-20220114013022551

「Hidden Primary」設定

NS1 と Freenom で、NS1 の Primary ネームサーバーを削除し、Cloudflare の Secondary ネームサーバーのみの設定とすることで、「Hidden Primary」の構成にできます。

image-20220114105904858

image-20220114013759767

% dig xxx.cf NS @1.1.1.1 +short
nsXXXX.secondary.cloudflare.com.
nsXXXX.secondary.cloudflare.com.

Secondary DNS Override

Override を使えば、Secondary DNS でも A/AAAA/CNAME レコードをプロキシし Cloudflare の IP を応答させることができます。(アカウントチームに有効化の依頼を上げる必要があります。)

Orange Clouding with Secondary DNS

Secondary DNS Override builds on the Secondary DNS with a hidden primary model by allowing our customers to not only serve records as they tell us to, but also enable them to proxy any A/AAAA/CNAME records through Cloudflare's network. This is similar to how Cloudflare as a primary DNS provider currently works.

その際には、一貫した応答結果とするために「Hidden Primary」の構成で利用することが推奨です。

Understanding Secondary DNS Override – Cloudflare Help Center

Prerequisites

  1. Add a Secondary DNS zone to Cloudflare and verify that DNS records are transferred.
  2. Request your Account Team to enable Secondary Override.
  3. (Highly recommended) Only list Cloudflare’s nameservers at your domain’s registrar to ensure that DNS queries to different nameservers don't yield varying responses.

image-20220114110913694

Secondary DNS Override を有効にすると、DNS 設定画面で「Proxy」状態をクリックで変更できます。

image-20220114110415348

「Proxied」のレコードについては、Cloudflare の IP が応答されます。

% dig orange.xxx.cf @1.1.1.1 +short 
104.18.16.38
104.18.17.38

CNAME at the Apex

Secondary DNS Override では唯一 Zone Apex に CNAME レコードを作成できます。

image-20220114125705529

「CNAME at the Apex」設定時は、既存の「A/AAAA at the Apex」レコードが無効になります。

image-20220114125843447

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?