Přehled zón a záznamů DNS
Tento článek vysvětluje klíčové koncepty domén, zón DNS, záznamů DNS a sad záznamů. Dozvíte se, jak jsou podporované v Azure DNS.
Názvy domén
Domain Name System je hierarchie domén. Hierarchie začíná z root
domény, jejíž název je jednoduše ".". Pod tímto názvem patří domény nejvyšší úrovně, například com
, net
, org
nebo uk
jp
. Pod doménami nejvyšší úrovně jsou domény druhé úrovně, například org.uk
co.jp
. Domény v hierarchii DNS jsou globálně distribuované, hostované názvovými servery DNS po celém světě.
Registrátor názvu domény je organizace, která umožňuje zakoupit název domény, například contoso.com
. Nákup názvu domény vám dává právo řídit hierarchii DNS pod tímto názvem, například umožňuje směrovat název www.contoso.com
na web vaší společnosti. Registrátor může doménu hostovat na vlastních názvových serverech vaším jménem nebo vám umožní zadat alternativní názvové servery.
Azure DNS poskytuje globálně distribuovanou infrastrukturu názvového serveru s vysokou dostupností, kterou můžete použít k hostování domény. Hostováním domén v Azure DNS můžete spravovat záznamy DNS se stejnými přihlašovacími údaji, rozhraními API, nástroji, fakturací a podporou jako ostatní služby Azure.
Azure DNS v současné době nepodporuje nákup názvů domén. Za roční poplatek si můžete koupit název domény pomocí domén služby App Service nebo registrátora názvu domény třetí strany. Domény pak můžete hostovat v Azure DNS za účelem správy záznamů. Další informace najdete v tématu Delegování domény do DNS Azure.
Zóny DNS
Zóna DNS slouží k hostování záznamů DNS pro konkrétní doménu. Pokud chcete začít hostovat svou doménu v DNS Azure, musíte vytvořit zónu DNS pro daný název domény. Všechny záznamy DNS pro vaši doménu se pak vytvoří v této zóně DNS.
Například doména contoso.com může obsahovat několik záznamů DNS, třeba mail.contoso.com (pro poštovní server) a www.contoso.com (pro web).
Při vytváření zóny DNS v DNS Azure:
- Název zóny musí být v rámci skupiny prostředků jedinečný a zóna ještě nesmí existovat. Jinak se operace nezdaří.
- V jiné skupině prostředků nebo v rámci jiného předplatného Azure se dá znovu použít stejný název zóny.
- Pokud má několik zón stejný název, každé instanci se přiřadí jiná adresa názvového serveru. U registrátora názvu domény je možné nakonfigurovat pouze jednu sadu adres.
Poznámka:
Pro vytvoření zóny DNS s názvem domény v DNS Azure nemusíte tento název domény vlastnit. Doménu ale musíte vlastnit, pokud chcete nakonfigurovat názvové servery DNS Azure jako správné názvové servery pro daný název domény u registrátora názvu domény.
Další informace najdete v tématu Delegování domény do DNS Azure.
Záznamy DNS
Názvy záznamů
V Azure DNS se záznamy zadávají pomocí relativních názvů. Plně kvalifikovaný název domény (FQDN) obsahuje název zóny, zatímco relativní název není. Například relativní název www
záznamu v zóně contoso.com
dává plně kvalifikovaný název www.contoso.com
záznamu .
Záznam „vrcholu“ je záznam DNS v kořeni (nebo „vrcholu“) zóny DNS. Například v zóně contoso.com
DNS má záznam vrcholu také plně kvalifikovaný název contoso.com
(někdy se nazývá nahá doména). Podle konvence se k vyjádření záznamů vrcholu používá relativní název '@'.
Typy záznamů
Každý záznam DNS má název a typ. Záznamy jsou uspořádány do různých typů podle dat, která obsahují. Nejběžnějším typem je záznam „A“, který mapuje název na adresu IPv4. Dalším běžným typem záznamu je „MX“, který mapuje název na poštovní server.
Azure DNS podporuje všechny běžné typy záznamů DNS: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV a TXT. Záznamy SPF se vyjadřují pomocí záznamů TXT.
Další typy záznamů se podporují, pokud je zóna podepsaná pomocí dns Security Extensions (DNSSEC), jako jsou záznamy prostředků delegování (DS) a TLSA (Transport Layer Security Authentication).
Typy záznamů prostředků DNSSEC, jako jsou DNSKEY, RRSIG a NSEC3, se při podpisu zóny DNSSEC přidají automaticky. Tyto typy záznamů prostředků DNSSEC nelze po podepsání zóny vytvářet ani upravovat.
Sady záznamů
Někdy můžete potřebovat vytvořit víc než jeden záznam DNS s daným názvem a typem. Předpokládejme například, že web „www.contoso.com“ je hostovaný na dvou různých IP adresách. Tento web vyžaduje dva různé záznamy A, jeden pro každou IP adresu. Tady je příklad sady záznamů:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Azure DNS spravuje všechny záznamy DNS pomocí sady záznamů. Sada záznamů (známá také jako sada záznamů „prostředků“) je kolekce záznamů DNS v zóně, které mají stejný název a jsou stejného typu. Většina sad záznamů obsahuje jediný záznam. Příklady jako v předchozím příkladu, ve kterých sada záznamů obsahuje více než jeden záznam, ale nejsou neobvyklé.
Předpokládejme třeba, že už jste vytvořili záznam A „www“ v zóně „contoso.com“, který odkazuje na IP adresu 134.170.185.46 (první záznam výše). Když budete chtít vytvořit druhý záznam, bude potřeba tento záznam přidat do existující sady záznamů, ne vytvořit další sadu záznamů.
Výjimkou jsou typy záznamů SOA a CNAME. Standardy DNS nedovolují pro tyto typy více záznamů se stejným názvem, proto tyto sady záznamů můžou obsahovat jenom po jednom záznamu.
Time-to-live
Hodnota TTL (Time to Live) určuje, jak dlouho se každý záznam ukládá do mezipaměti klientům před dotazováním. V předchozím příkladu je hodnota TTL 3600 sekund nebo 1 hodina.
V Azure DNS se hodnota TTL zadává pro sadu záznamů, ne pro každý záznam, takže stejná hodnota se použije pro všechny záznamy v této sadě záznamů. Můžete zadat libovolnou hodnotu TTL mezi 1 a 2 147 483 647 sekund.
Záznamy se zástupnými cardy
Azure DNS podporuje záznamy se zástupným znakem. Záznamy se zástupnými znamétky se vrátí v reakci na jakýkoli dotaz s odpovídajícím názvem, pokud není k dispozici užší shoda ze sady záznamů bez zástupných znaků. Azure DNS podporuje sady záznamů se zástupnými znaménkami pro všechny typy záznamů kromě NS a SOA.
K vytvoření sady záznamů se zástupnými znaméty použijte název sady záznamů *. Můžete také použít název se znakem *, například *.foo.
Záznamy CAA
Záznamy CAA umožňují vlastníkům domény určit, které certifikační autority mají oprávnění vydávat certifikáty pro svoji doménu. Tento záznam umožňuje certifikačním autoritám v některých případech vyhnout se nesprávným vydáváním certifikátů. Záznamy CAA mají tři vlastnosti:
- Příznaky: Toto pole je celé číslo od 0 do 255, které představuje kritický příznak, který má zvláštní význam na RFC6844
- Značka: řetězec ASCII, který může být jedním z následujících:
- problém: Pokud chcete zadat certifikační autority, které mají povoleno vydávat certifikáty (všechny typy)
- issuewild: Pokud chcete zadat certifikační autority, které mají povoleno vydávat certifikáty (pouze certifikáty se zástupnými cardy)
- iodef: Zadejte e-mailovou adresu nebo název hostitele, na který můžou certifikační autority informovat žádosti o vydání neautorizovaného certifikátu.
- Hodnota: hodnota pro vybranou konkrétní značku
Záznamy CNAME
Sady záznamů CNAME nemůžou existovat společně s jinými sadami záznamů se stejným názvem. Nemůžete například vytvořit sadu záznamů CNAME s relativním názvem www
a záznamem A s relativním názvem www
najednou.
Vzhledem k tomu, že vrchol zóny (name = '@') bude vždy obsahovat sady záznamů NS a SOA při vytváření zóny, nemůžete vytvořit sadu záznamů CNAME na vrcholu zóny.
Tato omezení pocházejí z norem DNS a nepředstavují omezení Azure DNS.
Záznamy NS
Sada záznamů NS na vrcholu zóny (název @) se automaticky vytvoří s každou zónou DNS a automaticky se odstraní při odstranění zóny. Nejde ho odstranit samostatně.
Tato sada záznamů obsahuje názvy názvových serverů Azure DNS přiřazených k zóně. Do této sady záznamů NS můžete přidat další názvové servery, které podporují domény spoluhostování s více než jedním poskytovatelem DNS. Můžete také upravit hodnotu TTL a metadata pro tuto sadu záznamů. Odebrání nebo úprava předem vyplněných názvových serverů Azure DNS ale není povolená.
Toto omezení platí jenom pro sadu záznamů NS na vrcholu zóny. Další sady záznamů NS ve vaší zóně (jak se používají k delegování podřízených zón) je možné vytvářet, upravovat a odstraňovat bez omezení.
Záznamy SOA
Sada záznamů SOA se vytvoří automaticky na vrcholu každé zóny (název = '@') a automaticky se odstraní při odstranění zóny. Záznamy SOA nelze vytvářet ani odstraňovat samostatně.
Můžete upravit všechny vlastnosti záznamu SOA s výjimkou host
vlastnosti. Tato vlastnost se předem nakonfiguruje tak, aby odkazovala na název primárního názvového serveru, který poskytuje Azure DNS.
Sériové číslo zóny v záznamu SOA se při změnách záznamů v zóně automaticky neaktualizuje. V případě potřeby ho můžete aktualizovat ručně úpravou záznamu SOA.
Poznámka:
Azure DNS v současné době nepodporuje použití tečky (.) před@ položkou "' v položce hostitele SOA hostmaster. Příklad: john.smith@contoso.xyz
(převedeno na john.smith.contoso.xyz) a john\.smith@contoso.xyz
není povoleno.
Záznamy SPF
Záznamy SPF (Sender Policy Framework) slouží k určení, které e-mailové servery můžou posílat e-maily jménem názvu domény. Správná konfigurace záznamů SPF je důležitá, aby příjemci nemohli e-mail označovat jako nevyžádanou poštu.
Dokumenty RFCS DNS původně zavedly nový typ záznamu SPF pro podporu tohoto scénáře. Aby podporovaly starší názvové servery, povolily také použití typu záznamu TXT k určení záznamů SPF. Tato nejednoznačnost vedla k nejasnostem, které bylo vyřešeno dokumentem RFC 7208. Uvádí, že záznamy SPF musí být vytvořeny pomocí typu záznamu TXT. Uvádí také, že typ záznamu SPF je zastaralý.
Záznamy SPF podporují Azure DNS a musí se vytvořit pomocí typu záznamu TXT. Zastaralý typ záznamu SPF není podporován. Při importu souboru zóny DNS se všechny záznamy SPF používající typ záznamu SPF převedou na typ záznamu TXT.
Záznamy SRV
Záznamy SRV používají různé služby k určení umístění serveru. Při zadávání záznamu SRV v Azure DNS:
- Služba a protokol musí být zadány jako součást názvu sady záznamů s předponou podtržítka, například "_sip._tcp.name". U záznamu na vrcholu zóny není nutné v názvu záznamu zadávat znak @, jednoduše použijte službu a protokol, například "_sip._tcp".
- Priorita, váha, port a cíl se zadají jako parametry každého záznamu v sadě záznamů.
Záznamy TXT
Záznamy TXT se používají k mapování názvů domén na libovolné textové řetězce. Používají se v několika aplikacích, zejména v souvislosti s konfigurací e-mailu, jako je Například Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM).
Standardy DNS umožňují, aby jeden záznam TXT obsahoval více řetězců, z nichž každý může mít délku až 255 znaků. Pokud se používá více řetězců, klienti je zřetězeni a považují se za jeden řetězec.
Při volání rozhraní REST API Azure DNS je potřeba zadat každý řetězec TXT samostatně. Pokud používáte rozhraní Azure Portal, PowerShellu nebo rozhraní příkazového řádku, měli byste pro každý záznam zadat jeden řetězec. Tento řetězec se v případě potřeby automaticky rozdělí do 255 znaků segmentů.
Více řetězců v záznamu DNS by nemělo být zaměňováno s více záznamy TXT v sadě záznamů TXT. Sada záznamů TXT může obsahovat více záznamů, z nichž každá může obsahovat více řetězců. Azure DNS podporuje celkovou délku řetězce až 4096 znaků v každé sadě záznamů TXT (ve všech sloučených záznamech).
Záznamy DS
Záznam podepisujícího delegování (DS) je typ záznamu prostředku DNSSEC , který slouží k zabezpečení delegování. Pokud chcete vytvořit záznam DS v zóně, musí být zóna nejprve podepsaná pomocí DNSSEC.
Záznamy TLSA
Záznam TLSA (Transport Layer Security Authentication) slouží k přidružení certifikátu serveru TLS nebo veřejného klíče k názvu domény, kde se záznam nachází. Záznam TLSA propojuje veřejný klíč (certifikát serveru TLS) s názvem domény a poskytuje další vrstvu zabezpečení připojení TLS.
Aby bylo možné efektivně používat záznamy TLSA, musí být ve vaší doméně povolená služba DNSSEC . Tím se zajistí, že záznamy TLSA mohou být důvěryhodné a správně ověřeny.
Značky a metadata
Značky
Značky jsou seznam dvojic název-hodnota a používají je Azure Resource Manager k označení prostředků. Azure Resource Manager používá značky k povolení filtrovaných zobrazení faktury za Azure a také umožňuje nastavit zásady pro určité značky. Další informace o značkách najdete v tématu Použití značek k uspořádání prostředků Azure.
Azure DNS podporuje použití značek Azure Resource Manageru u prostředků zóny DNS. Nepodporuje značky v sadách záznamů DNS, ale jako alternativu se metadata podporují u sad záznamů DNS, jak je vysvětleno níže.
Metadata
Jako alternativu ke značkám sady záznamů podporuje Azure DNS přidávání poznámek k sadám záznamů pomocí metadat. Podobně jako značky umožňují metadata přidružit páry name-value ke každé sadě záznamů. Tato funkce může být užitečná, například k zaznamenání účelu každé sady záznamů. Na rozdíl od značek se metadata nedají použít k poskytnutí filtrovaného zobrazení faktury za Azure a nejde je zadat v zásadách Azure Resource Manageru.
Značky
Předpokládejme, že dva nebo dva procesy se pokusí upravit záznam DNS najednou. Který z nich vyhraje? A vítěz ví, že má přepsání změn vytvořených někým jiným?
Azure DNS používá značky Etag k bezpečnému zpracování souběžných změn stejného prostředku. Značky jsou oddělené od značky Azure Resource Manageru. Ke každému prostředku DNS (zóně nebo sadě záznamů) je přidružená značka Etag. Při každém načtení prostředku se načte také jeho značka Etag. Při aktualizaci prostředku se můžete rozhodnout pro předání značky Etag, aby služba Azure DNS ověřila, že značky Etag na serveru odpovídají. Vzhledem k tomu, že každá aktualizace prostředku vede k opětovnému vygenerování značky Etag, neshoda značky Etag značí, že došlo ke souběžné změně. Značky Etag lze použít také při vytváření nového prostředku, aby se zajistilo, že prostředek ještě neexistuje.
Azure DNS PowerShell ve výchozím nastavení používá značky Etag k blokování souběžných změn zón a sad záznamů. Volitelný přepínač -Overwrite lze použít k potlačení kontrol značky Etag. V takovém případě se přepíšou všechny souběžné změny.
Na úrovni rozhraní REST API Azure DNS se značky Etag zadají pomocí hlaviček HTTP. Jejich chování je dáno v následující tabulce:
Hlavička | Chování |
---|---|
Nic | PUT vždy proběhne úspěšně (bez kontrol značky Etag) |
Značky etag if-match <> | PUT proběhne úspěšně pouze v případě, že prostředek existuje a shoduje se značkou ETag. |
If-match * | PUT proběhne úspěšně pouze v případě, že prostředek existuje. |
If-none-match * | Put se úspěšně spustí jenom v případě, že prostředek neexistuje. |
Omezení
Při používání Azure DNS platí následující výchozí omezení:
Veřejné zóny DNS
Prostředek | Omezení |
---|---|
Veřejné zóny DNS na předplatné | 250 1 |
Sady záznamů na veřejnou zónu DNS | 10 000 1 |
Záznamy na sadu záznamů ve veřejné zóně DNS | 20 |
Počet záznamů aliasů pro jeden prostředek Azure | 20 |
1Pokud potřebujete tyto limity zvýšit, obraťte se na podporu Azure.
Další kroky
- Pokud chcete začít používat Azure DNS, zjistěte, jak vytvořit zónu DNS a vytvořit záznamy DNS.
- Pokud chcete migrovat existující zónu DNS, zjistěte, jak importovat a exportovat soubor zóny DNS.