このセクションでは、NSX Advanced Load Balancer の権限のあるドメインのサポートについて説明します。
NSX Advanced Load Balancer DNS 仮想サービスにパススルー プール(バックエンド サーバ)が構成されていて、FQDN が DNS テーブルに見つからない場合、これらの要求はサーバのプールにプロキシされます。例外は、NSX Advanced Load Balancer が権限のあるドメインで構成されていて、クエリされた FQDN が権限のあるドメイン内にある場合です。その場合は NXDOMAIN が返されます。
NSX Advanced Load Balancer DNS 仮想サービスには、Start of Authority (SOA) レコードとその NXDOMAIN(およびその他の)応答が含まれます。
機能
受信クエリのドメインが DNS アプリケーション プロファイルで構成された権限のあるドメインの 1 つのサブドメインである場合、SOA レコードには、NXDOMAIN(存在しないドメイン)応答が伴います。
レコードが存在しないという事実のキャッシュ、すなわちネガティブ キャッシュは、ゾーンに対して権限のあるネーム サーバによって決定され、要求されたタイプのデータが存在しないことを報告する場合に Start of Authority (SOA) レコードを含める必要があります。SOA レコードの最小フィールド値と SOA 自体の TTL は、ネガティブな応答の TTL を確立するために使用されます。
クエリの FQDN が DNS テーブルのエントリと一致し、クエリ タイプがデフォルトでサポートされていない場合、NSX Advanced Load Balancer SE は NOERROR 応答を生成します。ドメインが構成された権限のあるドメインと一致する場合、応答にはオプションで SOA レコードが含まれます。
NSX Advanced Load Balancer ユーザー インターフェイスを使用した構成
権限のあるドメインのサブドメインで、NSX Advanced Load Balancer に DNS レコードがない FQDN のクエリは、ドロップされるか、NXDOMAIN 応答が送信されます。NSX Advanced Load Balancer System-DNS プロファイルは、未処理の DNS 要求に応答するように事前構成されています。ただし、新しい DNS プロファイルを作成する場合は、[未処理の DNS 要求に応答する]ように [無効な DNS クエリ処理 (のオプション)] フィールドを変更し、適切なときに NXDOMAIN 応答が送信されるようにする必要があります。
NXDOMAIN 応答が権限のあるドメインのいずれかで終わる FQDN に適している場合は、[ネガティブ TTL] フィールドに表示される値が添付された SOA レコードに組み込まれます。この値はデフォルトで 30 秒です。ただし、許容範囲は 1 ~ 86400 秒です。
NSX Advanced Load Balancer DNS 仮想サービスには、バックエンド DNS サーバ プールは必要ありません。バックエンド プールがある場合、NSX Advanced Load Balancer DNS サービス エンジンは、FQDN が [権限のあるドメイン名] フィールドで構成されたサブドメインでない場合にのみロード バランシングを行います。すべてが Ends-With セマンティックで構成されています。
[有効なサブドメイン] フィールドの値は、妥当性チェック用に指定されるため、オプションです。構成されていない場合、acme.com のすべてのサブドメインが処理され、DNS テーブルで検索されます。
NSX Advanced Load Balancer CLI を使用した構成
次の例では、System-DNS アプリケーション プロファイルの構成前と構成後が示されています。以下の目的で、さまざまな applicationprofile:dns_service_profile サブコマンドが使用されます。
権限のあるドメイン名を定義します。
NXDOMAIN応答を有効にします。これを行うには、error_responseの値をDNS_ERROR_RESPONSE_NONE(デフォルト)からDNS_ERROR_RESPONSE_ERRORに変更します。negative_caching_ttlは、デフォルトの 30 秒から変更されません。DNS が IP アドレスを提供できる acme.com のサブドメインを指定します。サブドメインは、sales.acme.com、docs.acme.com、および support.acme.com です。これらのサブドメインは妥当性チェック用であるため、オプションです。構成されていない場合、acme.com と coyote.com のすべてのサブドメインが処理され、DNS テーブルで検索されます。
[admin:10-10-25-20]: > configure applicationprofile System-DNS Updating an existing object. Currently, the object is: +-------------------------+---------------------------------------------+ | Field | Value | +-------------------------+---------------------------------------------+ | uuid | applicationprofile-fdb6a5d6-bbf8-4f15-b851-f436b599992c | | name | System-DNS | | type | APPLICATION_PROFILE_TYPE_DNS | | dns_service_profile | | | num_dns_ip | 1 | | ttl | 30 sec | | error_response | DNS_ERROR_RESPONSE_NONE | | edns | False | | dns_over_tcp_enabled | True | | aaaa_empty_response | True | | negative_caching_ttl | 30 sec | | ecs_stripping_enabled | True | | preserve_client_ip | False | | tenant_ref | admin | +-------------------------+---------------------------------------------+ [admin:10-10-25-20]: applicationprofile> dns_service_profile [admin:10-10-25-20]: applicationprofile:dns_service_profile> authoritative_domain_names acme.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> authoritative_domain_names coyote.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> error_response dns_error_response_error Overwriting the previously entered value for error_response [admin:10-10-25-20]: applicationprofile:dns_service_profile> domain_names sales.acme.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> domain_names docs.acme.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> domain_names support.acme.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> save [admin:10-10-25-20]: applicationprofile> save +---------------------------------+-------------------------------------+ | Field | Value | +---------------------------------+-------------------------------------+ | uuid | applicationprofile-fdb6a5d6-bbf8-4f15-b851-f436b599992c | | name | System-DNS | | type | APPLICATION_PROFILE_TYPE_DNS | | dns_service_profile | | | num_dns_ip | 1 | | ttl | 30 sec | | error_response | DNS_ERROR_RESPONSE_ERROR | | domain_names[1] | sales.acme.com | | domain_names[2] | docs.acme.com | | domain_names[3] | support.acme.com | | edns | False | | dns_over_tcp_enabled | True | | aaaa_empty_response | True | | authoritative_domain_names[1] | acme.com | | authoritative_domain_names[2] | coyote.com | | negative_caching_ttl | 30 sec | | ecs_stripping_enabled | True | | preserve_client_ip | False | | tenant_ref | admin | +---------------------------------+-------------------------------------+ [admin:10-10-25-20]: >
SOA rdata クエリのサポート
NSX Advanced Load Balancer は、構成された権限のあるドメインの SOA クエリ、および SOA フィールド MNAME および RNAME(RFC 1035 を参照)のカスタマイズをサポートします。これらは、2 つの対応するパラメータを指定する NSX Advanced Load Balancer CLI 構成のサブコマンド applicationprofile>dns_service_profile を使用して構成されます。
name_server:このゾーンの元のデータ ソースまたはプライマリ データ ソースとして使用されていたネーム サーバの <domain-name>。このフィールドは、権限のあるドメイン名として指定されたすべてのドメイン名に関連する SOA レコードで使用されます。構成されていない場合、SOA 応答でドメイン名がネーム サーバとして使用されます。
admin_email:このゾーンの管理者のメール アドレス。このフィールドは、権限のあるドメイン名として指定されたすべてのドメイン名に関連する SOA レコードで使用されます。構成されていない場合、SOA 応答でデフォルト値の
hostmasterが使用されます。
CLI の例
[admin:10-10-25-20]: applicationprofile> dns_service_profile admin_email [email protected] [admin:10-10-25-20]: applicationprofile:dns_service_profile> name_server roadrunner.com [admin:10-10-25-20]: applicationprofile:dns_service_profile> save [admin:10-10-25-20]: applicationprofile> save +---------------------------------+-------------------------------------+ | Field | Value | +---------------------------------+-------------------------------------+ | uuid | applicationprofile-fdb6a5d6-bbf8-4f15-b851-f436b599992c | | name | System-DNS | | type | APPLICATION_PROFILE_TYPE_DNS | | dns_service_profile | | | num_dns_ip | 1 | | ttl | 30 sec | | error_response | DNS_ERROR_RESPONSE_ERROR | | domain_names[1] | sales.acme.com | | domain_names[2] | docs.acme.com | | domain_names[3] | support.acme.com | | edns | False | | dns_over_tcp_enabled | True | | aaaa_empty_response | True | | authoritative_domain_names[1] | acme.com | | authoritative_domain_names[2] | coyote.com | | negative_caching_ttl | 30 sec | | name_server | roadrunner.com | | admin_email | [email protected] | | ecs_stripping_enabled | True | | preserve_client_ip | False | | tenant_ref | admin | +---------------------------------+-------------------------------------+ [admin:10-10-25-20]: >
SOA 要求が行われると、SOA 応答が [answer] セクションで送信されます。NSX Advanced Load Balancer が authority であるドメインの存在しないレコードの場合、応答は [authority] セクションで送信されます。
