如何在CentOS7上将BIND配置为专用网络DNS服务器

来自菜鸟教程
跳转至:导航、​搜索

介绍

管理服务器配置和基础设施的一个重要部分包括通过设置适当的域名系统 (DNS) 来维护一种按名称查找网络接口和 IP 地址的简单方法。 使用完全限定域名 (FQDN) 而不是 IP 地址来指定网络地址可以简化服务和应用程序的配置,并提高配置文件的可维护性。 为您的专用网络设置自己的 DNS 是改善服务器管理的好方法。

在本教程中,我们将介绍如何使用 CentOS 7 上的 BIND 名称服务器软件 (BIND9) 设置内部 DNS 服务器,您的虚拟专用服务器 (VPS) 可以使用该软件来解析私有主机名和私有 IP地址。 这提供了一种管理内部主机名和私有 IP 地址的集中方式,当您的环境扩展到多个主机时,这是必不可少的。

本教程的 Ubuntu 版本可以在 这里 找到。

先决条件

要完成本教程,您将需要以下内容:

  • 一些服务器在同一个数据中心运行并且启用了私有网络
  • 一个新的 VPS 作为主 DNS 服务器,ns1
  • 可选:作为辅助 DNS 服务器的新 VPS,ns2
  • 对以上所有内容的根访问(此处的步骤 1-4

如果您对 DNS 概念不熟悉,建议您至少阅读我们的 管理 DNS 简介 的前三部分。

示例主机

出于示例目的,我们将假设以下内容:

  • 我们有两个现有的 VPS,分别称为“host1”和“host2”
  • 两个 VPS 都存在于 nyc3 数据中心
  • 两个 VPS 都启用了私有网络(并且位于 10.128.0.0/16 子网上)
  • 这两个 VPS 都与我们在“example.com”上运行的 Web 应用程序相关

有了这些假设,我们决定使用使用“nyc3.example.com”来指代我们的私有子网或区域的命名方案是有意义的。 因此,host1 的私有完全限定域名 (FQDN) 将为“host1.nyc3.example.com”。 相关详情见下表:

主持人 角色 私有 FQDN 私有 IP 地址
主机1 通用主机 1 host1.nyc3.example.com 10.128.100.101
主机2 通用主机 2 host2.nyc3.example.com 10.128.200.102

注意: 您现有的设置会有所不同,但示例名称和 IP 地址将用于演示如何配置 DNS 服务器以提供正常运行的内部 DNS。 通过将主机名和私有 IP 地址替换为您自己的,您应该能够轻松地将此设置适应您自己的环境。 在您的命名方案中不必使用数据中心的区域名称,但我们在这里使用它来表示这些主机属于特定数据中心的专用网络。 如果您使用多个数据中心,则可以在每个相应的数据中心内设置一个内部 DNS。

我们的目标

在本教程结束时,我们将拥有一个主 DNS 服务器 ns1 和一个可选的辅助 DNS 服务器 ns2,作为备份。

这是一个包含示例名称和 IP 地址的表:

主持人 角色 私有 FQDN 私有 IP 地址
ns1 主 DNS 服务器 ns1.nyc3.example.com 10.128.10.11
ns2 辅助 DNS 服务器 ns2.nyc3.example.com 10.128.20.12

让我们从安装我们的主 DNS 服务器 ns1 开始。

在 DNS 服务器上安装 BIND

注意: 红色高亮的文字很重要! 它通常用于表示需要用您自己的设置替换或者应该修改或添加到配置文件中的内容。 例如,如果您看到类似 host1.nyc3.example.com 的内容,请将其替换为您自己服务器的 FQDN。 同样,如果您看到 host1_private_IP,请将其替换为您自己服务器的私有 IP 地址。

在两个 DNS 服务器 ns1ns2 上,使用 yum 安装 BIND:

sudo yum install bind bind-utils

输入y确认提示。

现在 BIND 已安装,让我们配置主 DNS 服务器。

配置主 DNS 服务器

BIND 的配置由多个文件组成,这些文件包含在主配置文件 named.conf 中。 这些文件名以“named”开头,因为那是 BIND 运行的进程的名称。 我们将从配置选项文件开始。

配置绑定

BIND 的进程被称为 named。 因此,许多文件引用“named”而不是“BIND”。

ns1 上,打开 named.conf 文件进行编辑:

sudo vi /etc/named.conf

在现有的 options 块之上,创建一个名为“trusted”的新 ACL 块。 我们将在这里定义允许递归 DNS 查询的客户端列表(即 您的服务器与 ns1 位于同一数据中心)。 使用我们的示例私有 IP 地址,我们将 ns1ns2host1host2 添加到我们的受信任客户端列表中:

/etc/named.conf — 1 of 4

acl "trusted" {
        10.128.10.11;    # ns1 - can be set to localhost
        10.128.20.12;    # ns2
        10.128.100.101;  # host1
        10.128.200.102;  # host2
};

现在我们有了受信任的 DNS 客户端列表,我们将要编辑 options 块。 将 ns1 的私有 IP 地址添加到 listen-on port 53 指令中,并注释掉 listen-on-v6 行:

/etc/named.conf — 2 个,共 4 个

options {
        listen-on port 53 { 127.0.0.1; 10.128.10.11; };
#        listen-on-v6 port 53 { ::1; };
...

在这些条目下方,将 allow-transfer 指令从“none”更改为 ns2 的私有 IP 地址。 此外,将 allow-query 指令从“localhost”更改为“trusted”:

/etc/named.conf — 3 个,共 4 个

...
options {
...
        allow-transfer { 10.128.20.12; };      # disable zone transfers by default
...
        allow-query { trusted; };  # allows queries from "trusted" clients
...

在文件末尾,添加以下行:

/etc/named.conf — 4 个,共 4 个

include "/etc/named/named.conf.local";

现在保存并退出named.conf。 上述配置指定只有您自己的服务器(“受信任的”服务器)才能查询您的 DNS 服务器。

接下来,我们将配置本地文件,以指定我们的 DNS 区域。

配置本地文件

ns1 上,打开 named.conf.local 文件进行编辑:

sudo vi /etc/named/named.conf.local

该文件应该是空的。 在这里,我们将指定我们的正向和反向区域。

使用以下行添加转发区域(用您自己的区域名称替换):

/etc/named/named.conf.local — 1 of 2

zone "nyc3.example.com" {
    type master;
    file "/etc/named/zones/db.nyc3.example.com"; # zone file path
};

假设我们的私有子网是 10.128.0.0/16,请使用以下行添加反向区域(请注意,我们的反向区域名称以“128.10”开头,这是“10.128”的八位字节反转):

/etc/named/named.conf.local — 2 个中的 2 个

zone "128.10.in-addr.arpa" {
    type master;
    file "/etc/named/zones/db.10.128";  # 10.128.0.0/16 subnet
    };

如果您的服务器跨越多个私有子网但位于同一个数据中心,请务必为每个不同的子网指定一个附加区域和区域文件。 添加完所有所需区域后,保存并退出 named.conf.local 文件。

现在我们的区域在 BIND 中指定,我们需要创建相应的正向和反向区域文件。

创建正向区域文件

正向区域文件是我们为正向 DNS 查找定义 DNS 记录的地方。 也就是说,当DNS收到一个名字查询,例如“host1.nyc3.example.com”时,它会在转发区域文件中查找host1对应的私有IP地址。

让我们创建区域文件所在的目录。 根据我们的 named.conf.local 配置,该位置应该是 /etc/named/zones

sudo chmod 755 /etc/named
sudo mkdir /etc/named/zones

现在让我们编辑我们的前向区域文件:

sudo vi /etc/named/zones/db.nyc3.example.com

首先,您需要添加 SOA 记录。 将突出显示的 ns1 FQDN 替换为您自己的 FQDN,然后将第二个“nyc3.example.com”替换为您自己的域。 每次编辑区域文件时,应在重新启动 named 进程之前增加 serial 的值——我们将其增加为“3”。 它应该看起来像这样:

/etc/named/zones/db.nyc3.example.com — 1 of 3

@       IN      SOA     ns1.nyc3.example.com. admin.nyc3.example.com. (
                              3         ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL

之后,使用以下行添加您的名称服务器记录(用您自己的名称替换名称)。 请注意,第二列指定这些是“NS”记录:

/etc/named/zones/db.nyc3.example.com — 2 个,共 3 个

; name servers - NS records
    IN      NS      ns1.nyc3.example.com.
    IN      NS      ns2.nyc3.example.com.

然后为属于该区域的主机添加 A 记录。 这包括我们希望其名称以“.nyc3.example.com”结尾的任何服务器(替换名称和私有 IP 地址)。 使用我们的示例名称和私有 IP 地址,我们将为 ns1ns2host1host2 添加 A 记录,如下所示:

/etc/named/zones/db.nyc3.example.com — 3 个,共 3 个

; name servers - A records
ns1.nyc3.example.com.          IN      A       10.128.10.11
ns2.nyc3.example.com.          IN      A       10.128.20.12

; 10.128.0.0/16 - A records
host1.nyc3.example.com.        IN      A      10.128.100.101
host2.nyc3.example.com.        IN      A      10.128.200.102

保存并退出 db.nyc3.example.com 文件。

我们的最终示例前向区域文件如下所示:

/etc/named/zones/db.nyc3.example.com — 完成

$TTL    604800
@       IN      SOA     ns1.nyc3.example.com. admin.nyc3.example.com. (
                 3        ; Serial
            604800     ; Refresh
             86400     ; Retry
           2419200     ; Expire
            604800 )   ; Negative Cache TTL
;
; name servers - NS records
     IN      NS      ns1.nyc3.example.com.
     IN      NS      ns2.nyc3.example.com.

; name servers - A records
ns1.nyc3.example.com.          IN      A       10.128.10.11
ns2.nyc3.example.com.          IN      A       10.128.20.12

; 10.128.0.0/16 - A records
host1.nyc3.example.com.        IN      A      10.128.100.101
host2.nyc3.example.com.        IN      A      10.128.200.102

现在让我们转到反向区域文件。

创建反向区域文件

反向区域文件是我们为反向 DNS 查找定义 DNS PTR 记录的地方。 也就是说,当 DNS 接收到 IP 地址查询时,例如“10.128.100.101”,它会在反向区域文件中查找相应的 FQDN,“host1.nyc3.example.com[ X187X]”在这种情况下。

ns1 上,为 named.conf.local 文件中指定的每个反向区域,创建一个反向区域文件。

编辑与 named.conf.local 中定义的反向区域相对应的反向区域文件:

sudo vi /etc/named/zones/db.10.128

以与转发区域文件相同的方式,将突出显示的 ns1 FQDN 替换为您自己的 FQDN,然后将第二个“nyc3.example.com”替换为您自己的域。 每次编辑区域文件时,应在重新启动 named 进程之前增加 serial 的值——我们将其增加为“3”。 它应该看起来像这样:

/etc/named/zones/db.10.128 — 1 of 3

@       IN      SOA     ns1.nyc3.example.com. admin.nyc3.example.com. (
                              3         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

之后,使用以下行添加您的名称服务器记录(用您自己的名称替换名称)。 请注意,第二列指定这些是“NS”记录:

/etc/named/zones/db.10.128 — 2 个,共 3 个

; name servers - NS records
      IN      NS      ns1.nyc3.example.com.
      IN      NS      ns2.nyc3.example.com.

然后为您的 IP 地址位于您正在编辑的区域文件的子网上的所有服务器添加 PTR 记录。 在我们的示例中,这包括我们所有的主机,因为它们都在 10.128.0.0/16 子网上。 请注意,第一列由您的服务器私有 IP 地址的最后两个八位字节组成,以相反的顺序排列。 请务必替换名称和私有 IP 地址以匹配您的服务器:

/etc/named/zones/db.10.128 — 3 个,共 3 个

; PTR Records
11.10   IN      PTR     ns1.nyc3.example.com.    ; 10.128.10.11
12.20   IN      PTR     ns2.nyc3.example.com.    ; 10.128.20.12
101.100 IN      PTR     host1.nyc3.example.com.  ; 10.128.100.101
102.200 IN      PTR     host2.nyc3.example.com.  ; 10.128.200.102

保存并退出反向区域文件(如果需要添加更多反向区域文件,请重复此部分)。

我们的最后一个反向区域文件示例如下所示:

/etc/named/zones/db.10.128 — 完成

$TTL    604800
@       IN      SOA     nyc3.example.com. admin.nyc3.example.com. (
                              3         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
; name servers
      IN      NS      ns1.nyc3.example.com.
      IN      NS      ns2.nyc3.example.com.

; PTR Records
11.10   IN      PTR     ns1.nyc3.example.com.    ; 10.128.10.11
12.20   IN      PTR     ns2.nyc3.example.com.    ; 10.128.20.12
101.100 IN      PTR     host1.nyc3.example.com.  ; 10.128.100.101
102.200 IN      PTR     host2.nyc3.example.com.  ; 10.128.200.102

检查 BIND 配置语法

运行以下命令检查 named.conf* 文件的语法:

sudo named-checkconf

如果您的命名配置文件没有语法错误,您将返回到 shell 提示并且看不到错误消息。 如果您的配置文件有问题,请查看错误消息和 配置主 DNS 服务器 部分,然后再次尝试 named-checkconf

named-checkzone 命令可用于检查区域文件的正确性。 它的第一个参数指定区域名称,第二个参数指定对应的区域文件,这两个参数都在named.conf.local中定义。

例如,要检查“nyc3.example.com”转发区域配置,请运行以下命令(更改名称以匹配您的转发区域和文件):

sudo named-checkzone nyc3.example.com /etc/named/zones/db.nyc3.example.com

并检查“128.10.in-addr.arpa”反向区域配置,运行以下命令(更改数字以匹配您的反向区域和文件):

sudo named-checkzone 128.10.in-addr.arpa /etc/named/zones/db.10.128

当您的所有配置和区域文件都没有错误时,您应该准备好重新启动 BIND 服务。

启动绑定

开始绑定:

sudo systemctl start named

现在您将要启用它,因此它将在启动时启动:

sudo systemctl enable named

您的主 DNS 服务器现已设置好并准备好响应 DNS 查询。 让我们继续创建辅助 DNS 服务器。

配置辅助 DNS 服务器

在大多数环境中,最好设置一个辅助 DNS 服务器,以便在主服务器不可用时响应请求。 幸运的是,辅助 DNS 服务器更容易配置。

ns2 上,编辑 named.conf 文件:

sudo vi /etc/named.conf

注意:如果你想跳过这些指令,你可以复制ns1named.conf文件并修改它以监听ns2的私有 IP 地址,并且不允许传输。


在现有的 options 块之上,创建一个名为“trusted”的新 ACL 块。 我们将在这里定义允许递归 DNS 查询的客户端列表(即 您的服务器与 ns1 位于同一数据中心)。 使用我们的示例私有 IP 地址,我们将 ns1ns2host1host2 添加到我们的受信任客户端列表中:

/etc/named.conf — 1 of 4

acl "trusted" {
        10.128.10.11;    # ns1 - can be set to localhost
        10.128.20.12;    # ns2
        10.128.100.101;  # host1
        10.128.200.102;  # host2
};

现在我们有了受信任的 DNS 客户端列表,我们将要编辑 options 块。 将 ns1 的私有 IP 地址添加到 listen-on port 53 指令中,并注释掉 listen-on-v6 行:

/etc/named.conf — 2 个,共 4 个

options {
        listen-on port 53 { 127.0.0.1; 10.128.20.12; };
#        listen-on-v6 port 53 { ::1; };
...

allow-query 指令从“localhost”更改为“trusted”:

/etc/named.conf — 3 个,共 4 个

...
options {
...
        allow-query { trusted; }; # allows queries from "trusted" clients
...

在文件末尾,添加以下行:

/etc/named.conf — 4 个,共 4 个

include "/etc/named/named.conf.local";

现在保存并退出named.conf。 上述配置指定只有您自己的服务器(“受信任的”服务器)才能查询您的 DNS 服务器。

接下来,我们将配置本地文件,以指定我们的 DNS 区域。

保存并退出named.conf

现在编辑 named.conf.local 文件:

sudo chmod 755 /etc/named
sudo vi /etc/named/named.conf.local

定义与主 DNS 服务器上的主区域相对应的从区域。 请注意,类型是“slave”,文件不包含路径,并且有一个 masters 指令应该设置为主 DNS 服务器的私有 IP。 如果您在主 DNS 服务器中定义了多个反向区域,请确保将它们全部添加到此处:

/etc/named/named.conf.local

zone "nyc3.example.com" {
    type slave;
    file "slaves/db.nyc3.example.com";
    masters { 10.128.10.11; };  # ns1 private IP
};

zone "128.10.in-addr.arpa" {
    type slave;
    file "slaves/db.10.128";
    masters { 10.128.10.11; };  # ns1 private IP
};

现在保存并退出named.conf.local

运行以下命令检查配置文件的有效性:

sudo named-checkconf

签出后,启动 BIND:

sudo systemctl start named

启用 BIND 以在引导时启动:

sudo systemctl enable named

现在,您拥有用于专用网络名称和 IP 地址解析的主 DNS 服务器和辅助 DNS 服务器。 现在您必须配置您的服务器以使用您的私有 DNS 服务器。

配置 DNS 客户端

在“受信任”ACL 中的所有服务器都可以查询您的 DNS 服务器之前,您必须将每个服务器配置为使用 ns1ns2 作为名称服务器。 此过程因操作系统而异,但对于大多数 Linux 发行版,它涉及将您的名称服务器添加到 /etc/resolv.conf 文件中。

CentOS 客户端

在 CentOS、RedHat 和 Fedora Linux VPS 上,只需编辑 resolv.conf 文件:

sudo vi /etc/resolv.conf

然后将以下行添加到文件的顶部(替换您的私有域,以及 ns1ns2 私有 IP 地址):

/etc/resolv.conf

search nyc3.example.com  # your private domain
nameserver 10.128.10.11  # ns1 private IP address
nameserver 10.128.20.12  # ns2 private IP address

现在保存并退出。 您的客户端现在已配置为使用您的 DNS 服务器。

Ubuntu 客户端

在 Ubuntu 和 Debian Linux VPS 上,您可以编辑 head 文件,该文件在启动时添加到 resolv.conf 之前:

sudo vi /etc/resolvconf/resolv.conf.d/head

将以下行添加到文件中(替换您的私有域,以及 ns1ns2 私有 IP 地址):

/etc/resolvconf/resolv.conf.d/head

search nyc3.example.com  # your private domain
nameserver 10.128.10.11  # ns1 private IP address
nameserver 10.128.20.12  # ns2 private IP address

现在运行 resolvconf 生成一个新的 resolv.conf 文件:

sudo resolvconf -u

您的客户端现在已配置为使用您的 DNS 服务器。

测试客户

使用包含在“bind-utils”包中的 nslookup 来测试您的客户端是否可以查询您的名称服务器。 您应该能够在您已配置且位于“受信任”ACL 中的所有客户端上执行此操作。

正向查找

例如,我们可以通过运行以下命令执行正向查找以检索 host1.nyc3.example.com 的 IP 地址:

nslookup host1

查询“host1”会扩展为“host1.nyc3.example.com,因为 search 选项设置为您的私有子域,DNS 查询将在查找之前尝试查看该子域主机在别处。 上面命令的输出如下所示:

Output:Server:       10.128.10.11
Address:    10.128.10.11#53

Name:   host1.nyc3.example.com
Address: 10.128.100.101

反向查找

要测试反向查找,请使用 host1 的私有 IP 地址查询 DNS 服务器:

nslookup 10.128.100.101

您应该看到如下所示的输出:

Output:Server:       10.128.10.11
Address:    10.128.10.11#53

11.10.128.10.in-addr.arpa   name = host1.nyc3.example.com.

如果所有名称和 IP 地址都解析为正确的值,则意味着您的区域文件配置正确。 如果您收到意外的值,请务必查看您的主 DNS 服务器上的区域文件(例如 db.nyc3.example.comdb.10.128)。

恭喜! 您的内部 DNS 服务器现已正确设置! 现在我们将介绍维护您的区域记录。

维护 DNS 记录

既然您有一个工作的内部 DNS,您需要维护您的 DNS 记录,以便它们准确地反映您的服务器环境。

将主机添加到 DNS

每当您将主机添加到您的环境(在同一个数据中心中)时,您都需要将它添加到 DNS。 以下是您需要采取的步骤列表:

主域名服务器

  • 转发区域文件:为新主机添加“A”记录,增加“Serial”的值
  • 反向区域文件:为新主机添加“PTR”记录,增加“Serial”的值
  • 将新主机的私有 IP 地址添加到“可信”ACL (named.conf.options)

然后重新加载 BIND:

sudo systemctl reload named

二级域名服务器

  • 将新主机的私有 IP 地址添加到“可信”ACL (named.conf.options)

然后重新加载 BIND:

sudo systemctl reload named

配置新主机以使用您的 DNS

  • 配置 resolv.conf 以使用您的 DNS 服务器
  • 使用 nslookup 进行测试

从 DNS 中删除主机

如果您从您的环境中删除主机或只想将其从 DNS 中删除,只需删除在将服务器添加到 DNS 时添加的所有内容(即 与上述步骤相反)。

结论

现在您可以按名称而不是 IP 地址来引用服务器的专用网络接口。 这使得服务和应用程序的配置更容易,因为您不再需要记住私有 IP 地址,并且文件将更易于阅读和理解。 此外,现在您可以将配置更改为在一个地方指向新服务器,即您的主 DNS 服务器,而不必编辑各种分布式配置文件,从而简化了维护。

一旦您设置了内部 DNS,并且您的配置文件使用私有 FQDN 来指定网络连接,那么正确维护您的 DNS 服务器是 关键。 如果它们都变得不可用,则依赖它们的服务和应用程序将停止正常运行。 这就是为什么建议您使用至少一台辅助服务器设置您的 DNS,并维护所有这些服务器的工作备份。