DNSの概要
DNSサービスでは、DNSゾーンを作成および管理できます。
ゾーンを作成し、レコードをゾーンに追加し、Oracle Cloud Infrastructureのエッジ・ネットワークでドメインのDNS問合せを処理できます。
詳細は、リソース・レコードの管理を参照してください。
DNSとは
ドメイン・ネーム・システム(DNS)は、判読可能なドメイン名をマシンが読取り可能なIPアドレスに変換します。DNSネームサーバーは、ゾーンのDNSレコードを格納し、そのデータベースに対する問合せに応答します。ブラウザにドメイン名を入力すると、コンピュータOSは、そのドメインの認可ネームサーバーが見つかるまで、複数のDNSネームサーバーを問い合せます。認可ネームサーバーは、IPアドレスまたはその他のリクエストされたレコード・データで応答します。応答はブラウザに中継され、DNSレコードはWebページに解決されます。
DNSサービス・コンポーネント
次のリストは、DNSゾーンの作成およびインターネットからのアクセスを可能にするために使用されるコンポーネントを示しています。
- ドメイン
- ドメイン名は、インターネット上の特定の場所または場所のグループを全体として識別します。ドメインの共通の定義は、ユーザーの制御に委任されたDNSツリーの完全な部分です。たとえば、
example.com
またはoracle.com
です。 - ゾーン
- ゾーンはDNSネームスペースの一部です。Start of Authorityレコード(SOA)は、ゾーンを定義します。ゾーンには、特に指定がないかぎり、ツリー内でその下にあるすべてのラベルが含まれます。
- ラベル
- ラベルは、サブドメインの名前を形成するために、ピリオドで区切ってゾーン名の先頭に付加されます。たとえば、
www.example.com
のwww
セクション、またはdocs.us-ashburn-1.oraclecloud.com
のdocs
およびus-ashburn-1
セクションはラベルです。レコードはこれらのドメインに関連付けられています。 - 子ゾーン
- 子ゾーンは、独自のStart of Authorityレコードおよびネーム・サーバー(NS)レコードを持つ独立したサブドメインです。子ゾーンの親ゾーンは、子ゾーンの担当ネーム・サーバーにDNS問合せを参照するNSレコードを含む必要があります。各子ゾーンによって、委任チェーンに別のリンクが作成されます。
- リソース・レコード
- レコードには、ゾーンの特定のドメイン情報が含まれます。各レコード・タイプには、レコード・データ(RDATA)という情報が含まれています。たとえば、AまたはAAAAレコードのRDATAにはドメイン名のIPアドレスが含まれ、MXレコードにはドメインのメール・サーバーに関する情報が含まれます。OCIでは、すべてのRDATAを最もマシン読取り可能なフォーマットに正規化します。返されるRDATAの表示は、初期入力とは異なる場合があります。RDATAの詳細は、サポートされているDNSリソース・レコード・タイプを参照してください。
- 委任
-
レジストラを使用してドメインを委任すると、OCIでホストされているゾーンにインターネットを介してアクセスできます。OCIはレジストラではありません。ただし、VeriSignやGoDaddyなどのレジストラを使用してOCI DNSゾーンを委任できます。
ドメイン名の正規化
OCI DNSサービスは、国際化ドメイン名(IDN)を使用するドメイン名をPunycode形式に変換することで正規化します。OCI DNSへのリクエストではIDNを使用できますが、レスポンスではPunycodeが使用されます。たとえば、ゾーンを作成し、IDNゾーン名を指定した場合、作成されたゾーンのレスポンスではPunycodeが使用されます。
DNSサービスへのアクセス方法
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックを参照してください。使用可能なSDKのリストは、ソフトウェア開発キットおよびコマンドライン・インタフェースを参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセスのタイプを制御する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの作成、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、アイデンティティ・ドメインの管理を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
管理者以外の通常のユーザーが会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合、ユーザーIDを設定するには、管理者に連絡してください。管理者は、ユーザーが使用できるコンパートメントを確認できます。
リソースのモニタリング
DNSサービス機能および制限
-
OCI DNSサービスは、アカウント当たり1000ゾーンおよびゾーン当たり25,000レコードに制限されています。これらの値を超えるゾーンとレコード・サイズが必要な顧客は、support.oracle.comからサポートに連絡することをお薦めします。
-
ゾーン・ファイルのアップロードは、ゾーン・ファイルごとのサイズで1MBに制限されています。ゾーン・ファイルが1MBを超える場合は、ゾーン・ファイルを小さいバッチに分割して、すべてのゾーン情報をアップロードする必要があります。この制限の詳細および回避策は、ゾーン・ファイルの制限事項および考慮事項を参照してください。
- パブリックDNSゾーンは、OC1商用レルムでのみサポートされます。リージョンがOC1に含まれているかどうかを確認する方法の詳細は、リージョンおよび可用性ドメインを参照してください。
必要なIAMサービス・ポリシー
Oracle Cloud Infrastructureを使用するには、管理者がテナンシ管理者によってポリシーでセキュリティ・アクセス権が付与されたグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントでアクセスが機能するかをテナンシ管理者に確認してください。
ポリシーを初めて使用する場合は、「ポリシーの開始」と「共通ポリシー」を参照してください。DNSのポリシーの詳細は、DNSサービスの詳細を参照してください。
DNSを管理するには権限が必要です。アクセス・レベルは、inspect
> read
> use
> manage
の順に累積されます。たとえば、read
動詞は、読取りおよび検査の権限をカバーします。manage
動詞は、検査、読取り、更新、作成、削除および移動の権限をカバーします。
ポリシーの例:
- 特定のユーザー・グループのゾーンに対してすべての操作を有効にするには:
Allow group <GroupName> to manage dns in tenancy
- 特定のグループがゾーンを読み取れるようにするには:
Allow group <GroupName> to read dns-zones in tenancy
- 読取り専用DNS管理グループを作成するには:
Allow group <GroupName> to read dns in tenancy