Di chuyển hoặc chuyển vùng đã bật DNSSEC

Trang này mô tả cách di chuyển một vùng hỗ trợ DNSSEC được kích hoạt tại nhà đăng ký miền giữa Cloud DNS và các nhà cung cấp dịch vụ lưu trữ DNS khác trong khi vẫn duy trì chuỗi tin cậy DNSSEC.

Để biết thông tin tổng quan về khái niệm DNSSEC, hãy xem bài viết Tổng quan về DNSSEC.

Trước khi bạn bắt đầu

Việc di chuyển DNSSEC rất phức tạp và cần có sự phối hợp để di chuyển một vùng giữa các nhà khai thác mà không gây ra sự cố. Hãy đọc toàn bộ hướng dẫn này trước khi bạn chuyển hoặc di chuyển một vùng. Bạn nên thử nghiệm quá trình di chuyển trên một vùng ít quan trọng hơn trước khi thử di chuyển các vùng quan trọng trong môi trường thực tế.

Phối hợp với nhà điều hành DNS và nhà đăng ký tên miền

Để ngăn trình phân giải xác thực coi miền là không hợp lệ, bạn phải phối hợp việc di chuyển với cả nhà điều hành DNS và nhà đăng ký miền. Bước này đảm bảo rằng bạn có thể thiết lập và duy trì một chuỗi tin cậy hợp lệ từ vùng gốc đến các khoá do cả hai nhà khai thác DNS quản lý trong quá trình chuyển đổi.

Nếu nhà đăng ký tên miền của bạn cũng cung cấp dịch vụ lưu trữ DNS, bạn phải phối hợp với nhà đăng ký tên miền để di chuyển chuỗi tin cậy DNSSEC. Nếu nhà đăng ký không hỗ trợ thao tác này, bạn không thể di chuyển máy chủ định danh trong khi vẫn duy trì chuỗi tin cậy DNSSEC.

Chờ bộ nhớ đệm của trình phân giải hết hạn

Trong quá trình di chuyển, sau khi bạn thực hiện các bản cập nhật hồ sơ quan trọng, hãy đợi bộ nhớ đệm của trình phân giải hết hạn. Bước này giúp ngăn các lỗi xác thực do các bản ghi cũ được lưu vào bộ nhớ đệm không nhất quán với vùng đã cập nhật sau khi di chuyển sang máy chủ tên mới.

Hạn chế

Việc di chuyển vùng DNSSEC có các giới hạn sau:

  • Bạn chỉ có thể di chuyển một vùng trong khi duy trì chuỗi tin cậy DNSSEC nếu nhà điều hành và nhà đăng ký mới hỗ trợ di chuyển DNSSEC, bao gồm cả việc nhập bản ghi DNSKEY, đặt nhiều bản ghi DS và ngăn việc tự động xoay vòng khoá trong quá trình di chuyển.

  • Bạn phải sử dụng cùng một thuật toán tại cả hai nhà mạng vì các vùng phải được ký bằng tất cả thuật toán đang sử dụng. Để biết thông tin chi tiết, hãy xem phần 2.2 của RFC 4035. Mỗi lần, Cloud DNS chỉ có thể ký bằng một thuật toán. Bạn không thể thay đổi thuật toán trong quá trình di chuyển giữa các nhà cung cấp.

  • Bạn phải có thể nhập các bản ghi DNSKEY từ Cloud DNS vào vùng của nhà điều hành khác và ký các bản ghi đó bằng khoá của nhà điều hành. Cloud DNS cho phép thêm bản ghi DNSKEY cho các vùng ở chế độ Transfer.

  • Bạn phải có thể thêm một bản ghi DS thứ hai từ Cloud DNS vào vùng gốc. Nhà đăng ký hoặc vùng mẹ phải cho phép các bản ghi DS tương ứng với các khoá công khai không ký bất kỳ bản ghi nào trong vùng con.

  • Bạn phải có thể dừng việc luân phiên khoá tự động của nhà điều hành cũ hoặc mới cho vùng cho đến khi quá trình di chuyển hoàn tất. Cloud DNS tự động dừng xoay vòng khoá cho các vùng ở chế độ Transfer.

Nếu nhà cung cấp mới không hỗ trợ di chuyển, hãy làm như sau:

  1. Huỷ kích hoạt DNSSEC tại nhà đăng ký tên miền.
  2. Thực hiện việc chuyển hoặc di chuyển.
  3. Bật DNSSEC.
  4. Kích hoạt DNSSEC tại nhà đăng ký tên miền.

Để xem bản trình bày thông tin về DNSSEC và việc chuyển miền cũng như các rủi ro tiềm ẩn, hãy xem bài viết DNS/DNSSEC và việc chuyển miền: Các yếu tố này có tương thích với nhau không?.

Di chuyển giữa các nhà mạng

Phương pháp kỹ thuật mà Cloud DNS sử dụng để di chuyển DNSSEC là biến thể chuyển đổi KSK Double-DS được mô tả trong RFC 6781 Phụ lục D Phương pháp chuyển đổi thay thế cho các nhà khai thác hợp tác.

Quá trình di chuyển DNSSEC hoạt động mà không cần trao đổi khoá riêng tư hoặc chữ ký giữa các nhà khai thác DNS. Thay vào đó, các máy chủ tên hiện tại và vùng gốc sẽ phát hành trước các bản ghi đã ký cho khoá công khai của nhà điều hành mới ngoài khoá công khai của nhà điều hành cũ. Tương tự, các máy chủ tên mới sẽ phát hành bản ghi đã ký cho khoá của toán tử cũ ngoài khoá của toán tử mới.

Các khoá này từ toán tử khác được ký, tạo ra mối tin cậy chéo giữa hai toán tử và vùng mẹ để trình phân giải xác thực có thể sử dụng bản ghi từ một toán tử để xác thực phản hồi từ toán tử khác. Quá trình này cho phép chuyển đổi sang máy chủ tên của nhà mạng mới mà không bị gián đoạn.

Sau khi các bản ghi này được truyền tải, trình phân giải có thể xác thực phản hồi từ cả hai nhà khai thác trong giai đoạn chuyển đổi tiếp theo, trong khi các bản ghi uỷ quyền máy chủ tên mới được truyền tải đến tất cả bộ nhớ đệm trình phân giải.

Sau khi các bản ghi máy chủ định danh đã cập nhật được truyền tải, bạn có thể hoàn tất quá trình di chuyển. Bạn có thể xoá vùng con khỏi các máy chủ tên cũ và xoá neo tin cậy của nhà điều hành cũ khỏi vùng mẹ.

Di chuyển các vùng đã ký DNSSEC sang Cloud DNS

Trước khi bắt đầu, hãy xem lại tất cả hướng dẫn. Bạn cũng phải xác minh rằng nhà cung cấp của bạn hỗ trợ việc di chuyển. Nếu không, bạn không thể di chuyển vùng bằng quy trình này.

Để di chuyển, hãy làm theo các bước sau:

  1. Dừng tất cả các hoạt động xoay vòng khoá cho vùng tại máy chủ tên cũ.

  2. Tạo một vùng mới được ký bằng DNSSEC ở trạng thái Transfer DNSSEC. Trạng thái Transfer sẽ dừng việc xoay vòng khoá và cho phép nhập DNSKEY.

    Bạn phải sử dụng cùng một thuật toán đang được sử dụng tại nhà cung cấp hiện tại.

  3. Xuất các tệp vùng chưa ký, sau đó nhập các tệp đó vào vùng mới.

    Làm theo hướng dẫn của nhà cung cấp để xuất dữ liệu vùng.

    Bạn có thể thêm DNSKEY ở bước này, nhưng không được thêm bất kỳ loại bản ghi DNSSEC nào khác từ vùng hiện có (các loại CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM hoặc RRSIG).

    Bạn có thể nhập các vùng bằng cách sử dụng lệnh gcloud dns record-sets import.

  4. Truy xuất các bản ghi DNSKEY trước đó từ máy chủ định danh cũ.

    Bạn cũng có thể sử dụng dig hoặc delv để truy vấn các bản ghi DNSKEY, nhưng bạn phải xác minh rằng các khoá công khai được trả về là chính xác và hợp lệ cho vùng của bạn.

  5. Truy xuất các bản ghi DNSKEY mới từ Cloud DNS. Ở chế độ Transfer, các bản ghi DNSKEY sẽ xuất hiện như các bản ghi thông thường trong vùng.

  6. Thêm các bản ghi DNSKEY hiện có vào vùng Cloud DNS ngoài các bản ghi DNSKEY được tạo tự động.

    Bạn cũng có thể nhập DNSKEY trong bước 3 và bỏ qua bước này nếu nhà cung cấp của bạn xuất DNSKEY cùng với phần còn lại của dữ liệu vùng.

  7. Thêm các bản ghi DNSKEY mới từ Cloud DNS vào vùng trong trình điều hành hiện có. Hãy nhớ ký lại vùng nếu cần.

  8. Thêm bản ghi DS cho vùng Cloud DNS vào trình đăng ký của bạn ngoài bản ghi DS hiện có.

  9. Chờ cho đến khi các bản ghi mới được truyền và các bản ghi cũ hết hạn khỏi tất cả bộ nhớ đệm của trình phân giải. Nếu không, dữ liệu cũ có thể khiến quá trình xác thực không thành công.

    Chờ cho đến khi tất cả các điều kiện sau đây xảy ra:

    • Các bản ghi sẽ được truyền đến tất cả máy chủ định danh mà nhà điều hành cũ sử dụng.

    • TTL của nhóm bản ghi NS của vùng gốc hết hạn.

    • TTL của nhóm bản ghi DS của vùng mẹ hết hạn.

    • TTL của bản ghi NS của vùng con tại nhà cung cấp cũ sẽ hết hạn.

    • TTL của bản ghi DNSKEY trong vùng con được đặt tại nhà điều hành cũ sẽ hết hạn.

  10. Xác minh rằng vùng đã sẵn sàng bằng cách kiểm tra xem nhà điều hành cũ có phân phát tất cả bản ghi DNSKEY và vùng mẹ có phân phát cả hai bản ghi DS hay không.

  11. Thay đổi việc uỷ quyền máy chủ định danh để trỏ đến Cloud DNS.

    Cập nhật bản ghi máy chủ định danh tại tổ chức đăng ký tên miền thành máy chủ định danh Cloud DNS cho vùng mới.

  12. Chờ cho đến khi các bản ghi máy chủ định danh mới được truyền tải và các bản ghi uỷ quyền cũ hết hạn trong tất cả bộ nhớ đệm của trình phân giải. Nếu không, dữ liệu cũ có thể gây ra lỗi xác thực.

    Chờ cho đến khi tất cả các điều kiện sau đây xảy ra:

    • TTL của nhóm bản ghi NS của vùng gốc hết hạn.

    • TTL của bản ghi NS của vùng con tại nhà cung cấp cũ sẽ hết hạn.

    Sau bước này, bạn có thể yên tâm ngừng phân phát vùng tại nhà mạng cũ.

  13. Xoá các bản ghi DNSKEY của vùng cũ đã thêm vào vùng Cloud DNS.

  14. Thay đổi trạng thái DNSSEC của vùng từ Transfer thành On.

    Việc rời khỏi trạng thái chuyển sẽ bật tính năng xoay vòng khoá tự động cho vùng. Các vùng của bạn có thể rời khỏi trạng thái chuyển DNSSEC một cách an toàn sau một tuần và không được ở trạng thái chuyển DNSSEC quá một hoặc hai tháng.

  15. Xoá bản ghi DS cho vùng của nhà điều hành cũ khỏi trình đăng ký của bạn.

Di chuyển các vùng đã ký DNSSEC từ Cloud DNS

Trước khi bắt đầu di chuyển, hãy xem lại tất cả hướng dẫn. Bạn cũng phải xác minh rằng nhà cung cấp của bạn hỗ trợ việc di chuyển. Nếu không, bạn không thể di chuyển vùng bằng quy trình này.

Để di chuyển, hãy làm theo các bước sau:

  1. Thay đổi trạng thái DNSSEC từ On thành Transfer. Bước này sẽ dừng việc xoay khoá.

  2. Xuất tệp vùng và nhập tệp đó vào toán tử mới.

    Bạn có thể sử dụng gcloud dns record-sets export để xuất một vùng.

    Việc xuất một vùng ở chế độ Transfer cũng sẽ xuất các bản ghi DNSKEY từ Cloud DNS. Nếu nhà cung cấp của bạn chấp nhận DNSKEY ở bước này, bạn có thể thêm các khoá đó ngay và bỏ qua các bước bên dưới để chuyển khoá công khai từ Cloud DNS sang nhà cung cấp mới.

  3. Ký vùng tại nhà cung cấp mới.

    Bạn phải sử dụng cùng một thuật toán mà Cloud DNS đang sử dụng tại nhà cung cấp mới.

    Bạn phải dừng việc xoay vòng khoá cho vùng tại máy chủ định danh mới cho đến khi quá trình di chuyển hoàn tất.

  4. Truy xuất các bản ghi DNSKEY từ Cloud DNS. Ở chế độ Transfer, các bản ghi DNSKEY sẽ xuất hiện như các bản ghi thông thường trong vùng.

    Bạn cũng có thể sử dụng dig hoặc delv để truy vấn máy chủ tên DNS trên đám mây cho các bản ghi DNSKEY, nhưng bạn phải xác minh rằng các khoá công khai được trả về là chính xác và hợp lệ cho vùng của bạn.

  5. Truy xuất các bản ghi DNSKEY mới từ toán tử mới.

    Trước tiên, bạn có thể phải ký vùng hoặc định cấu hình DNSSEC để lấy khoá.

  6. Thêm bản ghi DNSKEY của Cloud DNS vào vùng của nhà điều hành mới ngoài các bản ghi DNSKEY cho vùng mới.

  7. Thêm các bản ghi DNSKEY của nhà cung cấp dịch vụ mới vào Cloud DNS.

  8. Thêm bản ghi DS cho vùng của nhà điều hành mới vào nhà đăng ký của bạn, ngoài bản ghi DS hiện có từ Cloud DNS.

  9. Chờ cho đến khi các bản ghi mới được truyền và các bản ghi cũ hết hạn khỏi tất cả bộ nhớ đệm của trình phân giải. Nếu không, dữ liệu cũ có thể khiến quá trình xác thực không thành công.

    Chờ cho đến khi tất cả các điều kiện sau đây xảy ra:

    • TTL của nhóm bản ghi NS của vùng gốc hết hạn.

    • TTL của nhóm bản ghi DS của vùng mẹ hết hạn.

    • TTL của nhóm bản ghi NS trong vùng Cloud DNS sẽ hết hạn.

    • TTL của tập hợp bản ghi DNSKEY của vùng Cloud DNS sẽ hết hạn.

    Bạn có thể xác minh rằng vùng đã sẵn sàng bằng cách kiểm tra để đảm bảo rằng Cloud DNS đang phân phát tất cả bản ghi DNSKEY và vùng mẹ đang phân phát cả hai bản ghi DS.

  10. Di chuyển các hoạt động uỷ quyền máy chủ tên để trỏ đến nhà điều hành mới.

    Cập nhật bản ghi máy chủ định danh tại nhà đăng ký thành máy chủ định danh của nhà điều hành mới cho vùng.

  11. Chờ cho đến khi các bản ghi máy chủ định danh mới được truyền tải và các bản ghi uỷ quyền cũ hết hạn trong tất cả bộ nhớ đệm của trình phân giải. Nếu không, dữ liệu cũ có thể gây ra lỗi xác thực.

    Chờ cho đến khi tất cả các trường hợp sau hết hạn:

    • Bản ghi NS của vùng gốc đã đặt TTL.

    • Bản ghi NS của vùng Cloud DNS đã đặt TTL.

    Sau bước này, bạn có thể xoá vùng khỏi Cloud DNS một cách an toàn.

  12. Xoá các bản ghi DNSKEY của Cloud DNS đã thêm vào vùng mới.

  13. Xoá bản ghi DS cho Cloud DNS khỏi trình đăng ký tên miền.

  14. Hoàn tất quá trình di chuyển tại nhà mạng mới nếu cần.

Nếu nhà điều hành DNS khác có quy trình di chuyển vùng được ký bằng DNSSEC, bạn phải thực hiện các bước của họ song song với quy trình này, sau bước 1.

Bước tiếp theo