公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJ DNSプラットフォームサービス マニュアル

設定例

マネージドDNSサービスをお客様DNSサーバ(BIND、NSDなど)を連携して運用する際の設定例です。

プライマリサーバの設定例

お客様サーバをプライマリネームサーバ、マネージドDNSサーバをセカンダリネームサーバとして利用する場合の設定例です。本サービスの利用に直接関係ない部分の設定については省略しています。お客様の環境に合わせて設定してください。

本サービス側の設定については「マネージドDNSサーバをセカンダリネームサーバとして運用する」を参考にしてください。

BINDの場合
// TSIG鍵
// ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
// TSIGを利用しない場合は不要
key "xxx.xxxx.d-53.net." {
    algorithm hmac-sha256;
    secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=";
};

// NOTIFY送り先
// TSIGを利用しない場合は「key 鍵名」を削除
masters dpf-notify {
    210.130.1.35 key xxx.xxxx.d-53.net.;
    210.130.1.43 key xxx.xxxx.d-53.net.;
    210.130.1.48 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:35 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:43 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:48 key xxx.xxxx.d-53.net.;
};

// DNSプラットフォームサービス側からのアクセス許可設定
// TSIGを利用する場合; 参考 https://kb.isc.org/docs/aa-00723
acl dpf {
    ! { ! { 210.130.1.32/27; 2001:240:bb81::2:0/112; }; any; };
    key xxx.xxxx.d-53.net.;
};
// TSIGを利用しない場合
//acl dpf {
//    210.130.1.32/27; 2001:240:bb81::2:0/112;
//};

// 以下ゾーンの数だけ繰り返す
zone "example.jp" {
    type master;
    file "example.jp.zone";
    // NOTIFY
    notify explicit;
    also-notify { dpf-notify; };
    // ゾーン転送
    allow-transfer { dpf; };
};
NSDの場合
# TSIG鍵
# ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
# TSIGを利用しない場合は不要
key:
        name: "xxx.xxxx.d-53.net."
        algorithm: sha256
        secret: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="

# ゾーン設定テンプレート
# TSIGを利用しない場合、鍵名を「NOKEY」に置換
pattern:
        name: "dpf-primary"
        zonefile: "%s.zone"
        # NOTIFY送り先
        notify: 210.130.1.35 xxx.xxxx.d-53.net.
        notify: 210.130.1.43 xxx.xxxx.d-53.net.
        notify: 210.130.1.48 xxx.xxxx.d-53.net.
        notify: 2001:240:bb81::2:35 xxx.xxxx.d-53.net.
        notify: 2001:240:bb81::2:43 xxx.xxxx.d-53.net.
        notify: 2001:240:bb81::2:48 xxx.xxxx.d-53.net.
        # ゾーン転送許可
        provide-xfr: 210.130.1.32/27 xxx.xxxx.d-53.net.
        provide-xfr: 2001:240:bb81::2:0/112 xxx.xxxx.d-53.net.

# 以下ゾーンの数だけ繰り返す
zone:
        name: "example.jp"
        include-pattern: "dpf-primary"
Knotの場合
# TSIG鍵
# ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
# TSIGを利用しない場合は不要
key:
  - id: xxx.xxxx.d-53.net.
    algorithm: hmac-sha256
    secret: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

# NOTIFY送り先
remote:
  - id: dpf-notify
    address: [ 210.130.1.35, 210.130.1.43, 210.130.1.48 ]
    address: [ 2001:240:bb81::2:35, 2001:240:bb81::2:43, 2001:240:bb81::2:48 ]
    key: xxx.xxxx.d-53.net.     # TSIGを利用しない場合は不要

# ゾーン転送許可
acl:
  - id: dpf-transfer
    address: 210.130.1.32/27
    address: 2001:240:bb81::2:0/112
    key: xxx.xxxx.d-53.net.     # TSIGを利用しない場合は不要
    action: transfer

# ゾーン設定テンプレート
template:
  - id: dpf-primary
    notify: dpf-notify
    acl: dpf-transfer

# 以下ゾーンの数だけ繰り返す
zone:
  - domain: example.jp
    template: dpf-primary


セカンダリサーバの設定例

マネージドDNSサーバをプライマリネームサーバ、お客様サーバをセカンダリネームサーバとして利用する場合の設定例です。本サービスの利用に直接関係ない部分の設定については省略しています。お客様の環境に合わせて設定してください。

本サービス側の設定については「マネージドDNSサーバをプライマリネームサーバとして運用する」を参考にしてください。

BINDの場合
// TSIG鍵
// ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
// TSIGを利用しない場合は不要
key "xxx.xxxx.d-53.net." {
    algorithm hmac-sha256;
    secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=";
};

// プライマリサーバ設定
// TSIGを利用しない場合は「key 鍵名」を削除
masters dpf-primary {
    210.130.1.36 key xxx.xxxx.d-53.net.;
    210.130.1.44 key xxx.xxxx.d-53.net.;
    210.130.1.49 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:36 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:44 key xxx.xxxx.d-53.net.;
    2001:240:bb81::2:49 key xxx.xxxx.d-53.net.;
};

// DNSプラットフォームサービス側からのアクセス許可設定
// TSIGを利用する場合; 参考 https://kb.isc.org/docs/aa-00723
acl dpf {
    ! { ! { 210.130.1.32/27; 2001:240:bb81::2:0/112; }; any; };
    key xxx.xxxx.d-53.net.;
};
// TSIGを利用しない場合
//acl dpf {
//    210.130.1.32/27; 2001:240:bb81::2:0/112;
//};

// 以下ゾーンの数だけ繰り返す
zone "example.jp" {
    type slave;
    file "example.jp.zone";
    // プライマリサーバ設定
    masters { dpf-primary; };
    // NOTIFY許可
    allow-notify { dpf; };
};


NSDの場合
# TSIG鍵
# ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
# TSIGを利用しない場合は不要
key:
        name: "xxx.xxxx.d-53.net."
        algorithm: sha256
        secret: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="

# ゾーン設定テンプレート
# TSIGを利用しない場合、鍵名を「NOKEY」に置換
pattern:
        name: "dpf-secondary"
        zonefile: "%s.zone"
        # プライマリサーバ設定
        request-xfr: 210.130.1.36 xxx.xxxx.d-53.net.
        request-xfr: 210.130.1.44 xxx.xxxx.d-53.net.
        request-xfr: 210.130.1.49 xxx.xxxx.d-53.net.
        request-xfr: 2001:240:bb81::2:36 xxx.xxxx.d-53.net.
        request-xfr: 2001:240:bb81::2:44 xxx.xxxx.d-53.net.
        request-xfr: 2001:240:bb81::2:49 xxx.xxxx.d-53.net.
        # NOTIFY許可
        allow-notify: 210.130.1.32/27 xxx.xxxx.d-53.net.
        allow-notify: 2001:240:bb81::2:0/112 xxx.xxxx.d-53.net.

# 以下ゾーンの数だけ繰り返す
zone:
        name: "example.jp"
        include-pattern: "dpf-secondary"
Knotの場合
# TSIG鍵
# ダッシュボード→サービス管理→TSIG鍵管理→設定例で表示される内容をペースト
# TSIGを利用しない場合は不要
key:
  - id: xxx.xxxx.d-53.net.
    algorithm: hmac-sha256
    secret: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

# プライマリサーバ設定
remote:
  - id: dpf-primary
    address: [ 210.130.1.36, 210.130.1.44, 210.130.1.49 ]
    address: [ 2001:240:bb81::2:36, 2001:240:bb81::2:44, 2001:240:bb81::2:49 ]
    key: xxx.xxxx.d-53.net.     # TSIGを利用しない場合は不要

# NOTIFY許可
acl:
  - id: dpf-notify
    address: 210.130.1.32/27
    address: 2001:240:bb81::2:0/112
    key: xxx.xxxx.d-53.net.     # TSIGを利用しない場合は不要
    action: notify

# ゾーン設定テンプレート
template:
  - id: dpf-secondary
    master: dpf-primary
    acl: dpf-notify

# 以下ゾーンの数だけ繰り返す
zone:
  - domain: example.jp
    template: dpf-secondary