2.3. 为 DNS 服务配置现有的 BIND 服务器
如果您要将 Red Hat OpenStack Platform (RHOSP) DNS 服务(指定)与现有 BIND 基础架构集成,则必须执行一些操作以确保 BIND 9 正确配置。
该功能在此发行版本中作为技术预览提供,因此不享有红帽的全面支持。它只应用于测试,不应部署在生产环境中。有关技术预览功能的更多信息,请参阅覆盖范围详细信息。
如果您没有现有的 BIND 基础架构,RHOSP director 会自动为您配置 BIND。
先决条件
- 您必须是一个有足够权限才能更改 BIND 9 服务器的用户。
-
确保 BIND 可以访问文件
/etc/rndc.conf
和/etc/rndc.key
。 -
确保 BIND 能够从 RHOSP DNS 服务(designate)接收
rndc
实用程序信息。
流程
- 登录到您的 BIND 9 服务器。
确保
/etc/rndc.key
已正确配置。rndc-key
必须有一个基于 Hash 的消息身份验证代码(HMAC)、SHA-256 算法和 Base64 编码的 secret:key "rndc-key" { algorithm hmac-sha256; secret "<base64-encoded string>"; };
如果还没有这么做,请启用 BIND,以使用
rndc
程序远程创建和删除区域。在
/etc/named.conf
中,在选项 {
下,确认存在以下行。如果没有,创建一个新行并添加它:allow-new-zones yes;
如果还没有,将 BIND 配置为发送最小响应。
另外,在
/etc/named.conf
中,在选项 {
下,确认存在以下行。如果没有,创建一个新行并添加它:minimal-responses yes;
默认情况下,BIND 9 包括区外记录以及它发送到客户端的响应中的附加部分。将
minimal-responses
设置为yes
可防止处理区外的额外信息,并删除对 DNS 缓存中毒攻击的影响。