DNS 高级配置
本文将介绍 EdgeOne 支持的 DNSSEC、自定义 NS 服务器、CNAME 加速等高级配置原理及配置方式。
说明:
以下 DNS 高级配置相关功能仅在 NS 接入模式下支持。
DNSSEC
功能介绍
域名系统安全扩展(DNS Security Extensions),简称 DNSSEC。开启 DNSSEC,可有效防止 DNS 欺骗和缓存污染等攻击。它是通过数字签名来保证 DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。如果您希望提高您站点解析的安全性以防止被劫持篡改,建议启用该配置。
原理介绍
DNSSEC 通过向现有 DNS 记录添加加密签名的方式来建立一种更安全的 DNS。这个签名会与常见的记录类型(如 AAAA 和 MX 记录)一起存储在 DNS 名称服务器中。随后只需检查所请求的 DNS 记录对应的签名,即可验证该记录是否直接来自权威名称服务器。这意味着 DNS 记录在数字化传输过程中不会被投毒或以其他方式篡改,因而可有效防止引入伪造的记录。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击域名服务 > DNS 配置 ,进入 DNS 配置页面。
3. 在 DNS 配置页面,单击 DNSSEC 模块的
,经过二次确认后,开启 DNSSEC 功能。
5. 接下来,您需要根据上述信息,在域名注册商处添加 DS 记录。
6. 配置完成后,等待域名注册服务商处生效即可。
自定义 NS 服务
功能介绍
自定义 NS 允许您创建自己站点专属的名称服务器,以替代所分配默认名称服务器。创建后 EdgeOne 会自动为自定义 NS 分配对应的 IP 地址。
操作场景
当您选择 NS 接入您的站点,并且您希望自定义站点的 DNS 服务器的名称时,您可以使用该配置。
说明
自定义 NS 服务器有如下限制:
只能以当前站点 (例如:example.com) 的子域名 (例如:ns.example.com) 作为自定义 NS 服务器名称。
自定义 NS 至少需要添加 2个域名,并且不能和当前已有 DNS 记录冲突。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击域名服务 > DNS 配置 ,进入 DNS 配置页面。
3. 在 DNS 配置页面,单击自定义 NS 服务模块的
,添加自定义的 NS 服务器主机记录。4. 单击确定,添加完成后,您还需要在域名注册商添加该自定义 NS 的胶水记录,才能真正生效。如果您是在腾讯云注册域名,可参考:自定义 DNS Host。如果在其它厂商注册的域名,请查阅相应域名注册商指引文档进行配置。
说明:
开启并添加自定义 NS 服务后,EdgeOne 将自动为您在当前域名添加对应的 A 记录解析,您无需配置。
5. 配置完成后,等待域名注册服务商处生效即可。
CNAME 加速
功能介绍
开启后可有效提升解析速度,当域名在 EdgeOne DNS 设置多级 CNAME 记录时,系统将直接给出最终 IP 解析结果,减少解析次数。此功能默认开启,正常情况下无需更改,如果您需要给用户提供完整的解析路径,可选择关闭。示例:
假设您的站点为
example.com
,您配置了如下图所示多级解析记录:loopthree.example.com
-> looptwo.example.com
-> loopone.example.com
-> 1.2.3.4
。
在没有开启 CNAME 加速时,解析结果会如下所示:
开启了 CNAME 加速时,解析结果会直接展示为 IP 地址: