Halaman ini menjelaskan cara memigrasikan zona yang diaktifkan DNSSEC yang diaktifkan di registrar domain antara Cloud DNS dan penyedia hosting DNS lainnya sekaligus mempertahankan rantai kepercayaan DNSSEC.
Untuk ringkasan konseptual DNSSEC, lihat ringkasan DNSSEC.
Sebelum memulai
Migrasi DNSSEC bersifat kompleks dan memerlukan koordinasi untuk memigrasikan zona antar-operator tanpa menimbulkan pemadaman layanan. Baca panduan ini sepenuhnya sebelum Anda mentransfer atau memigrasikan zona. Sebaiknya uji proses migrasi di zona yang kurang penting sebelum mencoba memigrasikan zona produksi yang penting.
Berkoordinasi dengan operator DNS dan registrar domain
Untuk mencegah resolver validasi memperlakukan domain sebagai tidak valid, Anda harus melakukan koordinasi migrasi dengan operator DNS dan registrar domain. Langkah ini memastikan bahwa Anda dapat membuat dan mempertahankan rantai kepercayaan yang valid dari zona induk ke kunci yang dikelola oleh kedua operator DNS selama transisi.
Jika registrar domain Anda juga menyediakan hosting DNS, Anda harus berkoordinasi dengan registrar domain untuk memigrasikan rantai kepercayaan DNSSEC. Jika registrar tidak mendukung operasi ini, Anda tidak dapat memigrasikan server nama sekaligus mempertahankan rantai kepercayaan DNSSEC.
Menunggu hingga masa berlaku cache resolver berakhir
Selama migrasi, setelah Anda melakukan pembaruan data penting, tunggu cache resolver berakhir masa berlakunya. Langkah ini mencegah error validasi yang disebabkan oleh data lama yang di-cache yang tidak konsisten dengan zona yang diperbarui setelah bermigrasi ke server nama baru.
Batasan
Memigrasikan zona DNSSEC memiliki batasan berikut:
Anda hanya dapat memigrasikan zona sambil mempertahankan rantai kepercayaan DNSSEC jika operator dan registrar baru mendukung migrasi DNSSEC, termasuk mengimpor data DNSKEY, menetapkan beberapa data DS, dan mencegah rotasi kunci otomatis selama migrasi.
Anda harus menggunakan algoritme yang sama di kedua operator karena zona harus ditandatangani dengan semua algoritma yang digunakan. Untuk mengetahui detailnya, lihat RFC 4035 bagian 2.2. Cloud DNS hanya dapat menandatangani dengan satu algoritma pada satu waktu. Anda tidak dapat mengubah algoritma selama migrasi antar-penyedia.
Anda harus dapat mengimpor data DNSKEY dari Cloud DNS ke zona operator lain dan meminta data tersebut ditandatangani dengan kunci operator. Cloud DNS memungkinkan penambahan data DNSKEY untuk zona dalam mode
Transfer
.Anda harus dapat menambahkan data DS kedua dari Cloud DNS ke zona induk. Pendaftar atau zona induk harus mengizinkan data DS yang sesuai dengan kunci publik yang tidak menandatangani data apa pun di zona turunan.
Anda harus dapat menghentikan rotasi kunci otomatis oleh operator lama atau baru untuk zona tersebut hingga migrasi selesai. Cloud DNS secara otomatis menghentikan rotasi kunci untuk zona dalam mode
Transfer
.
Jika operator baru tidak mendukung migrasi, lakukan hal berikut:
- Nonaktifkan DNSSEC di registrar Anda.
- Lakukan transfer atau migrasi.
- Aktifkan DNSSEC.
- Aktifkan DNSSEC di registrar Anda.
Untuk presentasi informatif tentang DNSSEC dan transfer domain serta potensi masalah, lihat DNS/DNSSEC dan Transfer Domain: Apakah kompatibel?.
Migrasi antar-operator
Pendekatan teknis yang digunakan Cloud DNS untuk migrasi DNSSEC adalah varian rollover KSK Double-DS yang dijelaskan dalam RFC 6781 Lampiran D Pendekatan Rollover Alternatif untuk Operator yang Bekerja Sama.
Migrasi DNSSEC berfungsi tanpa bertukar kunci pribadi atau tanda tangan antar-operator DNS. Sebagai gantinya, server nama yang ada dan zona induk akan mem-pra-publikasikan data yang ditandatangani untuk kunci publik operator baru selain kunci publik operator lama. Demikian pula, server nama baru memublikasikan data yang ditandatangani untuk kunci operator lama selain kunci operator baru.
Kunci ini dari operator lain ditandatangani, sehingga menciptakan kepercayaan silang antara dua operator dan zona induk sehingga resolver validasi dapat menggunakan data dari satu operator untuk memvalidasi respons dari operator lain. Proses ini memungkinkan transisi ke server nama operator baru tanpa gangguan.
Setelah data ini diterapkan, resolver dapat memvalidasi respons dari kedua operator selama periode transisi berikutnya, sementara data delegasi server nama baru diterapkan ke semua cache resolver.
Setelah data server nama yang diperbarui diterapkan, Anda dapat menyelesaikan migrasi. Anda dapat menghapus zona turunan dari server nama lama dan menghapus anchor kepercayaan operator lama dari zona induk.
Memigrasikan zona bertanda tangan DNSSEC ke Cloud DNS
Sebelum memulai, tinjau semua petunjuk. Anda juga harus memverifikasi bahwa penyedia Anda mendukung migrasi. Jika tidak, Anda tidak dapat memigrasikan zona menggunakan proses ini.
Untuk melakukan migrasi, ikuti langkah-langkah berikut:
Hentikan semua rotasi kunci untuk zona di server nama lama.
Buat zona baru yang ditandatangani DNSSEC dalam status
Transfer
DNSSEC. StatusTransfer
menghentikan rotasi kunci dan mengizinkan impor DNSKEY.Anda harus menggunakan algoritma yang sama dengan yang digunakan di penyedia yang ada.
Ekspor file zona yang tidak ditandatangani, lalu impor ke zona baru.
Ikuti petunjuk penyedia Anda untuk mengekspor data zona.
Anda dapat menyertakan DNSKEY pada langkah ini, tetapi jangan sertakan jenis data DNSSEC lain dari zona yang ada (jenis CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM, atau RRSIG).
Anda dapat mengimpor zona menggunakan perintah
gcloud dns record-sets import
.Ambil data DNSKEY sebelumnya dari server nama lama.
Anda juga dapat menggunakan
dig
ataudelv
untuk membuat kueri data DNSKEY, tetapi Anda harus memverifikasi bahwa kunci publik yang ditampilkan sudah benar dan valid untuk zona Anda.Ambil data DNSKEY baru dari Cloud DNS. Dalam mode
Transfer
, data DNSKEY akan muncul seperti data normal di zona.Tambahkan data DNSKEY yang ada ke zona Cloud DNS selain data DNSKEY yang dibuat secara otomatis.
Anda juga dapat mengimpor DNSKEY selama langkah 3 dan melewati langkah ini jika penyedia mengekspor DNSKEY bersama dengan data zona lainnya.
Tambahkan data DNSKEY baru dari Cloud DNS ke zona di operator yang ada. Pastikan untuk menandatangani ulang zona jika perlu.
Tambahkan data DS untuk zona Cloud DNS ke registrar Anda selain data DS yang ada.
Tunggu hingga data baru diterapkan dan data lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.
Tunggu hingga semua hal berikut terjadi:
Data ditransfer ke semua server nama yang digunakan oleh operator lama.
TTL kumpulan data NS zona induk berakhir masa berlakunya.
TTL kumpulan data DS zona induk berakhir.
TTL data NS zona turunan ditetapkan saat masa berlaku operator lama berakhir.
TTL kumpulan data DNSKEY zona turunan di operator lama akan berakhir.
Pastikan zona sudah siap dengan memeriksa apakah operator lama menayangkan semua data DNSKEY dan zona induk menayangkan kedua data DS.
Ubah delegasi server nama agar mengarah ke Cloud DNS.
Perbarui data server nama di registrar ke server nama Cloud DNS untuk zona baru.
Tunggu hingga data server nama baru di-propagate dan data delegasi lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.
Tunggu hingga semua hal berikut terjadi:
TTL kumpulan data NS zona induk berakhir masa berlakunya.
TTL data NS zona turunan ditetapkan saat masa berlaku operator lama berakhir.
Setelah langkah ini, Anda dapat berhenti menayangkan zona di operator lama dengan aman.
Hapus data DNSKEY zona lama yang ditambahkan ke zona Cloud DNS.
Ubah status DNSSEC zona dari
Transfer
menjadiOn
.Meninggalkan status transfer akan mengaktifkan rotasi kunci otomatis untuk zona. Zona Anda dapat keluar dari status transfer DNSSEC dengan aman setelah seminggu, dan tidak boleh tetap dalam status transfer DNSSEC selama lebih dari satu atau dua bulan.
Hapus data DS untuk zona operator lama dari registrar Anda.
Memigrasikan zona bertanda tangan DNSSEC dari Cloud DNS
Sebelum memulai migrasi, tinjau semua petunjuk. Anda juga harus memverifikasi bahwa penyedia Anda mendukung migrasi. Jika tidak, Anda tidak dapat memigrasikan zona menggunakan proses ini.
Untuk melakukan migrasi, ikuti langkah-langkah berikut:
Ubah status DNSSEC dari
On
menjadiTransfer
. Langkah ini akan menghentikan rotasi kunci.Ekspor file zona Anda dan impor ke operator baru.
Anda dapat menggunakan
gcloud dns record-sets export
untuk mengekspor zona.Mengekspor zona dalam mode
Transfer
juga akan mengekspor data DNSKEY dari Cloud DNS. Jika penyedia Anda menerima DNSKEY pada langkah ini, Anda dapat menyertakannya sekarang dan melewati langkah-langkah di bawah yang mentransfer kunci publik dari Cloud DNS ke penyedia baru.Tanda tangani zona di penyedia baru.
Anda harus menggunakan algoritma yang sama yang digunakan oleh Cloud DNS di penyedia baru.
Anda harus menghentikan rotasi kunci untuk zona di server nama baru hingga migrasi selesai.
Ambil data DNSKEY dari Cloud DNS. Dalam mode
Transfer
, data DNSKEY akan muncul seperti data normal di zona.Anda juga dapat menggunakan
dig
ataudelv
untuk membuat kueri server nama Cloud DNS untuk data DNSKEY, tetapi Anda harus memverifikasi bahwa kunci publik yang ditampilkan sudah benar dan valid untuk zona Anda.Ambil data DNSKEY baru dari operator baru.
Anda mungkin harus menandatangani zona atau mengonfigurasi DNSSEC terlebih dahulu untuk mendapatkan kunci.
Tambahkan data DNSKEY Cloud DNS ke zona operator baru selain data DNSKEY untuk zona baru.
Tambahkan data DNSKEY dari operator baru ke Cloud DNS.
Tambahkan data DS untuk zona operator baru ke registrar Anda selain data DS yang ada dari Cloud DNS.
Tunggu hingga data baru diterapkan dan data lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.
Tunggu hingga semua hal berikut terjadi:
TTL kumpulan data NS zona induk berakhir masa berlakunya.
TTL kumpulan data DS zona induk berakhir.
TTL kumpulan data NS zona Cloud DNS berakhir masa berlakunya.
TTL kumpulan data DNSKEY zona Cloud DNS berakhir masa berlakunya.
Anda dapat memverifikasi bahwa zona sudah siap dengan memeriksa apakah Cloud DNS menayangkan semua data DNSKEY dan zona induk menayangkan kedua data DS.
Migrasikan delegasi server nama agar mengarah ke operator baru.
Perbarui data server nama di registrar ke server nama operator baru untuk zona tersebut.
Tunggu hingga data server nama baru diterapkan dan data delegasi lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.
Tunggu hingga masa berlaku semua hal berikut berakhir:
Data NS zona induk menetapkan TTL.
TTL yang ditetapkan data NS zona Cloud DNS.
Setelah langkah ini, Anda dapat menghapus zona dari Cloud DNS dengan aman.
Hapus data DNSKEY Cloud DNS yang ditambahkan ke zona baru.
Hapus data DS untuk Cloud DNS dari registrar Anda.
Selesaikan migrasi di operator baru sesuai kebutuhan.
Jika operator DNS lain memiliki proses untuk memigrasikan zona yang ditandatangani DNSSEC, Anda harus melakukan langkah-langkahnya secara paralel dengan prosedur ini, setelah langkah 1.
Langkah selanjutnya
- Untuk mendapatkan informasi tentang konfigurasi DNSSEC tertentu, lihat Menggunakan DNSSEC lanjutan.
- Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
- Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
- Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.