Memigrasikan atau mentransfer zona yang mengaktifkan DNSSEC

Halaman ini menjelaskan cara memigrasikan zona dengan DNSSEC aktif yang diaktifkan di registrar domain antara Cloud DNS dan penyedia hosting DNS lainnya dengan tetap mempertahankan rantai kepercayaan DNSSEC.

Untuk mengetahui ringkasan konseptual tentang DNSSEC, lihat Ringkasan DNSSEC.

Izin yang diperlukan untuk langkah ini

Untuk melakukan langkah ini, Anda harus mendapatkan izin atau peran IAM berikut.

Izin

• dns.dnsKeys.create untuk membuat DNSKEYS
• dns.dnsKeys.delete untuk menghapus DNSKEYS
• dns.dnsKeys.list untuk mencantumkan DNSKEYS
• dns.dnsKeys.update untuk mengupdate DNSKEYS

Peran

• roles/dns.admin

Sebelum memulai

Migrasi DNSSEC bersifat kompleks dan memerlukan koordinasi untuk memigrasikan zona di antara operator tanpa menyebabkan pemadaman layanan. Baca panduan ini secara menyeluruh sebelum Anda mentransfer atau memigrasikan suatu zona. Sebaiknya Anda menguji proses migrasi pada zona kurang kritis sebelum mencoba migrasi zona produksi penting.

Berkoordinasi dengan operator DNS dan {i>registrar<i} domain

Untuk mencegah resolver validasi agar tidak memperlakukan domain sebagai tidak valid, Anda harus mengoordinasikan migrasi dengan operator DNS dan registrar domain. Langkah ini memastikan Anda dapat membuat dan mempertahankan rantai kepercayaan yang valid dari zona induk ke kunci yang dikelola oleh kedua operator DNS selama transisi.

Jika registrar domain Anda juga menyediakan hosting DNS, Anda harus berkoordinasi dengan registrar domain untuk memigrasikan rantai kepercayaan DNSSEC. Jika registrar tidak mendukung operasi ini, Anda tidak dapat memigrasikan server nama sambil mempertahankan rantai kepercayaan DNSSEC.

Menunggu masa berlaku cache resolver berakhir

Selama migrasi, setelah Anda membuat pembaruan data penting, tunggu hingga cache resolver berakhir masa berlakunya. Langkah ini mencegah error validasi yang disebabkan oleh data lama yang di-cache dan tidak konsisten dengan zona yang diperbarui setelah bermigrasi ke server nama baru.

Batasan

Migrasi zona DNSSEC memiliki batasan berikut:

• Anda hanya dapat memigrasikan zona sambil mempertahankan rantai kepercayaan DNSSEC jika operator dan registrar baru mendukung migrasi DNSSEC, termasuk mengimpor data DNSKEY, menetapkan beberapa data DS, dan mencegah rotasi kunci otomatis selama migrasi.

• Anda harus menggunakan algoritma yang sama di kedua operator karena zona harus ditandatangani dengan semua algoritma yang digunakan. Untuk mengetahui detailnya, lihat RFC 4035 bagian 2.2. Cloud DNS hanya dapat menandatangani dengan satu algoritma pada satu waktu. Anda tidak dapat mengubah algoritma selama migrasi antar-penyedia.

• Anda harus dapat mengimpor data DNSKEY dari Cloud DNS ke zona operator lain dan menandatangani data tersebut dengan kunci operator. Cloud DNS memungkinkan penambahan data DNSKEY untuk zona dalam mode Transfer.

• Anda harus dapat menambahkan data DS kedua dari Cloud DNS ke zona induk. Registrar atau zona induk harus mengizinkan data DS yang terkait dengan kunci publik yang tidak menandatangani data apa pun di zona turunan.

• Anda harus dapat menghentikan rotasi kunci otomatis oleh operator lama atau baru untuk zona tersebut hingga migrasi selesai. Cloud DNS otomatis menghentikan rotasi kunci untuk zona dalam mode Transfer.

Jika operator baru tidak mendukung migrasi, lakukan hal berikut:

1. Nonaktifkan DNSSEC di registrar Anda.
2. Lakukan transfer atau migrasi.
3. Aktifkan DNSSEC.
4. Mengaktifkan DNSSEC di registrar Anda.

Untuk presentasi informatif tentang transfer domain dan DNSSEC serta potensi masalah, lihat DNS/DNSSEC dan Domain Transfer: Apakah keduanya kompatibel?.

Migrasi antar-operator

Pendekatan teknis yang digunakan Cloud DNS untuk migrasi DNSSEC adalah varian rollover KSK Double-DS yang dijelaskan dalam Pendekatan Rollover Alternatif RFC 6781 Appendix D untuk Operator yang Bekerja Sama.

Migrasi DNSSEC berfungsi tanpa pertukaran kunci pribadi atau tanda tangan antara operator DNS. Sebagai gantinya, server nama dan zona induk yang ada melakukan pra-publikasi data yang ditandatangani untuk kunci publik operator baru selain kunci publik operator lama. Demikian juga, server nama baru memublikasikan data bertanda tangan untuk kunci operator lama, selain kunci operator baru.

Kunci dari operator lain ini ditandatangani, sehingga menciptakan cross-trust antara dua operator dan zona induk sehingga validasi resolver dapat menggunakan data dari satu operator untuk memvalidasi respons dari operator satunya. Proses ini memungkinkan transisi ke server nama operator baru tanpa gangguan.

Setelah data ini disebarkan, resolver dapat memvalidasi respons dari kedua operator selama periode transisi berikutnya, sedangkan data delegasi server nama yang baru disebarkan ke semua cache resolver.

Setelah data server nama yang diperbarui diterapkan, Anda dapat menyelesaikan migrasi. Anda dapat menghapus zona turunan dari server nama lama dan menghapus trust anchor operator lama dari zona induk.

Memigrasikan zona bertanda DNSSEC ke Cloud DNS

Sebelum memulai, tinjau semua petunjuk. Anda juga harus memverifikasi bahwa penyedia Anda mendukung migrasi. Jika tidak, Anda tidak dapat memigrasikan zona menggunakan proses ini.

Untuk melakukan migrasi, ikuti langkah-langkah berikut:

1. Hentikan semua rotasi kunci untuk zona tersebut di server nama lama.

2. Buat zona baru yang ditandatangani DNSSEC di status Transfer DNSSEC. Status Transfer menghentikan rotasi kunci dan mengizinkan impor DNSKEY.

   Anda harus menggunakan algoritma yang sama dengan yang digunakan di penyedia yang ada.

3. Ekspor file zona yang tidak ditandatangani, lalu impor ke zona baru.

   Ikuti petunjuk penyedia untuk mengekspor data zona.

   Anda dapat menyertakan DNSKEY pada langkah ini, tetapi jangan menyertakan jenis data DNSSEC lainnya dari zona yang ada (jenis CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM, atau RRSIG).

   Anda dapat mengimpor zona dengan menggunakan perintah gcloud dns record-sets import.

4. Ambil data DNSKEY sebelumnya dari server nama lama.

   Anda juga dapat menggunakan dig atau delv untuk membuat kueri data DNSKEY, tetapi Anda harus memverifikasi bahwa kunci publik yang ditampilkan sudah benar dan valid untuk zona Anda.

5. Ambil data DNSKEY baru dari Cloud DNS. Dalam mode Transfer, data DNSKEY muncul seperti data normal di zona.

6. Tambahkan data DNSKEY yang ada ke zona Cloud DNS, selain data DNSKEY yang dihasilkan secara otomatis.

   Anda juga dapat mengimpor DNSKEY selama langkah 3 dan melewati langkah ini jika penyedia mengekspor DNSKEY bersama dengan data zona lainnya.

7. Tambahkan data DNSKEY baru dari Cloud DNS ke zona di operator yang ada. Pastikan untuk menandatangani ulang zona tersebut jika perlu.

8. Tambahkan data DS untuk zona Cloud DNS ke registrar Anda selain data DS yang ada.

9. Tunggu hingga data baru disebarkan dan data lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.

   Tunggu hingga semua hal berikut terjadi:

   • Kumpulan data akan disebarkan ke semua server nama yang digunakan oleh operator lama.

   • TTL kumpulan data NS zona induk berakhir.

   • TTL kumpulan data DS zona induk berakhir.

   • TTL kumpulan data NS zona turunan pada operator lama akan berakhir masa berlakunya.

   • Kumpulan data DNSKEY zona turunan pada operator lama akan berakhir masa berlakunya.

10. Verifikasi bahwa zona sudah siap dengan memeriksa apakah operator lama menyalurkan semua data DNSKEY dan zona induk menayangkan kedua data DS.

11. Ubah delegasi server nama agar mengarah ke Cloud DNS.

    Perbarui data server nama pada registrar ke server nama Cloud DNS untuk zona baru.

12. Tunggu hingga data server nama baru menyebar dan data delegasi lama berakhir dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.

    Tunggu hingga semua hal berikut terjadi:

    • TTL kumpulan data NS zona induk berakhir.

    • TTL kumpulan data NS zona turunan pada operator lama akan berakhir masa berlakunya.

    Setelah langkah ini, Anda dapat menghentikan penyaluran zona dengan aman di operator lama.

13. Hapus data DNSKEY zona lama yang ditambahkan ke zona Cloud DNS.

14. Ubah status DNSSEC zona dari Transfer menjadi On.

    Meninggalkan status transfer akan mengaktifkan rotasi kunci otomatis untuk zona tersebut. Zona Anda dapat keluar dari status transfer DNSSEC dengan aman setelah satu minggu, dan tidak boleh tetap dalam status transfer DNSSEC selama lebih dari satu atau dua bulan.

15. Hapus data DS untuk zona operator lama dari registrar Anda.

Memigrasikan zona bertanda DNSSEC dari Cloud DNS

Sebelum memulai migrasi, tinjau semua petunjuk. Anda juga harus memverifikasi bahwa penyedia Anda mendukung migrasi. Jika tidak, Anda tidak dapat memigrasikan zona menggunakan proses ini.

Untuk melakukan migrasi, ikuti langkah-langkah berikut:

1. Ubah status DNSSEC dari On menjadi Transfer. Langkah ini akan menghentikan rotasi kunci.

2. Ekspor file zona dan impor ke operator baru.

   Anda dapat menggunakan gcloud dns record-sets export untuk mengekspor zona.

   Mengekspor zona dalam mode Transfer juga akan mengekspor data DNSKEY dari Cloud DNS. Jika penyedia Anda menerima DNSKEY pada langkah ini, Anda dapat menyertakannya sekarang dan melewati langkah-langkah di bawah yang mentransfer kunci publik dari Cloud DNS ke penyedia baru.

3. Tanda tangani zona di penyedia baru.

   Anda harus menggunakan algoritma yang sama dengan yang digunakan oleh Cloud DNS di penyedia baru.

   Anda harus menghentikan rotasi kunci untuk zona tersebut di server nama baru hingga migrasi selesai.

4. Ambil data DNSKEY dari Cloud DNS. Dalam mode Transfer, data DNSKEY muncul seperti data normal di zona tersebut.

   Anda juga dapat menggunakan dig atau delv untuk membuat kueri data DNSKEY ke server nama Cloud DNS, tetapi Anda harus memverifikasi bahwa kunci publik yang ditampilkan sudah benar dan valid untuk zona Anda.

5. Ambil data DNSKEY baru dari operator baru.

   Anda mungkin harus menandatangani zona terlebih dahulu atau mengonfigurasi DNSSEC untuk mendapatkan kunci.

6. Selain data DNSKEY untuk zona baru, tambahkan data DNSKEY Cloud DNS ke zona operator baru.

7. Tambahkan data DNSKEY dari operator baru ke Cloud DNS.

8. Tambahkan data DS untuk zona operator baru ke registrar Anda selain data DS yang ada dari Cloud DNS.

9. Tunggu hingga data baru disebarkan dan data lama berakhir masa berlakunya dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.

   Tunggu hingga semua hal berikut terjadi:

   • TTL kumpulan data NS zona induk berakhir.

   • TTL kumpulan data DS zona induk berakhir.

   • Masa berlaku TTL kumpulan data NS zona Cloud DNS berakhir.

   • Masa berlaku TTL kumpulan data DNSKEY zona Cloud DNS sudah berakhir.

   Anda dapat memverifikasi bahwa zona tersebut sudah siap dengan memeriksa apakah Cloud DNS menyalurkan semua data DNSKEY dan zona induk menyalurkan kedua data DS.

10. Migrasikan delegasi server nama agar mengarah ke operator baru.

    Perbarui data server nama pada registrar ke server nama operator baru untuk zona tersebut.

11. Tunggu hingga data server nama baru menyebar dan data delegasi lama berakhir dari semua cache resolver. Jika tidak, data yang sudah tidak berlaku dapat menyebabkan kegagalan validasi.

    Tunggu hingga semua hal berikut berakhir:

    • TTL kumpulan data NS zona induk.

    • TTL kumpulan data NS zona Cloud DNS.

    Setelah langkah ini, Anda dapat menghapus zona tersebut dengan aman dari Cloud DNS.

12. Hapus data DNSKEY Cloud DNS yang ditambahkan ke zona baru.

13. Hapus data DS untuk Cloud DNS dari registrar Anda.

14. Selesaikan migrasi di operator baru sesuai kebutuhan.

Jika operator DNS lainnya memiliki proses untuk memigrasikan zona yang ditandatangani DNSSEC, Anda harus melakukan langkah-langkahnya secara paralel dengan prosedur ini, setelah langkah 1.

Langkah selanjutnya

• Untuk mendapatkan informasi tentang konfigurasi DNSSEC tertentu, lihat Menggunakan DNSSEC lanjutan.
• Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
• Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
• Untuk mendapatkan ringkasan Cloud DNS, lihat ringkasan Cloud DNS.