Migrazione o trasferimento di zone abilitate per DNSSEC

Questa pagina descrive come eseguire la migrazione di una zona abilitata per DNSSEC che viene attivata il registrar di domini tra Cloud DNS e altri provider host DNS, nella gestione della catena di attendibilità DNSSEC.

Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o i seguenti ruoli IAM.

Autorizzazioni

• dns.dnsKeys.create per creare DNSKEYS
• dns.dnsKeys.delete per eliminare DNSKEYS
• dns.dnsKeys.list per elencare DNSKEYS
• dns.dnsKeys.update per aggiornare DNSKEYS

Ruoli

• roles/dns.admin

Prima di iniziare

La migrazione delle DNSSEC è complessa e richiede coordinamento per migrare una zona tra senza interruzioni. Leggi questa guida per intero prima di trasferire o migrare una zona. Ti consigliamo di testare il processo di migrazione su una zona meno critica prima di tentare la migrazione di zone di produzione critiche.

Coordinati con operatori DNS e registrar di domini

Per evitare che i resolver della convalida considerino il dominio come non valido, devi coordinare la migrazione con gli operatori DNS e con il registrar di domini. Questo passaggio ti consente di stabilire e mantenere una catena valida considerare attendibilità dalla zona padre alle chiavi gestite da entrambi gli operatori DNS durante una transizione.

Se il tuo registrar di domini fornisce anche l'hosting DNS, devi coordinarti con il registrar del dominio per migrare la catena di attendibilità DNSSEC. Se il registrar non supporta questa operazione, non puoi eseguire la migrazione dei server dei nomi mantenendo la catena di attendibilità DNSSEC.

Attendi che le cache del resolver scadano

Durante la migrazione, dopo aver apportato aggiornamenti critici al record, attendi il resolver di cache per scadere. Questo passaggio previene gli errori di convalida causati da vecchie cache record incoerenti con la zona aggiornata dopo la migrazione al nuovo nome server web.

Limitazioni

La migrazione di una zona DNSSEC presenta le seguenti limitazioni:

• Puoi eseguire la migrazione di una zona mantenendo la catena di attendibilità DNSSEC solo se nuovo operatore e registrar supportano la migrazione DNSSEC, compresa l'importazione di DNSKEY record, impostazione di più record DS e prevenzione della rotazione automatica delle chiavi durante la migrazione.

• Devi utilizzare lo stesso algoritmo a entrambi gli operatori poiché le zone devono essere firmate con tutti gli algoritmi in uso. Per per maggiori dettagli, consulta la RFC 4035 sezione 2.2. Cloud DNS può accedere con un solo algoritmo alla volta. Non puoi e modificare gli algoritmi durante la migrazione tra provider.

• Devi essere in grado di importare i record DNSKEY da Cloud DNS nel della zona dell'altro operatore e fare in modo che i record vengano firmati con le chiavi dell'operatore. Cloud DNS consente di aggiungere record DNSKEY per le zone in modalità Transfer.

• Devi essere in grado di aggiungere un secondo record DS da Cloud DNS la zona padre. Il registrar o la zona principale deve consentire i record DS che corrispondono a chiavi pubbliche che non firmano alcun record nella zona figlio.

• Devi essere in grado di interrompere la rotazione automatica delle chiavi da parte del vecchio o del nuovo operatore della zona fino al completamento della migrazione. Cloud DNS interrompe automaticamente rotazione della chiave per le zone in modalità Transfer.

Se il nuovo operatore non supporta la migrazione, segui questi passaggi:

1. Disattiva le DNSSEC nel registrar.
2. Esegui il trasferimento o la migrazione.
3. Abilita DNSSEC.
4. Attiva DNSSEC nel registrar.

Per una presentazione informativa su DNSSEC, trasferimenti di domini e potenziale insidie, consulta la sezione DNS/DNSSEC e trasferimenti di dominio: compatibili?

Migrazione tra operatori

L'approccio tecnico utilizzato da Cloud DNS per le migrazioni DNSSEC è la variante riporto KSK doppio DS descritta nell'Alternativa RFC 6781 Appendice D Approccio di riporto per gli operatori che collaborano.

La migrazione DNSSEC funziona senza scambiare chiavi o firme private tra DNS . Vengono invece prepubblicati i server dei nomi esistenti e la zona principale per le chiavi pubbliche del nuovo operatore oltre a quelli alle chiavi pubbliche dell'operatore. Analogamente, i nuovi server dei nomi pubblicano record firmati per le chiavi del vecchio operatore oltre a quelle del nuovo operatore.

Queste chiavi dell'altro operatore sono firmate, creando così un cross-trust tra due operatori e la zona padre in modo che i resolver di convalida possano utilizzare i record da un operatore per convalidare le risposte dell'altro operatore. Questo processo consente il passaggio ai nuovi server dei nomi dell'operatore senza interruzioni.

Dopo la propagazione di questi record, i resolver possono convalidare le risposte operatori durante il successivo periodo di transizione mentre il nuovo server dei nomi i record di delega si propagano a tutte le cache del resolver.

Una volta propagati i record dei server dei nomi aggiornati, puoi finalizzare la migrazione. Puoi rimuovere la zona secondaria dai vecchi server dei nomi e rimuovere quella precedente trust anchor dell'operatore dalla zona padre.

Esegui la migrazione delle zone con firma DNSSEC a Cloud DNS

Prima di iniziare, consulta tutte le istruzioni. Devi inoltre verifica che il tuo provider supporti la migrazione. In caso contrario, non possono eseguire la migrazione della zona utilizzando questo processo.

Per eseguire la migrazione, segui questi passaggi:

1. Interrompi la rotazione di tutte le chiavi per la zona nel server dei nomi precedente.

2. Crea una nuova zona con firma DNSSEC nello stato DNSSEC Transfer. Lo stato Transfer interrompe la rotazione della chiave e consente l'importazione di DNSKEY.

   Devi usare gli stessi algoritmi in uso presso il fornitore esistente.

3. Esporta i file di zona non firmati, quindi importali nella nuova zona.

   Segui le istruzioni del provider per esportare i dati delle zone.

   Puoi includere DNSKEY in questo passaggio, ma non includere altre DNSSEC tipi di record della zona esistente (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM, o RRSIG).

   Puoi importare le zone utilizzando il comando gcloud dns record-sets import.

4. Recupera i record DNSKEY precedenti dal server dei nomi precedente.

   Puoi anche utilizzare dig o delv per eseguire query sui record DNSKEY, ma devi verifica che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY da Cloud DNS. Tra Transfer i record DNSKEY appaiono come normali record nella zona.

6. Aggiungi i record DNSKEY esistenti alla zona Cloud DNS in oltre ai record DNSKEY generati automaticamente.

   Puoi anche importare le DNSKEY durante il passaggio 3 e saltare questo passaggio se le tue Il provider esporta le DNSKEY insieme agli altri dati della zona.

7. Aggiungi i nuovi record DNSKEY da Cloud DNS alla zona nella operatore esistente. Assicurati di firmare di nuovo la zona, se necessario.

8. Aggiungi il record DS per Cloud DNS al registrar oltre al record DS esistente.

9. Attendi fino alla propagazione dei nuovi record e alla scadenza dei vecchi record dei resolver. In caso contrario, dati inattivi potrebbero causare errori di convalida.

   Attendi che si verifichino tutte le seguenti condizioni:

   • I record si propagano a tutti i server dei nomi utilizzati dal vecchio operatore.

   • Il TTL del set di record NS della zona principale scade.

   • Il TTL del set di record DS della zona principale scade.

   • Scadenza del record NS della zona secondaria impostato sul valore TTL impostato per l'operatore precedente.

   • Scadenza del record DNSKEY della zona secondaria impostato sul valore TTL impostato per l'operatore precedente.

10. Verifica che la zona sia pronta controllando che il vecchio operatore sia gestire tutti i record DNSKEY e la zona principale gestisce sia DS record.

11. Modifica le deleghe del server dei nomi in modo che puntino a Cloud DNS.

    Aggiorna i record dei server dei nomi nel ai server dei nomi Cloud DNS per la nuova zona.

12. Attendi la propagazione dei nuovi record dei server dei nomi e dei vecchi record di delega scadono da tutte le cache del resolver. In caso contrario, i dati inattivi potrebbero causare la convalida errori.

    Attendi che si verifichino tutte le seguenti condizioni:

    • Il TTL del set di record NS della zona principale scade.

    • Scadenza del record NS della zona secondaria impostato sul valore TTL impostato per l'operatore precedente.

    Al termine di questo passaggio, puoi interrompere l'utilizzo della zona presso il vecchio operatore.

13. Rimuovi i record DNSKEY della zona precedente aggiunti alla zona Cloud DNS.

14. Modifica lo stato DNSSEC della zona da Transfer a On.

    Se esci dallo stato di trasferimento, viene attivata la rotazione automatica della chiave per la zona. Il tuo possono lasciare lo stato di trasferimento DNSSEC dopo una settimana e non devono rimarranno in stato di trasferimento DNSSEC per più di uno o due mesi.

15. Rimuovi il record DS per il vecchio operatore dal tuo registrar.

Esegui la migrazione delle zone con firma DNSSEC da Cloud DNS

Prima di iniziare la migrazione, leggi tutte le istruzioni. Devi inoltre verifica che il tuo provider supporti la migrazione. In caso contrario, non possono eseguire la migrazione della zona utilizzando questo processo.

Per eseguire la migrazione, segui questi passaggi:

1. Modifica lo stato di DNSSEC da On a Transfer. Questo passaggio interrompe la rotazione della chiave.

2. Esporta il file di zona e importalo nel nuovo operatore.

   Puoi utilizzare gcloud dns record-sets export per esportare una zona.

   L'esportazione di una zona in modalità Transfer consente anche di esportare i record DNSKEY da in Cloud DNS. Se il tuo provider accetta DNSKEY in questo passaggio, puoi includerle ora e saltare i passaggi riportati di seguito che trasferiscono le chiavi pubbliche Cloud DNS al nuovo provider.

3. Firma la zona presso il nuovo fornitore.

   Devi usare gli stessi algoritmi in uso da Cloud DNS presso il nuovo provider.

   Devi interrompere rotazione della chiave per la zona nel nuovo server dei nomi finché migrazione completata.

4. Recupera i record DNSKEY da Cloud DNS. Tra Transfer i record DNSKEY in modalità reale appaiono come normali record nella zona.

   Puoi anche utilizzare dig o delv per eseguire una query sul nome Cloud DNS per i record DNSKEY, ma devi verificare che l'oggetto pubblico restituito siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY dal nuovo operatore.

   Potresti dover prima firmare la zona o configurare DNSSEC per ottenere le chiavi.

6. Aggiungi i record Cloud DNS DNSKEY alla zona del nuovo operatore oltre ai record DNSKEY per la nuova zona.

7. Aggiungi i record DNSKEY del nuovo operatore a Cloud DNS.

8. Aggiungi il record DS per il nuovo operatore al registrar oltre al record DS esistente in Cloud DNS.

9. Attendi fino alla propagazione dei nuovi record e alla scadenza dei vecchi record dei resolver. In caso contrario, dati inattivi potrebbero causare errori di convalida.

   Attendi che si verifichino tutte le seguenti condizioni:

   • Il TTL del set di record NS della zona principale scade.

   • Il TTL del set di record DS della zona principale scade.

   • Il TTL del set di record NS della zona Cloud DNS scade.

   • Il TTL del set di record DNSKEY della zona Cloud DNS scade.

   Puoi verificare che la zona sia pronta controllando che Cloud DNS sia gestire tutti i record DNSKEY e la zona principale gestisce sia DS record.

10. Esegui la migrazione delle deleghe dei server dei nomi in modo che puntino al nuovo operatore.

    Aggiorna i record dei server dei nomi nel il registrar ai server dei nomi del nuovo operatore per la zona.

11. Attendi la propagazione dei nuovi record dei server dei nomi e dei vecchi record di delega scadono da tutte le cache del resolver. In caso contrario, i dati inattivi potrebbero causare la convalida errori.

    Attendi fino alla scadenza di tutti i seguenti elementi:

    • Il valore TTL impostato per il record NS della zona principale.

    • Il set di record NS della zona Cloud DNS è TTL.

    Al termine di questo passaggio, puoi eliminare la zona da Cloud DNS in modo sicuro.

12. Rimuovi i record Cloud DNS DNSKEY aggiunti alla nuova zona.

13. Rimuovere il record DS per Cloud DNS del registrar.

14. Completa la migrazione presso il nuovo operatore, se necessario.

Se l'altro operatore DNS dispone di un processo per la migrazione di una zona con firma DNSSEC, devi eseguire i relativi passaggi in parallelo a questa procedura, dopo il passaggio 1.

Passaggi successivi

• Per informazioni su configurazioni DNSSEC specifiche, consulta Usare le DNSSEC avanzate.
• Per utilizzare le zone gestite, consulta Creare, modificare ed eliminare zone.
• Per trovare soluzioni a problemi comuni che potresti riscontrare durante l'utilizzo Cloud DNS, consulta Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta Panoramica di Cloud DNS.