이 페이지에서는 DNSSEC 신뢰 체인을 유지하는 동안 Cloud DNS와 기타 DNS 호스팅 업체 간 도메인 등록기관에서 활성화되는 DNSSEC 사용 설정 영역을 마이그레이션하는 방법을 설명합니다.
DNSSEC의 개념 개요는 DNSSEC 개요를 참조하세요.
시작하기 전에
DNSSEC 마이그레이션은 복잡하고 중단 없이 작업자 간 영역 마이그레이션을 위해 조정이 필요합니다. 영역을 전송 또는 마이그레이션하기 전 이 가이드를 읽어보세요. 중요한 프로덕션 영역에서 마이그레이션을 시도하기 전 덜 중요한 영역에서 마이그레이션 프로세스를 테스트하는 것이 좋습니다.
DNS 운영자 및 도메인 등록기관과 협력
리졸버가 도메인을 부적합한 것으로 취급하지 않도록 방지하려면 DNS 운영자 및 도메인 등록기관과 함께 마이그레이션을 조정해야 합니다. 이 단계를 통해 전환 중 상위 영역에서 DNS 운영자가 관리하는 키에 대해 적합한 신뢰 체인을 설정하고 유지할 수 있습니다.
도메인 등록기관도 DNS 호스팅을 제공할 경우 DNSSEC 신뢰 체인을 마이그레이션하도록 도메인 등록기관과 조정해야 합니다. 등록기관이 이 작업을 지원하지 않으면 DNSSEC 신뢰 체인을 유지하면서 네임서버를 마이그레이션할 수 없습니다.
리졸버 캐시 만료 대기
마이그레이션 중에는 중요한 레코드를 업데이트한 후 리졸버 캐시가 만료되도록 기다립니다. 이 단계는 새 네임서버로 마이그레이션한 후 업데이트된 영역과 일치하지 않는 이전에 캐시된 레코드로 인해 발생하는 검증 오류를 방지합니다.
제한사항
DNSSEC 영역 마이그레이션에는 다음과 같은 제한사항이 있습니다.
새 운영자 및 등록기관이 DNSKEY 레코드 가져오기, 다중 DS 레코드 설정, 마이그레이션 중 자동 키 순환 방지를 포함하여 DNSSEC 마이그레이션을 지원하는 경우에만 DNSSEC 신뢰 체인을 유지하면서 영역을 마이그레이션할 수 있습니다.
사용 중인 모든 알고리즘을 사용하여 영역을 서명해야 하므로 두 운영자 모두 동일한 알고리즘을 사용해야 합니다. 자세한 내용은 RFC 4035 섹션 2.2를 참조하세요. Cloud DNS는 한 번에 하나의 알고리즘만 사용하여 서명할 수 있습니다. 공급업체 간 마이그레이션 중에는 알고리즘을 변경할 수 없습니다.
Cloud DNS에서 다른 운영자 영역으로 DNSKEY 레코드를 가져올 수 있어야 하고 이러한 레코드가 운영자 키로 서명되어 있어야 합니다. Cloud DNS는 영역에 대해
Transfer모드로 DNSKEY 레코드 추가를 허용합니다.Cloud DNS에서 상위 영역으로 보조 DS 레코드를 추가할 수 있어야 합니다. 등록기관 또는 상위 영역은 하위 영역의 어떠한 레코드도 서명하지 않는 공개 키에 해당하는 DS 레코드를 허용해야 합니다.
마이그레이션이 완료될 때까지 영역에 대해 이전 또는 신규 운영자에 의한 자동 키 순환을 중지할 수 있어야 합니다. Cloud DNS는 영역에 대해
Transfer모드로 키 순환을 자동으로 중지합니다.
새 운영자가 마이그레이션을 지원하지 않으면 다음을 수행합니다.
- 등록기관에서 DNSSEC를 비활성화합니다.
- 전송 또는 마이그레이션을 수행합니다.
- DNSSEC를 사용 설정합니다.
- 등록기관에서 DNSSEC를 활성화합니다.
DNSSEC 및 도메인 전송과 잠재적인 단점에 대한 자세한 내용은 DNS/DNSSEC and Domain Transfers: Are they compatible?을 참조하세요.
운영자 간 마이그레이션
DNSSEC 마이그레이션을 위해 Cloud DNS에 사용되는 기술적 접근방식은 RFC 6781 부록 D 운영자 협업을 위한 대체 롤오버 접근방식에 설명된 Double-DS KSK 롤오버 변형입니다.
DNSSEC 마이그레이션은 DNS 운영자 간의 비공개 키 또는 서명 교환 없이 작동합니다. 대신 기존 네임서버 및 상위 영역이 이전 운영자의 공개 키 외에도 새 운영자의 공개 키에 대해 서명된 레코드를 미리 게시합니다. 마찬가지로 새 네임서버는 새 운영자의 키 외에도 기존 운영자의 키에 대해 서명된 레코드를 게시합니다.
다른 운영자의 이러한 키가 두 운영자 및 상위 영역 간 교차 신뢰를 생성하도록 서명되므로, 검증 리졸버가 한 운영자의 레코드를 사용해서 다른 운영자의 응답을 검증할 수 있습니다. 이 프로세스를 통해 중단 없이 새 운영자의 네임서버로 전환할 수 있습니다.
이러한 레코드가 전파된 다음에는 새 네임서버 위임 레코드가 모든 리졸버 캐시로 전파되는 동안 리졸버가 이후 전환 기간 중 두 운영자의 응답을 검증할 수 있습니다.
업데이트된 네임서버 레코드가 전파된 후 마이그레이션을 완료할 수 있습니다. 이전 네임서버에서 하위 영역을 삭제하고 상위 영역에서 이전 운영자의 신뢰 앵커를 삭제할 수 있습니다.
DNSSEC 서명 영역을 Cloud DNS로 마이그레이션
시작하기 전에 모든 안내를 검토하세요. 또한 공급업체에서 마이그레이션이 지원되는지 확인해야 합니다. 그렇지 않으면 이 프로세스를 사용하여 영역을 마이그레이션할 수 없습니다.
마이그레이션을 수행하려면 다음 단계를 따르세요.
기존 네임서버에서 영역에 대해 모든 키 순환을 중지합니다.
DNSSEC
Transfer상태로 새 DNSSEC 서명 영역을 만듭니다.Transfer상태는 키 순환을 중지하고 DNSKEY 가져오기를 허용합니다.기존 공급업체에서 사용 중인 동일한 알고리즘을 사용해야 합니다.
서명되지 않은 영역 파일을 내보낸 후 이를 새 영역으로 가져옵니다.
영역 데이터 내보내기에 대한 공급업체 안내를 따르세요.
이 단계에서 DNSKEY를 포함할 수 있지만 기존 영역(CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM, RRSIG 유형)의 다른 DNSSEC 레코드 유형은 포함하지 않습니다.
gcloud dns record-sets import명령어를 사용하여 영역을 가져올 수 있습니다.이전 네임서버에서 이전 DNSKEY 레코드를 검색합니다.
또한
dig또는delv를 사용하여 DNSKEY 레코드를 쿼리할 수 있지만 반환된 공개 키가 올바르고 영역에 유효한지 확인해야 합니다.Cloud DNS에서 새 DNSKEY 레코드를 검색합니다.
Transfer모드에서 DNSKEY 레코드는 영역에 있는 일반 레코드처럼 표시됩니다.자동으로 생성된 DNSKEY 레코드는 물론 Cloud DNS 영역에 기존 DNSKEY 레코드를 추가합니다.
또한 공급업체가 나머지 영역 데이터와 함께 DNSKEY를 내보낼 경우 3단계 중에 DNSKEY를 가져오고 이 단계를 건너뛸 수 있습니다.
Cloud DNS에서 새 DNSKEY 레코드를 기존 운영자의 영역에 추가합니다. 필요한 경우 영역을 다시 서명해야 합니다.
기존 DS 레코드 외에도 등록기관에 Cloud DNS 영역에 대해 DS 레코드를 추가합니다.
새 레코드가 전파되고 이전 레코드가 모든 리졸버 캐시에서 만료될 때까지 기다립니다. 그렇지 않으면 오래된 데이터로 인해 검증 오류가 발생할 수 있습니다.
다음 상황이 모두 발생할 때까지 기다립니다.
레코드는 이전 운영자가 사용하는 모든 네임서버로 전파됩니다.
상위 영역 NS 레코드 세트 TTL이 만료됩니다.
상위 영역 DS 레코드 세트 TTL이 만료됩니다.
이전 운영자에서 하위 영역 NS 레코드 세트 TTL이 만료됩니다.
이전 운영자에서 하위 영역 DNSKEY 레코드 세트 TTL이 만료됩니다.
이전 운영자가 모든 DNSKEY 레코드를 제공하고 상위 영역이 두 DS 레코드를 제공하는지 확인하여 영역이 준비되었는지 확인합니다.
Cloud DNS를 가리키도록 네임서버 위임을 변경합니다.
등록기관의 네임서버 레코드를 새 영역의 Cloud DNS 네임서버로 업데이트합니다.
새 네임서버 레코드가 전파되고 이전 위임 레코드가 모든 리졸버 캐시에서 만료될 때까지 기다립니다. 그렇지 않으면 오래된 데이터로 인해 검증 오류가 발생할 수 있습니다.
다음 상황이 모두 발생할 때까지 기다립니다.
상위 영역 NS 레코드 세트 TTL이 만료됩니다.
이전 운영자에서 하위 영역 NS 레코드 세트 TTL이 만료됩니다.
이 단계가 완료되면 이전 운영자에서 영역 제공을 안전하게 중지할 수 있습니다.
Cloud DNS 영역에 추가된 이전 영역의 DNSKEY 레코드를 삭제합니다.
영역의 DNSSEC 상태를
Transfer에서On으로 변경합니다.전송 상태를 종료하면 영역에 대해 자동 키 순환이 사용 설정됩니다. 영역은 1주일 후에 안전하게 DNSSEC 전송 상태를 벗어날 수 있으며 1~2 달 넘게 DNSSEC 전송 상태를 유지하면 안 됩니다.
등록기관에서 이전 운영자 영역에 대한 DS 레코드를 삭제합니다.
Cloud DNS에서 DNSSEC 서명된 영역 마이그레이션
마이그레이션을 시작하기 전에 모든 안내를 검토하세요. 또한 공급업체에서 마이그레이션이 지원되는지 확인해야 합니다. 그렇지 않으면 이 프로세스를 사용하여 영역을 마이그레이션할 수 없습니다.
마이그레이션을 수행하려면 다음 단계를 따르세요.
DNSSEC 상태를
On에서Transfer로 변경합니다. 이 단계에서는 키 순환이 중지됩니다.영역 파일을 내보내고 새 연산자로 가져옵니다.
gcloud dns record-sets export를 사용하여 영역을 내보낼 수 있습니다.Transfer모드로 영역을 내보내면 Cloud DNS에서 DNSKEY 레코드도 내보냅니다. 이 단계에서 제공업체가 DNSKEY를 허용하는 경우 지금 이를 포함하고 Cloud DNS에서 새 공급업체로 공개 키를 전송하는 아래 단계를 건너뛸 수 있습니다.새 공급업체에서 영역을 서명합니다.
새 제공업체에서 Cloud DNS에 사용 중인 동일한 알고리즘을 사용해야 합니다.
마이그레이션이 완료될 때까지 새 네임서버에서 영역의 키 순환을 중지해야 합니다.
Cloud DNS에서 DNSKEY 레코드를 검색합니다.
Transfer모드에서 DNSKEY 레코드는 영역에 있는 일반 레코드처럼 표시됩니다.또한
dig또는delv를 사용하여 DNSKEY 레코드에 대해 Cloud DNS 네임서버를 쿼리할 수 있지만 반환된 공개 키가 올바르고 영역에 유효한지 확인해야 합니다.새 운영자에서 새 DNSKEY 레코드를 검색합니다.
먼저 영역을 서명하거나 키를 가져오도록 DNSSEC를 구성할 수 있습니다.
새 영역에 대한 DNSKEY 레코드 외에도 새 운영자 영역에 Cloud DNS DNSKEY 레코드를 추가합니다.
새 운영자의 DNSKEY 레코드를 Cloud DNS에 추가합니다.
Cloud DNS의 기존 DS 레코드 외에도 등록기관에 새 운영자 영역의 DS 레코드를 추가합니다.
새 레코드가 전파되고 이전 레코드가 모든 리졸버 캐시에서 만료될 때까지 기다립니다. 그렇지 않으면 오래된 데이터로 인해 검증 오류가 발생할 수 있습니다.
다음 상황이 모두 발생할 때까지 기다립니다.
상위 영역 NS 레코드 세트 TTL이 만료됩니다.
상위 영역 DS 레코드 세트 TTL이 만료됩니다.
Cloud DNS 영역 NS 레코드 세트 TTL이 만료됩니다.
Cloud DNS 영역 DNSKEY 레코드 세트 TTL이 만료됩니다.
Cloud DNS가 모든 DNSKEY 레코드를 제공하고 상위 영역이 두 DS 레코드를 제공하는지 확인하여 영역이 준비되었는지 확인할 수 있습니다.
새 운영자를 가리키도록 네임서버 위임을 마이그레이션합니다.
영역의 새 운영자 네임서버에 대해 등록기관에서 네임서버 레코드를 업데이트합니다.
새 네임서버 레코드가 전파되고 이전 위임 레코드가 모든 리졸버 캐시에서 만료될 때까지 기다립니다. 그렇지 않으면 오래된 데이터로 인해 검증 오류가 발생할 수 있습니다.
다음 항목이 모두 만료될 때까지 기다립니다.
상위 영역 NS 레코드 세트 TTL
Cloud DNS 영역 NS 레코드 세트 TTL
이 단계가 완료되면 Cloud DNS에서 영역을 안전하게 삭제할 수 있습니다.
새 영역에 추가된 Cloud DNS DNSKEY 레코드를 삭제합니다.
등록기관에서 Cloud DNS에 대해 DS 레코드를 삭제합니다.
필요에 따라 새 운영자에서 마이그레이션을 완료합니다.
다른 DNS 운영자에게 DNSSEC 서명 영역을 마이그레이션하기 위한 프로세스가 있으면 1단계 이후 이 절차와 병렬로 해당 단계를 수행해야 합니다.
다음 단계
- 특정 DNSSEC 구성에 대한 자세한 내용은 고급 DNSSEC 사용을 참조하세요.
- 관리형 영역을 사용하려면 영역 만들기, 수정, 삭제를 참조하세요.
- Cloud DNS를 사용할 때 발생할 수 있는 일반적인 문제에 대한 해결책을 찾으려면 문제 해결을 참조하세요.
- Cloud DNS 개요는 Cloud DNS 개요를 참조하세요.