本文将介绍 EdgeOne 支持的 DNSSEC、自定义 NS 服务器、CNAME 加速等高级配置原理及配置方式。
说明:
以下 DNS 高级配置相关功能仅在 NS 接入模式下支持。
DNSSEC
功能介绍
域名系统安全扩展(DNS Security Extensions),简称 DNSSEC。开启 DNSSEC,可有效防止 DNS 欺骗和缓存污染等攻击。它是通过数字签名来保证 DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。如果您希望提高您站点解析的安全性以防止被劫持篡改,建议启用该配置。
原理介绍
DNSSEC 通过向现有 DNS 记录添加加密签名的方式来建立一种更安全的 DNS。这个签名会与常见的记录类型(如 AAAA 和 MX 记录)一起存储在 DNS 名称服务器中。随后只需检查所请求的 DNS 记录对应的签名,即可验证该记录是否直接来自权威名称服务器。这意味着 DNS 记录在数字化传输过程中不会被投毒或以其他方式篡改,因而可有效防止引入伪造的记录。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击域名服务 > DNS 配置 ,进入 DNS 配置页面。
3. 在 DNS 配置页面,单击 DNSSEC 模块的
5. 接下来,您需要根据上述信息,在域名注册商处添加 DS 记录。如果您是在腾讯云注册域名,可参考:域名系统安全扩展(DNSSEC)配置。如果在其它厂商注册的域名,请查阅相应域名注册商指引文档进行配置。
6. 配置完成后,等待域名注册服务商处生效即可。
自定义 NS 服务
功能介绍
自定义 NS 允许您创建自己站点专属的名称服务器,以替代所分配默认名称服务器。创建后 EdgeOne 会自动为自定义 NS 分配对应的 IP 地址。
操作场景
当您选择 NS 接入您的站点,并且您希望自定义站点的 DNS 服务器的名称时,您可以使用该配置。
说明
自定义 NS 服务器有如下限制:
只能以当前站点 (例如:example.com) 的子域名 (例如:ns.example.com) 作为自定义 NS 服务器名称。
自定义 NS 需至少需要添加 2个域名,并且不能和当前已有 DNS 记录冲突。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击域名服务 > DNS 配置 ,进入 DNS 配置页面。
3. 在 DNS 配置页面,单击自定义 NS 服务模块的
4. 单击确定,添加完成后,您还需要在域名注册商添加该自定义 NS 的胶水记录,才能真正生效。如果您是在腾讯云注册域名,可参考:自定义 DNS Host。如果在其它厂商注册的域名,请查阅相应域名注册商指引文档进行配置。
说明:
开启并添加自定义 NS 服务后,EdgeOne 将自动为您在当前域名添加对应的 A 记录解析,您无需配置。
5. 配置完成后,等待域名注册服务商处生效即可。
CNAME 加速
功能介绍
开启后可有效提升解析速度,当域名在 EdgeOne DNS 设置多级 CNAME 记录时,系统将直接给出最终 IP 解析结果,减少解析次数。此功能默认开启,正常情况下无需更改,如果您需要给用户提供完整的解析路径,可选择关闭。示例:
假设您的站点为
example.com,您配置了如下图所示多级解析记录:loopthree.example.com -> looptwo.example.com -> loopone.example.com -> 1.2.3.4。
在没有开启 CNAME 加速时,解析结果会如下所示:
开启了 CNAME 加速 时,解析结果会直接展示为 IP 地址:
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击域名服务 > DNS 配置 ,进入 DNS 配置页面。
3. 在 DNS 配置页面,单击 CNAME 加速模块的“开关”,可关闭或开启 CNAME 加速功能。
说明
多级 CNAME 必须全部在 EdgeOne DNS,才能实现直接解析出对应的 IP 信息。