Os ambientes mais complexos de TI às vezes precisam de soluções que fogem do convencional. É comum ver ambientes com configurações amplas, cheio de amarrações com outros sistemas e fluxos e entrada e saída customizados, projetados pra atender necessidades específicas de negócio do cliente. O DNS geralmente é um destes componentes que precisa deste tipo de customização para que funcione de forma adequada dentro de um ambiente em específico.
No DNS Bind é comum ver este tipo de coisa até pelo fato de servidores Linux terem a facilidade de serem customizados ao gosto do cliente. Uma dessas customizações é o uso de sub-interfaces para segregar determinados tipos de tráfego de DNS. Este artigo exibirá como fazer a configuração dessas sub-interfaces no Infoblox.
As interfaces de Loopback no Infoblox possuem diversas utilidades tanto no DNS quanto no DHCP. Como é mais comum utilizá-las para o DNS, vamos exibir como realizar a configuração em alguns cenários para DNS.
Vamos lá: Conectado ao Infoblox, navegue até a aba Grid > Members , selecione o membro que deseja adicionar a interface de Loopback e clique em Edit.
Figura 1: Acessando as configurações de rede do membro
Navegue até a aba “Network” e vá até a parte inferior do menu, até encontrar Additional Ports and Addresses:
Figura 2: Menu de interfaces e endereços adicionais
Clique na seta ao lado do botão Add e selecione Additional Address (loopback) (IPv4)
Figura 3: Seleção da interface
Insira o IP da interface. Esta é a única informação que você precisará informar nesta tela. Clique em Save & Close ao terminar.
Figura 4: Configuração da Interface
Mudar as configurações de networking de um appliance leva o mesmo a reiniciar. Clique em Yes para aceitar e prosseguir.
Figura 5: Solicitação de confirmação das alterações
Após a configuração da interface, é necessário alterar todas as regras de roteamento dos ambientes que precisem acessar algum serviço no Infoblox por este IP. A regra geral é adicionar uma rota estática para o IP da Loopback, tendo como gateway o IP da Interface LAN1.
No nosso ambiente de Lab, essa regra é o suficiente.
Figura 6: Adição de rota e teste de conectividade
Nossa interface já está configurada. Agora, resta saber o que fazer com ela.
Neste Infoblox, temos um domínio comum que responde normalmente pela interface de produção LAN1, com o IP 10.40.0.10.
Figura 7: Domínio clienteabc.com.br
Vamos criar a configuração para fazer a consulta ser respondida pela interface de Loopback recém-configurada.
Nas configurações de DNS do membro alterado (Data Management > DNS > Members), clique na engrenagem ao lado do membro e clique em Edit.
Figura 8: Acesso a configuração de DNS do membro
Em General, na aba Advanced adicione a interface de Loopback recém-criada em “Listen on these additional IP addresses”. Clique em Save & Close.
Figura 9: Configuração de “listening” da interface de Loopback
Efetue o restart do serviço quando solicitado.
Figura 10: Restart do serviço
Se testarmos novamente a consulta ao domínio clienteabc.com.br, mas desta vez, direcionando a consulta para o IP da Loopback, ele deverá responder.
Figura 11: Teste ao domínio clienteabc.com.br, respondendo pela Loopback
Entretanto, considerando que este servidor seja também recursivo (resolva domínios de internet ou encaminhe consultas para outros servidores) e/ou realize transferências de zona de outros servidores, também é necessário deixar este mesmo IP como padrão para estas operações. Do contrário, o IP da interface LAN1 ainda será utilizado e poderão não existir regras que permitam transferências e encaminhamentos para este IP de origem nos outros servidores em outros ambientes, principalmente externos.
Para fazer essa configuração, volte ao campo General > Advanced no membro, mude a opção “Send queries from” para a opção IP e certifique-se que o IP da Loopback apareça na tela. Esta configuração faz o infoblox efetuar queries com o IP de Origem desta Interface.
Faça o mesmo para “Send notify messages and zone transfer requests from”. De igual forma a configuração acima, o IP da loopback será utilizado como IP de origem para realizar envios de notifies e requisições de transferência de zonas. Clique em Save & Close ao finalizar e restarte o serviço.
Figura 12: Configuração de Queries e Notify/Zone Transfer para a Loopback
Agora, um último ponto: Se olhamos os registros da zona, vamos ver que o IP da interface LAN1 continua configurado no registro A correspondente ao registro NS ns1.clienteabc.com.br (este A record também é conhecido como Glue Record).
Figura 13: Glue Record no domínio clienteabc.com.br
Precisamos mudar a configuração para que o registro fique com o IP da nova interface adicionada. Em muitos casos, o cliente não poderá acessar este endereço. Como esse registro é auto-criado pelo Infoblox, não podemos mudá-lo diretamente pela edição do registro. Para isso, voltaremos ao menu de configuração do serviço de DNS do membro alterado, acessando a aba DNS Views.
Figura 14: Alterando IP para associação na view
Em “Address of Member Used in DNS Views”, edite a view default, clicando em Interface IP Address e modificando para Other IP Address.
Figura 15: Seleção de IP alternativo (Loopback)
Insira manualmente o IP da Interface de Loopback.
Figura 16: Configuração de IP alternativo (Loopback)
Clique em Save e Close ao término da configuração.
Essa configuração especificamente insere o IP desta interface no Glue Record do domínio, apresentando a referência correta do name server Infoblox ao cliente. Em resumo, o DNS Server do cliente para este domínio será o servidor com o IP 10.50.0.10. Isso garante que o cliente não resolva o IP da interface de produção LAN1 e envie consultas para ele.
Figura 17: Novo Glue Record, domínio clienteabc.com.br
Esta configuração também altera automaticamente o registro correspondente no domínio reverso, então você não precisa se preocupar em alterar nada lá.
Figura 18: novo Glue Record (reverso), domínio clienteabc.com.br
Resolvendo os registros, estes devem responder pelo IP da Loopback.
Figura 19: Resolução dos glue records
Vimos acima que realizar essa configuração mais avançada no DNS Infoblox torna-se uma tarefa relativamente fácil. Obviamente, mencionamos acima um cenário comum de implementação de DNS e as suas necessidades podem variar para mais ou para menos do que foi feito neste artigo. Uma boa referência para estas configurações é o Administrator Guide do NIOS, que exibe em detalhes todas essas configurações e variações. Lembre-se de que ao modificar a estutura de funcionamento do DNS, sempre pense na perspectiva do cliente e do servidor ao fazer essas alterações, principalmente quando o mesmo DNS Server atender mais de um ambiente (utilizando mais de uma view, por exemplo) para evitar interrupções de serviço. Até o próximo artigo!