Esegui la migrazione o il trasferimento di zone abilitate per DNSSEC

Questa pagina descrive come eseguire la migrazione di una zona abilitata per DNSSEC attivata presso il registrar del dominio tra Cloud DNS e altri provider di host DNS mantenendo la catena di attendibilità DNSSEC.

Per una panoramica concettuale di DNSSEC, consulta la pagina della panoramica di DNSSEC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• dns.dnsKeys.create per creare DNSKEY
• dns.dnsKeys.delete per eliminare DNSKEY
• dns.dnsKeys.list per elencare DNSKEY
• dns.dnsKeys.update per aggiornare DNSKEY

Ruoli

• roles/dns.admin

Prima di iniziare

La migrazione di DNSSEC è complessa e richiede il coordinamento per eseguire la migrazione di una zona tra operatori senza interruzioni. Leggi questa guida per intero prima di trasferire o eseguire la migrazione di una zona. Ti consigliamo di testare il processo di migrazione su una zona meno critica prima di tentare la migrazione delle zone di produzione critiche.

Coordinati con gli operatori DNS e il registrar di dominio

Per impedire ai resolver di convalida di considerare il dominio non valido, devi coordinare la migrazione con gli operatori DNS e il registrar di dominio. Questo passaggio garantisce che tu possa stabilire e mantenere una catena di attendibilità valida dalla zona principale alle chiavi gestite da entrambi gli operatori DNS durante la transizione.

Se il registrar di dominio fornisce anche l'hosting DNS, devi coordinarti con il registrar di dominio per eseguire la migrazione della catena di attendibilità DNSSEC. Se il registrar non supporta questa operazione, non puoi eseguire la migrazione dei server dei nomi mantenendo la catena di attendibilità DNSSEC.

Attendi la scadenza delle cache del resolver

Durante la migrazione, dopo aver apportato aggiornamenti critici ai record, attendi la scadenza delle cache del resolver. Questo passaggio previene gli errori di convalida causati da vecchi record memorizzati nella cache incoerenti con la zona aggiornata dopo la migrazione ai nuovi server dei nomi.

Limitazioni

La migrazione di una zona DNSSEC presenta le seguenti limitazioni:

• Puoi eseguire la migrazione di una zona mantenendo la catena di attendibilità DNSSEC solo se il nuovo operatore e il nuovo registrar supportano la migrazione DNSSEC, inclusa l'importazione dei record DNSKEY, l'impostazione di più record DS e la prevenzione della rotazione automatica della chiave durante la migrazione.

• Devi utilizzare lo stesso algoritmo in entrambi gli operatori, poiché le zone devono essere firmate con tutti gli algoritmi in uso. Per maggiori dettagli, consulta la sezione 2.2 dell'RFC 4035. Cloud DNS può firmare solo con un algoritmo alla volta. Non puoi modificare gli algoritmi durante la migrazione tra provider.

• Devi essere in grado di importare i record DNSKEY da Cloud DNS nella zona dell'altro operatore e di firmarli con le chiavi dell'operatore. Cloud DNS consente di aggiungere record DNSKEY per le zone in modalità Transfer.

• Devi essere in grado di aggiungere un secondo record DS da Cloud DNS alla zona principale. Il registrar o la zona principale devono consentire i record DS che corrispondono a chiavi pubbliche che non firmano alcun record nella zona secondaria.

• Devi essere in grado di interrompere la rotazione automatica della chiave da parte dell'operatore precedente o nuovo per la zona fino al completamento della migrazione. Cloud DNS interrompe automaticamente la rotazione delle chiavi per le zone in modalità Transfer.

Se il nuovo operatore non supporta la migrazione, segui questi passaggi:

1. Disattiva DNSSEC presso il registrar.
2. Esegui il trasferimento o la migrazione.
3. Attiva DNSSEC.
4. Attiva DNSSEC presso il registrar.

Per una presentazione informativa su DNSSEC, trasferimenti di dominio e potenziali insidie, consulta DNS/DNSSEC and Domain Transfers: Are they compatible?.

Migrazione tra operatori

L'approccio tecnico utilizzato da Cloud DNS per le migrazioni DNSSEC è la variante di rollover KSK Double-DS descritta nell'appendice D dell'RFC 6781 Alternative Rollover Approach for Cooperating Operators.

La migrazione DNSSEC funziona senza scambiare chiavi private o firme tra gli operatori DNS. I server dei nomi e la zona principale esistenti pre-pubblicano record firmati per le chiavi pubbliche del nuovo operatore, oltre a quelle del vecchio operatore. Allo stesso modo, i nuovi server dei nomi pubblicano record firmati per le chiavi del vecchio operatore, oltre a quelle del nuovo operatore.

Queste chiavi dell'altro operatore sono firmate, creando così un'affidabilità reciproca tra i due operatori e la zona principale, in modo che i resolver di convalida possano utilizzare i record di un operatore per convalidare le risposte dell'altro. Questo processo consente la transizione ai server dei nomi del nuovo operatore senza interruzioni.

Una volta propagati questi record, i resolver possono convalidare le risposte di entrambi gli operatori durante il successivo periodo di transizione, mentre i nuovi record di delega del server dei nomi vengono propagati a tutte le cache dei resolver.

Una volta propagati i record dei server dei nomi aggiornati, puoi completare la migrazione. Puoi rimuovere la zona secondaria dai vecchi server dei nomi e rimuovere il trust anchor del vecchio operatore dalla zona principale.

Esegui la migrazione delle zone con firma DNSSEC a Cloud DNS

Prima di iniziare, leggi tutte le istruzioni. Devi anche verificare che il tuo provider supporti la migrazione. In caso contrario, non puoi eseguire la migrazione della zona utilizzando questa procedura.

Per eseguire la migrazione, segui questi passaggi:

1. Interrompi completamente la rotazione delle chiavi per la zona nel vecchio server dei nomi.

2. Crea una nuova zona con firma DNSSEC nello stato DNSSEC Transfer. Lo stato Transfer interrompe la rotazione delle chiavi e consente l'importazione di DNSKEY.

   Devi utilizzare gli stessi algoritmi in uso presso il provider esistente.

3. Esporta i file di zona non firmati e importali nella nuova zona.

   Segui le istruzioni del tuo provider per esportare i dati di zona.

   Puoi includere DNSKEY in questo passaggio, ma non includere altri tipi di record DNSSEC dalla zona esistente (tipi CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

   Puoi importare le zone utilizzando il comando gcloud dns record-sets import.

4. Recupera i record DNSKEY precedenti dal vecchio server dei nomi.

   Puoi anche utilizzare dig o delv per eseguire query sui record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY da Cloud DNS. Nella modalità Transfer, i record DNSKEY vengono visualizzati come record normali nella zona.

6. Aggiungi i record DNSKEY esistenti alla zona Cloud DNS oltre ai record DNSKEY generati automaticamente.

   Puoi anche importare le DNSKEY durante il passaggio 3 e saltare questo passaggio se il tuo provider esporta le DNSKEY insieme al resto dei dati della zona.

7. Aggiungi i nuovi record DNSKEY da Cloud DNS alla zona nell'operatore esistente. Assicurati di firmare nuovamente la zona, se necessario.

8. Aggiungi il record DS per la zona Cloud DNS al registrar oltre al record DS esistente.

9. Attendi che i nuovi record si propaghino e che i vecchi record scadano da tutte le cache dei resolver. In caso contrario, i dati obsoleti potrebbero causare errori di convalida.

   Attendi che si verifichino tutte le seguenti condizioni:

   • I record vengono propagati a tutti i server dei nomi utilizzati dal vecchio operatore.

   • Il TTL del set di record NS della zona principale scade.

   • Il TTL del set di record DS della zona principale scade.

   • Il TTL del set di record NS della zona secondaria presso il vecchio operatore scade.

   • Il TTL del set di record DNSKEY della zona secondaria presso il vecchio operatore scade.

10. Verifica che la zona sia pronta controllando che il vecchio operatore stia pubblicando tutti i record DNSKEY e che la zona principale stia pubblicando entrambi i record DS.

11. Modifica le deleghe dei server dei nomi in modo che puntino a Cloud DNS.

    Aggiorna i record dei server dei nomi presso il registrar con i server dei nomi Cloud DNS per la nuova zona.

12. Attendi che i nuovi record dei server dei nomi si propaghino e che i vecchi record di delega scadano da tutte le cache dei resolver. In caso contrario, i dati obsoleti potrebbero causare errori di convalida.

    Attendi che si verifichino tutte le seguenti condizioni:

    • Il TTL del set di record NS della zona principale scade.

    • Il TTL del set di record NS della zona secondaria presso il vecchio operatore scade.

    Dopo questo passaggio, puoi interrompere in sicurezza la pubblicazione della zona presso il vecchio operatore.

13. Rimuovi i record DNSKEY della vecchia zona aggiunti alla zona Cloud DNS.

14. Modifica lo stato DNSSEC della zona da Transfer a On.

    L'uscita dallo stato di trasferimento attiva la rotazione automatica della chiave per la zona. Le tue zone possono lasciare in sicurezza lo stato di trasferimento di DNSSEC dopo una settimana e non devono rimanere in questo stato per più di uno o due mesi.

15. Rimuovi il record DS per la zona del vecchio operatore dal tuo registrar.

Esegui la migrazione delle zone con firma DNSSEC da Cloud DNS

Prima di iniziare la migrazione, leggi tutte le istruzioni. Devi anche verificare che il tuo provider supporti la migrazione. In caso contrario, non puoi eseguire la migrazione della zona utilizzando questa procedura.

Per eseguire la migrazione, segui questi passaggi:

1. Modifica lo stato DNSSEC da On a Transfer. Questo passaggio interrompe la rotazione delle chiavi.

2. Esporta il file di zona e importalo nel nuovo operatore.

   Puoi utilizzare gcloud dns record-sets export per esportare una zona.

   L'esportazione di una zona in modalità Transfer esporta anche i record DNSKEY da Cloud DNS. Se il tuo provider accetta DNSKEY in questo passaggio, puoi includerle ora e saltare i passaggi seguenti che trasferiscono le chiavi pubbliche da Cloud DNS al nuovo provider.

3. Firma la zona presso il nuovo provider.

   Devi utilizzare gli stessi algoritmi in uso da Cloud DNS presso il nuovo provider.

   Devi interrompere la rotazione delle chiavi per la zona sul nuovo server dei nomi finché la migrazione non viene completata.

4. Recupera i record DNSKEY da Cloud DNS. Nella modalità Transfer, i record DNSKEY vengono visualizzati come record normali nella zona.

   Puoi anche utilizzare dig o delv per eseguire query sui server dei nomi Cloud DNS per i record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY dal nuovo operatore.

   Potrebbe essere necessario firmare prima la zona o configurare DNSSEC per ottenere le chiavi.

6. Aggiungi i record DNSKEY di Cloud DNS alla zona del nuovo operatore oltre ai record DNSKEY della nuova zona.

7. Aggiungi i record DNSKEY del nuovo operatore a Cloud DNS.

8. Aggiungi il record DS per la zona del nuovo operatore al registrar oltre al record DS esistente di Cloud DNS.

9. Attendi che i nuovi record si propaghino e che i vecchi record scadano da tutte le cache dei resolver. In caso contrario, i dati obsoleti potrebbero causare errori di convalida.

   Attendi che si verifichino tutte le seguenti condizioni:

   • Il TTL del set di record NS della zona principale scade.

   • Il TTL del set di record DS della zona principale scade.

   • Il TTL del set di record NS della zona Cloud DNS scade.

   • Il TTL del set di record DNSKEY della zona Cloud DNS scade.

   Puoi verificare che la zona sia pronta controllando che Cloud DNS stia pubblicando tutti i record DNSKEY e che la zona principale stia pubblicando entrambi i record DS.

10. Esegui la migrazione delle deleghe dei server dei nomi in modo che rimandino al nuovo operatore.

    Aggiorna i record dei server dei nomi presso il registrar con i server dei nomi del nuovo operatore per la zona.

11. Attendi che i nuovi record dei server dei nomi si propaghino e che i vecchi record di delega scadano da tutte le cache dei resolver. In caso contrario, i dati obsoleti potrebbero causare errori di convalida.

    Attendi la scadenza di tutti i seguenti elementi:

    • Il TTL del set di record NS della zona principale.

    • Il TTL del set di record NS della zona Cloud DNS.

    Dopo questo passaggio, puoi eliminare in sicurezza la zona da Cloud DNS.

12. Rimuovi i record DNSKEY di Cloud DNS aggiunti alla nuova zona.

13. Rimuovi il record DS per Cloud DNS dal tuo registrar.

14. Completa la migrazione presso il nuovo operatore, se necessario.

Se l'altro operatore DNS ha una procedura per la migrazione di una zona con firma DNSSEC, devi eseguire i suoi passaggi in parallelo con questa procedura, dopo il passaggio 1.

Passaggi successivi

• Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizza DNSSEC avanzate.
• Per lavorare con le zone gestite, consulta Crea, modifica ed elimina zone.
• Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.