DNS の受信トラフィックの負荷分散とフェールオーバーの設定
Sophos Firewall の背後でホストされている単一の Web サイトに複数の DNS ホストエントリを追加して、DNS の受信トラフィックの負荷分散を有効にできます。
概要
Sophos Firewall は DNS ネームサーバーとして機能し、URL をリクエストしたエンドポイントコンピュータに対して、URL を解決するための A レコードを提供します。ファイアウォールの背後でホストされる単一の Web サイトに複数の DNS ホストエントリを追加すると、DNS の受信トラフィックを複数の WAN リンクに分散し、到達不能のインターフェースやデッドインターフェースのフェールオーバーを提供できます。
はじめに
この記事では、Web サイト www.example.com に対するすべてのリクエストが WAN リンク IP アドレスの 10.10.10.1 または 20.20.20.1 のいずれかに解決されるように、スタティック DNS ホストエントリを設定する方法について説明します。いずれかのリンクに障害が発生した場合、すべてのリクエストがアクティブインターフェースの IP アドレスに解決されます。これにより、DNS の受信トラフィックの負荷分散およびフェールオーバーが容易になります。
www.example.com に対するユーザーリクエストの処理の流れを次の図に示します。
- エンドポイントコンピュータが、http://www.example.com の IP アドレスのリクエストをローカル DNS サーバーに送信します。
- ローカル DNS サーバーは、このリクエストを権威 DNS サーバーに転送します。
- 権威 DNS サーバーは、事前登録済みの NS レコード ns1.example.com と ns2.example.com をローカル DNS サーバーに返し、リクエストを直接 Sophos Firewall にリダイレクトします。
- 次に、ローカル DNS サーバーは Sophos Firewall に http://www.example.com の IP アドレスを尋ねるクエリを送信します。このクエリは、アクティブな WAN リンクのいずれかを経由してファイアウォールに到達します。
- Sophos Firewall は、リクエストを受信したインターフェースの WAN IP アドレスである 20.20.20.1 をローカル DNS サーバーに返します。
- ローカル DNS サーバーは、Sophos Firewall から取得した IP アドレス 20.20.20.1 をエンドポイントコンピュータに返します。
- エンドポイントコンピュータはこれを受け、HTTP リクエスト http://20.20.20.1 を使って、www.example.com にアクセスします。
- www.example.com をホストしている Web サーバー 172.16.16.5 (ファイアウォール内の DNS スタティックホストエントリによって WAN リンク 10.10.10.1 と 20.20.20.1 の両方にバインドされている) が、エンドポイントコンピュータの HTTP リクエストに対して適切なコンテンツを返します。
前提条件
Sophos Firewall がネームサーバーとして機能し、その背後でホストされているドメインの A レコードを提供するには、対応する NS レコードを ISP の権威 DNS に登録し、ファイアウォールの WAN リンクをポイントするようにする必要があります。このようにすることで、ISP の DNS がエンドポイントコンピュータから組織ドメインの DNS クエリを受信したときに、そのリクエストをファイアウォールに転送するようになります。
WAN ゾーンの DNS をオンにする
ファイアウォールの背後にある Web サーバーの DNS ネームサーバーとして Sophos Firewall を使用するには、WAN ゾーンの DNS をオンにする必要があります。次の手順を実行します。
- 「管理 > デバイスのアクセス」に移動します。
- WAN ゾーンの DNS を選択します。
- 「適用」をクリックします。
DNS ホストエントリの追加
次に、ファイアウォールによってホストされている Web サイトの DNS ホストエントリを設定する必要があります。複数の WAN IP アドレスを指定して、負荷分散とフェールオーバーをオンにします。次の手順を実行します。
- 「ネットワーク > DNS」の順に選択します。
- 「DNS ホストエントリ」セクションにスクロールして、「追加」をクリックします。
- 「ホスト/ドメイン名」に www.example.com と入力します。
- 「IP アドレス」に 10.10.10.1 と入力します。
- 「WAN 上で発行」をオンにします。
- 追加 をクリックして、2番目のアドレスを追加します。
- 2番目の IP アドレスに 20.20.20.1 と入力します。
-
「WAN 上で発行」をオンにします。
-
「保存」をクリックします。
制限
DNS の負荷分散およびフェールオーバーには、次の制約が適用されます。
- 最大 8つのアドレスを使用できます。
- サポートされている DNS の最大エントリ数は 1024 です。
- サポートされている DNS レコードの種類は「A」、「AAAA」、「PTR」です。
- アドレス (A) レコードは、ホスト名から 32 ビットの IPv4 アドレスを特定して返します。
- AAAA レコードは、ホスト名から 128 ビットの IPv6 アドレスを特定して返します。
- ポインタレコード (PTR) は逆引き参照に使用されます。ポインタレコードは IP アドレスをホスト名にマップします。
- デバイスインターフェースを DNS ネームサーバーとして使用している場合、ROOT サーバーより先に、設定済みの DNS サーバーにクエリが送信されます。