セットアップ

アウトゴーイングゾーントランスファーを使用することで、CloudflareをプライマリDNSプロバイダーとして維持し、可用性とフォールトトレランスを向上させるために1つ以上のセカンダリプロバイダーを使用できます。

考慮すべき側面

DNS専用CNAMEレコード

CNAMEレコードの種類で説明されているように、CloudflareはCNAMEフラッティングと呼ばれるプロセスを使用して、CNAMEターゲットの代わりに最終的なIPアドレスを返します。CNAMEフラッティングはパフォーマンスを向上させ、ゾーンエイペックスにCNAMEレコードを設定できるようにします。

設定によって、アウトゴーイングゾーントランスファーを使用する際にDNS専用のCNAMEレコードに期待できることは次のとおりです。

• ゾーンエイペックスのDNS専用CNAMEレコードについて、Cloudflareは常にフラット化されたIPアドレスを転送します。
• サブドメインのDNS専用CNAMEレコードについて、Cloudflareは設定すべてのCNAMEをフラット化が有効な場合にのみフラット化されたIPアドレスを転送します。

プロキシレコード

ゾーン内の各プロキシDNSレコードについて、Cloudflareは2つのAレコードと2つのAAAAレコードを転送します。

これらのレコードは、トラフィックをプロキシするために使用されるCloudflareのIPアドレス ↗に対応しています。

始める前に

アカウントチームがアウトゴーイングゾーントランスファーのためにゾーンを有効にしていることを確認してください。

既存のDNSレコードを確認して、すべてのレコードが望ましいプロキシステータスを持っていることを確認してください。

APIを使用する場合は、ゾーンとアカウントIDを特定することも検討してください。

---

ステップ1 - TSIGの作成 (オプション)

A Transaction Signature (TSIG) authenticates communication between a primary and secondary DNS server.

ノート

The TSIG names configured at your primary and secondary DNS providers have to be exactly the same. Any differences in TSIG names will cause zone transfers to fail.

While optional, this step is highly recommended.

ダッシュボード

To create a TSIG using the dashboard:

1. Log in to the Cloudflare dashboard ↗ and select your account.
2. Go to Manage Account > Configurations.
3. Click DNS Zone Transfers.
4. For TSIG, click Create.
5. Enter the following information:
   • TSIG name: The name of the TSIG object using domain name syntax (more details in RFC 8945 section 4.2 ↗).
   • Secret (optional): Get a shared secret to add to your third-party nameservers. If left blank, this field generates a random secret.
   • Algorithm: Choose a TSIG signing algorithm.
6. Click Create.

API

To create a TSIG using the API, send a POST request.

ステップ2 - ピアDNSサーバーの作成 (オプション)

次のいずれかを希望する場合にのみ、ピアDNSサーバーを作成する必要があります。

• セカンダリネームサーバーがCloudflareのDNSレコードの変更に対してNOTIFYを受信する。
• ゾーントランスファーリクエストとNOTIFYに署名するためのTSIG。

ダッシュボード

ダッシュボードを使用してピアを作成するには：

1. Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
2. アカウント管理 > 設定に移動します。
3. DNSゾーントランスファーを選択します。
4. ピアDNSサーバーのために、作成を選択します。
5. 次の情報を入力し、特に注意を払います：
   • IP: 設定されている場合、CloudflareがNOTIFYリクエストを送信する場所を指定します。
   • ポート: NOTIFY IPのためのIPポートを指定します。
   • インクリメンタル(IXFR)ゾーントランスファーを有効にする: CloudflareをプライマリDNSプロバイダーとして使用している場合は適用されません（Cloudflareゾーンは常にIXFRリクエストを受け入れます）。
   • 既存のTSIGをリンク: 必要に応じて、以前に作成したTSIGをリンクします。
6. 作成を選択します。

API

APIを使用してピアDNSサーバーを作成するには、POSTリクエストを送信します。

ステップ3 - プライマリゾーンにピアをリンク (オプション)

以前にピアDNSサーバーを作成した場合は、それをプライマリゾーンにリンクする必要があります。

ダッシュボード

ダッシュボードを使用してセカンダリゾーンを作成するには：

1. Cloudflareダッシュボード ↗にログインします。
2. アカウントとゾーンを選択します。
3. DNS > 設定に移動します。
4. DNSゾーントランスファーのために、リンクされたピアを管理を選択します。
5. ピアを選択します。
6. 保存を選択します。

API

APIを使用してプライマリゾーンをピアにリンクするには、POSTリクエストを送信し、以前に作成したピアのIDを指定します。

ステップ4 - ACLの作成

アクセス制御リスト（ACL）を作成すると、そのリストにはゾーントランスファーリクエストを送信することが許可されているソースIPアドレスが含まれます。ACLを構成しない場合、プライマリゾーンにリンクされたピアDNSサーバーに指定されたIPアドレス以外からのゾーントランスファーは失敗します。

詳細については、ACLを作成するを参照してください。

ステップ5 - セカンダリDNSプロバイダーを更新

セカンダリDNSプロバイダーは、このIPにポート53を介してゾーントランスファーリクエスト（AXFRまたはIXFR経由）を送信する必要があります。また、ピア設定で指定されたIPアドレスから送信されるNOTIFYメッセージがブロックされないように、アクセス制御リスト（ACL）を更新する必要があります。

ステップ6 - Cloudflare内にセカンダリネームサーバーを追加

セカンダリDNSプロバイダーからの情報を使用して、ゾーンエイペックスにセカンダリネームサーバーをリストするNSレコードを作成します。

デフォルトでは、Cloudflareはゾーンエイペックスに追加されたNSレコードを無視します。この動作を変更するには、マルチプロバイダーDNSを有効にします：

ダッシュボード

1. Cloudflareダッシュボード ↗にログインします。
2. アカウントとゾーンを選択します。
3. DNS > 設定に移動します。
4. マルチプロバイダーDNSを有効にします。

API

curl --request PATCH \
"https://api.cloudflare.com/client/v4/zones/{zone_id}/dns_settings" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "multi_provider": true
}'

ステップ7 - アウトゴーイングゾーントランスファーを有効にする

アウトゴーイングゾーントランスファーを有効にすると、セカンダリDNSプロバイダーにDNS NOTIFYメッセージが送信されます。

ダッシュボード

1. Cloudflareダッシュボード ↗にログインします。
2. アカウントとゾーンを選択します。
3. DNS > 設定に移動します。
4. アウトゴーイングゾーントランスファーのために、トグルをオンに切り替えます。

API

APIを使用してアウトゴーイングゾーントランスファーを有効にするには、POSTリクエストを送信します。

ステップ8 - レジストラにセカンダリネームサーバーを追加

レジストラで、セカンダリDNSプロバイダーのネームサーバーを追加します。