Подготовка инфраструктуры

Если вы планируете использовать гибридную схему подключения Secure DNS, вам нужно выполнить действия по подготовке вашей инфраструктуры.

Для повышения отказоустойчивости Secure DNS рекомендуется использовать не менее двух узлов Secure DNS Client Node.

Подготовка инфраструктуры состоит из следующих этапов:

  1. Предоставление специалистам BI.ZONE списка внутренних DNS-серверов и списка внутренних доменных имен начиная со второго уровня, которые они обслуживают.
    Если у вас есть DNS-серверы, которые обслуживают специфичные домены, входящие в домен второго уровня, то нужно также предоставить специалистам BI.ZONE информацию об этих DNS-серверах.

    Например:

    IP-адрес внутреннего DNS-сервера

    Обслуживаемый домен

    192.168.1.8

    192.168.1.9

    bi.zone

    192.168.10.175

    192.168.10.79

    common.bi.zone

    192.168.7.7

    allure.common.bi.zone

  2. Организация сетевого доступа от узлов виртуальных машин для Secure DNS Client Node, до облачных DNS-преобразователей (только прямое подключение) по протоколу TCP порт 853, 443.

  3. Организация сетевого доступа от узлов виртуальных машин для Secure DNS Client Node, до облачной инфраструктуры Secure DNS:

    • https://cloud.sdns.mss.bi.zone/ (необходимо отключить SSL Inspection на межсетевых экранах нового поколения)

    • https://provision.sdns.mss.bi.zone/ (необходимо отключить SSL Inspection на межсетевых экранах нового поколения)

    • https://gti.bi.zone/

  4. Если политики безопасности не подразумевают прямого доступа до веб-узлов, указанных в п. 6, вы можете организовать подключение через HTTP Proxy. Для этого выполните следующие действия:

    1. Организуйте сетевой доступ от узлов виртуальных машин для Secure DNS Client Node, до HTTP Proxy.

    2. Укажите IP-адрес и порт прокси-сервера при развертывании Secure DNS Client Node из архива или из шаблона виртуальной машины VMware.

  5. Организация сетевого доступа от узлов локальной сети вашей организации до узлов виртуальных машин для Secure DNS Client Node, по протоколам TCP/UDP порт 53.

  6. Если внутри организации планируется использовать криптопротоколы для DNS-запросов (DoH и/или DoT), то необходимо организовать сетевой доступ от узлов локальной сети вашей организации до узлов виртуальных машин для Secure DNS Client Node, по протоколам TCP порт 443 (DoH) и/или 853 (DoT).