Non-dot-wildcard (* -foo.example.com) для прив’язки?

Здається, немає способу сказати, bindщо *-foo.example.comповинно вирішитись, наприклад. 10.1.2.3, поки *-bar.example.comвирішує 10.2.3.4. Чи є якесь вирішення? Може деякі імена, наприклад. вирішити за допомогою зовнішньої програми? Або я повинен змінити bindна напр. PowerDNS ?

Я намагаюся уникати покупки чергових символів SSL. (За допомогою символів символів, таких як, наприклад *.example.com, не можна допускати крапки в *частині.)

Вказувати всі *-fooабо *-barімена у файлі зони - це не варіант, оскільки мені потрібно вміти створювати обидва типи адрес на льоту.

domain-name-system bind wildcard-subdomain

— туомассало
джерело

Чи немає способу додати домени до зони також на ходу? Я ніколи не бачив часткових замінних знаків, що використовуються з прив'язкою. Я не можу сказати точно, що це неможливо.

— Девід Хоуд

@DavidHoude: Я боюся, що додавання на льоту не є варіантом, оскільки будь-який запит, який передував доданню, "забруднить" сервери імен невірною відповіддю. Це створює проблеми, які є досить рідкісними, але трохи неприємними для вирішення. (Звичайно, час вирішить проблему.)

— tuomassalo

Чи $GENERATEдопомагає вам?

— Селада

@DavidHoude - ви можете використовувати динамічне оновлення, але, як вказує оригінальний плакат, ви потрапляєте в ситуацію, коли вирішувач кешування, можливо, кешував негативну відповідь до додавання запису. Щоб спробувати і пом’якшити, що ви можете знизити негативний кешування ttl до дуже низького значення, але не кожен резолютор вшановує вміння ttls скрупульозно, а деякі накладають практичний мінімум, щоб результати могли бути розчаровуючими.

— Майкл МакНаллі

@Celada: *деталь може бути будь-яким [a-z]рядком (звичайно з обмеженням довжини). Отже, в моєму випадку $GENERATEне допомагає. Дякуємо за пораду - можливо, це стане в нагоді тому, хто знайде цю сторінку.

— tuomassalo

Відповіді:

Причина, чому вона не працює, полягає в тому, що це не визначена поведінка в RFC. Він повинен бути реалізований як розширення програмного забезпечення, яке ви використовуєте. RFC4592 доволі твердо цементує визначення запису підстановки:

2.1.1. Wildcard доменне ім’я та ярлик зірочок

"Доменне ім'я підстановки" визначається тим, що його початкова (тобто
найменша ліва або найменш значна) мітка має бути у двійковому форматі:
  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

Зверніть увагу на позначку терміна тут. Мітка - це суттєво відокремлена сутність. Якщо у вас на етикетці є що-небудь інше, як зірочка, це не марна карта.

Ви ніби тут застрягли. Працюючи в DNS, вам потрібна ця крапка, якої ви намагаєтеся уникати. Все інше - це розширення до серверного програмного забезпечення та конкретна реалізація.

— Андрій Б
джерело

Приємно відповів.

— Майкл МакНаллі

RFC 6125 запобігає наявності загального сертифіката для вкладених субдоменів. RFC 4592 і RFC 1034 не дозволяють мати * -xxx.domain.com як запис DNS.

Тож у вас є лише дві альтернативи (що не приємно при спробі автоматизації):

Створіть сертифікат на субдомен (є безкоштовні альтернативи, але вони можуть бути складними залежно від вашої платформи).
Створіть повний запис DNS для кожної субслужби (яка не буде субдоменами).

— Десять
джерело