階層と委任 — ゾーンで責任分界する
ドメインとゾーンを分けて考え、委任・zone cut・glue の意味を整理する。
ドメインは名前の木、ゾーンは責任範囲
第 1 章では DNS を「名前 + 型」の問い合わせとして捉え、その正規データを持つのが権威サーバだと整理しました。本章では、その権威がどう分かれているか — つまり 誰がどの範囲のデータに責任を持つか を見ていきます。
DNS で最初に混乱しやすいのが、ドメイン と ゾーン が似た概念に思えるのに、意味が違うことです。ドメインは名前空間の部分木です。一方でゾーンは、ある権威サーバ群が責任を持って配るデータのまとまりです。
たとえば example.com はドメイン名ですが、shop.example.com を別チームへ委任していなければ、example.com ゾーンの中にそのまま含まれます。逆にそこを別 NS へ委任した瞬間、zone cut(委任によって親ゾーンと子ゾーンの責任範囲が分かれる境界)が起きて、親ゾーンと子ゾーンに責任が分かれます。
名前の木と、権威データを配る境界は同じとは限りません。委任点で zone cut が生まれます。
小問 2-1 — 名前空間と責任範囲を分けて考える
ドメインとゾーンを同一視しないことが、この章の核心です。
Q6. ドメインとゾーンの関係として最も正しい説明はどれですか。
ドメインは名前の木としてのまとまり、ゾーンは SOA を持つ権威データの管理単位です。委任が起きると zone cut が発生し、1 つのドメインの内部で複数ゾーンに分かれることがあります。
Q7. example.com を親が持ち、shop.example.com と eu.shop.example.com がそれぞれ別 NS 群に委任されているとします。権威管理の単位として見ると、ゾーンはいくつありますか。
親の example.com ゾーン、shop.example.com ゾーン、eu.shop.example.com ゾーンの合計 3 ゾーンです。
zone cut で何が起きるか
- 親ゾーンには、子ゾーンを示す NS が置かれます。
- 必要なら、子の NS 名を解決し始めるための glue が親側に添えられます。
- 子ゾーン側は、自分の apex に SOA と NS を持ちます。
- 再帰リゾルバは親から referral を受け取り、子の権威サーバへ進みます。
| 要素 | 大まかな役割 | 実務で見る場面 |
|---|---|---|
| SOA | そのゾーンの開始点。serial や各種タイマーの基準 | どこからが権威範囲かを見るとき |
| NS | そのゾーンを配る権威サーバ群 | 委任先や権威サーバの所在を確かめるとき |
| glue | 委任先 NS 名へ到達するための補助アドレス | 子ゾーン配下に NS 名があるとき |
小問 2-2 — 委任の境界で返るものを確認する
SOA / NS / glue の役割が曖昧だと、dig +trace の途中で見失います。
Q8. shop.example.com の権威サーバ名が ns1.shop.example.com のように子ゾーン配下にあるとき、親ゾーンに glue が必要になる主な理由はどれですか。
委任先 NS 名が子ゾーン配下にあると、子ゾーンへ到達する前にその NS 名のアドレスが必要になります。親が glue を添えることで、最初の問い合わせ先を決められます。
Q9. 子ゾーンの apex に、委任されたゾーンとして通常まず置かれるものとしてあてはまらないものはどれですか。
子ゾーンの apex には、そのゾーンの開始を表す SOA と、権威サーバ群を示す NS がまず置かれます。CNAME は apex では使えない制約があり、委任済みゾーンの出発点としては置かれません。
glue は『最初の足場』
たとえば shop.example.com の権威サーバ名が ns1.shop.example.com だったとします。この名前の IP を知るには本来 shop.example.com ゾーンの情報が必要です。しかし、そのゾーンへ到達するためには、その NS サーバの IP を先に知っている必要がある。子ゾーンの NS 名を解決するには子ゾーンの NS に到達する必要があり、いわば鶏と卵の循環参照になります。
そこで親ゾーンが ns1.shop.example.com のアドレスを補助情報として添えることで、再帰リゾルバは最初の一歩を踏み出せます。これが glue です。「親ゾーンと子ゾーンの間をつなぐ糊(glue = 接着剤)のような役割」を果たすことから、DNS コミュニティではこの呼び名が定着しました。
実務の注意: クラウド DNS やレジストラ UI を跨ぐと、どの画面で設定したかに引っ張られがちです。重要なのは UI の場所ではなく、いま authoritative なのはどのゾーンか です。
小問 2-3 — parent から child へ、どこでバトンが渡るか
委任済みの名前に対して parent が返すものを確認します。
Q10. 親ゾーン example.com から見ると、api.shop.example.com A への問い合わせに対して最も起こりやすい返し方はどれですか。なお shop.example.com は別ゾーンに委任済みとします。
委任点では zone cut が発生しているので、親ゾーンは子ゾーン配下の最終 A を authoritative には返さず、子ゾーンの NS 群への referral を返すのが基本です。
この章で持ち帰ること
- ドメインは名前空間、ゾーンは権威管理の境界
- 委任すると zone cut が発生し、親は referral を返す
- glue は循環をほどく最初の足場 である