Migrar o transferir zonas con DNSSEC habilitadas

En esta página se describe cómo migrar una zona con DNSSEC habilitado que esté activada en el registrador de dominios entre Cloud DNS y otros proveedores de alojamiento de DNS sin perder la cadena de confianza de DNSSEC.

Para obtener una descripción general conceptual de DNSSEC, consulta Información general sobre DNSSEC.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• dns.dnsKeys.create para crear DNSKEYs
• dns.dnsKeys.delete para eliminar DNSKEYs
• dns.dnsKeys.list para enumerar las DNSKEY
• dns.dnsKeys.update para actualizar las DNSKEY

Roles

• roles/dns.admin

Antes de empezar

La migración de DNSSEC es compleja y requiere coordinación para migrar una zona entre operadores sin que se produzcan interrupciones. Lee esta guía completa antes de transferir o migrar una zona. Te recomendamos que pruebes el proceso de migración en una zona menos crítica antes de intentar migrar las zonas de producción críticas.

Coordinarse con los operadores de DNS y el registrador de dominios

Para evitar que los resolvers de validación traten el dominio como no válido, debes coordinar la migración con los operadores de DNS y el registrador del dominio. Este paso asegura que puedas establecer y mantener una cadena de confianza válida desde la zona principal hasta las claves gestionadas por ambos operadores de DNS durante la transición.

Si tu registrador de dominios también proporciona alojamiento de DNS, debes coordinarte con él para migrar la cadena de confianza de DNSSEC. Si el registrador no admite esta operación, no podrás migrar los servidores de nombres y mantener la cadena de confianza de DNSSEC.

Esperar a que caduquen las cachés de los resolvedores

Durante la migración, después de hacer cambios críticos en los registros, espera a que caduquen las cachés del resolvedor. Este paso evita que se produzcan errores de validación causados por registros antiguos en caché que no sean coherentes con la zona actualizada después de migrar a los nuevos servidores de nombres.

Limitaciones

La migración de una zona DNSSEC tiene las siguientes limitaciones:

• Solo puedes migrar una zona y mantener la cadena de confianza de DNSSEC si el nuevo operador y el nuevo registrador admiten la migración de DNSSEC, lo que incluye importar registros DNSKEY, definir varios registros DS e impedir la rotación automática de claves durante la migración.

• Debes usar el mismo algoritmo en ambos operadores, ya que las zonas deben firmarse con todos los algoritmos en uso. Para obtener más información, consulta la sección 2.2 del RFC 4035. Cloud DNS solo puede firmar con un algoritmo a la vez. No puedes cambiar los algoritmos durante la migración entre proveedores.

• Debes poder importar registros DNSKEY de Cloud DNS a la zona del otro operador y que esos registros estén firmados con las claves del operador. Cloud DNS permite añadir registros DNSKEY a zonas en modo Transfer.

• Debes poder añadir un segundo registro DS de Cloud DNS a la zona principal. El registrador o la zona superior deben permitir registros DS que correspondan a claves públicas que no firmen ningún registro de la zona secundaria.

• Debes poder detener la rotación automática de claves por parte del operador antiguo o del nuevo en la zona hasta que se complete la migración. Cloud DNS detiene automáticamente la rotación de claves de las zonas en modo Transfer.

Si el nuevo operador no admite la migración, haz lo siguiente:

1. Inhabilita DNSSEC en tu registrador.
2. Realiza la transferencia o la migración.
3. Habilita DNSSEC.
4. Activa DNSSEC en tu registrador.

Para ver una presentación informativa sobre DNSSEC, las transferencias de dominio y los posibles problemas, consulta DNS/DNSSEC y transferencias de dominio: ¿son compatibles?

Migración entre operadores

El método técnico que usa Cloud DNS para las migraciones de DNSSEC es la variante de cambio de KSK de doble DS que se describe en el apéndice D de RFC 6781, Alternative Rollover Approach for Cooperating Operators.

La migración de DNSSEC funciona sin intercambiar claves privadas ni firmas entre operadores de DNS. En su lugar, los servidores de nombres y la zona principal prepublican los registros firmados de las claves públicas del nuevo operador, además de las claves públicas del operador anterior. Del mismo modo, los nuevos servidores de nombres publican registros firmados para las claves del operador antiguo, además de las claves del nuevo operador.

Estas claves del otro operador están firmadas, lo que crea una confianza cruzada entre los dos operadores y la zona superior, de forma que los resolvedores de validación pueden usar registros de un operador para validar las respuestas del otro. Este proceso permite la transición a los nuevos servidores de nombres del operador sin interrupciones.

Una vez que se propaguen estos registros, los resolvedores podrán validar las respuestas de ambos operadores durante el periodo de transición posterior, mientras que los nuevos registros de delegación de servidores de nombres se propagan a todas las cachés de los resolvedores.

Una vez que se propaguen los registros de servidores de nombres actualizados, podrás finalizar la migración. Puedes quitar la zona secundaria de los antiguos servidores de nombres y quitar el antiguo anclaje de confianza del operador de la zona superior.

Migrar zonas firmadas con DNSSEC a Cloud DNS

Antes de empezar, lee todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, siga estos pasos:

1. Detén todos los cambios de clave de la zona en el servidor de nombres antiguo.

2. Crea una zona firmada con DNSSEC en el estado Transfer de DNSSEC. El estado Transfer detiene la rotación de claves y permite importar DNSKEY.

   Debes usar los mismos algoritmos que utiliza el proveedor actual.

3. Exporta tus archivos de zona sin firmar y, a continuación, impórtalos a la nueva zona.

   Sigue las instrucciones de tu proveedor para exportar los datos de las zonas.

   Puedes incluir DNSKEYs en este paso, pero no incluyas ningún otro tipo de registro DNSSEC de la zona (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

   Puedes importar zonas con el comando gcloud dns record-sets import.

4. Recupera los registros DNSKEY anteriores del servidor de nombres antiguo.

   También puedes usar dig o delv para consultar registros DNSKEY, pero debes verificar que las claves públicas devueltas sean correctas y válidas para tu zona.

5. Recupera los nuevos registros DNSKEY de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

6. Añade los registros DNSKEY a la zona de Cloud DNS, además de los registros DNSKEY generados automáticamente.

   También puedes importar DNSKEYs durante el paso 3 y saltarte este paso si tu proveedor exporta DNSKEYs junto con el resto de los datos de la zona.

7. Añade los nuevos registros DNSKEY de Cloud DNS a la zona del operador actual. Asegúrate de volver a firmar la zona si es necesario.

8. Añade el registro DS de la zona de Cloud DNS a tu registrador, además del registro DS que ya tengas.

9. Espera hasta que se propaguen los nuevos registros y caduquen los antiguos en todas las cachés de los resolvedores. De lo contrario, los datos obsoletos podrían provocar errores de validación.

   Espera a que se cumplan todas las condiciones siguientes:

   • Los registros se propagan a todos los servidores de nombres que utiliza el operador antiguo.

   • El TTL del conjunto de registros NS de la zona principal caduca.

   • El TTL del conjunto de registros DS de la zona principal caduca.

   • El TTL del conjunto de registros NS de la zona secundaria del operador antiguo caduca.

   • El TTL del conjunto de registros DNSKEY de la zona secundaria del operador antiguo caduca.

10. Verifica que la zona esté lista comprobando que el operador antiguo esté sirviendo todos los registros DNSKEY y que la zona principal esté sirviendo ambos registros DS.

11. Cambia las delegaciones de servidores de nombres para que apunten a Cloud DNS.

    Actualiza los registros de servidor de nombres en el registrador con los servidores de nombres de Cloud DNS de la nueva zona.

12. Espera a que se propaguen los nuevos registros del servidor de nombres y a que caduquen los antiguos registros de delegación de todas las cachés de resolución. De lo contrario, los datos obsoletos podrían provocar errores de validación.

    Espera a que se cumplan todas las condiciones siguientes:

    • El TTL del conjunto de registros NS de la zona principal caduca.

    • El TTL del conjunto de registros NS de la zona secundaria del operador antiguo caduca.

    Después de este paso, puedes dejar de publicar la zona en el operador antiguo.

13. Elimina los registros DNSKEY de la zona antigua que se hayan añadido a la zona de Cloud DNS.

14. Cambia el estado DNSSEC de la zona de Transfer a On.

    Al salir del estado de transferencia, se habilita la rotación automática de claves en la zona. Tus zonas pueden salir del estado de transferencia de DNSSEC de forma segura después de una semana, pero no deben permanecer en ese estado durante más de uno o dos meses.

15. Elimina el registro DS de la zona del operador antiguo de tu registrador.

Migrar zonas firmadas con DNSSEC desde Cloud DNS

Antes de iniciar la migración, lee todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, siga estos pasos:

1. Cambia el estado de DNSSEC de On a Transfer. Con este paso se detiene la rotación de claves.

2. Exporta tu archivo de zona e impórtalo al nuevo operador.

   Puedes usar gcloud dns record-sets export para exportar una zona.

   Al exportar una zona en modo Transfer, también se exportan los registros DNSKEY de Cloud DNS. Si tu proveedor acepta DNSKEY en este paso, puedes incluirlos ahora y saltarte los pasos que se indican más abajo para transferir las claves públicas de Cloud DNS al nuevo proveedor.

3. Firma la zona en el nuevo proveedor.

   Debes usar los mismos algoritmos que utiliza Cloud DNS en el nuevo proveedor.

   Debes detener la rotación de claves de la zona en el nuevo servidor de nombres hasta que se complete la migración.

4. Recupera los registros DNSKEY de Cloud DNS. En el modo Transfer los registros DNSKEY aparecen como registros normales en la zona.

   También puedes usar dig o delv para consultar los servidores de nombres de Cloud DNS en busca de registros DNSKEY, pero debes verificar que las claves públicas devueltas sean correctas y válidas para tu zona.

5. Obtén los nuevos registros DNSKEY del nuevo operador.

   Es posible que primero tengas que firmar la zona o configurar DNSSEC para obtener las claves.

6. Añade los registros DNSKEY de Cloud DNS a la zona del nuevo operador además de los registros DNSKEY de la nueva zona.

7. Añade los registros DNSKEY del nuevo operador a Cloud DNS.

8. Añade el registro DS de la zona del nuevo operador a tu registrador, además del registro DS de Cloud DNS.

9. Espera hasta que se propaguen los nuevos registros y caduquen los antiguos en todas las cachés de los resolvedores. De lo contrario, los datos obsoletos podrían provocar errores de validación.

   Espera a que se cumplan todas las condiciones siguientes:

   • El TTL del conjunto de registros NS de la zona principal caduca.

   • El TTL del conjunto de registros DS de la zona principal caduca.

   • El TTL del conjunto de registros NS de la zona de Cloud DNS caduca.

   • El TTL del conjunto de registros DNSKEY de la zona de Cloud DNS caduca.

   Para comprobar que la zona está lista, verifica que Cloud DNS esté sirviendo todos los registros DNSKEY y que la zona principal esté sirviendo ambos registros DS.

10. Migra las delegaciones de servidores de nombres para que apunten al nuevo operador.

    Actualiza los registros del servidor de nombres en el registrador con los servidores de nombres del nuevo operador de la zona.

11. Espera a que se propaguen los nuevos registros del servidor de nombres y a que caduquen los antiguos registros de delegación de todas las cachés de resolución. De lo contrario, los datos obsoletos podrían provocar errores de validación.

    Espera a que caduquen todos los elementos siguientes:

    • El TTL del conjunto de registros NS de la zona principal.

    • Tiempo de vida del conjunto de registros NS de la zona de Cloud DNS.

    Después de este paso, puedes eliminar la zona de Cloud DNS de forma segura.

12. Elimina los registros DNSKEY de Cloud DNS que se hayan añadido a la nueva zona.

13. Elimina el registro DS de Cloud DNS de tu registrador.

14. Completa la migración con el nuevo operador si es necesario.

Si el otro operador de DNS tiene un proceso para migrar una zona firmada con DNSSEC, debes seguir sus pasos en paralelo con este procedimiento, después del paso 1.

Siguientes pasos

• Para obtener información sobre configuraciones de DNSSEC específicas, consulta Usar DNSSEC avanzadas.
• Para trabajar con zonas gestionadas, consulta Crear, modificar y eliminar zonas.
• Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
• Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.