DNS pro místní prostředky a prostředky Azure
Dns (Domain Name System) je důležité téma návrhu v celkové architektuře cílové zóny. Některé organizace můžou chtít použít své stávající investice do DNS. Ostatní můžou vidět přechod na cloud jako příležitost modernizovat svou interní infrastrukturu DNS a využívat nativní funkce Azure.
Aspekty návrhu
Privátní překladač Azure DNS můžete použít se zónami Azure Private DNS pro překlad názvů napříč prostředími.
Možná budete muset použít existující řešení DNS v místním prostředí a v Azure.
Virtuální síť je možné propojit pouze s jednou privátní zónou DNS s povolenou automatickou registrací.
Doporučení k návrhu
V prostředích, kde se vyžaduje pouze překlad názvů v Azure, použijte k překladu zóny Azure Private DNS. Vytvořte delegovanou zónu pro rozlišení názvů, například
azure.contoso.com. Povolením automatické registrace zóny Azure Private DNS můžete automaticky spravovat životní cyklus záznamů DNS pro virtuální počítače nasazené ve virtuální síti.V prostředích, kde se vyžaduje překlad názvů mezi Azure a místním prostředím, použijte nástroj DNS Private Resolver spolu se zónami Azure Private DNS. Privátní překladač DNS nabízí mnoho výhod oproti řešení DNS založenému na virtuálních počítačích, včetně snížení nákladů, integrované vysoké dostupnosti, škálovatelnosti a flexibility.
Pokud potřebujete použít existující infrastrukturu DNS, jako je integrovaná služba DNS systému Windows Server Active Directory, ujistěte se, že je role serveru DNS nasazená alespoň na dva virtuální počítače, a nakonfigurujte nastavení DNS ve virtuálních sítích tak, aby používala tyto vlastní servery DNS.
Pro prostředí, která mají Azure Firewall, zvažte jeho použití jakoproxy
DNS . Zónu Azure Private DNS můžete propojit s virtuálními sítěmi. Použijte privátní překladač DNS se sadou pravidel předávání DNS, která je přidružená také k virtuálním sítím:
U dotazů DNS generovaných ve virtuální síti Azure za účelem překladu místních názvů DNS, jako je
corporate.contoso.com, se dotaz DNS předá na IP adresu místních serverů DNS zadaných v sadě pravidel.U dotazů DNS generovaných v místní síti za účelem překladu záznamů DNS v zónách Azure Private DNS můžete nakonfigurovat místní servery DNS s podmíněnými předávacími servery, které směřují na IP adresu příchozího koncového bodu DNS Private Resolver v Azure. Tato konfigurace předá požadavek do zóny Azure Private DNS, například
azure.contoso.com.
Vytvořte dvě vyhrazené podsítě pro Privátní DNS resolver ve virtuální síti centra v rámci předplatného pro připojení. Vytvořte jednu podsíť pro příchozí koncové body a jednu podsíť pro odchozí koncové body. Obě podsítě by měly mít minimální velikost
/28.Pokud nasadíte překladač DNS společně s bránou ExpressRoute, musíte zajistit, aby bylo povolené překlad veřejných plně kvalifikovaných názvů domén a odpovědi s platnou odpovědí prostřednictvím pravidla sady pravidel předávání DNS cílovému serveru DNS. Některé služby Azure spoléhají na schopnost překládat veřejné názvy DNS tak, aby fungovaly. Další informace najdete v tématu pravidla sady pravidel předávání DNS.
Příchozí koncové body přijímají příchozí požadavky na překlad z klientů v rámci vaší interní privátní sítě, a to buď z Azure, nebo z místního prostředí. Můžete mít maximálně pět příchozích koncových bodů.
Odchozí koncové body přesměrovávají požadavky na řešení k cílům v rámci vaší interní privátní sítě, ať už na Azure nebo v interním prostředí, které nelze vyřešit prostřednictvím privátních zón služby Azure DNS. Můžete mít maximálně pět odchozích koncových bodů.
Vytvořte vhodná pravidla pro povolení předávání DNS na místní domény a názvové prostory DNS.
Úlohy, které vyžadují a nasazují vlastní DNS, jako je Red Hat OpenShift, by měly používat upřednostňované řešení DNS.
Vytvořte zóny Azure Private DNS v rámci globálního předplatného připojení. Zóny Azure Private DNS, které by se měly vytvořit, zahrnují zóny potřebné pro přístup k řešením platformy Azure jako služby prostřednictvím privátního koncového bodu. Příklady zahrnují
privatelink.database.windows.netneboprivatelink.blob.core.windows.net.