Sdílet prostřednictvím


Přehled zón a záznamů DNS

Tento článek vysvětluje klíčové koncepty domén, zón DNS, záznamů DNS a sad záznamů. Dozvíte se, jak jsou podporované v Azure DNS.

Názvy domén

Domain Name System je hierarchie domén. Hierarchie začíná z root domény, jejíž název je jednoduše ".". Pod tímto názvem patří domény nejvyšší úrovně, například com, net, orgnebo uk jp. Pod doménami nejvyšší úrovně jsou domény druhé úrovně, například org.uk co.jp. Domény v hierarchii DNS jsou globálně distribuované, hostované názvovými servery DNS po celém světě.

Registrátor názvu domény je organizace, která umožňuje zakoupit název domény, například contoso.com. Nákup názvu domény vám dává právo řídit hierarchii DNS pod tímto názvem, například umožňuje směrovat název www.contoso.com na web vaší společnosti. Registrátor může doménu hostovat na vlastních názvových serverech vaším jménem nebo vám umožní zadat alternativní názvové servery.

Azure DNS poskytuje globálně distribuovanou infrastrukturu názvového serveru s vysokou dostupností, kterou můžete použít k hostování domény. Hostováním domén v Azure DNS můžete spravovat záznamy DNS se stejnými přihlašovacími údaji, rozhraními API, nástroji, fakturací a podporou jako ostatní služby Azure.

Azure DNS v současné době nepodporuje nákup názvů domén. Za roční poplatek si můžete koupit název domény pomocí domén služby App Service nebo registrátora názvu domény třetí strany. Domény pak můžete hostovat v Azure DNS za účelem správy záznamů. Další informace najdete v tématu Delegování domény do DNS Azure.

Zóny DNS

Zóna DNS slouží k hostování záznamů DNS pro konkrétní doménu. Pokud chcete začít hostovat svou doménu v DNS Azure, musíte vytvořit zónu DNS pro daný název domény. Všechny záznamy DNS pro vaši doménu se pak vytvoří v této zóně DNS.

Například doména contoso.com může obsahovat několik záznamů DNS, třeba mail.contoso.com (pro poštovní server) a www.contoso.com (pro web).

Při vytváření zóny DNS v DNS Azure:

  • Název zóny musí být v rámci skupiny prostředků jedinečný a zóna ještě nesmí existovat. Jinak se operace nezdaří.
  • V jiné skupině prostředků nebo v rámci jiného předplatného Azure se dá znovu použít stejný název zóny.
  • Pokud má několik zón stejný název, každé instanci se přiřadí jiná adresa názvového serveru. U registrátora názvu domény je možné nakonfigurovat pouze jednu sadu adres.

Poznámka:

Pro vytvoření zóny DNS s názvem domény v DNS Azure nemusíte tento název domény vlastnit. Doménu ale musíte vlastnit, pokud chcete nakonfigurovat názvové servery DNS Azure jako správné názvové servery pro daný název domény u registrátora názvu domény.

Další informace najdete v tématu Delegování domény do DNS Azure.

Záznamy DNS

Názvy záznamů

V Azure DNS se záznamy zadávají pomocí relativních názvů. Plně kvalifikovaný název domény (FQDN) obsahuje název zóny, zatímco relativní název není. Například relativní název www záznamu v zóně contoso.com dává plně kvalifikovaný název www.contoso.comzáznamu .

Záznam „vrcholu“ je záznam DNS v kořeni (nebo „vrcholu“) zóny DNS. Například v zóně contoso.comDNS má záznam vrcholu také plně kvalifikovaný název contoso.com (někdy se nazývá nahá doména). Podle konvence se k vyjádření záznamů vrcholu používá relativní název '@'.

Typy záznamů

Každý záznam DNS má název a typ. Záznamy jsou uspořádány do různých typů podle dat, která obsahují. Nejběžnějším typem je záznam „A“, který mapuje název na adresu IPv4. Dalším běžným typem záznamu je „MX“, který mapuje název na poštovní server.

Azure DNS podporuje všechny běžné typy záznamů DNS: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV a TXT. Záznamy SPF se vyjadřují pomocí záznamů TXT.

Další typy záznamů se podporují, pokud je zóna podepsaná pomocí dns Security Extensions (DNSSEC), jako jsou záznamy prostředků delegování (DS) a TLSA (Transport Layer Security Authentication).

Typy záznamů prostředků DNSSEC, jako jsou DNSKEY, RRSIG a NSEC3, se při podpisu zóny DNSSEC přidají automaticky. Tyto typy záznamů prostředků DNSSEC nelze po podepsání zóny vytvářet ani upravovat.

Sady záznamů

Někdy můžete potřebovat vytvořit víc než jeden záznam DNS s daným názvem a typem. Předpokládejme například, že web „www.contoso.com“ je hostovaný na dvou různých IP adresách. Tento web vyžaduje dva různé záznamy A, jeden pro každou IP adresu. Tady je příklad sady záznamů:

www.contoso.com.        3600    IN    A    134.170.185.46
www.contoso.com.        3600    IN    A    134.170.188.221

Azure DNS spravuje všechny záznamy DNS pomocí sady záznamů. Sada záznamů (známá také jako sada záznamů „prostředků“) je kolekce záznamů DNS v zóně, které mají stejný název a jsou stejného typu. Většina sad záznamů obsahuje jediný záznam. Příklady jako v předchozím příkladu, ve kterých sada záznamů obsahuje více než jeden záznam, ale nejsou neobvyklé.

Předpokládejme třeba, že už jste vytvořili záznam A „www“ v zóně „contoso.com“, který odkazuje na IP adresu 134.170.185.46 (první záznam výše). Když budete chtít vytvořit druhý záznam, bude potřeba tento záznam přidat do existující sady záznamů, ne vytvořit další sadu záznamů.

Výjimkou jsou typy záznamů SOA a CNAME. Standardy DNS nedovolují pro tyto typy více záznamů se stejným názvem, proto tyto sady záznamů můžou obsahovat jenom po jednom záznamu.

Time-to-live

Hodnota TTL (Time to Live) určuje, jak dlouho se každý záznam ukládá do mezipaměti klientům před dotazováním. V předchozím příkladu je hodnota TTL 3600 sekund nebo 1 hodina.

V Azure DNS se hodnota TTL zadává pro sadu záznamů, ne pro každý záznam, takže stejná hodnota se použije pro všechny záznamy v této sadě záznamů. Můžete zadat libovolnou hodnotu TTL mezi 1 a 2 147 483 647 sekund.

Záznamy se zástupnými cardy

Azure DNS podporuje záznamy se zástupným znakem. Záznamy se zástupnými znamétky se vrátí v reakci na jakýkoli dotaz s odpovídajícím názvem, pokud není k dispozici užší shoda ze sady záznamů bez zástupných znaků. Azure DNS podporuje sady záznamů se zástupnými znaménkami pro všechny typy záznamů kromě NS a SOA.

K vytvoření sady záznamů se zástupnými znaméty použijte název sady záznamů *. Můžete také použít název se znakem *, například *.foo.

Záznamy CAA

Záznamy CAA umožňují vlastníkům domény určit, které certifikační autority mají oprávnění vydávat certifikáty pro svoji doménu. Tento záznam umožňuje certifikačním autoritám v některých případech vyhnout se nesprávným vydáváním certifikátů. Záznamy CAA mají tři vlastnosti:

  • Příznaky: Toto pole je celé číslo od 0 do 255, které představuje kritický příznak, který má zvláštní význam na RFC6844
  • Značka: řetězec ASCII, který může být jedním z následujících:
    • problém: Pokud chcete zadat certifikační autority, které mají povoleno vydávat certifikáty (všechny typy)
    • issuewild: Pokud chcete zadat certifikační autority, které mají povoleno vydávat certifikáty (pouze certifikáty se zástupnými cardy)
    • iodef: Zadejte e-mailovou adresu nebo název hostitele, na který můžou certifikační autority informovat žádosti o vydání neautorizovaného certifikátu.
  • Hodnota: hodnota pro vybranou konkrétní značku

Záznamy CNAME

Sady záznamů CNAME nemůžou existovat společně s jinými sadami záznamů se stejným názvem. Nemůžete například vytvořit sadu záznamů CNAME s relativním názvem www a záznamem A s relativním názvem www najednou.

Vzhledem k tomu, že vrchol zóny (name = '@') bude vždy obsahovat sady záznamů NS a SOA při vytváření zóny, nemůžete vytvořit sadu záznamů CNAME na vrcholu zóny.

Tato omezení pocházejí z norem DNS a nepředstavují omezení Azure DNS.

Záznamy NS

Sada záznamů NS na vrcholu zóny (název @) se automaticky vytvoří s každou zónou DNS a automaticky se odstraní při odstranění zóny. Nejde ho odstranit samostatně.

Tato sada záznamů obsahuje názvy názvových serverů Azure DNS přiřazených k zóně. Do této sady záznamů NS můžete přidat další názvové servery, které podporují domény spoluhostování s více než jedním poskytovatelem DNS. Můžete také upravit hodnotu TTL a metadata pro tuto sadu záznamů. Odebrání nebo úprava předem vyplněných názvových serverů Azure DNS ale není povolená.

Toto omezení platí jenom pro sadu záznamů NS na vrcholu zóny. Další sady záznamů NS ve vaší zóně (jak se používají k delegování podřízených zón) je možné vytvářet, upravovat a odstraňovat bez omezení.

Záznamy SOA

Sada záznamů SOA se vytvoří automaticky na vrcholu každé zóny (název = '@') a automaticky se odstraní při odstranění zóny. Záznamy SOA nelze vytvářet ani odstraňovat samostatně.

Můžete upravit všechny vlastnosti záznamu SOA s výjimkou host vlastnosti. Tato vlastnost se předem nakonfiguruje tak, aby odkazovala na název primárního názvového serveru, který poskytuje Azure DNS.

Sériové číslo zóny v záznamu SOA se při změnách záznamů v zóně automaticky neaktualizuje. V případě potřeby ho můžete aktualizovat ručně úpravou záznamu SOA.

Poznámka:

Azure DNS v současné době nepodporuje použití tečky (.) před@ položkou "' v položce hostitele SOA hostmaster. Příklad: john.smith@contoso.xyz (převedeno na john.smith.contoso.xyz) a john\.smith@contoso.xyz není povoleno.

Záznamy SPF

Záznamy SPF (Sender Policy Framework) slouží k určení, které e-mailové servery můžou posílat e-maily jménem názvu domény. Správná konfigurace záznamů SPF je důležitá, aby příjemci nemohli e-mail označovat jako nevyžádanou poštu.

Dokumenty RFCS DNS původně zavedly nový typ záznamu SPF pro podporu tohoto scénáře. Aby podporovaly starší názvové servery, povolily také použití typu záznamu TXT k určení záznamů SPF. Tato nejednoznačnost vedla k nejasnostem, které bylo vyřešeno dokumentem RFC 7208. Uvádí, že záznamy SPF musí být vytvořeny pomocí typu záznamu TXT. Uvádí také, že typ záznamu SPF je zastaralý.

Záznamy SPF podporují Azure DNS a musí se vytvořit pomocí typu záznamu TXT. Zastaralý typ záznamu SPF není podporován. Při importu souboru zóny DNS se všechny záznamy SPF používající typ záznamu SPF převedou na typ záznamu TXT.

Záznamy SRV

Záznamy SRV používají různé služby k určení umístění serveru. Při zadávání záznamu SRV v Azure DNS:

  • Služba a protokol musí být zadány jako součást názvu sady záznamů s předponou podtržítka, například "_sip._tcp.name". U záznamu na vrcholu zóny není nutné v názvu záznamu zadávat znak @, jednoduše použijte službu a protokol, například "_sip._tcp".
  • Priorita, váha, port a cíl se zadají jako parametry každého záznamu v sadě záznamů.

Záznamy TXT

Záznamy TXT se používají k mapování názvů domén na libovolné textové řetězce. Používají se v několika aplikacích, zejména v souvislosti s konfigurací e-mailu, jako je Například Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM).

Standardy DNS umožňují, aby jeden záznam TXT obsahoval více řetězců, z nichž každý může mít délku až 255 znaků. Pokud se používá více řetězců, klienti je zřetězeni a považují se za jeden řetězec.

Při volání rozhraní REST API Azure DNS je potřeba zadat každý řetězec TXT samostatně. Pokud používáte rozhraní Azure Portal, PowerShellu nebo rozhraní příkazového řádku, měli byste pro každý záznam zadat jeden řetězec. Tento řetězec se v případě potřeby automaticky rozdělí do 255 znaků segmentů.

Více řetězců v záznamu DNS by nemělo být zaměňováno s více záznamy TXT v sadě záznamů TXT. Sada záznamů TXT může obsahovat více záznamů, z nichž každá může obsahovat více řetězců. Azure DNS podporuje celkovou délku řetězce až 4096 znaků v každé sadě záznamů TXT (ve všech sloučených záznamech).

Záznamy DS

Záznam podepisujícího delegování (DS) je typ záznamu prostředku DNSSEC , který slouží k zabezpečení delegování. Pokud chcete vytvořit záznam DS v zóně, musí být zóna nejprve podepsaná pomocí DNSSEC.

Záznamy TLSA

Záznam TLSA (Transport Layer Security Authentication) slouží k přidružení certifikátu serveru TLS nebo veřejného klíče k názvu domény, kde se záznam nachází. Záznam TLSA propojuje veřejný klíč (certifikát serveru TLS) s názvem domény a poskytuje další vrstvu zabezpečení připojení TLS.

Aby bylo možné efektivně používat záznamy TLSA, musí být ve vaší doméně povolená služba DNSSEC . Tím se zajistí, že záznamy TLSA mohou být důvěryhodné a správně ověřeny.

Značky a metadata

Značky

Značky jsou seznam dvojic název-hodnota a používají je Azure Resource Manager k označení prostředků. Azure Resource Manager používá značky k povolení filtrovaných zobrazení faktury za Azure a také umožňuje nastavit zásady pro určité značky. Další informace o značkách najdete v tématu Použití značek k uspořádání prostředků Azure.

Azure DNS podporuje použití značek Azure Resource Manageru u prostředků zóny DNS. Nepodporuje značky v sadách záznamů DNS, ale jako alternativu se metadata podporují u sad záznamů DNS, jak je vysvětleno níže.

Metadata

Jako alternativu ke značkám sady záznamů podporuje Azure DNS přidávání poznámek k sadám záznamů pomocí metadat. Podobně jako značky umožňují metadata přidružit páry name-value ke každé sadě záznamů. Tato funkce může být užitečná, například k zaznamenání účelu každé sady záznamů. Na rozdíl od značek se metadata nedají použít k poskytnutí filtrovaného zobrazení faktury za Azure a nejde je zadat v zásadách Azure Resource Manageru.

Značky

Předpokládejme, že dva nebo dva procesy se pokusí upravit záznam DNS najednou. Který z nich vyhraje? A vítěz ví, že má přepsání změn vytvořených někým jiným?

Azure DNS používá značky Etag k bezpečnému zpracování souběžných změn stejného prostředku. Značky jsou oddělené od značky Azure Resource Manageru. Ke každému prostředku DNS (zóně nebo sadě záznamů) je přidružená značka Etag. Při každém načtení prostředku se načte také jeho značka Etag. Při aktualizaci prostředku se můžete rozhodnout pro předání značky Etag, aby služba Azure DNS ověřila, že značky Etag na serveru odpovídají. Vzhledem k tomu, že každá aktualizace prostředku vede k opětovnému vygenerování značky Etag, neshoda značky Etag značí, že došlo ke souběžné změně. Značky Etag lze použít také při vytváření nového prostředku, aby se zajistilo, že prostředek ještě neexistuje.

Azure DNS PowerShell ve výchozím nastavení používá značky Etag k blokování souběžných změn zón a sad záznamů. Volitelný přepínač -Overwrite lze použít k potlačení kontrol značky Etag. V takovém případě se přepíšou všechny souběžné změny.

Na úrovni rozhraní REST API Azure DNS se značky Etag zadají pomocí hlaviček HTTP. Jejich chování je dáno v následující tabulce:

Hlavička Chování
Nic PUT vždy proběhne úspěšně (bez kontrol značky Etag)
Značky etag if-match <> PUT proběhne úspěšně pouze v případě, že prostředek existuje a shoduje se značkou ETag.
If-match * PUT proběhne úspěšně pouze v případě, že prostředek existuje.
If-none-match * Put se úspěšně spustí jenom v případě, že prostředek neexistuje.

Omezení

Při používání Azure DNS platí následující výchozí omezení:

Veřejné zóny DNS

Prostředek Omezení
Veřejné zóny DNS na předplatné 250 1
Sady záznamů na veřejnou zónu DNS 10 000 1
Záznamy na sadu záznamů ve veřejné zóně DNS 20
Počet záznamů aliasů pro jeden prostředek Azure 20

1Pokud potřebujete tyto limity zvýšit, obraťte se na podporu Azure.

Další kroky