Nastavení DNS zásad služby Azure Firewall

Můžete nakonfigurovat vlastní server DNS a povolit proxy server DNS pro službu Azure Firewall. Tato nastavení nakonfigurujte při nasazení brány firewall nebo je nakonfigurujte později na stránce nastavení DNS. Azure Firewall ve výchozím nastavení používá Azure DNS a proxy DNS je zakázané.

Servery DNS

Server DNS udržuje a překládá názvy domén na IP adresy. Azure Firewall ve výchozím nastavení používá k překladu názvů Azure DNS. Nastavení serveru DNS umožňuje nakonfigurovat vlastní servery DNS pro překlad názvů služby Azure Firewall. Můžete nakonfigurovat jeden server nebo více serverů. Pokud nakonfigurujete více serverů DNS, zvolí se použitý server náhodně. Ve vlastním DNS můžete nakonfigurovat maximálně 15 serverů DNS.

Poznámka:

Pro instance služby Azure Firewall spravované pomocí Azure Firewall Manageru se nastavení DNS konfigurují v přidružených zásadách služby Azure Firewall.

Konfigurace vlastních serverů DNS

Azure Portal

1. V části Nastavení brány Azure Firewall vyberte Nastavení DNS.
2. V části Servery DNS můžete zadat nebo přidat existující servery DNS, které byly dříve zadány ve vaší virtuální síti.
3. Vyberte Použít.

Brána firewall teď směruje provoz DNS na zadané servery DNS pro překlad názvů.

Rozhraní příkazového řádku

Následující příklad aktualizuje službu Azure Firewall vlastními servery DNS pomocí Azure CLI.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Důležité

az network firewall Příkaz vyžaduje, aby bylo nainstalované rozšíření azure-firewall Azure CLI. Můžete ho nainstalovat pomocí příkazu az extension add --name azure-firewall.

PowerShell

Následující příklad aktualizuje bránu Azure Firewall vlastními servery DNS pomocí Azure PowerShellu.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

Proxy server DNS

Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatelem požadavků DNS z klientských virtuálních počítačů na server DNS.

Pokud chcete povolit filtrování plně kvalifikovaného názvu domény (plně kvalifikovaný název domény) v pravidlech sítě, povolte proxy server DNS a aktualizujte konfiguraci virtuálního počítače tak, aby používala bránu firewall jako proxy server DNS.

Pokud povolíte filtrování plně kvalifikovaného názvu domény v pravidlech sítě a nenakonfigurujete klientské virtuální počítače tak, aby používaly bránu firewall jako proxy server DNS, můžou požadavky DNS z těchto klientů cestovat na server DNS na jiný čas nebo vrátit jinou odpověď v porovnání s bránou firewall. Doporučujeme nakonfigurovat klientské virtuální počítače tak, aby jako proxy server DNS používaly Azure Firewall. Tím se azure Firewall umístí do cesty k požadavkům klientů, aby se zabránilo nekonzistence.

Pokud je Azure Firewall proxy serverEM DNS, jsou možné dva typy funkcí ukládání do mezipaměti:

• Kladná mezipaměť: Překlad DNS je úspěšný. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL (time to live) v odpovědi až do 1 hodiny.

• Záporná mezipaměť: Výsledkem překladu DNS není žádná odpověď nebo žádné rozlišení. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL v odpovědi až do maximálního počtu 30 minut.

Proxy server DNS ukládá všechny přeložené IP adresy z plně kvalifikovaných názvů domén v pravidlech sítě. Osvědčeným postupem je použít plně kvalifikované názvy domén, které se přeloží na jednu IP adresu.

Dědičnost zásad

Nastavení DNS zásad použité pro samostatnou bránu firewall přepíší nastavení DNS samostatné brány firewall. Podřízená zásada dědí všechna nastavení DNS nadřazené zásady, ale může přepsat nadřazenou zásadu.

Pokud například chcete v pravidle sítě používat plně kvalifikované názvy domén, musí být povolený proxy server DNS. Pokud ale nadřazená zásada nemá povolený proxy server DNS, podřízené zásady nebudou podporovat plně kvalifikované názvy domén v pravidlech sítě, pokud toto nastavení nepřepíšete místně.

Konfigurace proxy serveru DNS

Konfigurace proxy serveru DNS vyžaduje tři kroky:

1. Povolte proxy server DNS v nastavení DNS služby Azure Firewall.
2. Volitelně můžete nakonfigurovat vlastní server DNS nebo použít zadaný výchozí.
3. V nastavení serveru DNS virtuální sítě nakonfigurujte privátní IP adresu služby Azure Firewall jako vlastní adresu DNS. Toto nastavení zajišťuje směrování provozu DNS do služby Azure Firewall.

Azure Portal

Pokud chcete nakonfigurovat proxy server DNS, musíte nakonfigurovat nastavení serverů DNS virtuální sítě tak, aby používaly privátní IP adresu brány firewall. Pak povolte proxy DNS v nastavení DNS služby Azure Firewall.

Konfigurace serverů DNS virtuální sítě

1. Vyberte virtuální síť, ve které se provoz DNS směruje přes instanci služby Azure Firewall.
2. V části Nastavení vyberte servery DNS.
3. V části Servery DNS vyberte Vlastní.
4. Zadejte privátní IP adresu brány firewall.
5. Zvolte Uložit.
6. Restartujte virtuální počítače, které jsou připojené k virtuální síti, aby byly přiřazené nové nastavení serveru DNS. Virtuální počítače budou dál používat aktuální nastavení DNS, dokud se nerestartují.

Povolení proxy serveru DNS

1. Vyberte instanci služby Azure Firewall.
2. V části Nastavení vyberte nastavení DNS.
3. Ve výchozím nastavení je proxy SERVER DNS zakázaný. Pokud je toto nastavení povolené, brána firewall naslouchá na portu 53 a předává požadavky DNS na nakonfigurované servery DNS.
4. Zkontrolujte konfiguraci serverů DNS a ujistěte se, že jsou nastavení vhodná pro vaše prostředí.
5. Zvolte Uložit.

Rozhraní příkazového řádku

Pomocí Azure CLI můžete nakonfigurovat nastavení proxy serveru DNS ve službě Azure Firewall. Můžete ho také použít k aktualizaci virtuálních sítí tak, aby jako server DNS používal Azure Firewall.

Konfigurace serverů DNS virtuální sítě

Následující příklad nakonfiguruje virtuální síť tak, aby jako server DNS používala Azure Firewall.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>

Povolení proxy serveru DNS

Následující příklad povolí funkci proxy serveru DNS ve službě Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

PowerShell

Ke konfiguraci nastavení proxy serveru DNS ve službě Azure Firewall můžete použít Azure PowerShell. Můžete ho také použít k aktualizaci virtuálních sítí tak, aby jako server DNS používal Azure Firewall.

Konfigurace serverů DNS virtuální sítě

Následující příklad nakonfiguruje virtuální síť tak, aby používala Azure Firewall jako server DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork

Povolení proxy serveru DNS

Následující příklad povolí funkci proxy serveru DNS ve službě Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Převzetí služeb při selhání s vysokou dostupností

Proxy server DNS má mechanismus převzetí služeb při selhání, který přestane používat zjištěný server, který není v pořádku, a používá jiný server DNS, který je k dispozici.

Pokud jsou všechny servery DNS nedostupné, není k dispozici žádný náhradní server DNS.

Kontroly stavu

Proxy server DNS provádí pětisekundové smyčky kontroly stavu, pokud nadřazené servery hlásí, že nejsou v pořádku. Kontroly stavu představují rekurzivní dotaz DNS na kořenový názvový server. Jakmile se nadřazený server považuje za v pořádku, brána firewall zastaví kontroly stavu až do další chyby. Když proxy server, který je v pořádku, vrátí chybu, brána firewall vybere v seznamu jiný server DNS.

Další kroky

• Podrobnosti o proxy serveru DNS služby Azure Firewall
• Filtrování plně kvalifikovaného názvu domény v pravidlech sítě