Návrh překladu názvů pro vaši virtuální síť

Dokončeno

DNS je rozdělené do dvou oblastí: Veřejné a Privátní DNS pro prostředky přístupné z vašich interních sítí.

Veřejné služby DNS

Veřejné služby DNS přeloží názvy a IP adresy pro prostředky a služby přístupné přes internet, jako jsou webové servery. Azure DNS je hostitelská služba pro doménu DNS, která poskytuje překlad názvů pomocí infrastruktury Microsoft Azure. DNS domény v Azure DNS jsou hostované na globální síti názvových serverů DNS. Azure DNS používá sítě Anycast. Každý dotaz DNS se směruje na nejbližší dostupný server DNS.

V Azure DNS můžete záznamy adres vytvářet ručně v příslušných zónách. Nejčastěji používané záznamy:

• Záznamy hostitele: A/AAAA (IPv4/IPv6)
• Záznamy aliasů: CNAME

Azure DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti, aniž by bylo nutné přidat vlastní řešení DNS.

Zóna DNS hostuje záznamy DNS pro doménu. Pokud tedy chcete začít hostovat svoji doménu v Azure DNS, musíte pro tento název domény vytvořit zónu DNS. Všechny záznamy DNS pro vaši doménu se pak vytvoří v této zóně DNS.

Důležité informace

• Název zóny musí být v rámci skupiny prostředků jedinečný a zóna ještě nesmí existovat.
• V jiné skupině prostředků nebo v rámci jiného předplatného Azure se dá znovu použít stejný název zóny.
• Pokud má několik zón stejný název, každé instanci se přiřadí jiná adresa názvového serveru.
• Kořenová nebo nadřazená doména je zaregistrovaná u registrátora a odkazuje na Azure NS.
• Podřízené domény jsou zaregistrované přímo v AzureDNS.

Poznámka:

Pro vytvoření zóny DNS s názvem domény v DNS Azure nemusíte tento název domény vlastnit. K konfiguraci domény ale potřebujete doménu vlastnit.

Delegování domén DNS

Azure DNS vám umožňuje hostovat zónu DNS a spravovat záznamy DNS pro doménu v Azure. Mají-li se dotazy DNS pro doménu dostat k Azure DNS, musí doména být delegovaná z nadřazené domény do Azure DNS. Nezapomínejte, že Azure DNS není doménový registrátor.

Pokud chcete doménu delegovat do Azure DNS, musíte nejdřív znát názvy názvových serverů pro vaši zónu. Pokaždé, když se vytvoří zóna DNS, azure DNS přiděluje názvové servery z fondu. Po přiřazení názvových serverů azure DNS automaticky vytvoří ve vaší zóně autoritativní záznamy NS.

Po vytvoření zóny DNS a máte názvové servery, musíte aktualizovat nadřazenou doménu. Každý registrátor má vlastní nástroje pro správu DNS, které umožňují měnit záznamy názvových serverů pro doménu. Na stránce správy DNS vašeho registrátora upravte záznamy NS a nahraďte je záznamy NS, které vytvořil Azure DNS.

Poznámka:

Při delegování domény do Azure DNS musíte použít názvy názvových serverů, které poskytuje Azure DNS. Vždy byste měli používat všechny čtyři názvy názvových serverů bez ohledu na název vaší domény.

Podřízené domény

Chcete-li nastavit samostatnou podřízenou zónu, můžete subdoménu delegovat v Azure DNS. Například po konfiguraci contoso.com v Azure DNS můžete pro partners.contoso.com nakonfigurovat samostatnou podřízenou zónu.

Nastavení subdomény se řídí stejným postupem jako typické delegování. Jediným rozdílem je, že záznamy NS musí být vytvořeny v nadřazené zóně contoso.com v Azure DNS, nikoli v doménovém registrátorovi.

Poznámka:

Nadřazené a podřízené zóny můžou být ve stejné nebo jiné skupině prostředků. Všimněte si, že název sady záznamů v nadřazené zóně odpovídá názvu podřízené zóny v tomto případě partnerům.

Je důležité pochopit rozdíl mezi sadami záznamů DNS a jednotlivými záznamy DNS. Sada záznamů je kolekce záznamů v zóně se stejným názvem a stejným typem.

Sada záznamů nemůže obsahovat dva identické záznamy. Prázdné sady záznamů (s nulovými záznamy) je možné vytvořit, ale nezobrazují se na názvových serverech Azure DNS. Sady záznamů typu CNAME mohou obsahovat maximálně jeden záznam.

Stránka Přidat sadu záznamů se změní v závislosti na typu vybraného záznamu. Pro záznam A potřebujete hodnotu TTL (Time to Live) a IP adresu. Hodnota TTL (Time to Live) určuje, jak dlouho se každý záznam ukládá do mezipaměti.

Privátní DNS služby

Privátní DNS služby přeloží názvy a IP adresy pro prostředky a služby

Když prostředky nasazené ve virtuálních sítích potřebují překládat názvy domén na interní IP adresy, můžou použít jednu ze tří metod:

• Privátní zóny Azure DNS
• Překlad názvů zadaných v Azure
• Překlad IP adres, který využívá váš vlastní server DNS

To, který typ překladu názvů použijete, závisí na tom, jak spolu vaše prostředky potřebují vzájemně komunikovat.

Vaše potřeby překladu ip adres můžou přesahovat funkce poskytované Azure. K překladu názvů DNS mezi virtuálními sítěmi může být například potřeba použít domény služby Active Directory systému Microsoft Windows Server. K pokrytí těchto scénářů poskytuje Azure možnost používat vlastní servery DNS.

Servery DNS v rámci virtuální sítě můžou předávat dotazy DNS rekurzivním překladačům v Azure. Například řadič domény spuštěný v Azure může reagovat na dotazy DNS pro své domény a předávat všechny ostatní dotazy do Azure. Předávací dotazy umožňují virtuálním počítačům zobrazit jak vaše místní prostředky (přes řadič domény), tak názvy hostitelů poskytnuté v Azure (přes předávací modul). Přístup k rekurzivním překladačům v Azure je k dispozici prostřednictvím virtuální IP adresy 168.63.129.16.

Předávání DNS také umožňuje překlad DNS mezi virtuálními sítěmi a umožňuje místním počítačům překládat názvy hostitelů poskytovaných Azure. Aby bylo možné přeložit název hostitele virtuálního počítače, musí se virtuální počítač serveru DNS nacházet ve stejné virtuální síti a musí být nakonfigurovaný tak, aby předával dotazy na názvy hostitelů do Azure. Vzhledem k tomu, že přípona DNS se v každé virtuální síti liší, můžete k odesílání dotazů DNS do správné virtuální sítě pro překlad použít pravidla podmíněného předávání.

Azure provided DNS

Azure poskytuje vlastní bezplatné výchozí interní DNS. Zadaný překlad názvů v Azure poskytuje pouze základní autoritativní funkce DNS. Pokud použijete tuto možnost, názvy a záznamy zóny DNS se automaticky spravují v Azure. Názvy zón DNS ani životní cyklus záznamů DNS nemůžete řídit.

Interní DNS definuje obor názvů následujícím způsobem: .internal.cloudapp.net.

Každý virtuální počítač vytvořený ve virtuální síti je zaregistrovaný v interní zóně DNS a získá název domény DNS, jako je myVM.internal.cloudapp.net. Je důležité si uvědomit, že se jedná o zaregistrovaný název prostředku Azure, nikoli název hostovaného operačního systému na virtuálním počítači.

Omezení interního DNS

• Nejde přeložit mezi různými virtuálními sítěmi.
• Zaregistruje názvy prostředků, nikoli názvy hostovaného operačního systému.
• Nepovoluje ruční vytváření záznamů.

Zóny Privátního DNS v Azure

Privátní DNS zón v Azure jsou dostupné jenom interním prostředkům. Jsou globální v oboru, takže k nim můžete přistupovat z libovolné oblasti, libovolného předplatného, jakékoli virtuální sítě a libovolného tenanta. Pokud máte oprávnění ke čtení zóny, můžete ji použít k překladu ip adres. Privátní DNS zóny jsou vysoce odolné a replikují se do oblastí po celém světě. Nejsou dostupné pro prostředky na internetu.

Ve scénářích, které vyžadují větší flexibilitu než interní DNS, můžete vytvořit vlastní privátní zóny DNS. Tyto zóny umožňují:

• Nakonfigurujte pro zónu konkrétní název DNS.
• V případě potřeby vytvořte záznamy ručně.
• Překlad názvů a IP adres napříč různými zónami
• Překlad názvů a IP adres napříč různými virtuálními sítěmi

Vytvoření privátní zóny DNS pomocí portálu

Privátní zónu DNS můžete vytvořit pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Po nasazení nové zóny DNS můžete ručně vytvořit záznamy prostředků nebo použít automatickou registraci. Automatická registrace vytvoří záznamy prostředků na základě názvu prostředku Azure.

Privátní DNS zóny podporují celý rozsah záznamů, včetně ukazatelů, MX, SOA, služeb a textových záznamů.

Propojení virtuálních sítí s privátními zónami DNS

V Azure představuje virtuální síť skupinu jedné nebo více podsítí, jak je definováno rozsahem CIDR. Prostředky, jako jsou virtuální počítače, se přidávají do podsítí.

Na úrovni virtuální sítě je výchozí konfigurace DNS součástí přiřazení DHCP provedených Azure a určuje speciální adresu 168.63.129.16 pro použití služeb Azure DNS.

V případě potřeby můžete výchozí konfiguraci přepsat konfigurací alternativního serveru DNS na síťové kartě virtuálního počítače.

Dvě způsoby propojení virtuálních sítí s privátní zónou:

• Registrace: Každá virtuální síť může propojit jednu privátní zónu DNS pro registraci. Až 100 virtuálních sítí ale může propojit se stejnou privátní zónou DNS pro registraci.
• Řešení: Pro různé obory názvů může existovat mnoho dalších privátních zón DNS. Virtuální síť můžete propojit s každou z těchto zón pro překlad ip adres. Každá virtuální síť může propojit až 1 000 privátních zón DNS pro překlad názvů.

Integrace místního DNS s virtuálními sítěmi Azure

Pokud máte externí server DNS, například místní server, můžete k integraci těchto dvou serverů použít vlastní konfiguraci DNS ve vaší virtuální síti.

Externí DNS může běžet na libovolném serveru DNS: BIND v systému UNIX, Doména služby Active Directory Services DNS atd. Pokud chcete použít externí server DNS, nikoli výchozí službu Azure DNS, musíte nakonfigurovat požadované servery DNS.

Organizace často používají interní privátní zónu DNS Azure pro automatickou registraci a pak k předávání dotazů z externího serveru DNS používají vlastní konfiguraci.

Předávání má dvě formy:

• Předávání – určuje jiný server DNS (SOA pro zónu), který má dotaz přeložit, pokud počáteční server nemůže.
• Podmíněné předávání – určuje server DNS pro pojmenovanou zónu, aby všechny dotazy na danou zónu byly směrovány na zadaný server DNS.

Poznámka:

Pokud je server DNS mimo Azure, nemá přístup k Azure DNS na verzi 168.63.129.16. V tomto scénáři nastavte překladač DNS ve vaší virtuální síti, předejte do ní dotazy a pak ho přeposílejte na 168.63.129.16 (Azure DNS). V podstatě používáte přesměrování, protože 168.63.129.16 není směrovatelný, a proto není přístupný pro externí klienty.

Zvolte nejlepší odpověď pro otázku.