Freigeben über

DNS für lokale und Azure-Ressourcen

  • Artikel

Domain Name System (DNS) ist ein kritisches Designthema in der Architektur der Landungszone insgesamt. Einige Organisationen möchten möglicherweise ihre vorhandenen Investitionen in DNS verwenden. Andere könnten die Cloud-Einführung als Gelegenheit sehen, ihre interne DNS-Infrastruktur zu modernisieren und native Azure-Funktionen zu nutzen.

Entwurfsüberlegungen

  • Sie können den Azure DNS Private Resolver-Dienst mit privaten Azure DNS-Zonen für die standortübergreifende Namensauflösung verwenden.

  • Möglicherweise müssen Sie vorhandene DNS-Lösungen sowohl in lokalen Umgebungen als auch in Azure verwenden.

  • Ein virtuelles Netzwerk kann nur mit einer privaten DNS-Zone verknüpft werden, bei der die automatische Registrierung aktiviert ist.

  • Machen Sie sich mit den Grenzwerten für private Azure DNS-Zonen vertraut.

Designempfehlungen

  • Verwenden Sie für Umgebungen, in denen lediglich die Namensauflösung in Azure erforderlich ist, private Azure DNS-Zonen für die Auflösung. Erstellen Sie eine delegierte Zone für die Namensauflösung (z. B. azure.contoso.com). Aktivieren Sie die automatische Registrierung für die Azure Private DNS-Zone, um den Lebenszyklus der DNS-Einträge für die virtuellen Computer, die in einem virtuellen Netzwerk bereitgestellt werden, automatisch zu verwalten.

  • Verwenden Sie für Umgebungen, in denen eine Azure-weite und lokale Namensauflösung erforderlich ist, DNS Private Resolver zusammen mit privaten Azure DNS-Zonen. DNS Private Resolver bietet viele Vorteile gegenüber DNS-Lösungen auf der Basis von virtuellen Maschinen, einschließlich Kostenreduzierung, integrierter hoher Verfügbarkeit, Skalierbarkeit und Flexibilität.

    Wenn Sie eine vorhandene DNS-Infrastruktur (z. B. in Windows Server Active Directory integriertes DNS) verwenden müssen, stellen Sie sicher, dass die DNS-Serverrolle auf mindestens zwei VMs bereitgestellt wird, und konfigurieren Sie DNS-Einstellungen in virtuellen Netzwerken, um diese benutzerdefinierten DNS-Server zu verwenden.

  • Für Umgebungen, die eine Azure Firewall haben, sollten Sie sie als DNS-Proxyverwenden.

  • Sie können eine Azure Private DNS-Zone mit den virtuellen Netzwerken verknüpfen. Verwenden Sie DNS Private Resolver mit einem Regelsatz für die DNS-Weiterleitung, der auch den virtuellen Netzwerken zugeordnet ist:

    • Bei DNS-Abfragen, die im virtuellen Azure-Netzwerk generiert werden, um lokale DNS-Namen wie corporate.contoso.comaufzulösen, wird die DNS-Abfrage an die IP-Adresse von lokalen DNS-Servern weitergeleitet, die im Regelet angegeben sind.

    • Für DNS-Abfragen, die im lokalen Netzwerk generiert werden, um DNS-Einträge in Azure Private DNS-Zonen aufzulösen, können Sie lokale DNS-Server mit bedingten Weiterleitungen konfigurieren, die auf die IP-Adresse des inbound DNS Private Resolver-Endpunkts in Azure verweisen. Diese Konfiguration leitet die Anforderung an die Azure Private DNS-Zone weiter, z. B. azure.contoso.com.

  • Erstellen Sie zwei dedizierte Subnetze für DNS Private Resolver im virtuellen Hubnetzwerk innerhalb des Konnektivitätsabonnements. Erstellen Sie ein Subnetz für eingehende Endpunkte und ein Subnetz für ausgehende Endpunkte. Beide Subnetze sollten eine Mindestgröße von /28 aufweisen.

    • Wenn Sie den DNS-Konfliktlöser zusammen mit Ihrem ExpressRoute-Gateway bereitstellen, müssen Sie sicherstellen, dass die Auflösung öffentlicher FQDNs zulässig ist und eine gültige Antwort über eine Regel des DNS-Weiterleitungsregelsatzes an den DNS-Zielserver sendet. Einige Azure-Dienste basieren auf der Möglichkeit, öffentliche DNS-Namen zu lösen, damit sie funktionieren. Weitere Informationen finden Sie unter Regeln des DNS-Weiterleitungsregelsatzes.

    • Eingehende Endpunkte empfangen eingehende Auflösungsanforderungen von Clients innerhalb Ihres privaten Netzwerks, sei es von Azure oder von lokalen Ressourcen. Sie können maximal fünf eingehende Endpunkte haben.

    • Ausgehende Endpunkte leiten Auflösungsanforderungen an Ziele in Ihrem internen privaten Netzwerk weiter, entweder in Azure oder lokal, die von den Azure DNS Private Zones nicht aufgelöst werden können. Sie können maximal fünf ausgehende Endpunkte haben.

    • Erstellen Sie einen geeigneten Regelsatz, um die DNS-Weiterleitung an lokale DNS-Domänen und Namespaces zu ermöglichen.

  • Für Workloads, die ihr eigenes DNS erfordern und bereitstellen (z. B. Red Hat OpenShift), sollte die jeweils bevorzugte DNS-Lösung verwendet werden.

  • Erstellen Sie die Azure Private DNS-Zonen innerhalb eines globalen Konnektivitätsabonnements. Die zu erstellenden privaten Azure-DNS-Zonen umfassen die Zonen, die für den Zugriff auf Azure-Plattformdienstlösungen über einen privaten Endpunktbenötigt werden. Beispiele sind privatelink.database.windows.net oder privatelink.blob.core.windows.net.