Modifier

Partager via


Programme de résolution privé Azure DNS

Azure DNS
Azure ExpressRoute
Pare-feu Azure
Réseau virtuel Azure
Passerelle VPN Azure

Cet article présente une solution pour l’utilisation d’Azure DNS Private Resolver afin de simplifier la résolution DNS récursive hybride. Vous pouvez utiliser DNS Private Resolver pour des charges de travail locales et Azure. DNS Private Resolver simplifie la résolution DNS privée à partir d’un DNS local vers un service DNS privé Azure, et inversement.

Architecture

Les sections suivantes présentent des alternatives pour la résolution DNS récursive hybride. La première section décrit une solution qui utilise une machine virtuelle de redirecteur DNS. Les sections suivantes expliquent comment utiliser DNS Private Resolver.

Utiliser une machine virtuelle de redirecteur DNS

Avant que DNS Private Resolver soit disponible, une machine virtuelle de redirecteur DNS était déployée pour permettre au serveur local de résoudre des requêtes envoyées au service DNS privé Azure. Le diagramme suivant illustre les détails de cette résolution de noms. Un redirecteur conditionnel sur le serveur DNS local transfère les demandes à Azure, et une zone DNS privée est liée à un réseau virtuel. Les demandes adressées au service Azure sont ensuite résolues en l’adresse IP privée appropriée.

Dans cette solution, vous ne pouvez pas utiliser le service DNS public Azure pour résoudre des noms de domaine locaux.

Diagramme d’architecture montrant une solution sans DNS Private Resolver. Le trafic d’un serveur local vers une base de données Azure est visible.

Téléchargez un fichier PowerPoint de cette architecture.

Workflow

  1. Une machine virtuelle cliente envoie une demande de résolution de noms pour azsql1.database.windows.net à un serveur DNS interne local.

  2. Un redirecteur conditionnel est configuré sur le serveur DNS interne. Il transfère la requête DNS pour database.windows.net à 10.5.0.254, qui est l’adresse d’une machine virtuelle de redirecteur DNS.

  3. La machine virtuelle de redirecteur DNS envoie la demande à 168.63.129.16, l’adresse IP du serveur DNS interne Azure.

  4. Le serveur Azure DNS envoie une demande de résolution de noms pour azsql1.database.windows.net aux résolveurs récursifs Azure. Les résolveurs répondent avec le nom canonique (CNAME) azsql1.privatelink.database.windows.net.

  5. Le serveur DNS Azure envoie une requête de résolution de nom pour azsql1.privatelink.database.windows.net à la zone DNS privée privatelink.database.windows.net. La zone DNS privée répond avec l’adresse IP privée 10.5.0.5.

  6. La réponse qui associe le CNAME azsql1.privatelink.database.windows.net à l’enregistrement 10.5.0.5 arrive au redirecteur DNS.

  7. La réponse arrive au serveur DNS interne local.

  8. La réponse arrive à la machine virtuelle cliente.

  9. La machine virtuelle cliente établit une connexion privée au point de terminaison privé qui utilise l’adresse IP 10.5.0.5. Le point de terminaison privé fournit à la machine virtuelle cliente une connexion sécurisée à une base de données Azure.

Pour plus d’informations, consultez Configuration DNS des points de terminaison privés Azure.

Utiliser DNS Private Resolver

Lorsque vous utilisez DNS Private Resolver, vous n’avez pas besoin de machine virtuelle de redirecteur DNS, et Azure DNS est capable de résoudre les noms de domaine locaux.

La solution suivante utilise DNS Private Resolver dans une topologie réseau hub-and-spoke. En guise de meilleure pratique, le modèle de conception de zone d’atterrissage Azure recommande d’utiliser ce type de topologie. Une connexion réseau hybride est établie à l’aide d’Azure ExpressRoute et du Pare-feu Azure. Cette configuration fournit un réseau hybride sécurisé. Le DNS Private Resolver est déployé dans un réseau spoke (appelé Shared Service Network dans les diagrammes de cet article).

Diagramme d’architecture montrant un réseau local connecté à un réseau hub-and-spoke Azure. DNS Private Resolver se trouve dans le réseau hub.

Téléchargez un fichier PowerPoint de cette architecture.

Composants de solution DNS Private Resolver

La solution qui utilise DNS Private Resolver contient les composants suivants :

  • Un réseau local. Ce réseau de centres de données clients est connecté à Azure via ExpressRoute ou une connexion de passerelle VPN Azure site à site. Les composants réseau incluent deux serveurs DNS locaux. L’un utilise l’adresse IP 192.168.0.1. L’autre utilise 192.168.0.2. Les deux serveurs fonctionnent en tant que résolveurs ou redirecteurs pour tous les ordinateurs à l’intérieur du réseau local.

Un administrateur crée tous les enregistrements DNS locaux et les points de terminaison sortants Azure sur ces serveurs. Des redirecteurs conditionnels sont configurés sur ces serveurs pour les services Stockage Blob Azure et Azure API Management. Ces redirecteurs transfèrent les requêtes à la connexion entrante de DNS Private Resolver. Le point de terminaison entrant utilise l'adresse IP 10.0.0.8 et est hébergé dans le réseau virtuel Shared Service (sous-réseau 10.0.0.0/28).

Le tableau suivant répertorie les enregistrements sur les serveurs locaux.

Nom de domaine Adresse IP Type d’enregistrement
App1.onprem.company.com 192.168.0.8 Mappage d’adresse
App2.onprem.company.com 192.168.0.9 Mappage d’adresse
blob.core.windows.net 10.0.0.8 Redirecteur DNS
azure-api.net 10.0.0.8 Redirecteur DNS
  • Un réseau hub.

    • Une passerelle VPN ou une connexion ExpressRoute sont utilisées pour la connexion hybride à Azure.
    • Le Pare-feu Azure fournit un pare-feu managé en tant que service. L’instance de pare-feu réside dans son propre sous-réseau.
  • Un réseau de service partagé.

    • Le résolveur privé DNS est déployé dans son propre réseau virtuel (séparé du réseau hub où est déployée la passerelle ExpressRoute). Le tableau suivant répertorie les paramètres configurés pour DNS Private Resolver. Pour les noms DNS App1 et App2, L’ensemble de règles de transfert DNS est configuré.
    Paramètre Adresse IP
    Réseau virtuel 10.0.0.0/24
    Sous-réseau de point de terminaison entrant 10.0.0.0/28
    Adresse IP de point de terminaison entrant 10.0.0.8
    Sous-réseau de point de terminaison sortant 10.0.0.16/28
    Adresse IP de point de terminaison sortant 10.0.0.19
    • Le réseau virtuel de service partagé (10.0.0.0/24) est relié aux zones DNS privées pour le stockage Blob et le service API.
  • Réseaux spoke.

    • Des machines virtuelles sont hébergées dans tous les réseaux spoke à des fins de test et de validation de résolution DNS.
    • Tous les réseaux virtuels spoke Azure utilisent le serveur Azure DNS par défaut à l’adresse IP 168.63.129.16. Et tous les réseaux virtuels spoke sont appairés aux réseaux virtuels hub. Tout le trafic, y compris le trafic vers et depuis le résolveur privé DNS, est acheminé via le hub.
    • Les réseaux virtuels spoke sont liés à des zones DNS privées. Cette configuration permet de résoudre les noms des services de liaison de points de terminaison privés comme privatelink.blob.core.windows.net.

Flux de trafic pour une requête DNS locale

Le diagramme suivant montre le flux de trafic qui se produit quand un serveur local émet une demande DNS.

Diagramme d’architecture montrant le trafic de résolution de noms DNS Private Resolver quand un serveur local interroge un enregistrement DNS privé Azure.

Téléchargez un fichier PowerPoint de cette architecture.

  1. Un serveur local interroge un enregistrement de service DNS privé Azure tel que blob.core.windows.net. La requête est envoyée au serveur DNS local à l’adresse IP 192.168.0.1 ou 192.168.0.2. Tous les ordinateurs locaux pointent vers le serveur DNS local.

  2. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transfère la requête au programme de résolution de DNS à l’adresse IP 10.0.0.8.

  3. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

  4. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant du programme de résolution de DNS.

Flux de trafic pour une requête DNS de machine virtuelle

Le diagramme suivant montre le flux de trafic qui se produit quand la machine virtuelle 1 émet une demande DNS. Dans ce cas, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

Diagramme d’architecture montrant le trafic de résolution de noms avec DNS Private Resolver quand une machine virtuelle spoke émet une requête DNS.

Téléchargez un fichier PowerPoint de cette architecture.

  1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser la résolution de noms qu’Azure fournit. Par conséquent, Azure DNS est utilisé pour résoudre la requête DNS.

  2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

  3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

  4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

  5. Si le service DNS privé Azure (2) et DNS Private Resolver (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via DNS Private Resolver

Le diagramme suivant montre le flux de trafic qui se produit lorsque MV 1 émet une requête DNS via un point de terminaison entrant DNS Private Resolver. Dans ce cas, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

Diagramme d’architecture montrant le trafic avec DNS Private Resolver quand une machine virtuelle spoke émet une requête DNS.

Téléchargez un fichier PowerPoint de cette architecture.

  1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser 10.0.0.8 comme serveur DNS de résolution de noms. Par conséquent, DNS Private Resolver est utilisé pour résoudre la requête DNS.

  2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

  3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

  4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

  5. Si le service DNS privé Azure (2) et DNS Private Resolver (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via un serveur DNS local

Le diagramme suivant montre le flux de trafic qui se produit quand MV 1 émet une requête DNS via un serveur DNS local. Dans ce cas, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

Diagramme d’architecture montrant le trafic de résolution de noms avec DNS Private Resolver quand une machine virtuelle spoke émet une requête DNS.

Téléchargez un fichier PowerPoint de cette architecture.

  1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser 192.168.0.1/2 comme serveur DNS de résolution de noms. Par conséquent, un serveur DNS local est utilisé pour résoudre la requête DNS.

  2. La requête est envoyée au serveur DNS local à l’adresse IP 192.168.0.1 ou 192.168.0.2.

  3. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transfère la requête au programme de résolution de DNS à l’adresse IP 10.0.0.8.

  4. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

  5. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant de DNS Private Resolver.

Composants

  • Passerelle VPN : passerelle de réseau virtuel que vous pouvez utiliser pour envoyer du trafic chiffré :

    • Entre un réseau virtuel Azure et un emplacement local via l’Internet public.
    • Entre les réseaux virtuels Azure sur le réseau principal Azure.
  • ExpressRoute étend les réseaux locaux dans le cloud Microsoft. ExpressRoute établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365 en utilisant un fournisseur de connectivité.

  • Le réseau virtuel Azure est le composant fondamental pour vos réseaux privés dans Azure. Via les réseaux virtuels, les ressources Azure, comme les machines virtuelles, peuvent communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux.

  • Azure Firewall applique des stratégies de connectivité réseau et d’application. Ce service de sécurité réseau gère de manière centralisée les stratégies sur plusieurs réseaux virtuels et abonnements.

  • DNS Private Resolver est un service qui établit un lien entre un DNS local et Azure DNS. Vous pouvez utiliser ce service pour interroger des zones privées Azure DNS à partir d’un environnement local, et vice versa, sans déployer de serveurs DNS basés sur des machines virtuelles.

  • Azure DNS est un service d’hébergement pour les domaines DNS. Azure DNS utilise l’infrastructure Azure pour fournir la résolution de noms.

  • Le service DNS privé Azure gère et résout les noms de domaines dans un réseau virtuel et dans des réseaux virtuels connectés. Lorsque vous utilisez ce service, vous n’avez pas besoin de configurer une solution DNS personnalisée. Lorsque vous utilisez des zones DNS privées, vous pouvez utiliser des noms de domaine personnalisés au lieu des noms qu’Azure fournit lors du déploiement.

  • Redirecteurs DNS : serveurs DNS qui transfèrent des requêtes vers des serveurs situés en dehors du réseau. Le redirecteur DNS transfère des requêtes uniquement pour les noms qu’il ne peut pas résoudre.

Détails du scénario

Azure offre différentes solutions DNS :

  • Azure DNS est un service d’hébergement pour les domaines DNS. Par défaut, les réseaux virtuels Azure utilisent Azure DNS pour la résolution DNS. Microsoft gère et maintient Azure DNS.
  • Azure Traffic Manager agit en tant que service d’équilibrage de charge DNS. Il permet de distribuer le trafic entre régions Azure à des applications accessibles au public.
  • Le service DNS privé Azure fournit un service DNS pour réseaux virtuels. Vous pouvez utiliser des zones de service DNS privées Azure pour résoudre vos propres noms de domaine et noms de machines virtuelles sans avoir à configurer une solution personnalisée et sans modifier votre propre configuration. Pendant le déploiement, vous pouvez utiliser des noms de domaine personnalisés au lieu de noms qu’Azure fournit si vous utilisez des zones DNS privées.
  • DNS Private Resolver est un service natif Cloud, hautement disponible, convivial pour le DevOps. Il fournit un service DNS simple, sans maintenance, fiable et sécurisé. Vous pouvez utiliser ce service pour résoudre les noms DNS hébergés dans des zones privées Azure DNS à partir de réseaux locaux. Vous pouvez également utiliser le service pour les requêtes DNS pour vos propres noms de domaine.

Avant que DNS Private Resolver ne soit disponible, vous deviez utiliser des serveurs DNS personnalisés pour la résolution DNS à partir de systèmes locaux vers Azure et vice versa. Les solutions DNS personnalisées présentent de nombreux inconvénients :

  • La gestion de plusieurs serveurs DNS personnalisés pour plusieurs réseaux virtuels implique des coûts élevés d’infrastructure et de licence.
  • Vous devez gérer tous les aspects de l’installation, de la configuration et de la maintenance des serveurs DNS.
  • Les tâches générales, telles que la surveillance et la mise à jour corrective de ces serveurs, sont complexes et sujettes à des défaillances.
  • Il n’existe aucune prise en charge de DevOps pour la gestion des enregistrements DNS et des règles de transfert.
  • Il est coûteux d’implémenter des solutions de serveur DNS évolutives.

DNS Private Resolver surmonte ces obstacles en fournissant les fonctionnalités et les avantages clés suivants :

  • Un service Microsoft complètement managé avec une haute disponibilité et une redondance de zone intégrées.
  • Solution évolutive qui fonctionne bien avec DevOps.
  • Économies de coûts par rapport aux solutions personnalisées traditionnelles basées sur une infrastructure en tant que service (IaaS).
  • Transfert conditionnel pour Azure DNS vers des serveurs locaux. Le point de terminaison sortant offre cette possibilité, qui n'était pas disponible auparavant. Les charges de travail dans Azure ne nécessitent plus de connexions directes aux serveurs DNS locaux. Au lieu de cela, les charges de travail Azure se connectent à l’adresse IP sortante de DNS Private Resolver.

Cas d’usage potentiels

Cette solution simplifie la résolution DNS privée dans des réseaux hybrides. Elle s’applique à de nombreux scénarios :

  • Stratégies de transition pendant la migration à long terme vers des solutions totalement natives Cloud
  • Solutions de récupération d’urgence et de tolérance de panne qui répliquent des données et services entre des environnements locaux et cloud
  • Solutions hébergeant des composants dans Azure pour réduire la latence entre les centres de données locaux et les emplacements distants

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Nous vous déconseillons de déployer un DNS Private Resolver dans un réseau virtuel contenant une passerelle ExpressRoute. Pour plus d’informations, consultez À propos des passerelles de réseau virtuel ExpressRoute.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la fiabilité.

DNS Private Resolver est un service natif dans le cloud, hautement disponible et adapté au DevOps. Il offre une solution DNS fiable et sécurisée tout en restant simple et sans maintenance pour les utilisateurs.

Disponibilité régionale

Pour obtenir la liste des régions dans lesquelles DNS Private Resolver est disponible, consultez Disponibilité régionale.

Un résolveur DNS ne peut faire référence qu’à un réseau virtuel présent dans la même région.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la sécurité.

Azure DNS prend en charge le jeu d’encodage ASCII étendu pour les jeux d’enregistrements texte (TXT). Pour plus d’informations, consultez Forum aux questions sur Azure DNS.

Azure DNS ne prend pas actuellement en charge les extensions de sécurité DNS (DNSSEC). Mais les utilisateurs sont demandeurs de cette fonctionnalité.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d'informations, consultez Liste de contrôle de la révision de la conception pour l'optimisation des coûts.

  • En tant que solution, DNS Private Resolver est largement rentable. L’un des principaux avantages de DNS Private Resolver est qu’il est complètement managé, ce qui élimine le besoin de serveurs dédiés.

  • Pour calculer le coût de DNS Private Resolver, utilisez la calculatrice de prix Azure. Pour les modèles de tarification de DNS Private Resolver, consultez Tarification d’Azure DNS.

  • La tarification inclut également des caractéristiques de disponibilité et de scalabilité.

  • ExpressRoute prend en charge deux modèles de facturation :

    • Le modèle Données limitées vous facture par gigaoctet pour les transferts de données sortants.
    • Le modèle Données illimitées vous facture des frais de port mensuel fixes qui couvrent tous les transferts de données entrants et sortants.

    Pour plus d’informations, consultez le Tarification ExpressRoute.

  • Si vous utilisez une passerelle VPN au lieu d’ExpressRoute, le coût varie selon le produit et est facturé par heure. Pour plus d’informations, consultez Tarification Passerelle VPN.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Pour en savoir plus, consultez Liste de vérification de l'examen de la conception pour l'efficacité des performances

DNS Private Resolver est un service Microsoft complètement managé qui peut gérer des millions de requêtes. Utilisez un espace d’adressage de sous-réseau compris entre /28 et /24. Pour la plupart des utilisateurs, /26 fonctionne le mieux. Pour plus d’informations, consultez Restrictions de sous-réseau.

Mise en réseau

Les ressources suivantes fournissent des informations supplémentaires sur la création d’un résolveur DNS privé :

Prise en charge de DNS inversé

Traditionnellement, les enregistrements DNS mappent un nom DNS à une adresse IP. Par exemple, la résolution de www.contoso.com est 42.3.10.170. Avec DNS inversé, le mappage va dans la direction opposée. Une adresse IP est re-mappée à un nom. Par exemple, la résolution de l’adresse IP 42.3.10.170 est www.contoso.com.

Pour plus d’informations sur la prise en charge dans Azure du DNS inversé et sur le fonctionnement de celui-ci, consultez Vue d’ensemble du DNS inversé et de la prise en charge dans Azure.

Restrictions

DNS Private Resolver présente les limitations suivantes :

  • L’ensemble de règles DNS Private Resolver ne peut être lié qu’à des réseaux virtuels situés dans la même région géographique que le résolveur.
  • Un réseau virtuel ne peut pas contenir plus d’un résolveur DNS privé.
  • Vous devez affecter un sous-réseau dédié à chaque point de terminaison entrant et sortant.

Pour plus d’informations, consultez Restrictions de réseau virtuel.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes