Partager via

DNS pour les ressources locales et Azure

  • Article

Dns (Domain Name System) est une rubrique de conception critique dans l’architecture globale de la zone d’atterrissage. Certaines organisations peuvent souhaiter utiliser leurs investissements existants dans DNS. D’autres peuvent considérer l’adoption du cloud comme une opportunité de moderniser leur infrastructure DNS interne et d’utiliser des fonctionnalités Azure natives.

Considérations relatives à la conception

  • Vous pouvez utiliser Azure DNS Private Resolver avec des zones DNS privées Azure pour la résolution de noms intersite.

  • Vous devrez peut-être utiliser des solutions DNS existantes sur site et Azure.

  • Un réseau virtuel ne peut être lié qu’à une seule zone DNS privée avec l’inscription automatique activée.

  • Familiarisez-vous avec les limites des zones DNS privées Azure.

Recommandations en matière de conception

  • Pour les environnements où seule la résolution de noms dans Azure est requise, utilisez des zones DNS privées Azure pour la résolution. Créez une zone déléguée pour la résolution de noms, telle que azure.contoso.com. Activez l’inscription automatique de la zone DNS privée Azure pour gérer automatiquement le cycle de vie des enregistrements DNS pour les machines virtuelles déployées dans un réseau virtuel.

  • Pour les environnements où la résolution de noms entre Azure et localement est requise, utilisez le programme de résolution privé DNS DNS, ainsi que les zones DNS privées Azure. Dns Private Resolver offre de nombreux avantages sur la solution DNS basée sur des machines virtuelles, notamment la réduction des coûts, la haute disponibilité intégrée, la scalabilité et la flexibilité.

    Si vous devez utiliser l’infrastructure DNS existante, telle que le DNS intégré Windows Server Active Directory, assurez-vous que le rôle serveur DNS est déployé sur au moins deux machines virtuelles et configurez les paramètres DNS dans les réseaux virtuels pour utiliser ces serveurs DNS personnalisés.

  • Pour les environnements dotés du Pare-feu Azure, envisagez de l’utiliser comme proxy DNS.

  • Vous pouvez lier une zone DNS privée Azure aux réseaux virtuels. Utilisez le programme de résolution privé DNS avec un ensemble de règles de transfert DNS qui est également associé aux réseaux virtuels :

    • Pour que les requêtes DNS générées dans le réseau virtuel Azure résolvent les noms DNS locaux tels que corporate.contoso.com, la requête DNS est transférée à l’adresse IP des serveurs DNS locaux spécifiés dans l’ensemble de règles.

    • Pour les requêtes DNS générées dans le réseau local pour résoudre les enregistrements DNS dans les zones DNS privées Azure, vous pouvez configurer des serveurs DNS locaux avec des redirecteurs conditionnels qui pointent vers l’adresse IP du point de terminaison entrant du programme de résolution privé DNS dans Azure. Cette configuration transfère la requête à la zone DNS privée Azure, par exemple azure.contoso.com.

  • Créez deux sous-réseaux dédiés pour le programme de résolution privé DNS dans le réseau virtuel hub, dans l’abonnement de connectivité. Créez un sous-réseau pour les points de terminaison entrants et un sous-réseau pour les points de terminaison sortants. Les deux sous-réseaux doivent avoir une taille minimale de /28.

    • Si vous déployez le résolveur DNS en même temps que votre passerelle ExpressRoute, vous devez vous assurer que la résolution des noms de domaine complets publics est autorisée et fournit une réponse valide via une règle de transfert DNS vers le serveur DNS ciblé. Certains services Azure s'appuient sur la possibilité de résoudre les noms DNS publics pour fonctionner. Pour plus d’informations, consultez Ensembles de règles de transfert DNS.

    • Les points de terminaison entrants reçoivent des demandes de résolution entrantes de clients au sein de votre réseau privé interne, Azure ou local. Vous pouvez avoir un maximum de cinq points de terminaison entrants.

    • Les points de terminaison sortants transfèrent les demandes de résolution vers des destinations au sein de votre réseau privé interne, Azure ou local, qui ne peuvent pas être résolues par des zones privées Azure DNS. Vous pouvez avoir un maximum de cinq points de terminaison sortants.

    • Créez un ensemble de règles approprié pour autoriser le transfert DNS vers des domaines et espaces de noms DNS locaux.

  • Les charges de travail qui nécessitent et déploient leur propre DNS, comme Red Hat OpenShift, doivent utiliser leur solution DNS préférée.

  • Créez les zones DNS privées Azure dans un abonnement de connectivité globale. Les zones DNS privées Azure qui doivent être créées incluent les zones requises pour accéder aux solutions de plateforme Azure en tant que service via un point de terminaison privé . Les exemples incluent privatelink.database.windows.net ou privatelink.blob.core.windows.net.