Vue d’ensemble des zones et des enregistrements DNS
Cet article explique les concepts clés des domaines, des zones DNS, des enregistrements DNS et des jeux d’enregistrements. Vous découvrirez leur prise en charge dans Azure DNS.
Noms de domaine
DNS est une hiérarchie de domaines. Celle-ci démarre à partir du domaine root
, dont le nom est simplement « . ». Puis viennent les domaines de niveau supérieur, tels que com
, net
, org
, uk
ou jp
. Vous trouvez ensuite les domaines de second niveau, comme org.uk
ou co.jp
. Dans une hiérarchie DNS, les domaines sont distribués et hébergés par des serveurs de noms situés dans le monde entier.
Un bureau d’enregistrement de noms de domaine est une organisation permettant d’acheter un nom de domaine, par exemple contoso.com
. L’achat d’un nom de domaine vous autorise à contrôler la hiérarchie DNS sous ce nom, par exemple à diriger le nom www.contoso.com
vers le site web de votre entreprise. Le registrar peut héberger le domaine sur ses propres serveurs de noms en votre nom, ou vous autoriser à spécifier d’autres serveurs de noms.
Azure DNS fournit une infrastructure de serveurs de noms à haute disponibilité répartie dans le monde entier que vous pouvez utiliser pour héberger votre domaine. En hébergeant vos domaines dans le DNS Azure, vous pouvez gérer vos enregistrements DNS avec les mêmes éléments que vos autres services Azure : informations d’identification, API, outils, facturation et support.
Azure DNS ne prend actuellement pas en charge l’achat de noms de domaine. Moyennant un abonnement annuel, vous pouvez acheter un nom de domaine à l’aide des domaines App Service ou d’un bureau d’enregistrement de nom de domaine tiers. Vos domaines peuvent alors être hébergés dans Azure DNS pour la gestion des enregistrements. Pour plus d’informations, voir Délégation de domaine à Azure DNS.
Zones DNS
Une zone DNS permet d’héberger les enregistrements DNS d’un domaine particulier. Pour commencer à héberger votre domaine dans le DNS Azure, vous devez créer une zone DNS pour ce nom de domaine. Chaque enregistrement DNS pour votre domaine est ensuite créé à l’intérieur de cette zone DNS.
Par exemple, le domaine « contoso.com » peut contenir plusieurs enregistrements DNS, tels que « mail.contoso.com » (pour un serveur de messagerie) et « www.contoso.com » (pour un site web).
Lorsque vous créez une zone DNS dans Azure DNS :
- Le nom de la zone doit être unique dans le groupe de ressources et la zone ne doit pas déjà exister. Dans le cas contraire, l’opération échoue.
- Vous pouvez réutiliser le même nom de zone dans un autre groupe de ressources ou abonnement Azure.
- Lorsque plusieurs zones partagent le même nom, des adresses de serveur de noms différentes sont attribuées à chaque instance. Vous ne pouvez configurer qu’un seul ensemble d’adresses auprès du bureau d’enregistrement de noms de domaine.
Notes
Pour créer une zone DNS avec un nom de domaine dans le DNS Azure, vous ne devez pas nécessairement être propriétaire de ce nom. En revanche, vous devez être propriétaire du domaine pour pouvoir configurer les serveurs de noms du DNS Azure en tant que serveurs de noms corrects pour le nom de domaine auprès du bureau d’enregistrement de noms de domaine.
Pour plus d’informations, voir Délégation de domaine à Azure DNS.
Enregistrements DNS
Noms d’enregistrement
Dans Azure DNS, les enregistrements sont spécifiés à l’aide de noms relatifs. Un nom de domaine complet (FQDN) inclut le nom de la zone, contrairement au nom relatif, qui ne l’inclut pas. Par exemple, le nom d’enregistrement relatif www
dans la zone contoso.com
donne le nom d’enregistrement complet www.contoso.com
.
Un enregistrement apex est un enregistrement DNS à la racine (ou apex) d’une zone DNS. Par exemple, dans la zone DNS contoso.com
, un enregistrement apex porte également le nom complet contoso.com
(on parle parfois de domaine nu). Par convention, le nom relatif « @ » est utilisé pour représenter des enregistrements apex.
Types d’enregistrements
Chaque enregistrement DNS a un nom et un type. Les enregistrements sont organisés selon différents types, en fonction des données qu’ils contiennent. Le type le plus courant est un enregistrement « A » qui mappe un nom à une adresse IPv4. Un autre type courant est un enregistrement « MX » qui mappe un nom à un serveur de messagerie.
Azure DNS prend en charge tous les types d’enregistrement DNS courants, à savoir : A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV et TXT. Notez que les enregistrements SPF sont représentés à l’aide d’enregistrements TXT.
Des types d’enregistrements supplémentaires sont pris en charge si la zone est signée avec les extensions de sécurité DNS (DNSSEC), comme des enregistrements de ressources Signataire de délégation (DS) et Authentification par protocole TLS (TLSA).
Les types d’enregistrements de ressources DNSSEC comme DNSKEY, RRSIG et NSEC3 sont ajoutés automatiquement quand une zone est signée avec DNSSEC. Ces types d’enregistrements de ressources DNSSEC ne peuvent pas être créés ou modifiés après la signature de la zone.
Jeux d’enregistrements
Vous devez parfois créer plusieurs enregistrements DNS avec un nom et un type donnés. Par exemple, supposons que le site web « www.contoso.com » est hébergé sur deux adresses IP différentes. Ce site web requiert deux enregistrements A différents, à savoir un pour chaque adresse IP. Voici un exemple de jeu d’enregistrements :
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Le DNS Azure gère l’ensemble des enregistrements DNS à l’aide de jeux d’enregistrements. Un jeu d’enregistrements (également appelé jeu d’enregistrements de ressource) est la collection d’enregistrements DNS dans une zone qui portent le même nom et sont du même type. La plupart des jeux d’enregistrements contiennent un seul enregistrement. Cependant, les exemples comme celui ci-dessus, dans lequel un jeu d’enregistrements contient plusieurs enregistrements, sont relativement courants.
Par exemple, supposons que vous avez déjà créé un enregistrement A nommé « www » dans la zone « contoso.com », qui pointe vers l’adresse IP « 134.170.185.46 » (le premier enregistrement ci-dessus). Pour créer le deuxième enregistrement, vous devez l’ajouter au jeu d’enregistrements existant, au lieu de créer un autre jeu.
Les types d’enregistrements SOA et CNAME font exception. Comme les normes DNS n’autorisent pas que plusieurs enregistrements portent le même nom pour ces types, ces jeux d’enregistrements ne peuvent contenir qu’un seul enregistrement.
Durée de vie
La durée de vie (TTL) spécifie la durée pendant laquelle chaque enregistrement est mis en cache par les clients avant d’être interrogé. Dans l’exemple ci-dessus, la durée de vie est de 3 600 secondes ou 1 heure.
Dans Azure DNS, la TTL est spécifiée pour le jeu d’enregistrements, et non pour chaque enregistrement. La même valeur est donc utilisée pour tous les enregistrements au sein de ce jeu d’enregistrements. Vous pouvez spécifier une valeur de durée de vie quelconque comprise entre 1 et 2 147 483 647 secondes.
Enregistrements génériques
Azure DNS prend en charge les enregistrements génériques. Ces derniers sont retournés en réponse à toute requête contenant un nom correspondant, sauf s’il existe une correspondance plus proche d’un jeu d’enregistrements non générique. Azure DNS prend en charge des jeux d'enregistrements génériques pour tous les types d'enregistrements, hormis NS et SOA.
Pour créer un jeu d’enregistrements génériques, utilisez le nom de jeu d’enregistrements « * ». Vous pouvez également utiliser un nom avec « * » comme étiquette la plus à gauche, par exemple, « *.foo ».
Enregistrements CAA
Un enregistrement CAA permet aux propriétaires de domaine de spécifier les autorités de certification autorisées à émettre des certificats pour leur domaine. Cet enregistrement permet aux autorités de certification d’éviter d’émettre des certificats incorrects dans certains cas. Les enregistrements CAA présentent trois propriétés :
- Flags : ce champ est un entier compris entre 0 et 255, utilisé pour représenter l’indicateur critique qui a une signification particulière d’après la RFC6844.
- Tag : une chaîne ASCII qui peut être l’un des éléments suivants :
- issue : si vous souhaitez spécifier quelles autorités de certification sont autorisées à émettre des certificats (de tous types).
- issuewild : si vous souhaitez spécifier quelles autorités de certification sont autorisées à émettre des certificats (certificats avec caractères génériques uniquement).
- iodef: spécifiez une adresse e-mail ou le nom d’hôte auquel les autorités de certification peuvent envoyer des notifications pour les demandes portant sur des certificats non autorisés.
- Value : valeur de la balise choisie.
Enregistrements CNAME
Les jeux d’enregistrements CNAME ne peuvent pas coexister avec d’autres jeux d’enregistrements portant le même nom. Par exemple, vous ne pouvez pas créer un jeu d’enregistrements CNAME avec le nom relatif www
et un enregistrement A avec le nom relatif www
en même temps.
Étant donné que l’apex de la zone (nom = « @ ») contiendra toujours les jeux d’enregistrements NS et SOA lors de la création de la zone, vous ne pouvez pas créer un jeu d’enregistrements CNAME au niveau de l’apex de la zone.
Ces contraintes sont dues aux normes DNS. Il ne s’agit pas de limites d’Azure DNS.
Enregistrements NS
Le jeu d’enregistrements NS à l’apex de la zone (nom « @ ») est créé automatiquement avec chaque zone DNS et est automatiquement supprimé lorsque la zone est supprimée. Il ne peut pas être supprimé séparément.
Ce jeu d’enregistrements contient les noms des serveurs de noms Azure DNS attribués à la zone. Vous pouvez ajouter d’autres serveurs de noms à ce jeu d’enregistrements NS pour prendre en charge le co-hébergement de domaines avec plusieurs fournisseurs DNS. Vous pouvez également modifier la durée de vie et les métadonnées pour ce jeu d’enregistrements. Toutefois, la suppression ou la modification des serveurs de noms Azure DNS préremplis n’est pas autorisée.
Cette restriction s’applique uniquement au jeu d’enregistrements NS défini à l’apex de la zone. Les autres jeux d’enregistrements NS dans votre zone (tels que ceux utilisés pour déléguer des zones enfants) peuvent être créés, modifiés et supprimés sans contrainte.
Enregistrements SOA
Un jeu d’enregistrements SOA est créé automatiquement à l’apex de chaque zone (nom = « @ ») et est automatiquement supprimé lorsque la zone est supprimée. Il n’est pas possible de créer ou supprimer séparément des enregistrements SOA.
Vous pouvez modifier toutes les propriétés de l’enregistrement SOA, à l’exception de la propriété host
. Cette propriété est préconfigurée pour faire référence au nom du serveur de noms principal fourni par Azure DNS.
Le numéro de série de la zone dans l’enregistrement SOA n’est pas mis à jour automatiquement lorsque des modifications sont apportées aux enregistrements de la zone. Vous pouvez le mettre à jour manuellement en modifiant l’enregistrement SOA, si nécessaire.
Remarque
Azure DNS ne prend actuellement pas en charge l’utilisation d’un point (.) avant l’entrée de boîte aux lettres «@» dans l’entrée de boîte aux lettres du hostmaster SOA. Par exemple : john.smith@contoso.xyz
(converti en john.smith.contoso.xyz) et john\.smith@contoso.xyz
ne sont pas autorisés.
Enregistrements SPF
Les enregistrements SPF (Sender Policy Framework) servent à spécifier les serveurs de messagerie qui peuvent envoyer des e-mails pour un nom de domaine. Il est important de configurer correctement les enregistrements SPF pour éviter que des destinataires les marquent comme courrier indésirable.
Les RFC sur DNS ont initialement introduit un type d’enregistrement SPF pour prendre en charge ce scénario. Pour prendre en charge des serveurs de noms plus anciens, elles autorisaient également l’utilisation du type d’enregistrement TXT pour spécifier les enregistrements SPF. Cette ambiguïté a entraîné une certaine confusion qui a été résolue par la norme RFC 7208. Elle stipule que les enregistrements SPF doivent être créés à l’aide du type d’enregistrement TXT. Elle stipule également que le type d’enregistrement SPF est déprécié.
Les enregistrements SPF sont pris en charge par le DNS Azure et doivent être créés à l’aide du type d’enregistrement TXT. Le type d’enregistrement SPF obsolète n’est pas pris en charge. Quand vous importez un fichier de zone DNS, tous les enregistrements SPF qui utilisent le type d’enregistrement SPF sont convertis au type d’enregistrement TXT.
Enregistrements SRV
Les enregistrements SRV sont utilisés par différents services pour spécifier les emplacements de serveur. Lorsque vous spécifiez un enregistrement SRV dans le DNS Azure :
- Le service et le protocole doivent être spécifiés dans le nom du jeu d’enregistrements, préfixés avec des traits de soulignement, tel que « _sip._tcp.name ». Pour un enregistrement à l’apex de la zone, il est inutile de spécifier « @ » dans son nom d’enregistrement. Utilisez simplement le service et le protocole, tel que « _sip._tcp ».
- La priorité, le poids, le port et la cible sont spécifiés en tant que paramètres de chaque enregistrement dans le jeu d’enregistrements.
Enregistrements TXT
Les enregistrements TXT sont utilisés pour mapper des noms de domaine sur des chaînes de texte arbitraires. Ils sont utilisés dans plusieurs applications, en particulier celles liées à la configuration des e-mails, telles Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM).
Les normes DNS autorisent un seul enregistrement TXT à contenir plusieurs chaînes, chacune d’entre elles pouvant comprendre jusqu’à 255 caractères. Lorsque plusieurs chaînes sont utilisées, elles sont concaténées par des clients et traitées comme une chaîne unique.
Lorsque vous appelez l’API REST DNS Azure, vous devez spécifier chaque chaîne TXT séparément. Lorsque vous utilisez le portail Azure, PowerShell ou les interfaces CLI, vous devez spécifier une seule chaîne par enregistrement. Cette chaîne est automatiquement divisée en segments de 255 caractères si nécessaire.
Les chaînes multiples dans un enregistrement DNS ne doivent pas être confondues avec les enregistrements TXT multiples dans un jeu d’enregistrements TXT. Un jeu d’enregistrements TXT peut contenir plusieurs enregistrements, chacun d'entre eux pouvant contenir plusieurs chaînes. Azure DNS prend en charge une longueur totale pouvant atteindre 4096 caractères dans chaque jeu d’enregistrements TXT (sur tous les enregistrements combinés).
Enregistrements DS
L’enregistrement du signataire de délégation (DS) est un type d’enregistrement de ressource DNSSEC utilisé pour sécuriser une délégation. Pour créer un enregistrement DS dans une zone, la zone doit d’abord être signée avec DNSSEC.
Enregistrements TLSA
Un enregistrement TLSA (authentification par protocole TLS) est utilisé pour associer un certificat de serveur TLS ou une clé publique au nom de domaine présentant l’enregistrement. Un enregistrement TLSA lie la clé publique (un certificat de serveur TLS) au nom de domaine, fournissant une couche supplémentaire de sécurité pour les connexions TLS.
Pour utiliser efficacement les enregistrements TLSA, DNSSEC doit être activé sur votre domaine. Cela garantit que les enregistrements TLSA peuvent être approuvés et correctement validés
Balises et métadonnées
Balises
Les balises sont une liste de paires nom-valeur. Azure Resource Manager les utilise pour étiqueter des ressources. Azure Resource Manager utilise des balises pour vous permettre de générer des vues filtrées de votre facture Azure et vous permet également de définir une stratégie pour certaines balises. Pour plus d’informations sur les balises, voir Organisation des ressources Azure à l’aide de balises.
Le DNS Azure prend en charge l’utilisation de balises Azure Resource Manager sur des ressources de zone DNS. Il ne prend pas en charge les balises sur les jeux d’enregistrements DNS, bien que l’alternative métadonnées soit prise en charge sur les jeux d’enregistrements DNS comme expliqué ci-dessous.
Métadonnées
À la place de balises de jeu d’enregistrements, Azure DNS prend en charge l’annotation des jeux d’enregistrements à l’aide des métadonnées. Comme des balises, les métadonnées permettent d’associer des paires nom-valeur à chaque jeu d’enregistrements. Cette fonctionnalité peut être utile, par exemple pour enregistrer l’objectif de chaque jeu d’enregistrements. Contrairement aux balises, vous ne pouvez pas utiliser les métadonnées pour produire une vue filtrée de votre facture Azure. Et vous ne pouvez pas non plus en spécifier dans une stratégie Azure Resource Manager.
Etags
Supposons que deux personnes ou deux processus tentent de modifier un enregistrement DNS en même temps. Lequel gagne ? Et le gagnant sait-il qu’il a remplacé les modifications créées par quelqu’un d’autre ?
Azure DNS utilise les Etags pour gérer les modifications simultanées de la même ressource en toute sécurité. Les Etags sont différents des « Balises » Azure Resource Manager. Chaque ressource DNS (zone ou jeu d’enregistrements) est associée à un Etag. Chaque fois qu’une ressource est récupérée, son Etag l’est également. Lors de la mise à jour d’une ressource, vous pouvez choisir de retransmettre l’Etag afin qu’Azure DNS puisse vérifier que l’Etag du serveur correspond. Étant donné que chaque mise à jour d’une ressource entraîne la régénération de l’Etag, l’absence de concordance entre les Etags indique qu’une modification simultanée a eu lieu. Les Etags sont également utilisés lors de la création d’une ressource pour vous assurer que cette ressource n’existe pas déjà.
Par défaut, Azure DNS PowerShell utilise les Etags pour bloquer les modifications simultanées apportées à des zones et des jeux d’enregistrements. Le commutateur facultatif -Overwrite peut être utilisé pour supprimer les vérifications d’Etags, auquel cas toutes les modifications simultanées qui se sont produites sont remplacées.
Au niveau de l’API REST Azure DNS, les Etags sont spécifiés à l’aide d’en-têtes HTTP. Leur comportement est indiqué dans le tableau suivant :
En-tête | Comportement |
---|---|
None | PUT réussit toujours (aucune vérification Etag) |
If-match <etag> | PUT ne réussit que si la ressource existe et que l’Etag correspond |
If-match * | PUT réussit seulement si la ressource existe |
If-none-match * | PUT réussit seulement si la ressource n’existe pas |
limites
Les limites par défaut suivantes s’appliquent lors de l’utilisation du DNS Azure :
Zones DNS publiques
Ressource | Limite |
---|---|
Zones DNS publiques par abonnement | 250 1 |
Jeux d’enregistrements par zone DNS publique | 10 000 1 |
Enregistrements par jeu d’enregistrements dans la zone DNS publique | 20 |
Nombre d’enregistrements d’alias pour une seule ressource Azure | 20 |
1Pour augmenter ces limites, contactez le support Azure.
Étapes suivantes
- Pour commencer à utiliser le DNS Azure, découvrez comment créer une zone DNS et créer des enregistrements DNS.
- Pour migrer une zone DNS, découvrez comment importer et exporter un fichier de zone DNS.