Resolver privato DNS di Azure

Questo articolo presenta una soluzione per l'uso del resolver privato DNS di Azure per semplificare la risoluzione DNS (Domain Name System) ricorsiva ibrida. È possibile usare il sistema di risoluzione privato DNS per carichi di lavoro locali e carichi di lavoro di Azure. Il sistema di risoluzione privato DNS semplifica la risoluzione DNS privata dall'ambiente locale al servizio DNS privato di Azure e viceversa.

Architettura

Le sezioni seguenti presentano alternative per la risoluzione DNS ricorsiva ibrida. La prima sezione illustra una soluzione che usa una macchina virtuale (VM) del server d'inoltro DNS. Le sezioni successive illustrano come usare il sistema di risoluzione privato DNS.

Usare una macchina virtuale del server d'inoltro DNS

Prima della disponibilità del sistema di risoluzione privato DNS, è stata distribuita una macchina virtuale del server d'inoltro DNS in modo che un server locale potesse risolvere le richieste al servizio DNS privato di Azure. Il diagramma seguente illustra i dettagli di questa risoluzione dei nomi. Un server d'inoltro condizionale nel server DNS locale inoltra le richieste ad Azure e una zona DNS privata è collegata a una rete virtuale. Le richieste al servizio di Azure vengono quindi risolte nell'indirizzo IP privato appropriato.

In questa soluzione non è possibile usare il servizio DNS pubblico di Azure per risolvere i nomi di dominio locali.

Scaricare un file PowerPoint di questa architettura.

Workflow

1. Una macchina virtuale client invia una richiesta di risoluzione dei nomi per azsql1.database.windows.net a un server DNS interno locale.

2. Un server d'inoltro condizionale è configurato nel server DNS interno. Inoltra la query DNS per database.windows.net a 10.5.0.254, ovvero l'indirizzo di una macchina virtuale del server d'inoltro DNS.

3. La macchina virtuale del server d'inoltro DNS invia la richiesta a 168.63.129.16, l'indirizzo IP del server DNS interno di Azure.

4. Il server DNS di Azure invia una richiesta di risoluzione dei nomi per azsql1.database.windows.net ai resolver ricorsivi di Azure. I resolver rispondono con il nome canonico (CNAME) azsql1.privatelink.database.windows.net.

5. Il server DNS di Azure invia una richiesta di risoluzione dei nomi per azsql1.privatelink.database.windows.net alla zona privatelink.database.windows.netDNS privata . La zona DNS privata risponde con l'indirizzo IP privato 10.5.0.5.

6. La risposta che associa il CNAME azsql1.privatelink.database.windows.net al record 10.5.0.5 arriva al server d'inoltro DNS.

7. La risposta arriva al server DNS interno locale.

8. La risposta arriva alla macchina virtuale client.

9. La macchina virtuale client stabilisce una connessione privata all'endpoint privato che usa l'indirizzo IP 10.5.0.5. L'endpoint privato fornisce alla macchina virtuale client una connessione sicura a un database di Azure.

Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Usare il sistema di risoluzione privato DNS

Quando si usa il sistema di risoluzione privato DNS, non è necessaria una macchina virtuale del server d'inoltro DNS e DNS di Azure è in grado di risolvere i nomi di dominio locali.

La soluzione seguente usa il sistema di risoluzione privato DNS in una topologia di rete hub-spoke. Come procedura consigliata, il modello di progettazione della zona di destinazione di Azure consiglia di usare questo tipo di topologia. Viene stabilita una connessione di rete ibrida usando Azure ExpressRoute e Firewall di Azure. Questa configurazione fornisce una rete ibrida sicura. Il sistema di risoluzione privato DNS viene distribuito in una rete spoke (indicato come rete del servizio condiviso nei diagrammi di questo articolo).

Scaricare un file PowerPoint di questa architettura.

Componenti della soluzione Resolver privato DNS

La soluzione che usa il sistema di risoluzione privato DNS contiene i componenti seguenti:

• Una rete locale. Questa rete di data center dei clienti è connessa ad Azure tramite ExpressRoute o una connessione da sito a sito di Azure Gateway VPN. I componenti di rete includono due server DNS locali. Uno usa l'indirizzo IP 192.168.0.1. L'altro usa 192.168.0.2. Entrambi i server funzionano come resolver o server d'inoltro per tutti i computer all'interno della rete locale.

Un amministratore crea tutti i record DNS locali e i server d'inoltro degli endpoint di Azure in questi server. I server d'inoltro condizionale sono configurati in questi server per i servizi di Archiviazione BLOB di Azure e azure Gestione API. Questi server d'inoltro inviano richieste alla connessione in ingresso del resolver privato DNS. L'endpoint in ingresso usa l'indirizzo IP 10.0.0.8 ed è ospitato nella rete virtuale del servizio condiviso (subnet 10.0.0.0/28).

Nella tabella seguente sono elencati i record nei server locali.

• Una rete hub.

  • Gateway VPN o una connessione ExpressRoute viene usata per la connessione ibrida ad Azure.
  • Firewall di Azure fornisce un firewall gestito come servizio. L'istanza del firewall si trova nella propria subnet.

• Una rete di servizi condivisi.

  • Il resolver privato DNS viene distribuito nella propria rete virtuale (separata dalla rete hub in cui viene distribuito il gateway ExpressRoute). Nella tabella seguente sono elencati i parametri configurati per il resolver privato DNS. Per i nomi DNS App1 e App2, il set di regole di inoltro DNS è configurato.

  Parametro	Indirizzo IP
  Rete virtuale	10.0.0.0/24
  Subnet dell'endpoint in ingresso	10.0.0.0/28
  Indirizzo IP dell'endpoint in ingresso	10.0.0.8
  Subnet dell'endpoint in uscita	10.0.0.16/28
  Indirizzo IP dell'endpoint in uscita	10.0.0.19

  • La rete virtuale del servizio condiviso (10.0.0.0/24) è collegata alle zone DNS private per l'archiviazione BLOB e al servizio API.

• Reti spoke.

  • Le macchine virtuali sono ospitate in tutte le reti spoke per il test e la convalida della risoluzione DNS.
  • Tutte le reti virtuali spoke di Azure usano il server DNS di Azure predefinito all'indirizzo IP 168.63.129.16. E tutte le reti virtuali spoke sono sottoposte a peering con le reti virtuali hub. Tutto il traffico, incluso il traffico da e verso il resolver privato DNS, viene instradato attraverso l'hub.
  • Le reti virtuali spoke sono collegate alle zone DNS private. Questa configurazione consente di risolvere i nomi dei servizi di collegamento all'endpoint privato, ad esempio privatelink.blob.core.windows.net.

Flusso del traffico per una query DNS locale

Il diagramma seguente illustra il flusso di traffico che risulta quando un server locale emette una richiesta DNS.

Scaricare un file PowerPoint di questa architettura.

1. Un server locale esegue una query su un record del servizio DNS privato di Azure, ad esempio blob.core.windows.net. La richiesta viene inviata al server DNS locale all'indirizzo IP 192.168.0.1 o 192.168.0.2. Tutti i computer locali puntano al server DNS locale.

2. Un server d'inoltro condizionale nel server DNS locale per blob.core.windows.net inoltrare la richiesta al resolver DNS all'indirizzo IP 10.0.0.8.

3. Il resolver DNS esegue una query su DNS di Azure e riceve informazioni su un collegamento di rete virtuale del servizio DNS privato di Azure.

4. Il servizio DNS privato di Azure risolve le query DNS inviate tramite il servizio DNS pubblico di Azure all'endpoint in ingresso del resolver DNS.

Flusso di traffico per una query DNS della macchina virtuale

Il diagramma seguente illustra il flusso di traffico che risulta quando la macchina virtuale 1 emette una richiesta DNS. In questo caso, la rete virtuale spoke 1 tenta di risolvere la richiesta.

Scaricare un file PowerPoint di questa architettura.

1. La macchina virtuale 1 esegue una query su un record DNS. Le reti virtuali spoke sono configurate per l'uso della risoluzione dei nomi fornita da Azure. Di conseguenza, DNS di Azure viene usato per risolvere la query DNS.

2. Se la query tenta di risolvere un nome privato, viene contattato il servizio DNS privato di Azure.

3. Se la query non corrisponde a una zona DNS privata collegata alla rete virtuale, DNS di Azure si connette al resolver privato DNS. La rete virtuale Spoke 1 ha un collegamento di rete virtuale. Il resolver privato DNS verifica la presenza di un set di regole di inoltro DNS associato alla rete virtuale Spoke 1.

4. Se viene trovata una corrispondenza nel set di regole di inoltro DNS, la query DNS viene inoltrata tramite l'endpoint in uscita all'indirizzo IP specificato nel set di regole.

5. Se il servizio DNS privato di Azure (2) e il resolver privato DNS (3) non riescono a trovare un record corrispondente, dns di Azure (5) viene usato per risolvere la query.

Ogni regola di inoltro DNS specifica uno o più server DNS di destinazione da usare per l'inoltro condizionale. Le informazioni specificate includono il nome di dominio, l'indirizzo IP di destinazione e la porta.

Flusso del traffico per una query DNS della macchina virtuale tramite resolver privato DNS

Il diagramma seguente illustra il flusso di traffico che risulta quando la macchina virtuale 1 emette una richiesta DNS tramite un endpoint in ingresso del resolver privato DNS. In questo caso, la rete virtuale spoke 1 tenta di risolvere la richiesta.

Scaricare un file PowerPoint di questa architettura.

1. La macchina virtuale 1 esegue una query su un record DNS. Le reti virtuali spoke sono configurate per l'uso di 10.0.0.8 come server DNS di risoluzione dei nomi. Di conseguenza, il resolver privato DNS viene usato per risolvere la query DNS.

2. Se la query tenta di risolvere un nome privato, viene contattato il servizio DNS privato di Azure.

3. Se la query non corrisponde a una zona DNS privata collegata alla rete virtuale, DNS di Azure si connette al resolver privato DNS. La rete virtuale Spoke 1 ha un collegamento di rete virtuale. Il resolver privato DNS verifica la presenza di un set di regole di inoltro DNS associato alla rete virtuale Spoke 1.

4. Se viene trovata una corrispondenza nel set di regole di inoltro DNS, la query DNS viene inoltrata tramite l'endpoint in uscita all'indirizzo IP specificato nel set di regole.

5. Se il servizio DNS privato di Azure (2) e il resolver privato DNS (3) non riescono a trovare un record corrispondente, dns di Azure (5) viene usato per risolvere la query.

Ogni regola di inoltro DNS specifica uno o più server DNS di destinazione da usare per l'inoltro condizionale. Le informazioni specificate includono il nome di dominio, l'indirizzo IP di destinazione e la porta.

Flusso del traffico per una query DNS della macchina virtuale tramite un server DNS locale

Il diagramma seguente illustra il flusso di traffico che risulta quando la macchina virtuale 1 emette una richiesta DNS tramite un server DNS locale. In questo caso, la rete virtuale spoke 1 tenta di risolvere la richiesta.

Scaricare un file PowerPoint di questa architettura.

1. La macchina virtuale 1 esegue una query su un record DNS. Le reti virtuali spoke sono configurate per l'uso di 192.168.0.1/2 come server DNS di risoluzione dei nomi. Di conseguenza, viene usato un server DNS locale per risolvere la query DNS.

2. La richiesta viene inviata al server DNS locale all'indirizzo IP 192.168.0.1 o 192.168.0.2.

3. Un server d'inoltro condizionale nel server DNS locale per blob.core.windows.net inoltrare la richiesta al resolver DNS all'indirizzo IP 10.0.0.8.

4. Il resolver DNS esegue una query su DNS di Azure e riceve informazioni su un collegamento di rete virtuale del servizio DNS privato di Azure.

5. Il servizio DNS privato di Azure risolve le query DNS inviate tramite il servizio DNS pubblico di Azure all'endpoint in ingresso del resolver privato DNS.

Componenti

• Gateway VPN è un gateway di rete virtuale che è possibile usare per inviare traffico crittografato:

  • Tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico.
  • Tra reti virtuali di Azure tramite la rete backbone di Azure.

• ExpressRoute estende le reti locali nel cloud Microsoft. ExpressRoute stabilisce connessioni private ai componenti cloud come i servizi di Azure e Microsoft 365 usando un provider di connettività.

• Rete virtuale di Azure rappresenta il blocco costitutivo delle reti private in Azure. Attraverso la rete virtuale, le risorse di Azure come le macchine virtuali possono comunicare in modo sicuro tra loro, con Internet e con le reti locali.

• Firewall di Azure applica i criteri di connettività di rete e delle applicazioni. Questo servizio di sicurezza di rete gestisce centralmente i criteri tra più reti virtuali e sottoscrizioni.

• Il resolver privato DNS è un servizio che collega un DNS locale con DNS di Azure. È possibile usare questo servizio per eseguire query sulle zone private di DNS di Azure da un ambiente locale e viceversa senza distribuire server DNS basati su macchine virtuali.

• DNS di Azure è un servizio di hosting per i domini DNS DNS di Azure fornisce l'infrastruttura per fornire la risoluzione di nomi.

• Il servizio DNS privato di Azure gestisce e risolve i nomi di dominio in una rete virtuale e nelle reti virtuali connesse. Quando si usa questo servizio, non è necessario configurare una soluzione DNS personalizzata. Quando si usano zone DNS private, è possibile usare nomi di dominio personalizzati anziché i nomi forniti da Azure durante la distribuzione.

• I server d'inoltro DNS sono server DNS che inoltrano query ai server esterni alla rete. Il server d'inoltro DNS inoltra solo le query per i nomi che non è possibile risolvere.

Dettagli dello scenario

Azure offre varie soluzioni DNS:

• DNS di Azure è un servizio di hosting per i domini DNS Per impostazione predefinita, le reti virtuali di Azure usano DNS di Azure per la risoluzione DNS. Microsoft gestisce e gestisce DNS di Azure.
• Gestione traffico di Azure funge da servizio di bilanciamento del carico basato su DNS. Offre un modo per distribuire il traffico tra aree di Azure alle applicazioni pubbliche.
• Il servizio DNS privato di Azure fornisce un servizio DNS per le reti virtuali. È possibile usare le zone di servizio DNS privato di Azure per risolvere i propri nomi di dominio e vm senza dover configurare una soluzione personalizzata e senza modificare la propria configurazione. Durante la distribuzione, è possibile usare nomi di dominio personalizzati anziché nomi forniti da Azure se si usano zone DNS private.
• Il resolver privato DNS è un servizio nativo del cloud, a disponibilità elevata e compatibile con DevOps. Offre un servizio DNS semplice, senza manutenzione, affidabile e sicuro. È possibile usare questo servizio per risolvere i nomi DNS ospitati nelle zone private dns di Azure dalle reti locali. È anche possibile usare il servizio per le query DNS per i propri nomi di dominio.

Prima della disponibilità del sistema di risoluzione privato DNS, era necessario usare server DNS personalizzati per la risoluzione DNS da sistemi locali ad Azure e viceversa. Le soluzioni DNS personalizzate presentano molti svantaggi:

• La gestione di più server DNS personalizzati per più reti virtuali comporta costi elevati di infrastruttura e licenze.
• È necessario gestire tutti gli aspetti dell'installazione, della configurazione e della gestione dei server DNS.
• Le attività generali, ad esempio il monitoraggio e l'applicazione di patch a questi server, sono complesse e soggette a errori.
• Non è disponibile alcun supporto DevOps per la gestione dei record DNS e delle regole di inoltro.
• È costoso implementare soluzioni server DNS scalabili.

Il resolver privato DNS supera questi ostacoli fornendo le funzionalità e i vantaggi principali seguenti:

• Un servizio Microsoft completamente gestito con disponibilità elevata predefinita e ridondanza della zona.
• Soluzione scalabile che funziona bene con DevOps.
• Risparmio sui costi rispetto alle soluzioni personalizzate basate su infrastruttura distribuita come servizio (IaaS) tradizionali.
• Inoltro condizionale per DNS di Azure ai server locali. L'endpoint in uscita offre questa funzionalità, che non era disponibile in passato. I carichi di lavoro in Azure non richiedono più connessioni dirette ai server DNS locali. I carichi di lavoro di Azure si connettono invece all'indirizzo IP in uscita del resolver privato DNS.

Potenziali casi d'uso

Questa soluzione semplifica la risoluzione DNS privata nelle reti ibride. Si applica a molti scenari:

• Strategie di transizione durante la migrazione a lungo termine a soluzioni completamente native del cloud
• Soluzioni di ripristino di emergenza e tolleranza di errore che replicano dati e servizi tra ambienti locali e cloud
• Soluzioni che ospitano componenti in Azure per ridurre la latenza tra data center locali e posizioni remote

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

È consigliabile distribuire un resolver privato DNS in una rete virtuale che contiene un gateway ExpressRoute. Per altre informazioni, vedere Informazioni sui gateway di rete virtuale ExpressRoute.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'affidabilità.

Il resolver privato DNS è un servizio nativo del cloud a disponibilità elevata e compatibile con DevOps. Offre una soluzione DNS affidabile e sicura mantenendo al contempo semplicità e manutenzione zero per gli utenti.

Disponibilità a livello di area

Per un elenco delle aree in cui è disponibile il resolver privato DNS, vedere Disponibilità a livello di area.

Un resolver DNS può fare riferimento solo a una rete virtuale che si trova nella stessa area del sistema di risoluzione DNS.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

DNS di Azure supporta il set di codifica ASCII esteso per i set di record di testo (TXT). Per altre informazioni, vedere Domande frequenti su DNS di Azure.

DNS di Azure include dns security extensions (DNSSEC) in anteprima.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

• Come soluzione, il sistema di risoluzione privato DNS è in gran parte conveniente. Uno dei principali vantaggi del resolver privato DNS è che è completamente gestito, eliminando la necessità di server dedicati.

• Per calcolare il costo del resolver privato DNS, usare il calcolatore prezzi di Azure. Per i modelli di prezzi del resolver privato DNS, vedere Prezzi di DNS di Azure.

• I prezzi includono anche funzionalità di disponibilità e scalabilità.

• ExpressRoute supporta due modelli di fatturazione:

  • Dati a consumo, che vengono addebitati per gigabyte per i trasferimenti di dati in uscita.
  • Dati illimitati, che addebita una tariffa di porta mensile fissa che copre tutti i trasferimenti di dati in ingresso e in uscita.

  Per altre informazioni, vedere Prezzi di ExpressRoute.

• Se si usa Gateway VPN anziché ExpressRoute, il costo varia in base al prodotto e viene addebitato all'ora. Per altre informazioni, vedere Prezzi di Gateway VPN.

Efficienza prestazionale

L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'efficienza delle prestazioni.

Dns Private Resolver è un servizio Microsoft completamente gestito che può gestire milioni di richieste. Usare uno spazio indirizzi subnet compreso tra /28 e /24. Per la maggior parte degli utenti, /26 funziona meglio. Per altre informazioni, vedere Restrizioni della subnet.

Rete

Le risorse seguenti forniscono altre informazioni sulla creazione di un resolver privato DNS:

• Creare un sistema di risoluzione privato DNS usando il portale di Azure
• Creare un sistema di risoluzione privato DNS usando Azure PowerShell

Supporto DNS inverso

Tradizionalmente, i record DNS eseguono il mapping di un nome DNS a un indirizzo IP. Ad esempio, www.contoso.com viene risolto in 42.3.10.170. Con IL DNS inverso, il mapping si trova nella direzione opposta. Viene eseguito il mapping di un indirizzo IP a un nome. Ad esempio, l'indirizzo IP 42.3.10.170 viene risolto in www.contoso.com.

Per informazioni dettagliate sui supporto tecnico di Azure per il DNS inverso e sul funzionamento del DNS inverso, vedere Panoramica del DNS inverso e del supporto in Azure.

Restrizioni

Il resolver privato DNS presenta le limitazioni seguenti:

• I set di regole del resolver privato DNS possono essere collegati solo a reti virtuali che si trovano nella stessa area geografica del sistema di risoluzione.
• Una rete virtuale non può contenere più di un resolver privato DNS.
• È necessario assegnare una subnet dedicata a ogni endpoint in ingresso e in uscita.

Per altre informazioni, vedere Restrizioni di rete virtuale.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Moorthy Annadurai | Cloud Solution Architect

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Che cos'è un collegamento di rete virtuale?
• Che cos'è DNS di Azure?
• Che cos'è il servizio DNS privato di Azure?
• Che cos'è il resolver privato DNS?
• Domande frequenti su DNS di Azure
• Panoramica del DNS inverso e del supporto in Azure

Risorse correlate

• File di Azure accessibili in locale e protetti da Active Directory Domain Services
• Progettare una soluzione DNS ibrida con Azure
• Condivisione file del cloud aziendale di Azure