Progettare la risoluzione dei nomi per la rete virtuale

  • 10 minuti

DNS è suddiviso in due aree: DNS pubblico e privato per le risorse accessibili dalle reti interne.

Servizi DNS pubblici

I servizi DNS pubblici risolvono nomi e indirizzi IP per le risorse e i servizi accessibili tramite Internet, ad esempio i server Web. DNS di Azure è un servizio di hosting per il dominio DNS che fornisce la risoluzione dei nomi usando l'infrastruttura di Microsoft Azure. I domini DNS nel servizio DNS di Azure sono ospitati nella rete globale di Azure dei server dei nomi DNS. DNS di Azure usa le reti Anycast. Ogni query DNS viene indirizzata al server DNS più vicino disponibile.

In DNS di Azure è possibile creare manualmente record di indirizzi all'interno delle zone pertinenti. I record usati più di frequente sono:

  • Record host: A/AAAA (IPv4/IPv6)
  • Record alias: CNAME

DNS di Azure offre un servizio DNS affidabile e sicuro per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata.

Una zona DNS ospita i record DNS per un dominio. Per iniziare a ospitare il dominio in DNS di Azure, è quindi necessario creare una zona DNS per quel nome di dominio. Ogni record DNS per il dominio viene quindi creato all'interno di questa zona DNS.

Considerazioni

  • Il nome della zona deve essere univoco all'interno del gruppo di risorse e la zona non deve esistere già,
  • Lo stesso nome di zona può essere usato di nuovo in un gruppo di risorse diverso o in un'altra sottoscrizione di Azure.
  • Se più zone condividono lo stesso nome, a ogni istanza vengono assegnati indirizzi di server dei nomi diversi.
  • Il dominio radice/padre è registrato nel registrar e punta a DNS di Azure.
  • I sottodomini vengono registrati direttamente in DNS di Azure.

Nota

Non è necessario essere proprietari di un dominio per creare una zona DNS con questo nome di dominio in DNS di Azure, È tuttavia necessario essere proprietari del dominio per configurarlo.

Delegare i domini DNS

DNS di Azure consente di ospitare una zona DNS e gestire i record DNS per un dominio in Azure. Per consentire l'esecuzione di query DNS in modo che un dominio raggiunga DNS di Azure, il dominio deve essere delegato a DNS di Azure dal dominio padre. Tenere presente che DNS di Azure non è il registrar del dominio.

Per delegare il proprio dominio a DNS di Azure, prima è necessario conoscere i nomi dei server dei nomi per la propria zona. Ogni volta che viene creata una zona DNS, DNS di Azure assegna i server dei nomi da un pool. Dopo aver assegnato i server dei nomi, DNS di Azure crea automaticamente record NS autorevoli nella zona.

Dopo aver creato la zona DNS e quando i server dei nomi sono disponibili, è necessario aggiornare il dominio padre. Ogni registrar prevede i propri strumenti di gestione DNS per modificare i record del server dei nomi per un dominio. Nella pagina di gestione DNS del registrar, modificare i record NS e sostituirli con quelli creati da DNS di Azure.

Nota

Quando si delega un dominio a DNS di Azure, è necessario usare i nomi dei server dei nomi forniti da DNS di Azure. È necessario usare sempre tutti e quattro i nomi dei server dei nomi, indipendentemente dal nome del dominio.

Sottodomini

Se si vuole configurare una zona figlio separata, è possibile delegare un sottodominio in DNS di Azure. Ad esempio, dopo aver configurato contoso.com in DNS di Azure, è possibile configurare una zona figlio separata per partners.contoso.com.

Il processo di configurazione di un sottodominio è lo stesso della delega tipica. L'unica differenza è che è necessario creare i record DNS nella zona padre contoso.com in DNS di Azure invece di configurarli nel registrar.

Nota

Le zone padre e figlio possono trovarsi nello stesso gruppo di risorse o in uno diverso. Si noti che il nome del set di record nella zona padre corrisponde al nome della zona figlio, in questo caso partners.

È importante comprendere la differenza tra i set di record DNS e i singoli record DNS. Un set di record è una raccolta di record con lo stesso nome e lo stesso tipo in una zona.

Screenshot della pagina Aggiungi set di record.

Un set di record non può contenere due record identici. È possibile creare set di record vuoti, con zero record, che non vengono però visualizzati nei server dei nomi DNS di Azure. I set di record di tipo CNAME possono contenere al massimo un record.

La pagina Aggiungi set di record cambia a seconda del tipo di record selezionato. Per un record A, sono necessari la durata (TTL, Time To Live) e l'indirizzo IP. La durata Time-to-Live o TTL specifica per quanto tempo ogni record viene memorizzato nella cache.

Screenshot della pagina di aggiunta record.

Servizi DNS privato

I servizi DNS privato risolvono i nomi e gli indirizzi IP per le risorse e i servizi

Quando le risorse distribuite nelle reti virtuali devono risolvere i nomi di dominio in indirizzi IP interni, possono usare uno dei tre metodi seguenti:

  • Zone private di DNS di Azure
  • Risoluzione dei nomi fornita da Azure
  • Risoluzione dei nomi con l'uso del proprio server DNS

Il tipo di risoluzione dei nomi usato dipende dal modo in cui le risorse devono comunicare tra loro.

Le funzionalità offerte da Azure possono non essere sufficienti a soddisfare le esigenze di risoluzione dei nomi di un utente. Ad esempio, potrebbe essere necessario usare i domini di Active Directory in Microsoft Windows Server per risolvere i nomi DNS tra reti virtuali. Per questi scenari specifici, Azure offre la possibilità di usare i propri server DNS.

I server DNS all'interno di una rete virtuale possono inoltrare query DNS ai resolver ricorsivi di Azure. Ad esempio, un controller di dominio in esecuzione in Azure può rispondere a query DNS per i relativi domini e inoltrare tutte le altre query ad Azure. L'inoltro delle query consente alle macchine virtuali di visualizzare sia le risorse locali, tramite il controller di dominio, sia i nomi host forniti da Azure, tramite il server di inoltro. L'accesso ai resolver ricorsivi di Azure viene fornito tramite l'indirizzo IP virtuale 168.63.129.16.

L'inoltro DNS consente anche la risoluzione DNS tra reti virtuali e permette ai computer locali di risolvere i nomi host forniti da Azure. Per risolvere il nome host di una macchina virtuale, la macchina virtuale del server DNS deve trovarsi nella stessa rete virtuale ed essere configurata per l'inoltro di query relative ai nomi host ad Azure. Poiché il suffisso DNS è diverso in ogni rete virtuale, è possibile usare le regole di inoltro condizionale per inviare le query DNS alla rete virtuale corretta per la risoluzione.

DNS fornito da Azure

Azure fornisce il proprio DNS interno predefinito gratuito. La risoluzione dei nomi fornita da Azure offre solo funzionalità DNS autorevoli di base. Se si usa questa opzione, i nomi e i record della zona DNS vengono gestiti automaticamente da Azure. Non è possibile controllare i nomi della zona DNS o il ciclo di vita dei record DNS.

Il DNS interno definisce uno spazio dei nomi come segue: .internal.cloudapp.net.

Le macchine virtuali create nella rete virtuale vengono registrate nella zona DNS interna e ottengono un nome di dominio DNS come myVM.internal.cloudapp.net. È importante notare che è il nome della risorsa di Azure a essere registrato, non il nome del sistema operativo guest della macchina virtuale.

Limitazioni del DNS interno

  • Non può essere risolto tra reti virtuali diverse.
  • Registra i nomi delle risorse, non i nomi dei sistemi operativi guest.
  • Non consente la creazione manuale di record.

Zone di DNS privato di Azure

Le zone DNS privato in Azure sono disponibili solo per le risorse interne. Sono globali a livello di ambito, quindi è possibile accedervi da qualsiasi area, sottoscrizione, rete virtuale e tenant. Se si ha l'autorizzazione per leggere la zona, è possibile usarla per la risoluzione dei nomi. Le zone DNS privato sono altamente resilienti perché vengono replicate nelle aree di tutto il mondo. Non sono disponibili per le risorse su Internet.

Per gli scenari che richiedono più flessibilità di quella consentita dal DNS interno, è possibile creare le proprie zone DNS privato. Queste zone consentono di:

  • Configurare un nome DNS specifico per una zona.
  • Creare record manualmente, se necessario.
  • Risolvere nomi e indirizzi IP in zone diverse.
  • Risolvere nomi e indirizzi IP in reti virtuali diverse.

Creare una zona DNS privato usando il portale

È possibile creare una zona DNS privato usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. Screenshot della ricerca della zona DNS privata.

Quando viene distribuita la nuova zona DNS, è possibile creare manualmente record di risorse o usare la registrazione automatica. La registrazione automatica crea record di risorse in base al nome della risorsa di Azure.

Le zone DNS privato supportano l'intera gamma di record, tra cui puntatori, MX, SOA, servizio e record di testo.

In Azure una rete virtuale rappresenta un gruppo di uno o più subnet, definito da un intervallo CIDR. Le risorse, ad esempio le macchine virtuali, vengono aggiunte alle subnet.

A livello di rete virtuale, la configurazione DNS predefinita fa parte delle assegnazioni DHCP eseguite da Azure, specificando lo speciale indirizzo 168.63.129.16 per usare i servizi di DNS di Azure.

Se necessario, è possibile eseguire l'override della configurazione predefinita configurando un server DNS alternativo nella scheda di interfaccia di rete della macchina virtuale.

Screenshot della configurazione predefinita DNS.

Esistono due modi per collegare le reti virtuali a una zona privata:

  • Registrazione: ogni rete virtuale può collegarsi a una zona DNS privato per la registrazione, ma fino a 100 reti virtuali possono collegarsi alla stessa zona DNS privato per la registrazione.
  • Risoluzione: potrebbero essere presenti molte altre zone DNS privato per spazi dei nomi diversi. È possibile collegare una rete virtuale a ognuna di tali zone per la risoluzione dei nomi. Ogni rete virtuale può collegarsi fino a un massimo di 1000 zone DNS privato per la risoluzione dei nomi.

Screenshot delle zone di risoluzione DNS private.

Integrazione di DNS locale con le reti virtuali di Azure

Se si ha un server DNS esterno, ad esempio un server locale, è possibile usare una configurazione DNS personalizzata nella rete virtuale per integrarli.

Il DNS esterno può essere eseguito in qualsiasi server DNS: BIND in UNIX, DNS di Active Directory Domain Services e così via. Se si vuole usare un server DNS esterno, e non il servizio DNS di Azure predefinito, è necessario configurare i server DNS desiderati.

Le organizzazioni usano spesso una zona DNS privato di Azure interna per la registrazione automatica e quindi usano una configurazione personalizzata per l'inoltro delle query alle zone esterne da un server DNS esterno.

L'inoltro è di due tipi:

  • Inoltro - Specifica un altro server DNS (SOA per una zona) per risolvere la query se il server iniziale non ne è in grado.
  • Inoltro condizionale - Specifica un server DNS per una zona denominata, in modo che tutte le query per tale zona vengano indirizzate al server DNS specificato.

Nota

Se il server DNS si trova all'esterno di Azure, non ha accesso a DNS di Azure tramite 168.63.129.16. In questo scenario, si configura all'interno della rete virtuale un resolver DNS, a cui vengono inoltrate le query e che a sua volta inoltra le query all'indirizzo 168.63.129.16 (DNS di Azure). In sostanza, si usa l'inoltro perché 168.63.129.16 non è instradabile e quindi non è accessibile ai client esterni.

Diagramma del funzionamento dell'inoltro condizionale.

Scegliere la risposta migliore alla domanda.

Verificare le conoscenze

1.

Qual è la differenza tra un indirizzo IP pubblico statico e un indirizzo IP pubblico dinamico?

2.

I proprietari delle applicazioni devono usare indirizzi IP dinamici per risorse specifiche nella rete virtuale. Quale SKU devono scegliere?