다음을 통해 공유

온-프레미스 및 Azure 리소스에 대한 DNS

  • 아티클

DNS(도메인 이름 시스템)는 전체 랜딩 존 아키텍처에서 중요한 디자인 항목입니다. 일부 조직에서는 DNS에 대한 기존 투자를 사용할 수 있습니다. 다른 사용자는 클라우드 채택을 내부 DNS 인프라를 현대화하고 네이티브 Azure 기능을 사용할 수 있는 기회로 간주할 수 있습니다.

디자인 고려 사항

  • 크로스 프레미스 이름 확인을 위해 Azure 프라이빗 DNS 영역과 함께 Azure DNS 프라이빗 리졸버를 사용할 수 있습니다.

  • 온-프레미스 및 Azure에서 기존 DNS 솔루션을 사용해야 할 수도 있습니다.

  • 가상 네트워크는 자동 등록을 사용하도록 설정된 하나의 프라이빗 DNS 영역에만 연결할 수 있습니다.

  • Azure 프라이빗 DNS 영역의 제한 사항을 숙지하세요.

디자인 권장 사항

  • Azure에서 이름 확인만 필요한 환경의 경우 확인을 위해 Azure 프라이빗 DNS 영역을 사용합니다. 이름 확인을 위해 위임된 영역(예: azure.contoso.com)을 만듭니다. Azure 프라이빗 DNS 영역에 대한 자동 등록을 사용하도록 설정하여 가상 네트워크 내에 배포된 가상 머신에 대한 DNS 레코드의 수명 주기를 자동으로 관리합니다.

  • Azure 및 온-프레미스에서 이름 확인이 필요한 환경의 경우 Azure 프라이빗 DNS 영역과 함께 DNS Private Resolver를 사용합니다. DNS Private Resolver는 비용 절감, 기본 제공 고가용성, 확장성 및 유연성을 포함하여 가상 머신 기반 DNS 솔루션보다 많은 이점을 제공합니다.

    Windows Server Active Directory 통합 DNS와 같은 기존 DNS 인프라를 사용해야 하는 경우 DNS 서버 역할이 두 개 이상의 가상 머신에 배포되었는지 확인하고 이러한 사용자 지정 DNS 서버를 사용하도록 가상 네트워크에서 DNS 설정을 구성합니다.

  • Azure Firewall이 있는 환경의 경우 DNS 프록시사용하는 것이 좋습니다.

  • Azure 프라이빗 DNS 영역을 가상 네트워크에 연결할 수 있습니다. 가상 네트워크와도 연결된 DNS 전달 규칙 집합과 함께 DNS Private Resolver를 사용합니다.

    • corporate.contoso.com같은 온-프레미스 DNS 이름을 확인하기 위해 Azure 가상 네트워크에서 생성된 DNS 쿼리의 경우 DNS 쿼리는 규칙 집합에 지정된 온-프레미스 DNS 서버의 IP 주소로 전달됩니다.

    • Azure 프라이빗 DNS 영역에서 DNS 레코드를 확인하기 위해 온-프레미스 네트워크에서 생성된 DNS 쿼리의 경우 Azure의 DNS Private Resolver 인바운드 엔드포인트 IP 주소를 가리키는 조건부 전달자를 사용하여 온-프레미스 DNS 서버를 구성할 수 있습니다. 이 구성은 요청을 Azure 프라이빗 DNS 영역(예: azure.contoso.com)으로 전달합니다.

  • 연결 구독의 허브 가상 네트워크에서 DNS Private Resolver에 대한 두 개의 전용 서브넷을 만듭니다. 인바운드 엔드포인트용 서브넷 1개와 아웃바운드 엔드포인트용 서브넷 1개를 만듭니다. 두 서브넷은 최소 크기가 /28이어야 합니다.

    • ExpressRoute 게이트웨이와 함께 DNS 확인자를 배포하는 경우, 공용 FQDN의 해결이 허용되고, DNS 전달 규칙 셋의 규칙을 통해 유효한 응답으로 대상 DNS 서버에 응답하도록 해야 합니다. 일부 Azure 서비스는 공용 DNS 이름을 확인할 수 있는 기능을 사용합니다. 자세한 내용은 DNS 전달 규칙 집합 규칙참조하세요.

    • 인바운드 엔드포인트는 내부 프라이빗 네트워크(Azure 또는 온-프레미스) 내의 클라이언트로부터 인바운드 확인 요청을 받습니다. 최대 5개의 인바운드 엔드포인트를 가질 수 있습니다.

    • 아웃바운드 엔드포인트는 Azure DNS 프라이빗 영역에서 확인할 수 없는 내부 프라이빗 네트워크(Azure 또는 온-프레미스) 내의 대상으로 확인 요청을 전달합니다. 최대 5개의 아웃바운드 엔드포인트를 가질 수 있습니다.

    • 온-프레미스 DNS 도메인 및 네임스페이스에 DNS 전달을 허용하는 적절한 규칙 집합을 만듭니다.

  • 자체 DNS를 필요로 하고 배포하는 워크로드는 Red Hat OpenShift와 같이, 선호하는 DNS 솔루션을 사용해야 합니다.

  • 전역 연결 구독 내에서 Azure 프라이빗 DNS 영역을 만듭니다. 만들어야 하는 Azure 프라이빗 DNS 영역에는 프라이빗 엔드포인트통해 서비스 솔루션으로 Azure 플랫폼에 액세스하는 데 필요한 영역이 포함됩니다. 예를 들어 privatelink.database.windows.net 또는 privatelink.blob.core.windows.net있습니다.