Delen via

DNS voor on-premises en Azure-resources

  • Artikel

Domain Name System (DNS) is een kritiek ontwerponderwerp in de algemene architectuur van de landingszone. Sommige organisaties willen mogelijk hun bestaande investeringen in DNS gebruiken. Anderen kunnen de overstap naar de cloud zien als een mogelijkheid om hun interne DNS-infrastructuur te moderniseren en systeemeigen Azure-mogelijkheden te gebruiken.

Ontwerpoverwegingen

  • U kunt Azure DNS Private Resolver gebruiken met privé-DNS-zones van Azure voor cross-premises naamomzetting.

  • Mogelijk moet u bestaande DNS-oplossingen gebruiken in on-premises en Azure.

  • Een virtueel netwerk kan slechts worden gekoppeld aan één privé-DNS-zone waarvoor automatische registratie is ingeschakeld.

  • Raak vertrouwd met limieten voor privé-DNS-zones van Azure.

Ontwerpaanaanvelingen

  • Voor omgevingen waarin alleen naamomzetting in Azure is vereist, gebruikt u Privé-DNS-zones van Azure voor omzetting. Maak een gedelegeerde zone voor naamaanpassing, zoals azure.contoso.com. Schakel automatische registratie in voor de privé-DNS-zone van Azure om de levenscyclus van de DNS-records automatisch te beheren voor de virtuele machines die binnen een virtueel netwerk zijn geïmplementeerd.

  • Voor omgevingen waarin naamomzetting in Azure en on-premises is vereist, gebruikt u de DNS-privé-resolver in combinatie met Azure Privé-DNS-zones. DNS Private Resolver biedt veel voordelen ten opzichte van dns-oplossingen op basis van virtuele machines, waaronder kostenreductie, ingebouwde hoge beschikbaarheid, schaalbaarheid en flexibiliteit.

    Als u een bestaande DNS-infrastructuur, zoals geïntegreerde DNS van Windows Server Active Directory, moet gebruiken, moet u ervoor zorgen dat de DNS-serverfunctie is geïmplementeerd op ten minste twee virtuele machines en dns-instellingen configureren in virtuele netwerken voor het gebruik van deze aangepaste DNS-servers.

  • Voor omgevingen met Azure Firewall kunt u overwegen deze te gebruiken als een DNS-proxy.

  • U kunt een privé-DNS-zone van Azure koppelen aan de virtuele netwerken. Dns Private Resolver gebruiken met een dns-regelset die ook is gekoppeld aan de virtuele netwerken:

    • Voor DNS-query's die zijn gegenereerd in het virtuele Azure-netwerk om on-premises DNS-namen, zoals corporate.contoso.com, om te kunnen omzetten, wordt de DNS-query doorgestuurd naar het IP-adres van on-premises DNS-servers die zijn opgegeven in de regelset.

    • Voor DNS-query's die vanuit het on-premises netwerk worden gegenereerd om DNS-records in Azure Private DNS-zones op te lossen, kunt u on-premises DNS-servers configureren met conditionele forwarders die verwijzen naar het IP-adres van het binnenkomende eindpunt van DNS in Azure. Met deze configuratie wordt de aanvraag doorgestuurd naar de privé-DNS-zone van Azure, bijvoorbeeld azure.contoso.com.

  • Maak twee toegewezen subnetten voor DNS Private Resolver in het virtuele hubnetwerk in het connectiviteitsabonnement. Maak één subnet voor binnenkomende eindpunten en één subnet voor uitgaande eindpunten. Beide subnetten moeten een minimale grootte van /28hebben.

    • Als u de DNS-resolver naast uw ExpressRoute-gateway implementeert, moet u ervoor zorgen dat de resolutie van openbare FQDN's is toegestaan en dat deze een geldig antwoord geeft via een regelset voor DNS-doorsturen naar de doel-DNS-server. Sommige Azure-services zijn afhankelijk van de mogelijkheid om openbare DNS-namen op te lossen om te functioneren. Zie regelsetregels voor dns-doorstuurregelsvoor meer informatie.

    • Binnenkomende eindpunten ontvangen binnenkomende omzettingsaanvragen van clients binnen uw interne privénetwerk, Azure of on-premises. U kunt maximaal vijf binnenkomende eindpunten hebben.

    • Uitgaande eindpunten sturen resolutieverzoeken door naar bestemmingen binnen uw interne privénetwerk, zowel Azure als on-premises, die niet kunnen worden opgelost door privézones van Azure DNS. U kunt maximaal vijf uitgaande eindpunten hebben.

    • Maak een juiste regelset om DNS-doorsturen naar on-premises DNS-domeinen en -naamruimten toe te staan.

  • Workloads die hun eigen DNS vereisen en implementeren, zoals Red Hat OpenShift, moeten hun voorkeurs-DNS-oplossing gebruiken.

  • Maak de privé-DNS-zones van Azure binnen een globaal connectiviteitsabonnement. De privé-DNS-zones van Azure die moeten worden gemaakt, bevatten de zones die vereist zijn voor toegang tot het Azure-platform als een serviceoplossingen via een privé-eindpunt. Voorbeelden hiervan zijn privatelink.database.windows.net of privatelink.blob.core.windows.net.