DNS implementeren in hybride omgevingen

  • 9 minuten

Momenteel gebruikt Contoso Windows Server-VM's in het on-premises datacenter om DNS te implementeren. Als hoofdsysteemengineer moet u beslissen of u Azure DNS wilt implementeren om de functionaliteit van deze on-premises workloads te vervangen, of om DNS te implementeren in virtuele Windows Server-machines.

Er zijn een aantal scenario's waarin Contoso kan besluiten DNS te implementeren met Behulp van Windows Server IaaS, naast Azure DNS of in-place van Azure DNS. Deze scenario's kunnen het volgende omvatten:

  • Naamomzetting tussen VM's in verschillende VNets configureren.
  • Naamomzetting van Azure-hostnamen van on-premises computers configureren.
  • Voorwaardelijk doorsturen implementeren.
  • DNS-zoneoverdrachten implementeren.

Overzicht van Azure DNS

U kunt uw DNS-zones hosten in Azure DNS. Azure DNS biedt met name gezaghebbende DNS-services voor de zones. Voor DNS-query's voor resources in het domein van uw organisatie om Azure DNS te bereiken, moet u dat domein delegeren naar Azure DNS vanuit het bovenliggende domein.

DNS-zones die u naar Azure DNS migreert, worden gehost in een globaal netwerk van DNS-naamservers in Azure. Omdat Azure DNS gebruikmaakt van anycast-communicatie, wordt een DNS-query van uw organisatie omgeleid naar de dichtstbijzijnde Azure DNS-server, die helpt om goede prestaties en hoge beschikbaarheid van deze kritieke infrastructuurservice te bieden. U kunt op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om te selecteren welke van uw gebruikers uw Azure DNS-domeinen kunnen beheren.

Beperkingen en overwegingen van Azure DNS

Azure DNS is een evoluerend platform en er worden voortdurend nieuwe functies en mogelijkheden toegevoegd. Op dit moment heeft Azure DNS echter enkele beperkingen.

  • U kunt slechts een specifiek VNet koppelen aan één privé-DNS-zone.
  • Omgekeerde DNS (ook wel inverse genoemd) werkt alleen voor de privé-IP-adresruimte in het gekoppelde VNet.
  • Voorwaardelijk doorsturen wordt momenteel niet ondersteund.
  • Azure DNS biedt momenteel geen ondersteuning voor Domain Name System Security Extensions (DNSSEC).
  • Azure DNS biedt geen ondersteuning voor zoneoverdrachten.
  • Er zijn een aantal limieten bij het gebruik van openbare DNS-zones die betrekking hebben op het aantal zone en records per abonnement.

Azure Privé-DNS

Azure DNS biedt ondersteuning voor zowel openbare DNS als privé-DNS, zoals beschreven in de volgende tabel.

DNS-service Beschrijving
Openbare DNS van Azure Biedt naamomzetting voor internetgerichte DNS-domeinen. U gebruikt openbare DNS van Azure om de DNS-domeinen van uw organisatie te hosten.
Privé-DNS van Azure Biedt naamomzetting voor VM's binnen een VNet en tussen VNets. Hiermee kunt u zonenamen configureren met een split-horizon-weergave; Hierdoor kunnen een privé- en een openbare DNS-zone dezelfde zonenaam delen.

Als u de records van de privé-DNS-zone vanuit uw VNet wilt omzetten, moet u het VNet koppelen aan de zone. Gekoppelde VNets hebben volledige toegang en kunnen alle DNS-records omzetten die zijn gepubliceerd in de privézone. Daarnaast kunt u automatisch registreren inschakelen op een VNet-koppeling. Als u automatische registratie inschakelt, worden de DNS-records voor de VM's op dat VNet geregistreerd in de privézone. Wanneer automatische registratie is ingeschakeld, werkt Azure DNS ook de zonerecords bij wanneer een virtuele machine wordt gemaakt, het IP-adres wordt gewijzigd of wordt verwijderd.

In de volgende tabel worden de functies van Azure Privé-DNS beschreven.

Functie Beschrijving
Hiermee kunt u automatische registratie van VM's vanuit een VNet die u koppelt aan een privézone inschakelen Uw VM's worden geregistreerd bij uw privézone als hostrecords (A) die worden omgezet in de privé-IP-adressen van de virtuele machines. Nadat u automatische registratie hebt ingeschakeld, verwijdert Azure DNS, wanneer u een virtuele machine in een VNet verwijdert, automatisch de bijbehorende DNS-record uit de gekoppelde privézone.
ondersteuning voor Azure DNS-omzetting doorsturen tussen VNets die u koppelt aan uw privézone Wanneer u DNS-naamomzetting tussen meerdere VNet's implementeert, is er geen expliciete vereiste om uw VNets te koppelen. Mogelijk wilt u VNets nog steeds peeren om andere redenen die niet zijn gerelateerd aan DNS.
ondersteuning voor Azure omgekeerde DNS-zoekacties binnen het VNet-bereik Omgekeerde DNS-zoekactie voor een privé-IP-adres binnen een VNet dat u toewijst aan een privézone, retourneert de FQDN (Fully Qualified Domain Name) van de host of record die de host-/recordnaam en de zonenaam als achtervoegsel bevat.

DNS implementeren met Azure IaaS-VM's

Windows Server DNS-servers die zijn gekoppeld aan een VNet kunnen DNS-query's doorsturen naar de recursieve resolvers in Azure. Hierdoor kunt u hostnamen omzetten in dat VNet.

Het IT-team van Contoso implementeert bijvoorbeeld een domeincontroller-VM die ook de DNS-serverfunctie uitvoert in Azure. In dit geval kan de VIRTUELE machine reageren op DNS-query's voor het on-premises domein. De VIRTUELE machine kan ook alle andere query's doorsturen naar Azure. Door query's door te sturen, kunnen de VM's van Contoso zowel hun on-premises resources (via de domeincontroller) als de door Azure geleverde hostnamen (via de doorstuurserver) vinden.

Notitie

Azure biedt toegang tot de recursieve DNS-resolvers met behulp van het volgende virtuele IPv4-adres: 168.63.129.16.

U kunt doorsturen via DNS gebruiken voor het volgende:

  • SCHAKEL DNS-omzetting tussen VNets in.
  • Schakel uw on-premises machines in om door Azure geleverde hostnamen op te lossen.

Tip

Als u de hostnaam van een virtuele machine wilt oplossen, moet u uw DNS-server configureren om hostnaamquery's door te sturen naar Azure.

Omdat het DNS-achtervoegsel in elk VNet verschilt, gebruikt u regels voor voorwaardelijk doorsturen om DNS-query's naar het juiste VNet te verzenden voor omzetting.

Notitie

Wanneer u uw eigen DNS-servers gebruikt, biedt Azure de mogelijkheid om meerdere DNS-servers op elk VNet op te geven.

Het volgende diagram bevat twee VNets en een on-premises netwerk dat DNS-omzetting tussen VNets uitvoert met behulp van doorsturen.

Een diagram heeft een on-premises netwerk en twee VNets, die elk zijn geconfigureerd met een eigen DNS-server. Query's voor VNet1 en VNet2 van on-premises clients worden doorgestuurd naar deze DNS-servers. Query's worden vervolgens doorgestuurd tussen deze twee DNS-servers en ook naar Azure DNS.

Meer artikelen

Meer informatie vindt u in de volgende documenten: