Naamomzetting ontwerpen voor uw virtuele netwerk

  • 10 minuten

DNS wordt gesplitst in twee gebieden: Openbaar en Privé-DNS voor resources die toegankelijk zijn vanuit uw eigen interne netwerken.

Openbare DNS-services

Openbare DNS-services omzetten namen en IP-adressen voor resources en services die toegankelijk zijn via internet, zoals webservers. Azure DNS is een hostingservice voor DNS-domein dat naamomzetting biedt met behulp van de Microsoft Azure-infrastructuur. DNS-domeinen in Azure DNS worden gehost op het wereldwijde netwerk van Azure DNS-naamservers. Azure DNS maakt gebruik van anycast-netwerken. Elke DNS-query wordt omgeleid naar de dichtstbijzijnde beschikbare DNS-server.

In Azure DNS kunt u adresrecords handmatig maken binnen relevante zones. De records die het vaakst worden gebruikt, zijn:

  • Hostrecords: A/AAAA (IPv4/IPv6)
  • Aliasrecords: CNAME

Azure DNS biedt een betrouwbare, beveiligde DNS-service voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

Een DNS-zone fungeert als host voor de DNS-records voor een domein. Als u uw domein in Azure DNS wilt hosten, moet u dus een DNS-zone voor die domeinnaam maken. Alle DNS-records voor uw domein worden vervolgens gemaakt binnen deze DNS-zone.

Overwegingen

  • De naam van de zone moet uniek zijn binnen de resourcegroep en de zone mag niet al bestaan.
  • Dezelfde zonenaam kan opnieuw worden gebruikt in een andere resourcegroep of in een ander Azure-abonnement.
  • Als meerdere zones dezelfde naam delen, wordt aan elk exemplaar een ander naamserveradres toegewezen.
  • Het hoofd-/bovenliggende domein is geregistreerd bij de registrar en verwijst naar Azure NS.
  • Onderliggende domeinen worden rechtstreeks in AzureDNS geregistreerd.

Notitie

U hoeft niet de eigenaar van een domeinnaam te zijn om een DNS-zone met die domeinnaam in Azure DNS te maken. U moet echter de eigenaar van het domein zijn om het domein te configureren.

DNS-domeinen delegeren

Met Azure DNS kunt u een DNS-zone hosten en de DNS-records voor een domein in Azure beheren. Het domein moet vanaf het bovenliggende domein worden gedelegeerd naar Azure DNS om ervoor te zorgen dat DNS-query's voor een domein Azure DNS bereiken. Houd er rekening mee Azure DNS is niet de domeinregistrar.

Als u uw domein wilt delegeren naar Azure DNS, moet u eerst de naamservernamen voor uw zone kennen. Telkens wanneer een DNS-zone wordt gemaakt, wijst Azure DNS naamservers toe uit een pool. Zodra de naamservers zijn toegewezen, maakt Azure DNS automatisch gezaghebbende NS-records in uw zone.

Zodra de DNS-zone is gemaakt en u de naamservers hebt, moet u het bovenliggende domein bijwerken. Elke registrar heeft zijn eigen hulpprogramma's voor DNS-beheer om de naamserverrecords voor een domein te wijzigen. Ga naar DNS-beheerpagina van de registrar, bewerk de NS-records en vervang de NS-records door de records die door Azure DNS zijn gemaakt.

Notitie

Wanneer u een domein naar Azure DNS delegeert, moet u de naamservernamen gebruiken die zijn verstrekt door Azure DNS. U moet altijd alle vier de namen van de naamservers gebruiken, ongeacht de naam van uw domein.

Onderliggende domeinen

Als u een afzonderlijke onderliggende zone wilt instellen, kunt u een subdomein delegeren in Azure DNS. Nadat u bijvoorbeeld contoso.com in Azure DNS hebt geconfigureerd, kunt u een afzonderlijke onderliggende zone configureren voor partners.contoso.com.

Het instellen van een subdomein volgt hetzelfde proces als standaarddelegering. Het enige verschil is dat NS-records moeten worden gemaakt in de bovenliggende zone contoso.com in Azure DNS, in plaats van in de domeinregistrar.

Notitie

De bovenliggende en onderliggende zones kunnen zich in dezelfde of een andere resourcegroep bevinden. U ziet dat de naam van de recordset in de bovenliggende zone overeenkomt met de naam van de onderliggende zone, in dit geval partners.

Het is belangrijk om inzicht te hebben in het verschil tussen DNS-recordsets en afzonderlijke DNS-records. Een recordset is een verzameling records in een zone met dezelfde naam en hetzelfde type.

Schermopname van de pagina Een recordset toevoegen.

Een recordset kan geen twee identieke records bevatten. Lege recordsets (met nul records) kunnen worden gemaakt, maar worden niet weergegeven op de Azure DNS-naamservers. Recordsets van het type CNAME kunnen maximaal één record bevatten.

De pagina Recordset toevoegen verandert, afhankelijk van het type record dat u selecteert. Voor een A-record hebt u de TTL (Time to Live) en het IP-adres nodig. De time to live, of TTL, geeft aan hoe lang elke record in de cache wordt opgeslagen.

Schermopname van de pagina Een record toevoegen.

Privé-DNS services

Privé-DNS services namen en IP-adressen voor resources en services omzetten

Wanneer resources die in virtuele netwerken zijn geïmplementeerd, domeinnamen moeten omzetten in interne IP-adressen, kunnen ze een van de volgende drie methoden gebruiken:

  • Privé-DNS-zones van Azure
  • Door Azure geleverde naamomzetting
  • Naamomzetting waarbij je eigen DNS-server wordt gebruikt

Welk type naamomzetting u gebruikt, is afhankelijk van hoe uw resources met elkaar moeten communiceren.

Uw naamomzettingsbehoeften kunnen verder gaan dan de functies van Azure. U moet bijvoorbeeld Microsoft Windows Server Active Directory-domeinen gebruiken om DNS-namen tussen virtuele netwerken om te zetten. Voor deze scenario's biedt Azure de mogelijkheid om uw eigen DNS-servers te gebruiken.

DNS-servers in een virtueel netwerk kunnen DNS-query's doorsturen naar de recursieve resolvers in Azure. Een domeincontroller (DC) die in Azure wordt uitgevoerd, kan bijvoorbeeld reageren op DNS-query's voor de domeinen en alle andere query's doorsturen naar Azure. Met het doorsturen van query's kunnen VM's zowel uw on-premises resources (via de DC) als door Azure geleverde hostnamen (via de doorstuurserver) zien. De toegang tot recursieve omzetfuncties in Azure wordt verleend via het virtuele IP-adres 168.63.129.16.

Dns-doorsturen maakt ook DNS-omzetting tussen virtuele netwerken mogelijk en stelt uw on-premises machines in staat om door Azure geleverde hostnamen op te lossen. Als u de hostnaam van een VIRTUELE machine wilt oplossen, moet de DNS-server-VM zich in hetzelfde virtuele netwerk bevinden en worden geconfigureerd voor het doorsturen van hostnaamquery's naar Azure. Omdat het DNS-achtervoegsel verschilt in elk virtueel netwerk, kunt u regels voor voorwaardelijk doorsturen gebruiken om DNS-query's naar het juiste virtuele netwerk te verzenden voor omzetting.

Door Azure geleverde DNS

Azure biedt een eigen gratis interne DNS. De opgegeven naamomzetting van Azure biedt alleen algemene gezaghebbende DNS-mogelijkheden. Als u deze optie gebruikt, worden de DNS-zonenamen en -records automatisch beheerd door Azure. U kunt de DNS-zonenamen of de levenscyclus van DNS-records niet beheren.

Interne DNS definieert als volgt een naamruimte: .internal.cloudapp.net.

Elke VIRTUELE machine die in het VNet is gemaakt, wordt geregistreerd in de interne DNS-zone en haalt een DNS-domeinnaam op, zoals myVM.internal.cloudapp.net. Het is belangrijk te weten dat het de Azure-resourcenaam is die is geregistreerd, niet de naam van het gastbesturingssystemen op de VIRTUELE machine.

Beperkingen van interne DNS

  • Kan het probleem niet omzetten in verschillende VNets.
  • Registreert resourcenamen, niet namen van gastbesturingssystemen.
  • Het maken van handmatige records is niet toegestaan.

Privé-DNS-zones van Azure

Privé-DNS zones in Azure zijn alleen beschikbaar voor interne resources. Ze zijn globaal binnen het bereik, zodat u ze kunt openen vanuit elke regio, elk abonnement, elk VNet en elke tenant. Als u gemachtigd bent om de zone te lezen, kunt u deze gebruiken voor naamomzetting. Privé-DNS zones zijn zeer tolerant en worden gerepliceerd naar regio's over de hele wereld. Ze zijn niet beschikbaar voor bronnen op internet.

Voor scenario's waarvoor meer flexibiliteit is vereist dan interne DNS toestaat, kunt u uw eigen privé-DNS-zones maken. Met deze zones kunt u het volgende doen:

  • Configureer een specifieke DNS-naam voor een zone.
  • Maak records handmatig wanneer dat nodig is.
  • Namen en IP-adressen in verschillende zones oplossen.
  • Namen en IP-adressen in verschillende VNets omzetten.

Een privé-DNS-zone maken met behulp van de portal

U kunt een privé-DNS-zone maken met behulp van Azure Portal, Azure PowerShell of Azure CLI. Schermopname van zoeken in privé-DNS-zones.

Wanneer de nieuwe DNS-zone is geïmplementeerd, kunt u handmatig resourcerecords maken of automatische registratie gebruiken. Automatisch registreren maakt resourcerecords op basis van de Azure-resourcenaam.

Privé-DNS zones ondersteunen het volledige scala aan records, waaronder aanwijzers, MX-, SOA-, service- en tekstrecords.

In Azure vertegenwoordigt een VNet een groep van een of meer subnetten, zoals gedefinieerd door een CIDR-bereik. Resources zoals VM's worden toegevoegd aan subnetten.

Op VNet-niveau maakt de standaard-DNS-configuratie deel uit van de DHCP-toewijzingen van Azure, waarbij het speciale adres 168.63.129.16 wordt opgegeven voor het gebruik van Azure DNS-services.

Indien nodig kunt u de standaardconfiguratie overschrijven door een alternatieve DNS-server te configureren op de VM-NIC.

Schermopname van de dns-standaardconfiguratie.

Twee manieren om VNets te koppelen aan een privézone:

  • Registratie: Elk VNet kan een koppeling maken naar één privé-DNS-zone voor registratie. Maximaal 100 VNets kunnen echter worden gekoppeld aan dezelfde privé-DNS-zone voor registratie.
  • Oplossing: er kunnen veel andere privé-DNS-zones zijn voor verschillende naamruimten. U kunt een VNet koppelen aan elk van deze zones voor naamomzetting. Elk VNet kan een koppeling maken naar maximaal 1000 privé-DNS-zones voor naamomzetting.

Schermopname van de privé-DNS-resolutiezones.

On-premises DNS integreren met Azure VNets

Als u een externe DNS-server hebt, bijvoorbeeld een on-premises server, kunt u aangepaste DNS-configuratie op uw VNet gebruiken om de twee te integreren.

Uw externe DNS kan worden uitgevoerd op elke DNS-server: BIND op UNIX, Active Directory-domein Services DNS, enzovoort. Als u een externe DNS-server wilt gebruiken en niet de standaard Azure DNS-service, moet u de gewenste DNS-servers configureren.

Organisaties gebruiken vaak een interne privé-DNS-zone van Azure voor automatische registratie en gebruiken vervolgens een aangepaste configuratie om query's uit te voeren op externe zones van een externe DNS-server.

Doorsturen heeft twee formulieren:

  • Doorsturen: hiermee geeft u een andere DNS-server (SOA voor een zone) op om de query op te lossen als de eerste server dat niet kan.
  • Voorwaardelijk doorsturen: hiermee geeft u een DNS-server op voor een benoemde zone, zodat alle query's voor die zone worden gerouteerd naar de opgegeven DNS-server.

Notitie

Als de DNS-server zich buiten Azure bevindt, heeft deze geen toegang tot Azure DNS op 168.63.129.16. In dit scenario moet u een DNS-resolver in uw VNet instellen, query's doorsturen naar het VNet en vervolgens query's laten doorsturen naar 168.63.129.16 (Azure DNS). In wezen gebruikt u doorsturen omdat 168.63.129.16 niet routeerbaar is en daarom niet toegankelijk is voor externe clients.

Diagram van hoe voorwaardelijk doorsturen werkt.

Kies het beste antwoord voor de vraag.