Udostępnij za pośrednictwem

Usługa DNS dla zasobów lokalnych i zasobów platformy Azure

  • Artykuł

System nazw domen (DNS) jest krytycznym tematem projektowania w ogólnej architekturze strefy docelowej. Niektóre organizacje mogą chcieć korzystać z istniejących inwestycji w system DNS. Inni mogą postrzegać wdrożenie chmury jako okazję do modernizacji wewnętrznej infrastruktury DNS i korzystania z natywnych możliwości platformy Azure.

Zagadnienia dotyczące projektowania

  • Można użyć usługi Azure DNS Private Resolver z prywatnymi strefami DNS platformy Azure do rozpoznawania nazw między różnymi sieciami.

  • Może być konieczne użycie istniejących rozwiązań DNS w środowisku lokalnym i na platformie Azure.

  • Sieć wirtualna może być połączona tylko z jedną prywatną strefą DNS z włączoną automatyczną rejestracją.

  • Zapoznaj się z limitami prywatnej strefy Azure DNS .

Zalecenia dotyczące projektowania

  • W przypadku środowisk, w których wymagane jest tylko rozpoznawanie nazw na platformie Azure, użyj prywatnych stref DNS platformy Azure do rozpoznawania. Utwórz strefę delegowaną do rozpoznawania nazw, na przykład azure.contoso.com. Włącz automatyczną rejestrację dla prywatnej strefy DNS platformy Azure, aby automatycznie zarządzać cyklem życia rekordów DNS dla maszyn wirtualnych wdrożonych w sieci wirtualnej.

  • W przypadku środowisk, w których jest wymagane rozpoznawanie nazw na platformie Azure i lokalnie, należy użyć prywatnego rozpoznawania nazw DNS wraz ze strefami prywatnej usługi DNS platformy Azure. Prywatny resolver DNS zapewnia wiele korzyści w porównaniu z rozwiązaniem DNS opartym na maszynach wirtualnych, w tym redukcję kosztów, wbudowaną wysoką dostępność, skalowalność i elastyczność.

    Jeśli musisz użyć istniejącej infrastruktury DNS, takiej jak zintegrowana usługa DNS systemu Windows Server, upewnij się, że rola serwera DNS jest wdrożona na co najmniej dwóch maszynach wirtualnych i skonfiguruj ustawienia DNS w sieciach wirtualnych, aby używać tych niestandardowych serwerów DNS.

  • W przypadku środowisk z usługą Azure Firewall należy rozważyć użycie go jako serwera proxy DNS .

  • Możesz połączyć prywatną strefę DNS platformy Azure z sieciami wirtualnymi. Użyj prywatnego resolvera DNS z zestawem reguł przekazywania DNS, który jest również skojarzony z sieciami wirtualnymi:

    • W przypadku zapytań DNS generowanych w sieci wirtualnej platformy Azure w celu rozpoznawania lokalnych nazw DNS, takich jak corporate.contoso.com, zapytanie DNS jest przekazywane do adresu IP lokalnych serwerów DNS określonych w zestawie reguł.

    • W przypadku zapytań DNS generowanych w sieci lokalnej w celu rozpoznawania rekordów DNS w prywatnych strefach DNS platformy Azure można skonfigurować lokalne serwery DNS z warunkowymi usługami przesyłania dalej, które wskazują adres IP przychodzącego punktu końcowego usługi rozpoznawania prywatnego DNS na platformie Azure. Ta konfiguracja przekazuje żądanie do prywatnej strefy DNS platformy Azure, na przykład azure.contoso.com.

  • Utwórz dwie dedykowane podsieci dla prywatnego rozpoznawania nazw DNS w sieci wirtualnej koncentratora w subskrypcji łączności. Utwórz jedną podsieć dla przychodzących punktów końcowych i jedną podsieć dla wychodzących punktów końcowych. Obie podsieci powinny mieć minimalny rozmiar /28.

    • W przypadku wdrożenia resolvera DNS obok bramy usługi ExpressRoute należy upewnić się, że rozpoznawanie publicznych nazw FQDN jest dozwolone i uzyskuje prawidłową odpowiedź za pomocą reguły zestawu zasad przekazywania DNS do odpowiedniego serwera DNS. Niektóre usługi platformy Azure polegają na możliwości rozpoznawania publicznych nazw DNS do działania. Aby uzyskać więcej informacji, zobacz zestaw reguł przesyłania dalej DNS.

    • Przychodzące punkty końcowe odbierają żądania rozpoznawania ruchu przychodzącego od klientów w wewnętrznej sieci prywatnej, na platformie Azure lub w środowisku lokalnym. Możesz mieć maksymalnie pięć przychodzących punktów końcowych.

    • Wychodzące punkty końcowe przesyłają żądania rozpoznawania dalej do miejsc docelowych w wewnętrznej sieci prywatnej , na platformie Azure lub lokalnie, które nie mogą być rozpoznawane przez strefy prywatne usługi Azure DNS. Możesz mieć maksymalnie pięć wychodzących punktów końcowych.

    • Utwórz odpowiedni zestaw reguł, aby zezwolić na przesyłanie żądań DNS do wewnętrznych domen DNS i przestrzeni nazw.

  • Obciążenia wymagające i wdrażające własny system DNS, takie jak Red Hat OpenShift, powinny używać preferowanego rozwiązania DNS.

  • Utwórz prywatne strefy DNS platformy Azure w ramach globalnej subskrypcji łączności. Prywatne strefy DNS platformy Azure, które powinny zostać utworzone, obejmują strefy wymagane do uzyskiwania dostępu do rozwiązań platformy Azure jako usługi za pośrednictwem prywatnego punktu końcowego . Przykłady obejmują privatelink.database.windows.net lub privatelink.blob.core.windows.net.