Udostępnij za pośrednictwem

Ustawienia dns usługi Azure Firewall

  • Artykuł

Można skonfigurować niestandardowy serwer DNS i włączyć serwer proxy DNS dla usługi Azure Firewall. Skonfiguruj te ustawienia podczas wdrażania zapory lub skonfiguruj je później na stronie ustawień DNS. Domyślnie usługa Azure Firewall używa usługi Azure DNS, a serwer proxy DNS jest wyłączony.

Serwery DNS

Serwer DNS obsługuje i rozpoznaje nazwy domen na adresy IP. Domyślnie usługa Azure Firewall używa usługi Azure DNS do rozpoznawania nazw. Ustawienie serwera DNS umożliwia skonfigurowanie własnych serwerów DNS na potrzeby rozpoznawania nazw usługi Azure Firewall. Można skonfigurować jeden serwer lub wiele serwerów. Jeśli skonfigurujesz wiele serwerów DNS, używany serwer zostanie wybrany losowo. W niestandardowym systemie DNS można skonfigurować maksymalnie 15 serwerów DNS.

Uwaga

W przypadku wystąpień usługi Azure Firewall zarządzanych przy użyciu usługi Azure Firewall Manager ustawienia DNS są konfigurowane w skojarzonych zasadach usługi Azure Firewall.

Konfigurowanie niestandardowych serwerów DNS

  1. W obszarze Ustawienia usługi Azure Firewall wybierz pozycję Ustawienia DNS.
  2. W obszarze Serwery DNS można wpisać lub dodać istniejące serwery DNS, które zostały wcześniej określone w sieci wirtualnej.
  3. Wybierz Zastosuj.

Zapora kieruje teraz ruch DNS do określonych serwerów DNS na potrzeby rozpoznawania nazw.

Zrzut ekranu przedstawiający ustawienia serwerów DNS.

Serwer proxy DNS

Usługę Azure Firewall można skonfigurować tak, aby działała jako serwer proxy DNS. Serwer proxy DNS jest pośrednikiem dla żądań DNS z maszyn wirtualnych klienta do serwera DNS.

Jeśli chcesz włączyć filtrowanie nazw FQDN (w pełni kwalifikowanej nazwy domeny) w regułach sieci, włącz serwer proxy DNS i zaktualizuj konfigurację maszyny wirtualnej, aby używać zapory jako serwera proxy DNS.

Konfiguracja serwera proxy N S przy użyciu niestandardowego serwera DNS.

Jeśli włączysz filtrowanie nazw FQDN w regułach sieci i nie skonfigurujesz maszyn wirtualnych klienta do używania zapory jako serwera proxy DNS, żądania DNS od tych klientów mogą podróżować do serwera DNS w innym czasie lub zwracać inną odpowiedź w porównaniu z zaporą. Zaleca się skonfigurowanie maszyn wirtualnych klienta do używania usługi Azure Firewall jako serwera proxy DNS. Dzięki temu usługa Azure Firewall jest w ścieżce żądań klientów, aby uniknąć niespójności.

Jeśli usługa Azure Firewall jest serwerem proxy DNS, możliwe są dwa typy funkcji buforowania:

  • Dodatnia pamięć podręczna: rozpoznawanie nazw DNS zakończyło się pomyślnie. Zapora buforuje te odpowiedzi zgodnie z czasem wygaśnięcia (czas wygaśnięcia) w odpowiedzi do maksymalnie 1 godziny.

  • Negatywna pamięć podręczna: rozpoznawanie nazw DNS powoduje brak odpowiedzi lub brak rozwiązania. Zapora buforuje te odpowiedzi zgodnie z czasem wygaśnięcia w odpowiedzi, maksymalnie 30 minut.

Serwer proxy DNS przechowuje wszystkie rozpoznane adresy IP z nazw FQDN w regułach sieci. Najlepszym rozwiązaniem jest użycie nazw FQDN rozpoznawanych jako jeden adres IP.

Dziedziczenie zasad

Ustawienia DNS zasad stosowane do autonomicznej zapory zastępują ustawienia DNS autonomicznej zapory. Zasady podrzędne dziedziczą wszystkie ustawienia DNS zasad nadrzędnych, ale mogą zastąpić zasady nadrzędne.

Aby na przykład używać nazw FQDN w regule sieciowej, należy włączyć serwer proxy DNS. Jeśli jednak zasady nadrzędne nie mają włączonego serwera proxy DNS, zasady podrzędne nie będą obsługiwać nazw FQDN w regułach sieci, chyba że to ustawienie zostanie zastąpione lokalnie.

Konfiguracja serwera proxy DNS

Konfiguracja serwera proxy DNS wymaga trzech kroków:

  1. Włącz serwer proxy DNS w ustawieniach dns usługi Azure Firewall.
  2. Opcjonalnie skonfiguruj niestandardowy serwer DNS lub użyj podanego domyślnego ustawienia.
  3. Skonfiguruj prywatny adres IP usługi Azure Firewall jako niestandardowy adres DNS w ustawieniach serwera DNS sieci wirtualnej, aby kierować ruch DNS do usługi Azure Firewall.

Uwaga

Jeśli zdecydujesz się używać niestandardowego serwera DNS, wybierz dowolny adres IP w sieci wirtualnej, z wyłączeniem tych w podsieci usługi Azure Firewall.

Aby skonfigurować serwer proxy DNS, należy skonfigurować ustawienie serwerów DNS sieci wirtualnej tak, aby używały prywatnego adresu IP zapory. Następnie włącz serwer proxy DNS w ustawieniach dns usługi Azure Firewall.

Konfigurowanie serwerów DNS sieci wirtualnej
  1. Wybierz sieć wirtualną, w której ruch DNS jest kierowany przez wystąpienie usługi Azure Firewall.
  2. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  3. W obszarze Serwery DNS wybierz pozycję Niestandardowe.
  4. Wprowadź prywatny adres IP zapory.
  5. Wybierz pozycję Zapisz.
  6. Uruchom ponownie maszyny wirtualne połączone z siecią wirtualną, aby zostały przypisane nowe ustawienia serwera DNS. Maszyny wirtualne nadal używają bieżących ustawień DNS do czasu ponownego uruchomienia.
Włączanie serwera proxy DNS
  1. Wybierz wystąpienie usługi Azure Firewall.
  2. W obszarze Ustawienia wybierz pozycję Ustawienia DNS.
  3. Domyślnie serwer proxy DNS jest wyłączony. Po włączeniu tego ustawienia zapora nasłuchuje na porcie 53 i przekazuje żądania DNS do skonfigurowanych serwerów DNS.
  4. Przejrzyj konfigurację serwerów DNS, aby upewnić się, że ustawienia są odpowiednie dla danego środowiska.
  5. Wybierz pozycję Zapisz.

Tryb failover o wysokiej dostępności

Serwer proxy DNS ma mechanizm trybu failover, który zatrzymuje się przy użyciu wykrytego serwera w złej kondycji i używa innego dostępnego serwera DNS.

Jeśli wszystkie serwery DNS są niedostępne, nie ma powrotu do innego serwera DNS.

Kontrole kondycji

Serwer proxy DNS wykonuje pięć sekund pętli sprawdzania kondycji tak długo, jak serwery nadrzędne zgłaszają złą kondycję. Testy kondycji to cykliczne zapytanie DNS do głównego serwera nazw. Po uznaniu serwera nadrzędnego za w dobrej kondycji zapora zatrzymuje sprawdzanie kondycji do następnego błędu. Gdy serwer proxy w dobrej kondycji zwraca błąd, zapora wybiera inny serwer DNS na liście.

Usługa Azure Firewall ze strefami usługi Azure Prywatna strefa DNS

Jeśli używasz strefy usługi Azure Prywatna strefa DNS z usługą Azure Firewall, pamiętaj, aby nie tworzyć mapowań domen, które zastępują domyślne nazwy domen kont magazynu i innych punktów końcowych utworzonych przez firmę Microsoft. Jeśli zastąpisz domyślne nazwy domen, spowoduje to przerwanie dostępu ruchu zarządzania usługi Azure Firewall do kont usługi Azure Storage i innych punktów końcowych. Spowoduje to przerwanie aktualizacji zapory, rejestrowania i/lub monitorowania.

Na przykład ruch zarządzania zaporą wymaga dostępu do konta magazynu z nazwą domeny blob.core.windows.net, a zapora opiera się na usłudze Azure DNS dla nazw FQDN na rozwiązania adresów IP.

Nie twórz strefy Prywatna strefa DNS z nazwą *.blob.core.windows.net domeny i skojarz ją z siecią wirtualną usługi Azure Firewall. Jeśli zastąpisz domyślne nazwy domen, wszystkie zapytania DNS są kierowane do prywatnej strefy DNS i spowoduje to przerwanie operacji zapory. Zamiast tego utwórz unikatową nazwę domeny, taką jak *.<unique-domain-name>.blob.core.windows.net dla prywatnej strefy DNS.

Alternatywnie możesz włączyć link prywatny dla konta magazynu i zintegrować go z prywatną strefą DNS, zobacz Inspekcja ruchu prywatnego punktu końcowego za pomocą usługi Azure Firewall.

Następne kroki