Implementowanie systemu DNS w środowiskach hybrydowych

  • 9 min

Obecnie firma Contoso używa maszyn wirtualnych z systemem Windows Server w lokalnym centrum danych do implementowania systemu DNS. Jako główny inżynier systemu musisz zdecydować, czy wdrożyć usługę Azure DNS, aby zastąpić funkcje tych obciążeń lokalnych, czy zaimplementować system DNS na maszynach wirtualnych z systemem Windows Server.

Istnieje wiele scenariuszy, w których firma Contoso może zdecydować się na wdrożenie systemu DNS przy użyciu systemu Windows Server IaaS, oprócz usługi Azure DNS lub zamiast usługi Azure DNS. Te scenariusze mogą obejmować:

  • Konfigurowanie rozpoznawania nazw między maszynami wirtualnymi w różnych sieciach wirtualnych.
  • Konfigurowanie rozpoznawania nazw hostów platformy Azure z komputerów lokalnych.
  • Implementowanie przekazywania warunkowego.
  • Implementowanie transferów stref DNS.

Omówienie usługi Azure DNS

Strefy DNS można hostować w usłudze Azure DNS. W szczególności usługa Azure DNS udostępnia autorytatywne usługi DNS dla swoich stref. Aby zapytania DNS dotyczące zasobów w domenie organizacji dotarły do usługi Azure DNS, należy delegować ją do usługi Azure DNS z domeny nadrzędnej.

Strefy DNS migrowane do usługi Azure DNS są hostowane w globalnej sieci serwerów nazw DNS na platformie Azure. Ponieważ usługa Azure DNS korzysta z dowolnej komunikacji emisji, zapytanie DNS z organizacji jest kierowane do najbliższego serwera DNS platformy Azure, co pomaga zapewnić dobrą wydajność i wysoką dostępność tej krytycznej usługi infrastruktury. Możesz użyć kontroli dostępu opartej na rolach (RBAC), aby wybrać, którzy użytkownicy mogą zarządzać domenami usługi Azure DNS.

Ograniczenia i zagadnienia dotyczące usługi Azure DNS

Usługa Azure DNS to rozwijająca się platforma, a nowe funkcje i możliwości są dodawane przez cały czas. Obecnie jednak usługa Azure DNS ma pewne ograniczenia.

  • Można połączyć tylko określoną sieć wirtualną z jedną prywatną strefą DNS.
  • Odwrotna (czasami nazywana odwrotną) usługa DNS działa tylko dla prywatnej przestrzeni adresów IP w połączonej sieci wirtualnej.
  • Przekazywanie warunkowe nie jest obecnie obsługiwane.
  • Usługa Azure DNS nie obsługuje obecnie rozszerzeń zabezpieczeń systemu nazw domen (DNSSEC).
  • Usługa Azure DNS nie obsługuje transferów stref.
  • Istnieje wiele ograniczeń w przypadku korzystania z publicznych stref DNS, które odnoszą się do liczby stref i rekordów na subskrypcję.

Prywatna strefa DNS

Usługa Azure DNS zapewnia obsługę zarówno publicznego systemu DNS, jak i prywatnego systemu DNS, zgodnie z opisem w poniższej tabeli.

Usługa DNS opis
Publiczna usługa DNS platformy Azure Zapewnia rozpoznawanie nazw dla domen DNS dostępnych z Internetu. Publiczny system DNS platformy Azure służy do hostowania domen DNS organizacji.
Prywatna usługa DNS platformy Azure Zapewnia rozpoznawanie nazw dla maszyn wirtualnych w sieci wirtualnej i między sieciami wirtualnymi. Umożliwia skonfigurowanie nazw stref za pomocą widoku podzielonego horyzontu; Umożliwia to prywatnej i publicznej strefie DNS współużytkowania tej samej nazwy strefy.

Aby rozpoznać rekordy prywatnej strefy DNS z sieci wirtualnej, musisz połączyć sieć wirtualną ze strefą. Połączone sieci wirtualne mają pełny dostęp i mogą rozpoznawać wszystkie rekordy DNS opublikowane w strefie prywatnej. Ponadto możesz również włączyć automatyczne wyrejestrowanie w linku sieci wirtualnej. Jeśli włączysz funkcję automatycznego rejestrowania, rekordy DNS dla maszyn wirtualnych w tej sieci wirtualnej są rejestrowane w strefie prywatnej. Po włączeniu automatycznego wyrejestrowania usługa Azure DNS aktualizuje również rekordy strefy za każdym razem, gdy maszyna wirtualna zostanie utworzona, zmieni swój adres IP lub zostanie usunięta.

W poniższej tabeli opisano funkcje usługi Azure Prywatna strefa DNS.

Funkcja opis
Umożliwia automatyczną rejestrację maszyn wirtualnych z sieci wirtualnej, którą łączysz ze strefą prywatną Maszyny wirtualne są rejestrowane w strefie prywatnej jako rekordy hosta (A), które rozpoznają prywatne adresy IP maszyn wirtualnych. Po włączeniu automatycznego rejestrowania po usunięciu maszyny wirtualnej w sieci wirtualnej usługa Azure DNS automatycznie usuwa odpowiedni rekord DNS z połączonej strefy prywatnej.
pomoc techniczna platformy Azure przekazywania rozpoznawania nazw DNS między sieciami wirtualnymi, które łączysz ze strefą prywatną Podczas implementowania rozpoznawania nazw DNS między sieciami wirtualnymi nie ma wyraźnego wymogu komunikacji równorzędnej sieci wirtualnych. Nadal możesz chcieć połączyć równorzędne sieci wirtualne z innych powodów niepowiązanych z systemem DNS.
pomoc techniczna platformy Azure wsteczne wyszukiwanie DNS w zakresie sieci wirtualnej Odwrotne wyszukiwanie DNS dla prywatnego adresu IP w sieci wirtualnej przypisanej do strefy prywatnej zwraca w pełni kwalifikowaną nazwę domeny hosta (FQDN), która zawiera nazwę hosta/rekordu i nazwę strefy jako sufiks.

Implementowanie usługi DNS przy użyciu maszyn wirtualnych IaaS platformy Azure

Serwery DNS systemu Windows Server dołączone do sieci wirtualnej mogą przekazywać zapytania DNS do rekursywnych rozpoznawania nazw na platformie Azure. Pozwala to na rozpoznawanie nazw hostów w danej sieci wirtualnej.

Na przykład zespół IT firmy Contoso wdraża maszynę wirtualną kontrolera domeny, która również uruchamia rolę serwera DNS na platformie Azure. W takim przypadku maszyna wirtualna może odpowiadać na zapytania DNS dotyczące swojej domeny lokalnej. Maszyna wirtualna może również przekazywać wszystkie inne zapytania do platformy Azure. Przekazując zapytania, umożliwia to maszynom wirtualnym firmy Contoso zlokalizowanie zarówno zasobów lokalnych (za pośrednictwem kontrolera domeny) jak i nazw hostów udostępnianych przez platformę Azure (za pośrednictwem usługi przesyłania dalej).

Uwaga

Platforma Azure zapewnia dostęp do cyklicznych rozpoznawania nazw DNS przy użyciu następującego wirtualnego adresu IPv4: 168.63.129.16.

Możesz użyć przekazywania DNS do:

  • Włącz rozpoznawanie nazw DNS między sieciami wirtualnymi.
  • Włącz maszynom lokalnym rozpoznawanie nazw hostów udostępnianych przez platformę Azure.

Napiwek

Aby rozpoznać nazwę hosta maszyny wirtualnej, należy skonfigurować serwer DNS w celu przekazywania zapytań dotyczących nazw hostów do platformy Azure.

Ponieważ sufiks DNS różni się w każdej sieci wirtualnej, do wysyłania zapytań DNS do prawidłowej sieci wirtualnej do rozpoznawania należy używać reguł przekazywania warunkowego.

Uwaga

W przypadku korzystania z własnych serwerów DNS platforma Azure umożliwia określenie wielu serwerów DNS w każdej sieci wirtualnej.

Na poniższym diagramie istnieją dwie sieci wirtualne i sieć lokalna wykonująca rozpoznawanie nazw DNS między sieciami wirtualnymi przy użyciu przekazywania dalej.

Diagram zawiera sieć lokalną i dwie sieci wirtualne, z których każda jest skonfigurowana przy użyciu własnego serwera DNS. Zapytania dotyczące sieci VNet1 i VNet2 z klientów lokalnych są przekazywane do tych serwerów DNS. Zapytania są następnie przekazywane między tymi dwoma serwerami DNS, a także do usługi Azure DNS.

Materiały uzupełniające

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami: