Projektowanie rozpoznawania nazw dla sieci wirtualnej

  • 10 min

System DNS jest podzielony na dwa obszary: publiczny i Prywatna strefa DNS dla zasobów dostępnych z własnych sieci wewnętrznych.

Publiczne usługi DNS

Publiczne usługi DNS rozpoznają nazwy i adresy IP dla zasobów i usług dostępnych przez Internet, takich jak serwery internetowe. Azure DNS to usługa hostingu dla domeny DNS, która zapewnia rozpoznawanie nazw przy użyciu infrastruktury platformy Microsoft Azure. W usłudze Azure DNS domeny DNS są hostowane w globalnej sieci serwerów nazw DNS na platformie Azure. W usłudze Azure DNS jest stosowana emisja dowolna. Każde zapytanie DNS jest kierowane do najbliższego dostępnego serwera DNS.

W usłudze Azure DNS rekordy adresów można tworzyć ręcznie w odpowiednich strefach. Najczęściej używane rekordy to:

  • Rekordy hosta: A/AAAA (IPv4/IPv6)
  • Rekordy aliasów: CNAME

Usługa Azure DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania i rozpoznawania nazw domen w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS.

Strefa DNS hostuje rekordy DNS dla domeny. Dlatego aby rozpocząć hostowanie domeny w usłudze Azure DNS, należy utworzyć strefę DNS dla tej nazwy domeny. Każdy rekord DNS domeny zostanie utworzony w tej strefie DNS.

Kwestie wymagające rozważenia

  • Nazwa strefy musi być unikatowa w obrębie grupy zasobów, a strefa nie może wcześniej istnieć.
  • Danej nazwy strefy można użyć ponownie w innej grupie zasobów lub w ramach innej subskrypcji platformy Azure.
  • W przypadku wielu stref o tej samej nazwie do każdego wystąpienia jest przypisywany inny adres serwera nazw.
  • Domena główna/nadrzędna jest zarejestrowana u rejestratora i wskazywana na usługę Azure NS.
  • Domeny podrzędne są rejestrowane bezpośrednio w usłudze AzureDNS.

Uwaga

Nie musisz być właścicielem nazwy domeny, aby utworzyć strefę DNS z tą nazwą domeny w usłudze Azure DNS. Należy jednak posiadać domenę, aby skonfigurować domenę.

Delegowanie domen DNS

Usługa Azure DNS umożliwia hostowanie strefy DNS i zarządzanie rekordami DNS dla domeny na platformie Azure. Aby zapytania DNS dla domeny miały dostęp do usługi Azure DNS, należy delegować domenę do usługi Azure DNS z domeny nadrzędnej. Należy pamiętać, że usługa Azure DNS nie jest rejestratorem domen.

Aby delegować domenę do usługi Azure DNS, musisz najpierw znać nazwy serwerów nazw dla strefy. Za każdym razem, gdy strefa DNS jest tworzona, usługa Azure DNS przydziela serwery nazw z puli. Po przypisaniu serwerów nazw usługa Azure DNS automatycznie tworzy autorytatywne rekordy NS w strefie.

Po utworzeniu strefy DNS i utworzeniu serwerów nazw należy zaktualizować domenę nadrzędną. Każdy rejestrator ma swoje własne narzędzia do zarządzania systemem DNS służące do zmiany rekordów serwerów nazw dla domeny. Na stronie zarządzania systemem DNS rejestratora edytuj rekordy NS i zastąp je rekordami utworzonymi przez usługę Azure DNS.

Uwaga

Podczas delegowania domeny do usługi Azure DNS należy użyć nazw serwerów nazw udostępnionych przez usługę Azure DNS. Zawsze należy używać wszystkich czterech nazw serwerów nazw, niezależnie od nazwy domeny.

Domeny podrzędne

Jeśli chcesz skonfigurować oddzielną strefę podrzędną, możesz delegować domenę podrzędną w usłudze Azure DNS. Na przykład po skonfigurowaniu contoso.com w usłudze Azure DNS można skonfigurować oddzielną strefę podrzędną dla partners.contoso.com.

Konfigurowanie poddomeny jest zgodne z tym samym procesem co typowe delegowanie. Jedyną różnicą jest to, że rekordy NS muszą być tworzone w strefie nadrzędnej contoso.com w usłudze Azure DNS, a nie u rejestratora domen.

Uwaga

Strefy nadrzędne i podrzędne mogą znajdować się w tej samej lub innej grupie zasobów. Zwróć uwagę, że nazwa zestawu rekordów w strefie nadrzędnej jest zgodna z nazwą strefy podrzędnej, w tym przypadku partnerami.

Ważne jest, aby zrozumieć różnicę między zestawami rekordów DNS i poszczególnymi rekordami DNS. Zestaw rekordów jest kolekcją rekordów w strefie, która ma taką samą nazwę i jest tego samego typu.

Zrzut ekranu przedstawiający stronę Dodawanie zestawu rekordów.

Zestaw rekordów nie może zawierać dwóch identycznych rekordów. Można utworzyć puste zestawy rekordów (z zerowymi rekordami), ale nie są wyświetlane na serwerach nazw usługi Azure DNS. Zestawy rekordów typu CNAME mogą zawierać co najwyżej jeden rekord.

Strona Dodawanie zestawu rekordów zmienia się w zależności od wybranego typu rekordu. W przypadku rekordu A potrzebny jest czas wygaśnięcia (czas wygaśnięcia) i adres IP. Czas wygaśnięcia (TTL) określa, jak długo każdy rekord jest buforowany.

Zrzut ekranu przedstawiający stronę Dodawanie rekordu.

usługi Prywatna strefa DNS

Prywatna strefa DNS usługi rozpoznają nazwy i adresy IP dla zasobów i usług

Gdy zasoby wdrożone w sieciach wirtualnych muszą rozpoznawać nazwy domen na wewnętrzne adresy IP, mogą użyć jednej z trzech metod:

  • Strefy prywatne w usłudze DNS platformy Azure
  • Rozpoznawanie nazw udostępnianych przez platformę Azure
  • Rozpoznawanie nazw używające własnego serwera DNS

Używany typ rozpoznawania nazw zależy od tego, w jaki sposób zasoby muszą komunikować się ze sobą.

Twoje potrzeby dotyczące rozpoznawania nazw mogą wykraczać poza funkcje udostępniane przez platformę Azure. Na przykład może być konieczne użycie domen usługi Microsoft Windows Server Active Directory do rozpoznawania nazw DNS między sieciami wirtualnymi. Aby uwzględnić te scenariusze, platforma Azure umożliwia korzystanie z własnych serwerów DNS.

Serwery DNS w sieci wirtualnej mogą przekazywać zapytania DNS do rekursywnych rozpoznawania nazw na platformie Azure. Na przykład kontroler domeny (DC) uruchomiony na platformie Azure może odpowiadać na zapytania DNS dotyczące swoich domen i przekazywać wszystkie inne zapytania do platformy Azure. Przekazywanie zapytań umożliwia maszynom wirtualnym wyświetlanie zarówno zasobów lokalnych (za pośrednictwem kontrolera domeny) jak i udostępnionych przez platformę Azure nazw hostów (za pośrednictwem usługi przesyłania dalej). Dostęp do programów rozpoznawania cyklicznego na platformie Azure jest zapewniany za pośrednictwem wirtualnego adresu IP 168.63.129.16.

Przekazywanie DNS umożliwia również rozpoznawanie nazw DNS między sieciami wirtualnymi i umożliwia maszynom lokalnym rozpoznawanie nazw hostów udostępnianych przez platformę Azure. Aby rozpoznać nazwę hosta maszyny wirtualnej, maszyna wirtualna serwera DNS musi znajdować się w tej samej sieci wirtualnej i być skonfigurowana do przekazywania zapytań dotyczących nazw hostów do platformy Azure. Ponieważ sufiks DNS różni się w każdej sieci wirtualnej, można użyć reguł przekazywania warunkowego do wysyłania zapytań DNS do właściwej sieci wirtualnej do rozpoznawania.

Usługa DNS zapewniana przez platformę Azure

Platforma Azure udostępnia własną bezpłatną domyślną wewnętrzną usługę DNS. Dostępne na platformie Azure rozpoznawanie nazw zapewnia tylko podstawowe funkcje autorytatywne dns. Jeśli używasz tej opcji, nazwy i rekordy strefy DNS są automatycznie zarządzane przez platformę Azure. Nie można kontrolować nazw stref DNS ani cyklu życia rekordów DNS.

Wewnętrzny system DNS definiuje przestrzeń nazw w następujący sposób: .internal.cloudapp.net.

Każda maszyna wirtualna utworzona w sieci wirtualnej jest zarejestrowana w wewnętrznej strefie DNS i pobiera nazwę domeny DNS, taką jak myVM.internal.cloudapp.net. Należy pamiętać, że jest to nazwa zasobu platformy Azure zarejestrowana, a nie nazwa systemu operacyjnego gościa na maszynie wirtualnej.

Ograniczenia wewnętrznego systemu DNS

  • Nie można rozpoznać w różnych sieciach wirtualnych.
  • Rejestruje nazwy zasobów, a nie nazwy systemu operacyjnego gościa.
  • Nie zezwala na ręczne tworzenie rekordów.

Prywatne strefy DNS platformy Azure

strefy Prywatna strefa DNS na platformie Azure są dostępne tylko dla zasobów wewnętrznych. Są one globalne w zakresie, więc można uzyskać do nich dostęp z dowolnego regionu, dowolnej subskrypcji, dowolnej sieci wirtualnej i dowolnej dzierżawy. Jeśli masz uprawnienia do odczytywania strefy, możesz użyć jej do rozpoznawania nazw. Prywatna strefa DNS strefy są wysoce odporne, replikowane do regionów na całym świecie. Nie są one dostępne dla zasobów w Internecie.

W przypadku scenariuszy, które wymagają większej elastyczności niż pozwala na to wewnętrzna usługa DNS, można utworzyć własne prywatne strefy DNS. Te strefy umożliwiają:

  • Skonfiguruj określoną nazwę DNS dla strefy.
  • W razie potrzeby utwórz rekordy ręcznie.
  • Rozpoznawanie nazw i adresów IP w różnych strefach.
  • Rozpoznawanie nazw i adresów IP w różnych sieciach wirtualnych.

Tworzenie prywatnej strefy DNS przy użyciu portalu

Prywatną strefę DNS można utworzyć przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Zrzut ekranu przedstawiający wyszukiwanie prywatnej strefy DNS.

Po wdrożeniu nowej strefy DNS można ręcznie utworzyć rekordy zasobów lub użyć automatycznego wyrejestrowania. Funkcja automatycznego wyrejestrowania tworzy rekordy zasobów na podstawie nazwy zasobu platformy Azure.

strefy Prywatna strefa DNS obsługują pełny zakres rekordów, w tym wskaźniki, MX, SOA, usługę i rekordy tekstowe.

Na platformie Azure sieć wirtualna reprezentuje grupę co najmniej jednej podsieci zdefiniowanej przez zakres CIDR. Zasoby, takie jak maszyny wirtualne, są dodawane do podsieci.

Na poziomie sieci wirtualnej domyślna konfiguracja DNS jest częścią przypisań DHCP wykonanych przez platformę Azure, określając adres specjalny 168.63.129.16 do korzystania z usług Azure DNS.

W razie potrzeby można zastąpić konfigurację domyślną, konfigurując alternatywny serwer DNS na karcie sieciowej maszyny wirtualnej.

Zrzut ekranu przedstawiający konfigurację domyślną DNS.

Dwa sposoby łączenia sieci wirtualnych ze strefą prywatną:

  • Rejestracja: każda sieć wirtualna może łączyć się z jedną prywatną strefą DNS na potrzeby rejestracji. Jednak do 100 sieci wirtualnych może łączyć się z tą samą prywatną strefą DNS na potrzeby rejestracji.
  • Rozwiązanie: może istnieć wiele innych prywatnych stref DNS dla różnych przestrzeni nazw. Sieć wirtualną można połączyć z każdą z tych stref w celu rozpoznawania nazw. Każda sieć wirtualna może łączyć się z maksymalnie 1000 prywatnymi strefami DNS na potrzeby rozpoznawania nazw.

Zrzut ekranu przedstawiający prywatne strefy rozpoznawania nazw DNS.

Integrowanie lokalnej usługi DNS z sieciami wirtualnymi platformy Azure

Jeśli masz zewnętrzny serwer DNS, na przykład serwer lokalny, możesz użyć niestandardowej konfiguracji DNS w sieci wirtualnej, aby zintegrować te dwa.

Zewnętrzny system DNS może działać na dowolnym serwerze DNS: bind on UNIX, domena usługi Active Directory Services DNS itd. Jeśli chcesz użyć zewnętrznego serwera DNS, a nie domyślnej usługi Azure DNS, musisz skonfigurować żądane serwery DNS.

Organizacje często używają wewnętrznej prywatnej strefy DNS platformy Azure do automatycznej rejestracji, a następnie używają konfiguracji niestandardowej do przekazywania zapytań stref zewnętrznych z zewnętrznego serwera DNS.

Przekazywanie przyjmuje dwie formy:

  • Przekazywanie — określa inny serwer DNS (SOA dla strefy), aby rozwiązać zapytanie, jeśli serwer początkowy nie może.
  • Przekazywanie warunkowe — określa serwer DNS dla nazwanej strefy, tak aby wszystkie zapytania dla tej strefy zostały kierowane do określonego serwera DNS.

Uwaga

Jeśli serwer DNS znajduje się poza platformą Azure, nie ma dostępu do usługi Azure DNS w wersji 168.63.129.16. W tym scenariuszu skonfiguruj program rozpoznawania nazw DNS w sieci wirtualnej, prześlij do niej zapytania, a następnie przekaże zapytania do adresu 168.63.129.16 (Azure DNS). Zasadniczo używasz przekazywania dalej, ponieważ 168.63.129.16 nie jest routingu i dlatego nie jest dostępny dla klientów zewnętrznych.

Diagram przedstawiający sposób działania przekazywania warunkowego.

Wybierz najlepszą odpowiedź na pytanie.

Sprawdź swoją wiedzę

1.

Jaka jest różnica między statycznym publicznym adresem IP a dynamicznym publicznym adresem IP?

2.

Właściciele aplikacji muszą używać dynamicznych adresów IP dla określonych zasobów w sieci wirtualnej. Która jednostka SKU musi wybrać?