Частный сопоставитель DNS Azure

В этой статье представлено решение для использования частного сопоставителя Azure DNS для упрощения разрешения гибридной рекурсивной системы доменных имен (DNS). Частный сопоставитель DNS можно использовать для локальных рабочих нагрузок и рабочих нагрузок Azure. Частный сопоставитель DNS упрощает разрешение частных DNS из локальной службы DNS в частную службу DNS Azure и наоборот.

Архитектура

В следующих разделах представлены альтернативные варианты гибридного рекурсивного разрешения DNS. В первом разделе рассматривается решение, использующее виртуальную машину пересылки DNS. В последующих разделах объясняется, как использовать частный сопоставитель DNS.

Использование виртуальной машины пересылки DNS

До того, как был доступен частный сопоставитель DNS, развернута виртуальная машина пересылки DNS, чтобы локальный сервер мог разрешать запросы к частной службе DNS Azure. На следующей схеме показаны сведения об этом разрешении имен. Условный сервер пересылки на локальном DNS-сервере перенаправит запросы в Azure, а частная зона DNS связана с виртуальной сетью. Затем запросы к службе Azure разрешаются на соответствующий частный IP-адрес.

В этом решении нельзя использовать общедоступную службу DNS Azure для разрешения локальных доменных имен.

Скачайте файл PowerPoint этой архитектуры.

Рабочий процесс

1. Виртуальная машина клиента отправляет запрос разрешения имен для azsql1.database.windows.net на локальный внутренний DNS-сервер.

2. Условный сервер пересылки настраивается на внутреннем DNS-сервере. Он перенаправит DNS-запрос database.windows.net на 10.5.0.254, который является адресом виртуальной машины пересылки DNS.

3. Виртуальная машина пересылки DNS отправляет запрос на 168.63.129.16, IP-адрес внутреннего DNS-сервера Azure.

4. Dns-сервер Azure отправляет запрос разрешения имен для azsql1.database.windows.net рекурсивным сопоставителям Azure. Сопоставители отвечают azsql1.privatelink.database.windows.net канонического имени (CNAME).

5. Dns-сервер Azure отправляет запрос разрешения имен для azsql1.privatelink.database.windows.net в частную зону privatelink.database.windows.netDNS. Частная зона DNS отвечает с частным IP-адресом 10.5.0.5.

6. Ответ, который связывает CNAME azsql1.privatelink.database.windows.net с записью 10.5.0.5, поступает в сервер пересылки DNS.

7. Ответ поступает на локальный внутренний DNS-сервер.

8. Ответ поступает на виртуальную машину клиента.

9. Виртуальная машина клиента устанавливает частное подключение к частной конечной точке, которая использует IP-адрес 10.5.0.5. Частная конечная точка предоставляет клиентную виртуальную машину с безопасным подключением к базе данных Azure.

Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure.

Использование частного сопоставителя DNS

При использовании частного сопоставителя DNS не требуется виртуальная машина пересылки DNS, а Azure DNS может разрешать локальные доменные имена.

В следующем решении используется частный сопоставитель DNS в топологии сети концентратора. Рекомендуется использовать этот тип топологии в шаблоне проектирования целевой зоны Azure. Гибридное сетевое подключение устанавливается с помощью Azure ExpressRoute и Брандмауэр Azure. Эта настройка предоставляет безопасную гибридную сеть. Частный сопоставитель DNS развертывается в периферийной сети (обозначается как сеть общей службы на схемах в этой статье).

Скачайте файл PowerPoint этой архитектуры.

Компоненты решения приватного сопоставителя DNS

Решение, использующее частный сопоставитель DNS, содержит следующие компоненты:

• Локальная сеть. Эта сеть центров обработки данных клиентов подключена к Azure через ExpressRoute или подключение azure типа "сеть — сеть" VPN-шлюз. Сетевые компоненты включают два локальных DNS-сервера. Один использует IP-адрес 192.168.0.1. Другие используют 192.168.0.2. Оба сервера работают как сопоставители или серверы пересылки для всех компьютеров в локальной сети.

Администратор создает все локальные записи DNS и серверы пересылки конечных точек Azure на этих серверах. Условные серверы пересылки настраиваются на этих серверах для служб Хранилище BLOB-объектов Azure и Azure Управление API. Эти серверы пересылки отправляют запросы в входящее подключение частного сопоставителя DNS. Конечная точка входящего трафика использует IP-адрес 10.0.0.8 и размещается в виртуальной сети общей службы (подсеть 10.0.0.0/28).

В следующей таблице перечислены записи на локальных серверах.

• Сеть концентратора.

  • VPN-шлюз или подключение ExpressRoute используется для гибридного подключения к Azure.
  • Брандмауэр Azure предоставляет управляемый брандмауэр в качестве службы. Экземпляр брандмауэра находится в собственной подсети.

• Сеть общей службы.

  • Частный сопоставитель DNS развертывается в собственной виртуальной сети (отделенной от центральной сети, в которой развернут шлюз ExpressRoute). В следующей таблице перечислены параметры, настроенные для частного сопоставителя DNS. Для имен DNS App1 и App2 настроен набор правил пересылки DNS.

  Параметр	IP-адрес
  Виртуальная сеть	10.0.0.0/24
  Подсеть входящей конечной точки	10.0.0.0/28
  IP-адрес входящего конечной точки	10.0.0.8
  Подсеть исходящей конечной точки	10.0.0.16/28
  IP-адрес исходящей конечной точки	10.0.0.19

  • Виртуальная сеть общей службы (10.0.0.0/24) связана с частными зонами DNS для хранилища BLOB-объектов и службы API.

• Периферийные сети.

  • Виртуальные машины размещаются во всех периферийных сетях для тестирования и проверки разрешения DNS.
  • Все периферийные виртуальные сети Azure используют сервер Azure DNS по умолчанию в IP-адресе 168.63.129.16. И все периферийные виртуальные сети пиринговые с виртуальными сетями концентратора. Весь трафик, включая трафик из частного сопоставителя DNS и из нее, направляется через концентратор.
  • Периферийные виртуальные сети связаны с частными зонами DNS. Эта конфигурация позволяет разрешить имена служб ссылок частной конечной точки, таких как privatelink.blob.core.windows.net.

Поток трафика для локального DNS-запроса

На следующей схеме показан поток трафика, который приводит к тому, что локальный сервер выдает DNS-запрос.

Скачайте файл PowerPoint этой архитектуры.

1. Локальный сервер запрашивает частную запись службы DNS Azure, например blob.core.windows.net. Запрос отправляется на локальный DNS-сервер по IP-адресу 192.168.0.1 или 192.168.0.2. Все локальные компьютеры указывают на локальный DNS-сервер.

2. Условный сервер пересылки на локальном DNS-сервере для blob.core.windows.net пересылки запроса в сопоставитель DNS по IP-адресу 10.0.0.8.

3. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

4. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика сопоставителя DNS.

Поток трафика для DNS-запроса виртуальной машины

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос. В этом случае виртуальная сеть "Периферийный 1" пытается устранить запрос.

Скачайте файл PowerPoint этой архитектуры.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены для использования разрешения имен, которое предоставляет Azure. В результате Azure DNS используется для разрешения DNS-запроса.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через частный сопоставитель DNS

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через конечную точку входящего трафика приватного сопоставителя DNS. В этом случае виртуальная сеть "Периферийный 1" пытается устранить запрос.

Скачайте файл PowerPoint этой архитектуры.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены на использование 10.0.0.8 в качестве DNS-сервера разрешения имен. В результате для разрешения DNS-запроса используется частный сопоставитель DNS.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через локальный DNS-сервер

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через локальный DNS-сервер. В этом случае виртуальная сеть "Периферийный 1" пытается устранить запрос.

Скачайте файл PowerPoint этой архитектуры.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены для использования 192.168.0.1/2 в качестве DNS-сервера разрешения имен. В результате локальный DNS-сервер используется для разрешения DNS-запроса.

2. Запрос отправляется на локальный DNS-сервер по IP-адресу 192.168.0.1 или 192.168.0.2.

3. Условный сервер пересылки на локальном DNS-сервере для blob.core.windows.net пересылки запроса в сопоставитель DNS по IP-адресу 10.0.0.8.

4. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

5. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика для частного сопоставителя DNS.

Компоненты

• VPN-шлюз — это шлюз виртуальной сети, который можно использовать для отправки зашифрованного трафика:

  • Между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.
  • Между виртуальными сетями Azure через магистральную сеть Azure.

• ExpressRoute позволяет подключить локальные сети к Microsoft Cloud. ExpressRoute устанавливает частные подключения к облачным компонентам, таким как службы Azure и Microsoft 365, с помощью поставщика подключений.

• Виртуальная сеть Azure — это фундаментальный стандартный блок для частных сетей в Azure. Виртуальная сеть Azure позволяет ресурсам Azure, таким как виртуальные машины, безопасно взаимодействовать друг с другом, с Интернетом и локальными сетями.

• Брандмауэр Azure применяет политики подключения к приложениям и сети. Эта служба безопасности сети централизованно управляет политиками в нескольких виртуальных сетях и подписках.

• Частный сопоставитель DNS — это служба, которая мостит локальную СЛУЖБУ DNS с Помощью Azure DNS. Эту службу можно использовать для запроса частных зон Azure DNS из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин.

• Azure DNS — это служба размещения для доменов DNS. Azure DNS использует инфраструктуру Azure для предоставления разрешения имен.

• Частная служба DNS Azure управляет и разрешает доменные имена в виртуальной сети и подключенных виртуальных сетях. При использовании этой службы вам не нужно настраивать пользовательское решение DNS. При использовании частных зон DNS можно использовать пользовательские доменные имена вместо имен, которые предоставляет Azure во время развертывания.

• Dns-серверы пересылки — это DNS-серверы, которые перенаправляют запросы на серверы, которые находятся за пределами сети. Сервер пересылки DNS перенаправит запросы только для имен, которые не удается разрешить.

Подробности сценария

Azure предлагает различные решения DNS:

• Azure DNS является службой размещения для доменов DNS. По умолчанию виртуальные сети Azure используют Azure DNS для разрешения DNS. Корпорация Майкрософт управляет и обслуживает Azure DNS.
• Диспетчер трафика Azure выступает в качестве службы балансировки нагрузки на основе DNS. Он предоставляет способ распределения трафика между регионами Azure в общедоступные приложения.
• Частная служба DNS Azure предоставляет службу DNS для виртуальных сетей. Вы можете использовать частные зоны службы DNS Azure для разрешения собственных доменных имен и имен виртуальных машин, не настраивая пользовательское решение и не изменяя собственную конфигурацию. Во время развертывания можно использовать имена пользовательских доменов вместо имен, которые предоставляет Azure, если вы используете частные зоны DNS.
• Частный сопоставитель DNS — это облачная, высокодоступная служба DevOps. Она обеспечивает простое, нулевое обслуживание, надежную и безопасную службу DNS. Эту службу можно использовать для разрешения DNS-имен, размещенных в частных зонах Azure DNS из локальных сетей. Вы также можете использовать службу для запросов DNS для собственных доменных имен.

Прежде чем был доступен частный сопоставитель DNS, необходимо было использовать пользовательские DNS-серверы для разрешения DNS из локальных систем в Azure и наоборот. Пользовательские решения DNS имеют множество недостатков:

• Управление несколькими пользовательскими DNS-серверами для нескольких виртуальных сетей включает высокие затраты на инфраструктуру и лицензирование.
• Необходимо обрабатывать все аспекты установки, настройки и обслуживания DNS-серверов.
• Накладные задачи, такие как мониторинг и исправление этих серверов, являются сложными и подвержены сбоям.
• Поддержка DevOps для управления записями DNS и правилами пересылки отсутствует.
• Это дорого для реализации масштабируемых решений DNS-сервера.

Частный сопоставитель DNS преодолевает эти препятствия, предоставляя следующие функции и ключевые преимущества:

• Полностью управляемая служба Майкрософт с встроенной высокой доступностью и избыточностью зоны.
• Масштабируемое решение, которое хорошо работает с DevOps.
• Экономия затрат при сравнении с традиционной инфраструктурой как услуга (IaaS) на основе пользовательских решений.
• Условное перенаправление для Azure DNS на локальные серверы. Конечная точка исходящего трафика предоставляет эту возможность, которая была недоступна в прошлом. Рабочие нагрузки в Azure больше не требуют прямых подключений к локальным DNS-серверам. Вместо этого рабочие нагрузки Azure подключаются к исходящему IP-адресу частного сопоставителя DNS.

Потенциальные варианты использования

Это решение упрощает разрешение частных DNS в гибридных сетях. Она применяется ко многим сценариям:

• Стратегии перехода во время долгосрочной миграции в полностью облачные решения
• Решения аварийного восстановления и отказоустойчивости, которые реплицируют данные и службы между локальными и облачными средами
• Решения, размещающие компоненты в Azure для уменьшения задержки между локальными центрами обработки данных и удаленными расположениями

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Рекомендуется развернуть частный сопоставитель DNS в виртуальной сети, содержащей шлюз ExpressRoute. Подробные сведения см. в статье Сведения о шлюзах виртуальных сетей ExpressRoute.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Дополнительные сведения см . в контрольном списке проверки конструктора для обеспечения надежности.

Частный сопоставитель DNS — это облачная служба, которая является высокодоступной и понятной для DevOps. Он предоставляет надежное и безопасное решение DNS при сохранении простоты и нулевого обслуживания для пользователей.

Доступность в регионах

Список регионов, в которых доступен частный сопоставитель DNS, см. в разделе "Региональная доступность".

Сопоставитель DNS может ссылаться только на виртуальную сеть, которая находится в том же регионе, что и сопоставитель DNS.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в контрольном списке проверки конструктора для безопасности.

Azure DNS поддерживает расширенный набор кодировки ASCII для текстовых наборов записей (TXT). Дополнительные сведения см. в статье "Вопросы и ответы по Azure DNS".

Azure DNS имеет расширения безопасности DNS (DNSSEC) в предварительной версии.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см . в контрольном списке проверки конструктора для оптимизации затрат.

• В качестве решения частный сопоставитель DNS является в значительной степени экономичным. Одним из основных преимуществ частного сопоставителя DNS является полное управление, которое устраняет необходимость выделенных серверов.

• Чтобы вычислить стоимость частного сопоставителя DNS, используйте калькулятор цен Azure. Для моделей ценообразования частных сопоставителя DNS см . цены на Azure DNS.

• Цены также включают функции доступности и масштабируемости.

• ExpressRoute поддерживает две модели выставления счетов:

  • Лимитные данные, которые взимается за гигабайт для исходящей передачи данных.
  • Неограниченные данные, которые взимается с фиксированной ежемесячной платы за порт, охватывающий все исходящие и исходящие передачи данных.

  Дополнительные сведения см. в разделе о ценах ExpressRoute.

• Если вы используете VPN-шлюз вместо ExpressRoute, стоимость зависит от продукта и взимается в час. Дополнительные сведения см. на странице цен на VPN-шлюз.

Оптимизация производительности

Уровень производительности — это способность вашей рабочей нагрузки эффективно масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями. Дополнительные сведения см . в контрольном списке проверки конструктора для повышения эффективности.

Частный сопоставитель DNS — это полностью управляемая служба Майкрософт, которая может обрабатывать миллионы запросов. Используйте адресное пространство подсети между /28 и /24. Для большинства пользователей /26 лучше всего работает. Дополнительные сведения см. в разделе "Ограничения подсети".

Сеть

Дополнительные сведения о создании частного сопоставителя DNS см. в следующих ресурсах:

• Создание частного сопоставителя DNS с помощью портал Azure
• Создание частного сопоставителя DNS с помощью Azure PowerShell

Обратная поддержка DNS

Обычно записи DNS сопоставляют DNS-имя с IP-адресом. Например, www.contoso.com разрешается значение 42.3.10.170. С обратным DNS сопоставление идет в противоположном направлении. IP-адрес сопоставляется с именем. Например, IP-адрес 42.3.10.170 разрешается www.contoso.comв .

Подробные сведения о поддержка Azure для обратного DNS и о том, как работает обратный DNS, см. в обзоре обратной службы DNS и поддержки в Azure.

Ограничения

Частный сопоставитель DNS имеет следующие ограничения:

• Наборы правил частного сопоставителя DNS могут быть связаны только с виртуальными сетями, которые находятся в том же географическом регионе, что и сопоставитель.
• Виртуальная сеть не может содержать несколько частных сопоставителя DNS.
• Необходимо назначить выделенную подсеть каждой входящей и исходящей конечной точке.

Дополнительные сведения см. в разделе "Ограничения виртуальной сети".

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующим участником.

Автор субъекта:

• Мурти Аннадурай | Архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Что такое связь виртуальной сети?
• Что такое Azure DNS?
• Что такое частная служба DNS Azure?
• Что такое частный сопоставитель DNS?
• Часто задаваемые вопросы о Azure DNS
• Обзор обратной службы DNS и поддержки в Azure

Связанные ресурсы

• Доступ к файлам Azure, доступ к локальным и защищенным AD DS
• Проектирование гибридного решения DNS с помощью Azure
• Общей папке облачного облака Azure