Поделиться через

DNS для локальных ресурсов и ресурсов Azure

  • Статья

Система доменных имен (DNS) — это критически важный раздел проектирования в общей архитектуре целевой зоны. Некоторые организации могут захотеть использовать свои существующие инвестиции в DNS. Другие пользователи могут видеть внедрение облака как возможность модернизировать внутреннюю инфраструктуру DNS и использовать собственные возможности Azure.

Рекомендации по проектированию

  • Вы можете использовать Private Resolver службы Azure DNS совместно с частными зонами DNS Azure для разрешения имен между различными сетями.

  • Возможно, вам потребуется использовать существующие решения DNS в локальной среде и Azure.

  • Виртуальная сеть может быть связана только с одной частной зоной DNS с включенной автоматической регистрацией.

  • Ознакомьтесь с ограничениями частной зоны DNS Azure.

Рекомендации по проектированию

  • В средах, где требуется только разрешение имен в Azure, используйте частные зоны DNS Azure для разрешения. Создайте делегированную зону для разрешения имен, например azure.contoso.com. Включите автоматическую регистрацию для частной зоны DNS Azure для автоматического управления жизненным циклом записей DNS для виртуальных машин, развернутых в виртуальной сети.

  • В тех средах, где требуется разрешение имён как в Azure, так и в локальной сети, используйте частный DNS-резолвер вкупе с зонами Azure Private DNS. Частный резолвер DNS предоставляет множество преимуществ по сравнению с решением DNS на основе виртуальных машин, включая сокращение затрат, встроенную высокую степень доступности, масштабируемость и гибкость.

    Если необходимо использовать существующую инфраструктуру DNS, например интегрированную DNS-службу Windows Server Active Directory, убедитесь, что роль DNS-сервера развернута по крайней мере на двух виртуальных машинах и настройте параметры DNS в виртуальных сетях для использования этих настраиваемых DNS-серверов.

  • Для сред с брандмауэром Azure рекомендуется использовать его в качестве прокси-сервера DNS.

  • Вы можете связать частную зону DNS Azure с виртуальными сетями. Используйте приватный разрешитель DNS с набором правил пересылки DNS, который также связан с виртуальными сетями.

    • Для запросов DNS, созданных в виртуальной сети Azure для разрешения локальных DNS-имен, таких как corporate.contoso.com, DNS-запрос перенаправлен в IP-адрес локальных DNS-серверов, указанных в наборе правил.

    • Для запросов DNS, созданных в локальной сети для разрешения записей DNS в частных зонах DNS Azure, можно настроить локальные DNS-серверы с условными перенаправлениями, указывающими на IP-адрес входящей конечной точки частного сопоставителя DNS в Azure. Эта конфигурация перенаправит запрос в частную зону DNS Azure, например azure.contoso.com.

  • Создайте две выделенные подсети для частного резольвера DNS в виртуальной сети концентратора в подписке на сетевые подключения. Создайте одну подсеть для входящих конечных точек и одну подсеть для исходящих конечных точек. Обе подсети должны иметь минимальный размер /28.

    • При развертывании резольвера DNS вместе со шлюзом ExpressRoute необходимо убедиться, что разрешено разрешение общедоступных полных доменных имен и ответы с допустимым результатом направляются через правило переадресации DNS на целевой DNS-сервер. Некоторые службы Azure используют возможность разрешения общедоступных DNS-имен для работы. Дополнительные сведения см. в правилах набора правил пересылки DNS.

    • Входящие конечные точки получают запросы на разрешение входящих подключений от клиентов в внутренней частной сети либо Azure, либо локально. У вас может быть не более пяти входящих конечных точек.

    • Исходящие конечные точки пересылают запросы разрешения на назначения в пределах внутренней приватной сети, будь то в Azure или локальной инфраструктуре, которые не могут быть разрешены с помощью приватных зон Azure DNS. У вас может быть не более пяти исходящих конечных точек.

    • Создайте соответствующий набор правил, чтобы разрешить перенаправление DNS в локальные домены DNS и пространства имен.

  • Рабочие нагрузки, требующие и развертывающие собственные DNS, такие как Red Hat OpenShift, должны использовать свое предпочтительное решение DNS.

  • Создайте частные зоны DNS Azure в глобальной подписке на подключение. Частные зоны DNS Azure, которые должны быть созданы, включают зоны, необходимые для доступа к решениям платформы Azure как услуги через частную конечную точку . Примеры включают privatelink.database.windows.net или privatelink.blob.core.windows.net.