Реализация DNS в гибридных средах

  • 9 мин

В настоящее время Contoso использует для реализации DNS виртуальные машины Windows Server в своем локальном центре обработки данных. Как системный инженер вы должны решить, следует ли реализовать Azure DNS, чтобы заменить функции этих локальных рабочих нагрузок, или реализовать DNS на виртуальных машинах Windows Server.

Существует несколько сценариев, в которых Contoso может принять решение о реализации DNS с использованием Windows Server IaaS в дополнение к Azure DNS или вместо Azure DNS. Данные сценарии могут включать:

  • Настройка разрешения имен между виртуальными машинами в различных виртуальных сетях.
  • Настройка разрешения имен узлов Azure на локальных компьютерах.
  • Реализация условной переадресации.
  • Реализация передачи зоны DNS.

Обзор Azure DNS

Зоны DNS можно разместить в Azure DNS. В частности, Azure DNS предоставляет полномочные службы DNS для своих зон. Для отправки запросов DNS к ресурсам в домене вашей организации и обращения к Azure DNS необходимо делегировать этот домен Azure DNS из родительского домена.

Зоны DNS, переносимые в Azure DNS, размещаются в глобальной сети серверов DNS-имен в Azure. Поскольку Azure DNS использует обмен произвольный обмен данными, запрос DNS из вашей организации направляется на ближайший Azure DNS сервер, что позволяет обеспечить высокую производительность и высокую доступность этой критически важной службы инфраструктуры. Можно использовать управление доступом на основе ролей (RBAC), чтобы определить, какие пользователи могут управлять доменами Azure DNS.

Ограничения и рекомендации для Azure DNS

Azure DNS — это развивающаяся платформа, для которой постоянно добавляются новые функции и возможности. Однако в настоящее время для Azure DNS действуют некоторые ограничения.

  • Конкретную виртуальную сеть можно связать только с одной частной зоной DNS.
  • Обратный поиск DNS работает только для пространства частных IP-адресов в связанной виртуальной сети.
  • Условная переадресация в настоящее время не поддерживается.
  • Сейчас Azure DNS не поддерживает расширения безопасности службы доменных имен (DNSSEC).
  • Azure DNS не поддерживает передачу зоны.
  • При использовании общедоступных зон DNS, связанных с несколькими зонами и записями на подписку, действует ряд ограничений.

Частная зона DNS

Azure DNS обеспечивает поддержку общедоступных и частных DNS-серверов, как описано в следующей таблице.

Служба DNS Description
Общедоступная служба Azure DNS Обеспечивает разрешение имен для доменов DNS с выходом в Интернет. Для размещения доменов DNS вашей организации используется общедоступный DNS-сервер Azure.
Частная зона DNS Обеспечивает разрешение имен для виртуальных машин в виртуальной сети и между различными виртуальными сетями. Дает возможность настроить имена зон по схеме "расщепление горизонта", чтобы присваивать частной и общедоступной DNS-зонам одно и то же имя.

Для разрешения записей частной зоны DNS из виртуальной сети необходимо связать виртуальную сеть с зоной. Связанные виртуальные сети имеют полный доступ и могут разрешать все записи DNS, опубликованные в частной зоне. Кроме того, вы также можете включить автоматическую регистрацию по ссылке на виртуальную сеть. При включении авторегистрации записи DNS для виртуальных машин в этой виртуальной сети регистрируются в частной зоне. Когда автоматическая регистрация включена, Azure DNS также обновляет записи зоны при каждом создании виртуальной машины, изменении ее IP-адреса или удалении.

В следующей таблице описаны функции частной зоны DNS Azure.

Возможность Description
Обеспечивает автоматическую регистрацию виртуальных машин из виртуальных сетей, связанных с частной зоной. Виртуальные машины регистрируются в частной зоне как записи узла (А), которые разрешаются в частные IP-адреса виртуальных машин. После включения автоматической регистрации при удалении виртуальной машины из виртуальной сети Azure DNS автоматически удаляет соответствующую запись DNS из связанной частной зоны.
Azure поддерживает переадресацию прямого разрешения имен DNS в различных виртуальных сетях, которые связаны с частной зоной. При реализации разрешения DNS-имен между виртуальными сетями отсутствуют явные требования к пирингу виртуальных сетей. Однако использование одноранговых виртуальных сетей может требоваться по другим причинам, не связанным с DNS.
Azure поддерживает обратный просмотр DNS в области виртуальной сети. Обратный поиск DNS для частного IP-адреса в виртуальной сети, назначенной частной зоне, возвращает полное доменное имя узла (FQDN), включающее имя узла/записи, а также имя зоны в качестве суффикса.

Реализация DNS с использованием виртуальных машин Azure IaaS

DNS-серверы Windows Server, подключенные к виртуальной сети, могут перенаправлять запросы DNS в рекурсивные сопоставители имен в Azure. Это позволяет разрешать имена узлов в этой виртуальной сети.

Например, специалисты Contoso IT развертывают виртуальную машину контроллера домена, которая также выполняет функцию DNS-сервера в Azure. В этом случае виртуальная машина может отвечать на запросы DNS для своего локального домена. Эта виртуальная машина может также перенаправлять все остальные запросы в Azure. Переадресация запросов позволяет виртуальным машинам компании Contoso размещать как локальные ресурсы (через контроллер домена), так и имена узлов, предоставляемые Azure (через сервер переадресации).

Примечание.

Azure предоставляет доступ к рекурсивным сопоставителям имен DNS с использованием следующего виртуального IPv4-адреса: 168.63.129.16.

Переадресацию DNS можно использовать в следующих целях:

  • Включите разрешение DNS между виртуальными сетями.
  • Включите локальные компьютеры для разрешения имен узлов, предоставленных Azure.

Совет

Чтобы разрешить имя узла виртуальной машины, необходимо настроить DNS-сервер для переадресации запросов имен узлов в Azure.

Так как DNS-суффиксы в разных виртуальных сетях различаются, можно использовать правила условного перенаправления для отправки запросов DNS на разрешение в правильную виртуальную сеть.

Примечание.

При использовании собственных DNS-серверов Azure предоставляет возможность указать несколько серверов для каждой виртуальной сети.

На следующей схеме показаны две виртуальные сети и локальная сеть, выполняющая разрешение имен DNS между виртуальными сетями с помощью переадресации.

Схема с локальной сетью и двумя виртуальными сетями, каждая из которых настроена с использованием собственного DNS-сервера. Запросы к VNet1 и VNet2 из локальных клиентов переадресуются на эти DNS-серверы, а затем пересылаются между этими двумя DNS-серверами и на DNS-сервер Azure.

Дополнительные материалы

Вы можете продолжить изучение, ознакомившись со следующими документами: