Разрешение имени проекта для виртуальной сети

Завершено

DNS разбивается на две области: общедоступная и частная зона DNS для ресурсов, доступных из собственных внутренних сетей.

Публичные службы DNS

Общедоступные службы DNS разрешают имена и IP-адреса для ресурсов и служб, доступных через Интернет, например для веб-серверов. Azure DNS представляет собой службу размещения доменов DNS, которая обеспечивает разрешение имен с помощью инфраструктуры Microsoft Azure. Домены DNS в Azure DNS размещаются в глобальной сети DNS-серверов Azure. Azure DNS использует произвольную адресацию в сети. Каждый ЗАПРОС DNS направляется на ближайший доступный DNS-сервер.

В Azure DNS можно вручную создавать записи адресов в соответствующих зонах. Чаще всего используются записи:

• Записи узлов: A/AAAA (IPv4/IPv6)
• Записи псевдонимов: CNAME

Azure DNS представляет собой надежную и защищенную службу DNS для управления и разрешения доменных имен в виртуальной сети без необходимости добавлять специализированное DNS-решение.

В зоне DNS размещаются записи DNS для домена. Так, чтобы разместить свой домен в Azure DNS, необходимо создать зону DNS для этого доменного имени. Каждая запись DNS для вашего домена создается внутри этой зоны DNS.

Рекомендации

• Имя зоны должно быть уникальным в пределах группы ресурсов, а зона не должна существовать.
• То же имя зоны можно использовать повторно в другой группе ресурсов или другой подписке Azure.
• Если нескольким зонам присвоено одно и то же имя, каждому экземпляру назначаются разные адреса серверов доменных имен.
• Корневой или родительский домен регистрируется в регистраторе и указывает на Azure NS.
• Дочерние домены регистрируются непосредственно в Azure DNS.

Примечание.

Для создания зоны DNS с доменным именем в Azure DNS необязательно быть его владельцем. Однако для настройки домена вам необходимо владеть доменом.

Делегирование доменов DNS

Azure DNS позволяет размещать зону DNS и управлять записями DNS для домена в Azure. Чтобы запросы DNS для домена достигали Azure DNS, домен должен быть делегирован в Azure DNS из родительского домена. Учитывайте, что Azure DNS не является регистратором доменных имен.

Прежде чем делегировать домен в службу Azure DNS, сначала необходимо узнать имена серверов имен в вашей зоне. Каждый раз при создании зоны DNS Azure DNS выделяет серверы имен из пула. После назначения серверов имен Azure DNS автоматически создает авторитетные записи NS в вашей зоне.

После создания зоны DNS и наличия серверов имен необходимо обновить родительский домен. У каждого регистратора есть собственные средства управления DNS для изменения записей серверов имен домена. На странице управления DNS регистратора замените записи NS на созданные службой Azure DNS.

Примечание.

При делегировании домена службе Azure DNS вам необходимо использовать имена серверов доменных имен, предоставленные службой Azure DNS. Вы всегда должны использовать все четыре имени сервера имен, независимо от имени вашего домена.

Дочерние домены

Если нужно настроить отдельную дочернюю зону, можно делегировать дочерний домен в Azure DNS. Например, после настройки contoso.com в Azure DNS вы можете настроить отдельную дочернюю зону для partners.contoso.com.

Настройка поддомена происходит так же, как и при обычном делегировании. Единственное отличие состоит в том, что записи NS должны создаваться в родительской зоне contoso.com в Azure DNS, а не в регистраторе домена.

Примечание.

Родительская и дочерняя зоны могут находиться в одной или разных группах ресурсов. Обратите внимание, что имя набора записей в родительской зоне совпадает с именем дочерней зоны, в данном случае партнеров.

Важно понимать различие между наборами записей DNS и отдельными записями DNS. Набор записей — это коллекция записей в зоне, которые имеют одно имя и один тип.

Набор записей не может содержать две идентичные записи. Можно создавать пустые наборы записей (с нулевым числом записей), но они не отображаются на DNS-серверах Azure. Наборы записей типа CNAME могут содержать не более одной записи.

Страница добавления набора записей изменяется в зависимости от типа выбранной записи. Для записи A требуется TTL (время жизни) и IP-адрес. Время жизни или TTL указывает, сколько времени кэшируется каждая запись.

Службы частных зон DNS

Службы частных зон DNS разрешают имена и IP-адреса для ресурсов и служб

Если для ресурсов, развернутых в виртуальных сетях, требуется разрешение доменных имен во внутренние IP-адреса, это можно сделать с помощью одного из трех методов:

• Частные зоны Azure DNS
• разрешение имен Azure;
• Разрешение имен с помощью собственного DNS-сервера

Тип разрешения имен зависит от способа взаимодействия ресурсов друг с другом.

Ваши требования к разрешению имен могут выйти за рамки возможностей Azure. Например, может потребоваться использовать домены Microsoft Windows Server Active Directory для разрешения DNS-имен между виртуальными сетями. Для этих сценариев Azure предоставляет возможность использовать ваши собственные DNS-серверы.

DNS-серверы в виртуальной сети могут перенаправлять запросы DNS на рекурсивные сопоставители в Azure. Например, контроллер домена (DC), запущенный в Azure, может отвечать на запросы DNS для своих доменов и перенаправлять все остальные запросы в Azure. Перенаправление запросов позволяет виртуальным машинам видеть локальные ресурсы (с помощью контроллера домена) и имена узлов, предоставленные Azure (с помощью сервера перенаправления). Доступ к рекурсивным сопоставителям Azure предоставляется через виртуальный IP-адрес 168.63.129.16.

Перенаправление запросов DNS также позволяет выполнять разрешение DNS внутри виртуальных сетей, а также позволяет вашим локальным компьютерам выполнять разрешение имен узлов, предоставляемых Azure. Чтобы разрешить имя узла виртуальной машины, DNS-сервер виртуальной машины должен находиться в той же виртуальной сети и быть настроен для перенаправления запросов имен узлов в Azure. Так как DNS-суффиксы в разных виртуальных сетях различаются, можно использовать правила условного перенаправления для отправки запросов DNS в правильную виртуальную сеть для разрешения.

DNS, предоставляемая Azure

Azure предоставляет собственный бесплатный внутренний DNS по умолчанию. Разрешение имен Azure предоставляет только базовые возможности полномочных DNS-серверов. При использовании этого параметра имена и записи зон DNS автоматически управляются Azure. Нельзя контролировать имена зон DNS или жизненный цикл записей DNS.

Внутренняя DNS определяет пространство имен следующим образом: .internal.cloudapp.net.

Любая виртуальная машина, созданная в виртуальной сети, регистрируется во внутренней зоне DNS и получает доменное имя DNS, например myVM.internal.cloudapp.net. Важно понимать, что это зарегистрированное имя ресурса Azure, а не имя гостевой ОС на виртуальной машине.

Ограничения внутренних DNS

• Не может разрешать имена в разных виртуальных сетях.
• Регистрирует имена ресурсов, а не имена гостевых ОС.
• Не разрешает создание записей вручную.

Частные зоны DNS Azure

Частные зоны DNS в Azure доступны только для внутренних ресурсов. Они глобальны в области, поэтому вы можете получить доступ к ним из любого региона, любой подписки, любой виртуальной сети и любого клиента. Если у вас есть разрешение на чтение зоны, его можно использовать для разрешения имен. Частные зоны DNS являются высокоустойчивыми, реплицируются в регионы по всему миру. Они недоступны для ресурсов в Интернете.

Для сценариев, требующих большей гибкости, чем доступно посредством внутренней DNS, можно создать собственные частные зоны DNS. Такие зоны позволяют:

• Настраивать определенное DNS-имя для зоны.
• При необходимости создавать записи вручную.
• Разрешать имена и IP-адреса в разных зонах.
• Разрешать имена и IP-адреса в разных виртуальных сетях.

Создавать частную зону DNS с помощью портала

Создать частную зону DNS можно с помощью портала Azure, Azure PowerShell или Azure CLI.

При развертывании новой зоны DNS можно вручную создать записи ресурсов или использовать автоматическую регистрацию. Авторегистрация создает записи ресурсов на основе имени ресурса Azure.

Частные зоны DNS поддерживают полный диапазон записей, включая указатели, MX, SOA, службу и текстовые записи.

Связывание виртуальных сетей с частными зонами DNS

В Azure виртуальная сеть представляет группу одной или нескольких подсетей, как определено диапазоном CIDR. Такие ресурсы, как виртуальные машины, добавляются в подсети.

На уровне виртуальной сети конфигурация DNS по умолчанию является частью назначений DHCP, выполняемых Azure и указывает специальный адрес 168.63.129.16 для использования служб Azure DNS.

При необходимости можно переопределить конфигурацию по умолчанию, настроив альтернативный DNS-сервер на сетевом адаптере виртуальной машины.

Два способа связать виртуальные сети с частной зоной:

• Регистрация: каждая виртуальная сеть может ссылаться на одну частную зону DNS для регистрации. Однако с одной частной зоной DNS для регистрации можно связать до 100 виртуальных сетей.
• Решение: для разных пространств имен может существовать много других частных зон DNS. Виртуальную сеть можно связать с каждой из этих зон для разрешения имен. Каждая виртуальная сеть может ссылаться на 1000 частных зон DNS для разрешения имен.

Интеграция локальной службы DNS с виртуальными сетями Azure

Если у вас есть внешний DNS-сервер, например локальный сервер, для интеграции двух служб можно использовать пользовательскую конфигурацию DNS в виртуальной сети.

Внешний DNS-сервер может работать на любом DNS-сервере: BIND в UNIX, доменные службы Active Directory DNS и т. д. Если вы хотите использовать внешний DNS-сервер, а не службу Azure DNS по умолчанию, необходимо настроить нужные DNS-серверы.

Организации часто используют внутреннюю частную зону DNS Azure для автоматической регистрации, а затем используют пользовательскую конфигурацию для пересылки запросов внешних зон с внешнего DNS-сервера.

Переадресация может быть двух видов:

• Переадресация — указывает другой DNS-сервер (SOA для зоны) для разрешения запроса, если исходный сервер не может.
• Условная переадресация — указывает DNS-сервер для именованной зоны, чтобы все запросы к этой зоне направлялись на указанный DNS-сервер.

Примечание.

Если DNS-сервер находится за пределами Azure, он не имеет доступа к Azure DNS по 168.63.129.16. В этом сценарии настройте решающий блок DNS в виртуальной сети, переадресуйте запросы на него, а затем включите переадресацию запросов на 168.63.129.16 (Azure DNS). По сути, вы используете переадресацию, так как 168.63.129.16 не поддерживает маршрутизацию и поэтому недоступен для внешних клиентов.

Выберите лучший ответ на вопрос.

Проверьте свои знания

1.

В чем разница между статическим общедоступным IP-адресом и динамическим общедоступным IP-адресом?

Динамический IP-адрес остается неизменным в течение срока существования ресурса.

Статический IP-адрес может использовать только адрес IPv4.

Статический IP-адрес остается неизменным в течение срока существования ресурса.

2.

Владельцам приложений необходимо использовать динамические IP-адреса для конкретных ресурсов в их виртуальной сети. Какой номер SKU им нужно выбрать?

SKU "Базовый"

SKU "Стандартный"

SKU «Базовый» или «Стандартный»

Вы должны ответить на все вопросы перед проверкой.