Azure DNS Private Resolver

I den här artikeln beskrivs en lösning för att använda Azure DNS Private Resolver för att förenkla dns-matchningen (Hybrid Recursive Domain Name System). Du kan använda DNS Private Resolver för lokala arbetsbelastningar och Azure-arbetsbelastningar. Dns Private Resolver förenklar den privata DNS-matchningen från lokal till den privata DNS-tjänsten i Azure och vice versa.

Arkitektur

I följande avsnitt finns alternativ för rekursiv DNS-hybridmatchning. I det första avsnittet beskrivs en lösning som använder en virtuell DNS-vidarebefordrare (VM). Följande avsnitt beskriver hur du använder DNS Private Resolver.

Använda en virtuell DNS-vidarebefordrare

Innan DNS Private Resolver var tillgängligt distribuerades en virtuell DNS-vidarebefordrare så att en lokal server kunde matcha begäranden till den privata DNS-tjänsten i Azure. I följande diagram visas information om den här namnmatchningen. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar begäranden till Azure och en privat DNS-zon är länkad till ett virtuellt nätverk. Begäranden till Azure-tjänsten matchar sedan lämplig privat IP-adress.

I den här lösningen kan du inte använda den offentliga DNS-tjänsten i Azure för att matcha lokala domännamn.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Arbetsflöde

1. En virtuell klientdator skickar en namnmatchningsbegäran för azsql1.database.windows.net till en lokal intern DNS-server.

2. En villkorlig vidarebefordrare konfigureras på den interna DNS-servern. DNS-frågan database.windows.net vidarebefordras till 10.5.0.254, vilket är adressen till en virtuell DNS-vidarebefordrare.

3. Den virtuella DNS-vidarebefordraren skickar begäran till 168.63.129.16, IP-adressen för den interna DNS-servern i Azure.

4. Azure DNS-servern skickar en begäran om namnmatchning för azsql1.database.windows.net till De rekursiva Matcharna i Azure. Matcharna svarar med det kanoniska namnet (CNAME) azsql1.privatelink.database.windows.net.

5. Azure DNS-servern skickar en begäran om namnmatchning för azsql1.privatelink.database.windows.net till den privata DNS-zonen privatelink.database.windows.net. Den privata DNS-zonen svarar med den privata IP-adressen 10.5.0.5.

6. Svaret som associerar CNAME-azsql1.privatelink.database.windows.net med posten 10.5.0.5 kommer till DNS-vidarebefordraren.

7. Svaret kommer till den lokala interna DNS-servern.

8. Svaret kommer till den virtuella klientdatorn.

9. Den virtuella klientdatorn upprättar en privat anslutning till den privata slutpunkten som använder IP-adressen 10.5.0.5. Den privata slutpunkten ger den virtuella klientdatorn en säker anslutning till en Azure-databas.

Mer information finns i DNS-konfiguration för privata Slutpunkter i Azure.

Använda privat DNS-matchare

När du använder DNS Private Resolver behöver du ingen virtuell DNS-vidarebefordrare och Azure DNS kan matcha lokala domännamn.

Följande lösning använder DNS Private Resolver i en nätverkstopologi med hub-spoke. Som bästa praxis rekommenderar designmönstret för Azure-landningszoner att du använder den här typen av topologi. En hybridnätverksanslutning upprättas med hjälp av Azure ExpressRoute och Azure Firewall. Den här konfigurationen tillhandahåller ett säkert hybridnätverk. Dns Private Resolver distribueras till ett ekernätverk (betecknas som nätverket för delad tjänst i diagrammen i den här artikeln).

Ladda ned en PowerPoint-fil med den här arkitekturen.

Komponenter för DNS Private Resolver-lösningen

Lösningen som använder DNS Private Resolver innehåller följande komponenter:

• Ett lokalt nätverk. Det här nätverket med kunddatacenter är anslutet till Azure via ExpressRoute eller en Azure VPN Gateway-anslutning från plats till plats. Nätverkskomponenterna innehåller två lokala DNS-servrar. En använder IP-adressen 192.168.0.1. Den andra använder 192.168.0.2. Båda servrarna fungerar som matchare eller vidarebefordrare för alla datorer i det lokala nätverket.

En administratör skapar alla lokala DNS-poster och Azure-slutpunktsvidare på dessa servrar. Villkorliga vidarebefordrare konfigureras på dessa servrar för Azure Blob Storage- och Azure API Management-tjänsterna. Dessa vidarebefordrare skickar begäranden till den inkommande DNS Private Resolver-anslutningen. Den inkommande slutpunkten använder IP-adressen 10.0.0.8 och finns i det virtuella nätverket delad tjänst (undernät 10.0.0.0/28).

I följande tabell visas posterna på de lokala servrarna.

• Ett hubbnätverk.

  • VPN Gateway eller en ExpressRoute-anslutning används för hybridanslutningen till Azure.
  • Azure Firewall tillhandahåller en hanterad brandvägg som en tjänst. Brandväggsinstansen finns i ett eget undernät.

• Ett delat tjänstnätverk.

  • Dns Private Resolver distribueras i ett eget virtuellt nätverk (avgränsat från hubbnätverket där ExpressRoute Gateway distribueras). I följande tabell visas de parametrar som har konfigurerats för PRIVAT DNS-matchare. För App1- och App2 DNS-namn konfigureras DNS-regeluppsättningen för vidarebefordran.

  Parameter	IP-adress
  Virtuellt nätverk	10.0.0.0/24
  Undernät för inkommande slutpunkt	10.0.0.0/28
  IP-adress för inkommande slutpunkt	10.0.0.8
  Undernät för utgående slutpunkt	10.0.0.16/28
  IP-adress för utgående slutpunkt	10.0.0.19

  • Det delade virtuella tjänstnätverket (10.0.0.0/24) är länkat till de privata DNS-zonerna för Blob Storage och API-tjänsten.

• Ekernätverk.

  • Virtuella datorer finns i alla ekernätverk för testning och validering av DNS-matchning.
  • Alla virtuella Azure Spoke-nätverk använder azure DNS-standardservern på IP-adressen 168.63.129.16. Och alla virtuella ekernätverk peerkopplas med de virtuella hubbnätverken. All trafik, inklusive trafik till och från DNS Private Resolver, dirigeras via hubben.
  • De virtuella ekernätverken är länkade till privata DNS-zoner. Den här konfigurationen gör det möjligt att matcha namnen på privata slutpunktslänktjänster som privatelink.blob.core.windows.net.

Trafikflöde för en lokal DNS-fråga

Följande diagram visar det trafikflöde som uppstår när en lokal server utfärdar en DNS-begäran.

Ladda ned en PowerPoint-fil med den här arkitekturen.

1. En lokal server frågar en privat DNS-tjänstpost i Azure, till exempel blob.core.windows.net. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2. Alla lokala datorer pekar på den lokala DNS-servern.

2. En villkorlig vidarebefordrare på den lokala DNS-servern för blob.core.windows.net vidarebefordrar begäran till DNS-matcharen på IP-adressen 10.0.0.8.

3. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

4. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande DNS-matcharens slutpunkt.

Trafikflöde för en DNS-fråga för virtuella datorer

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran. I det här fallet försöker det virtuella ekernätverket Spoke 1 att lösa begäran.

Ladda ned en PowerPoint-fil med den här arkitekturen.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att använda den namnmatchning som Azure tillhandahåller. Därför används Azure DNS för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en DNS-fråga för virtuella datorer via DNS Private Resolver

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en inkommande slutpunkt för DNS Private Resolver. I det här fallet försöker det virtuella ekernätverket Spoke 1 att lösa begäran.

Ladda ned en PowerPoint-fil med den här arkitekturen.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade att använda 10.0.0.8 som DNS-server för namnmatchning. Därför används DNS Private Resolver för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en VM DNS-fråga via en lokal DNS-server

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en lokal DNS-server. I det här fallet försöker det virtuella ekernätverket Spoke 1 att lösa begäran.

Ladda ned en PowerPoint-fil med den här arkitekturen.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade att använda 192.168.0.1/2 som DNS-server för namnmatchning. Därför används en lokal DNS-server för att lösa DNS-frågan.

2. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2.

3. En villkorlig vidarebefordrare på den lokala DNS-servern för blob.core.windows.net vidarebefordrar begäran till DNS-matcharen på IP-adressen 10.0.0.8.

4. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

5. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande slutpunkten för DNS Private Resolver.

Komponenter

• VPN Gateway är en virtuell nätverksgateway som du kan använda för att skicka krypterad trafik:

  • Mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet.
  • Mellan virtuella Azure-nätverk via Azure-stamnätverket.

• ExpressRoute utökar lokala nätverk till Microsoft-molnet. ExpressRoute upprättar privata anslutningar till molnkomponenter som Azure-tjänster och Microsoft 365 med hjälp av en anslutningsleverantör.

• Azure Virtual Network är den grundläggande byggstenen för privata nätverk i Azure. Via Virtuellt nätverk kan Azure-resurser som virtuella datorer kommunicera säkert med varandra, Internet och lokala nätverk.

• Azure Firewall tillämpar principer för program- och nätverksanslutning. Den här nätverkssäkerhetstjänsten hanterar principerna centralt i flera virtuella nätverk och prenumerationer.

• DNS Private Resolver är en tjänst som överbryggar en lokal DNS med Azure DNS. Du kan använda den här tjänsten för att fråga privata Azure DNS-zoner från en lokal miljö och vice versa utan att distribuera VM-baserade DNS-servrar.

• Azure DNS är en värdtjänst för DNS-domäner. Azure DNS använder Azure-infrastrukturen för att tillhandahålla namnmatchning.

• Den privata DNS-tjänsten i Azure hanterar och löser domännamn i ett virtuellt nätverk och i anslutna virtuella nätverk. När du använder den här tjänsten behöver du inte konfigurera en anpassad DNS-lösning. När du använder privata DNS-zoner kan du använda anpassade domännamn i stället för de namn som Azure tillhandahåller under distributionen.

• DNS-vidarebefordrare är DNS-servrar som vidarebefordrar frågor till servrar som ligger utanför nätverket. DNS-vidarebefordraren vidarebefordrar endast frågor för namn som den inte kan matcha.

Information om scenario

Azure erbjuder olika DNS-lösningar:

• Azure DNS är en värdtjänst för DNS-domäner. Som standard använder virtuella Azure-nätverk Azure DNS för DNS-matchning. Microsoft hanterar och underhåller Azure DNS.
• Azure Traffic Manager fungerar som en DNS-baserad belastningsutjämningstjänst. Det ger ett sätt att distribuera trafik mellan Azure-regioner till offentliga program.
• Den privata DNS-tjänsten i Azure tillhandahåller en DNS-tjänst för virtuella nätverk. Du kan använda privata DNS-tjänstzoner i Azure för att lösa dina egna domännamn och VM-namn utan att behöva konfigurera en anpassad lösning och utan att ändra din egen konfiguration. Under distributionen kan du använda anpassade domännamn i stället för namn som Azure tillhandahåller om du använder privata DNS-zoner.
• DNS Private Resolver är en molnbaserad, mycket tillgänglig, DevOps-vänlig tjänst. Det ger en enkel, nollunderhåll, tillförlitlig och säker DNS-tjänst. Du kan använda den här tjänsten för att matcha DNS-namn som finns i privata Azure DNS-zoner från lokala nätverk. Du kan också använda tjänsten för DNS-frågor för dina egna domännamn.

Innan DNS Private Resolver var tillgängligt var du tvungen att använda anpassade DNS-servrar för DNS-matchning från lokala system till Azure och vice versa. Anpassade DNS-lösningar har många nackdelar:

• Att hantera flera anpassade DNS-servrar för flera virtuella nätverk innebär höga infrastruktur- och licenskostnader.
• Du måste hantera alla aspekter av att installera, konfigurera och underhålla DNS-servrar.
• Omkostnader, till exempel övervakning och korrigering av dessa servrar, är komplexa och kan orsaka fel.
• Det finns inget DevOps-stöd för hantering av DNS-poster och vidarebefordransregler.
• Det är dyrt att implementera skalbara DNS-serverlösningar.

Dns Private Resolver övervinner dessa hinder genom att tillhandahålla följande funktioner och viktiga fördelar:

• En fullständigt hanterad Microsoft-tjänst med inbyggd hög tillgänglighet och zonredundans.
• En skalbar lösning som fungerar bra med DevOps.
• Kostnadsbesparingar jämfört med traditionell infrastruktur som en tjänst (IaaS)-baserade anpassade lösningar.
• Villkorlig vidarebefordran för Azure DNS till lokala servrar. Den utgående slutpunkten tillhandahåller den här funktionen, som inte var tillgänglig tidigare. Arbetsbelastningar i Azure kräver inte längre direkta anslutningar till lokala DNS-servrar. I stället ansluter Azure-arbetsbelastningarna till den utgående IP-adressen för DNS Private Resolver.

Potentiella användningsfall

Den här lösningen förenklar privat DNS-matchning i hybridnätverk. Det gäller för många scenarier:

• Övergångsstrategier under långsiktig migrering till helt molnbaserade lösningar
• Lösningar för haveriberedskap och feltolerans som replikerar data och tjänster mellan lokala miljöer och molnmiljöer
• Lösningar som är värdar för komponenter i Azure för att minska svarstiden mellan lokala datacenter och fjärrplatser

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Vi rekommenderar att du inte distribuerar en privat DNS-matchare till ett virtuellt nätverk som innehåller en ExpressRoute-gateway. Mer information finns i Om virtuella ExpressRoute-nätverksgatewayer.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Checklista för designgranskning för tillförlitlighet.

DNS Private Resolver är en molnbaserad tjänst som är mycket tillgänglig och DevOps-vänlig. Den ger en tillförlitlig och säker DNS-lösning samtidigt som enkelhet och nollunderhåll upprätthålls för användarna.

Regional tillgänglighet

En lista över regioner där DNS Private Resolver är tillgängligt finns i Regional tillgänglighet.

En DNS-matchare kan bara referera till ett virtuellt nätverk som finns i samma region som DNS-matcharen.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.

Azure DNS stöder den utökade ASCII-kodningsuppsättningen för textposter (TXT). Mer information finns i Vanliga frågor och svar om Azure DNS.

Azure DNS har DNS-säkerhetstillägg (DNSSEC) i förhandsversionen.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Checklista för designgranskning för kostnadsoptimering.

• Som en lösning är DNS Private Resolver till stor del kostnadseffektivt. En av de främsta fördelarna med DNS Private Resolver är att den är helt hanterad, vilket eliminerar behovet av dedikerade servrar.

• Om du vill beräkna kostnaden för DNS Private Resolver använder du priskalkylatorn för Azure. Prismodeller för DNS Private Resolver finns i Prissättning för Azure DNS.

• Prissättningen omfattar även tillgänglighets- och skalbarhetsfunktioner.

• ExpressRoute stöder två faktureringsmodeller:

  • Data som mäts, som debiterar dig per gigabyte för utgående dataöverföringar.
  • Obegränsade data, som debiterar dig en fast månatlig portavgift som täcker alla inkommande och utgående dataöverföringar.

  Mer information finns i ExpressRoute-priser.

• Om du använder VPN Gateway i stället för ExpressRoute varierar kostnaden beroende på produkten och debiteras per timme. Mer information finns i priser för VPN Gateway.

Prestandaeffektivitet

Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Mer information finns i Checklista för designgranskning för prestandaeffektivitet.

DNS Private Resolver är en fullständigt hanterad Microsoft-tjänst som kan hantera miljontals begäranden. Använd ett adressutrymme för undernätet mellan /28 och /24. För de flesta användare fungerar /26 bäst. Mer information finns i Begränsningar för undernät.

Nätverk

Följande resurser innehåller mer information om hur du skapar en privat DNS-matchare:

• Skapa en privat DNS-matchare med hjälp av Azure Portal
• Skapa en privat DNS-matchare med hjälp av Azure PowerShell

Stöd för omvänd DNS

Traditionellt mappar DNS-poster ett DNS-namn till en IP-adress. Till exempel www.contoso.com matchar till 42.3.10.170. Med omvänd DNS går mappningen i motsatt riktning. En IP-adress mappas tillbaka till ett namn. IP-adressen 42.3.10.170 matchas till .www.contoso.com

Detaljerad information om Azure Support för omvänd DNS och hur omvänd DNS fungerar finns i Översikt över omvänd DNS och support i Azure.

Begränsningar

Dns Private Resolver har följande begränsningar:

• DNS Private Resolver-regeluppsättningar kan bara länkas till virtuella nätverk som ligger inom samma geografiska region som matcharen.
• Ett virtuellt nätverk får inte innehålla mer än en privat DNS-matchare.
• Du måste tilldela ett dedikerat undernät till varje inkommande och utgående slutpunkt.

Mer information finns i Begränsningar för virtuellt nätverk.

Deltagare

Den här artikeln underhålls av Microsoft. Den skrevs ursprungligen av följande deltagare.

Huvudförfattare:

• Moorthy Annadurai | Molnlösningsarkitekt

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Vad är en virtuell nätverkslänk?
• Vad är Azure DNS?
• Vad är den privata DNS-tjänsten i Azure?
• Vad är privat DNS-matchare?
• Vanliga frågor och svar om Azure DNS
• Översikt över omvänd DNS och support i Azure

Relaterade resurser

• Azure-filer som används lokalt och skyddas av AD DS
• Utforma en DNS-hybridlösning med Azure
• Azure Enterprise-molnfilresurs