DNS för lokala resurser och Azure-resurser
Dns (Domain Name System) är ett viktigt designämne i den övergripande arkitekturen för landningszoner. Vissa organisationer kanske vill använda sina befintliga investeringar i DNS. Andra kan se molnimplementering som en möjlighet att modernisera sin interna DNS-infrastruktur och använda inbyggda Azure-funktioner.
Designöverväganden
Du kan använda Azure DNS Private Resolver med Azure Private DNS-zoner för namnmatchning mellan platser.
Du kan behöva använda befintliga DNS-lösningar lokalt och i Azure.
Ett virtuellt nätverk kan bara länkas till en privat DNS-zon med automatisk registrering aktiverad.
Sätt dig in i begränsningarna i Azures privata DNS-zon
.
Designrekommendationer
För miljöer där endast namnmatchning krävs i Azure använder du Azure Private DNS-zoner för lösning. Skapa en delegerad zon för namnupplösning, till exempel
azure.contoso.com
. Aktivera automatisk registrering för Azure Private DNS-zonen för att automatiskt hantera livscykeln för DNS-posterna för de virtuella datorer som distribueras i ett virtuellt nätverk.För miljöer där namnmatchning i Azure och lokalt krävs använder du DNS Private Resolver tillsammans med Privata DNS-zoner i Azure. DNS Private Resolver ger många fördelar jämfört med en DNS-lösning baserad på virtuella datorer, inklusive kostnadsminskning, inbyggd hög tillgänglighet, skalbarhet och flexibilitet.
Om du behöver använda befintlig DNS-infrastruktur, till exempel Windows Server Active Directory-integrerad DNS, kontrollerar du att DNS-serverrollen distribueras till minst två virtuella datorer och konfigurerar DNS-inställningar i virtuella nätverk för att använda dessa anpassade DNS-servrar.
För miljöer som har Azure Firewall bör du överväga att använda den som en DNS-proxy.
Du kan länka en privat DNS-zon i Azure till de virtuella nätverken. Använd DNS Private Resolver med en regeluppsättning för DNS-vidarebefordran som också är associerad med de virtuella nätverken:
För DNS-frågor som genereras i det virtuella Azure-nätverket för att matcha lokala DNS-namn, till exempel
corporate.contoso.com
, vidarebefordras DNS-frågan till IP-adressen för lokala DNS-servrar som anges i regeluppsättningen.För DNS-frågor som genereras i det lokala nätverket för att lösa DNS-poster i Azure Private DNS-zoner kan du konfigurera lokala DNS-servrar med villkorsstyrda vidarebefordrare som pekar på den inkommande slutpunkts IP-adress för DNS Private Resolver i Azure. Den här konfigurationen vidarebefordrar begäran till Azure Private DNS-zonen, till exempel
azure.contoso.com
.
Skapa två dedikerade undernät för DNS Private Resolver i det virtuella hubbnätverket i anslutningsprenumerationen. Skapa ett undernät för inkommande slutpunkter och ett undernät för utgående slutpunkter. Båda undernäten bör ha en minsta storlek på
/28
.Om du distribuerar DNS-lösaren tillsammans med din ExpressRoute-gateway måste du se till att lösning av offentliga FQDN tillåts och ger svar med giltig respons via en regel för vidarebefordran i DNS till den riktade DNS-servern. Vissa Azure-tjänster förlitar sig på möjligheten att lösa offentliga DNS-namn så att de fungerar. Mer information finns i regler för DNS-vidarebefordran.
Inkommande slutpunkter tar emot inkommande resolutionsbegäranden från klienter i ditt interna privata nätverk, antingen Azure eller lokalt. Du kan ha högst fem inkommande slutpunkter.
Utgående endpoints vidarebefordrar upplösningsförfrågningar till mål i ditt interna privata nätverk, antingen i Azure eller lokalt, som inte kan lösas upp med Azure DNS Private Zones. Du kan ha högst fem utgående slutpunkter.
Skapa en lämplig regeluppsättning för att tillåta DNS-vidarebefordran till lokala DNS-domäner och namnområden.
Arbetsbelastningar som kräver och distribuerar sin egen DNS, till exempel Red Hat OpenShift, bör använda sin önskade DNS-lösning.
Skapa Azure Private DNS-zonerna i en global anslutningsprenumeration. De privata DNS-zoner i Azure som ska skapas innehåller de zoner som krävs för åtkomst till Azure Platform som en tjänstlösning via en privat slutpunkt. Exempel är
privatelink.database.windows.net
ellerprivatelink.blob.core.windows.net
.