Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Dns (Domain Name System) är ett viktigt designämne i den övergripande arkitekturen för landningszoner. Vissa organisationer kanske vill använda sina befintliga investeringar i DNS. Andra kan se molnimplementering som en möjlighet att modernisera sin interna DNS-infrastruktur och använda inbyggda Azure-funktioner.
Designöverväganden
Du kan använda Azure DNS Private Resolver med Azure Private DNS-zoner för namnmatchning mellan platser.
Du kan behöva använda befintliga DNS-lösningar lokalt och i Azure.
Ett virtuellt nätverk kan bara länkas till en privat DNS-zon med automatisk registrering aktiverad.
Sätt dig in i begränsningarna i Azures privata DNS-zon
.
Designrekommendationer
För miljöer där endast namnmatchning krävs i Azure använder du Azure Private DNS-zoner för lösning. Skapa en delegerad zon för namnupplösning, till exempel
azure.contoso.com. Aktivera automatisk registrering för Azure Private DNS-zonen för att automatiskt hantera livscykeln för DNS-posterna för de virtuella datorer som distribueras i ett virtuellt nätverk.För miljöer där namnmatchning i Azure och lokalt krävs använder du DNS Private Resolver tillsammans med Privata DNS-zoner i Azure. DNS Private Resolver ger många fördelar jämfört med en DNS-lösning baserad på virtuella datorer, inklusive kostnadsminskning, inbyggd hög tillgänglighet, skalbarhet och flexibilitet.
Om du behöver använda befintlig DNS-infrastruktur, till exempel Windows Server Active Directory-integrerad DNS, kontrollerar du att DNS-serverrollen distribueras till minst två virtuella datorer och konfigurerar DNS-inställningar i virtuella nätverk för att använda dessa anpassade DNS-servrar.
För miljöer som har Azure Firewall bör du överväga att använda den som en DNS-proxy.
Du kan länka en privat DNS-zon i Azure till de virtuella nätverken. Använd DNS Private Resolver med en regeluppsättning för DNS-vidarebefordran som också är associerad med de virtuella nätverken:
För DNS-frågor som genereras i det virtuella Azure-nätverket för att matcha lokala DNS-namn, till exempel
corporate.contoso.com, vidarebefordras DNS-frågan till IP-adressen för lokala DNS-servrar som anges i regeluppsättningen.För DNS-frågor som genereras i det lokala nätverket för att lösa DNS-poster i Azure Private DNS-zoner kan du konfigurera lokala DNS-servrar med villkorsstyrda vidarebefordrare som pekar på den inkommande slutpunkts IP-adress för DNS Private Resolver i Azure. Den här konfigurationen vidarebefordrar begäran till Azure Private DNS-zonen, till exempel
azure.contoso.com.
Skapa två dedikerade undernät för DNS Private Resolver i det virtuella hubbnätverket i anslutningsprenumerationen. Skapa ett undernät för inkommande slutpunkter och ett undernät för utgående slutpunkter. Båda undernäten bör ha en minsta storlek på
/28.Om du distribuerar DNS-lösaren tillsammans med din ExpressRoute-gateway måste du se till att lösning av offentliga FQDN tillåts och ger svar med giltig respons via en regel för vidarebefordran i DNS till den riktade DNS-servern. Vissa Azure-tjänster förlitar sig på möjligheten att lösa offentliga DNS-namn så att de fungerar. Mer information finns i regler för DNS-vidarebefordran.
Inkommande slutpunkter tar emot inkommande resolutionsbegäranden från klienter i ditt interna privata nätverk, antingen Azure eller lokalt. Du kan ha högst fem inkommande slutpunkter.
Utgående endpoints vidarebefordrar upplösningsförfrågningar till mål i ditt interna privata nätverk, antingen i Azure eller lokalt, som inte kan lösas upp med Azure DNS Private Zones. Du kan ha högst fem utgående slutpunkter.
Skapa en lämplig regeluppsättning för att tillåta DNS-vidarebefordran till lokala DNS-domäner och namnområden.
Arbetsbelastningar som kräver och distribuerar sin egen DNS, till exempel Red Hat OpenShift, bör använda sin önskade DNS-lösning.
Skapa Azure Private DNS-zonerna i en global anslutningsprenumeration. De privata DNS-zoner i Azure som ska skapas innehåller de zoner som krävs för åtkomst till Azure Platform som en tjänstlösning via en privat slutpunkt. Exempel är
privatelink.database.windows.netellerprivatelink.blob.core.windows.net.