Dela via


DNS för lokala resurser och Azure-resurser

Dns (Domain Name System) är ett viktigt designämne i den övergripande arkitekturen för landningszoner. Vissa organisationer kanske vill använda sina befintliga investeringar i DNS. Andra kan se molnimplementering som en möjlighet att modernisera sin interna DNS-infrastruktur och använda inbyggda Azure-funktioner.

Designöverväganden

  • Du kan använda Azure DNS Private Resolver med Azure Private DNS-zoner för namnmatchning mellan platser.

  • Du kan behöva använda befintliga DNS-lösningar lokalt och i Azure.

  • Ett virtuellt nätverk kan bara länkas till en privat DNS-zon med automatisk registrering aktiverad.

  • Sätt dig in i begränsningarna i Azures privata DNS-zon.

Designrekommendationer

  • För miljöer där endast namnmatchning krävs i Azure använder du Azure Private DNS-zoner för lösning. Skapa en delegerad zon för namnupplösning, till exempel azure.contoso.com. Aktivera automatisk registrering för Azure Private DNS-zonen för att automatiskt hantera livscykeln för DNS-posterna för de virtuella datorer som distribueras i ett virtuellt nätverk.

  • För miljöer där namnmatchning i Azure och lokalt krävs använder du DNS Private Resolver tillsammans med Privata DNS-zoner i Azure. DNS Private Resolver ger många fördelar jämfört med en DNS-lösning baserad på virtuella datorer, inklusive kostnadsminskning, inbyggd hög tillgänglighet, skalbarhet och flexibilitet.

    Om du behöver använda befintlig DNS-infrastruktur, till exempel Windows Server Active Directory-integrerad DNS, kontrollerar du att DNS-serverrollen distribueras till minst två virtuella datorer och konfigurerar DNS-inställningar i virtuella nätverk för att använda dessa anpassade DNS-servrar.

  • För miljöer som har Azure Firewall bör du överväga att använda den som en DNS-proxy.

  • Du kan länka en privat DNS-zon i Azure till de virtuella nätverken. Använd DNS Private Resolver med en regeluppsättning för DNS-vidarebefordran som också är associerad med de virtuella nätverken:

    • För DNS-frågor som genereras i det virtuella Azure-nätverket för att matcha lokala DNS-namn, till exempel corporate.contoso.com, vidarebefordras DNS-frågan till IP-adressen för lokala DNS-servrar som anges i regeluppsättningen.

    • För DNS-frågor som genereras i det lokala nätverket för att lösa DNS-poster i Azure Private DNS-zoner kan du konfigurera lokala DNS-servrar med villkorsstyrda vidarebefordrare som pekar på den inkommande slutpunkts IP-adress för DNS Private Resolver i Azure. Den här konfigurationen vidarebefordrar begäran till Azure Private DNS-zonen, till exempel azure.contoso.com.

  • Skapa två dedikerade undernät för DNS Private Resolver i det virtuella hubbnätverket i anslutningsprenumerationen. Skapa ett undernät för inkommande slutpunkter och ett undernät för utgående slutpunkter. Båda undernäten bör ha en minsta storlek på /28.

    • Om du distribuerar DNS-lösaren tillsammans med din ExpressRoute-gateway måste du se till att lösning av offentliga FQDN tillåts och ger svar med giltig respons via en regel för vidarebefordran i DNS till den riktade DNS-servern. Vissa Azure-tjänster förlitar sig på möjligheten att lösa offentliga DNS-namn så att de fungerar. Mer information finns i regler för DNS-vidarebefordran.

    • Inkommande slutpunkter tar emot inkommande resolutionsbegäranden från klienter i ditt interna privata nätverk, antingen Azure eller lokalt. Du kan ha högst fem inkommande slutpunkter.

    • Utgående endpoints vidarebefordrar upplösningsförfrågningar till mål i ditt interna privata nätverk, antingen i Azure eller lokalt, som inte kan lösas upp med Azure DNS Private Zones. Du kan ha högst fem utgående slutpunkter.

    • Skapa en lämplig regeluppsättning för att tillåta DNS-vidarebefordran till lokala DNS-domäner och namnområden.

  • Arbetsbelastningar som kräver och distribuerar sin egen DNS, till exempel Red Hat OpenShift, bör använda sin önskade DNS-lösning.

  • Skapa Azure Private DNS-zonerna i en global anslutningsprenumeration. De privata DNS-zoner i Azure som ska skapas innehåller de zoner som krävs för åtkomst till Azure Platform som en tjänstlösning via en privat slutpunkt. Exempel är privatelink.database.windows.net eller privatelink.blob.core.windows.net.