你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本地和 Azure 资源的 DNS
域名系统(DNS)是整个登陆区域体系结构中的关键设计主题。 某些组织可能想要使用其在 DNS 中的现有投资。 其他人可能会认为云采用是实现内部 DNS 基础结构现代化和使用本机 Azure 功能的机会。
设计注意事项
可以将 Azure DNS 专用解析器与 Azure 专用 DNS 区域配合使用,以实现跨站点名称解析。
可能需要在本地和 Azure 之间使用现有的 DNS 解决方案。
虚拟网络只能链接到启用了自动注册的一个专用 DNS 区域。
设计建议
对于仅需在 Azure 中进行名称解析的环境,请使用 Azure 专用 DNS 区域进行解析。 为名称解析创建一个委托区域,例如
azure.contoso.com。 为 Azure 专用 DNS 区域启用自动注册,以自动管理虚拟网络中部署的虚拟机的 DNS 记录的生命周期。对于需要跨 Azure 和本地名称解析的环境,请使用 DNS 专用解析程序以及 Azure 专用 DNS 区域。 DNS 专用解析程序为基于虚拟机的 DNS 解决方案提供了许多优势,包括成本降低、内置高可用性、可伸缩性和灵活性。
如果需要使用现有的 DNS 基础结构(如 Windows Server Active Directory 集成 DNS),请确保将 DNS 服务器角色部署到至少两个虚拟机上,并在虚拟网络中配置 DNS 设置以使用这些自定义 DNS 服务器。
对于具有 Azure 防火墙的环境,请考虑将其用作 DNS 代理。
可以将 Azure 专用 DNS 区域链接到虚拟网络。 将 DNS 专用解析程序与与虚拟网络关联的 DNS 转发规则集配合使用:
对于在 Azure 虚拟网络中生成的 DNS 查询以解析本地 DNS 名称(如
corporate.contoso.com),DNS 查询将转发到规则集中指定的本地 DNS 服务器的 IP 地址。对于在本地网络中生成的 DNS 查询以解析 Azure 专用 DNS 区域中的 DNS 记录,可以使用指向 Azure 中的 DNS 专用解析程序入站终结点 IP 地址的条件转发器配置本地 DNS 服务器。 此配置将请求转发到 Azure 专用 DNS 区域,例如
azure.contoso.com。
在中心虚拟网络中,在连接订阅中为 DNS 专用解析程序创建两个专用子网。 为入站终结点创建一个子网,为出站终结点创建一个子网。 这两个子网的最小大小应为
/28。如果将 DNS 解析程序与 ExpressRoute 网关一起部署,则必须确保允许公共 FQDN 的解析,并通过 DNS 转发规则集规则向目标 DNS 服务器发送有效响应。 某些 Azure 服务依赖于解析公共 DNS 名称来发挥功能。 有关详细信息,请参阅 DNS 转发规则集规则。
入站终结点从内部专用网络(Azure 或本地)中的客户端接收入站解析请求。 最多可以有五个入站终结点。
出站终结点将解析请求转发到内部专用网络(Azure 或本地)中无法由 Azure DNS 专用区域解析的目标。 最多可以有五个出站终结点。
创建适当的规则集,以允许 DNS 转发到本地 DNS 域和命名空间。
需要并部署其自己的 DNS 的工作负载(如 Red Hat OpenShift)应使用其首选 DNS 解决方案。
在全局连接订阅中创建 Azure 专用 DNS 区域。 应创建的 Azure 专用 DNS 区域包括通过 专用终结点访问 Azure 平台即服务解决方案所需的区域。 示例包括
privatelink.database.windows.net或privatelink.blob.core.windows.net。