在混合环境中实现 DNS

已完成

目前,Contoso 使用其本地数据中心内的 Windows Server VM 来实现 DNS。 作为首席系统工程师,你必须决定是实现 Azure DNS 来替代这些本地工作负载的功能,还是在 Windows Server VM 中实现 DNS。

在许多场景中,Contoso 都可能决定通过使用 Windows Server IaaS 来实现 DNS,无论是作为对 Azure DNS 的补充,还是代替 Azure DNS。 这些场景可能包括:

  • 配置不同 VNet 中的 VM 之间的名称解析。
  • 配置本地计算机中的 Azure 主机名的名称解析。
  • 实现条件转发。
  • 实现 DNS 区域传送。

Azure DNS 概述

可以在 Azure DNS 中托管 DNS 区域。 具体而言,Azure DNS 为其区域提供权威 DNS 服务。 为了使组织域中资源的 DNS 查询能够访问 Azure DNS,必须将该域从父域委托给 Azure DNS。

迁移到 Azure DNS 的 DNS 区域托管在 Azure 中 DNS 域名服务器的全局网络中。 Azure DNS 使用任播通信,因此组织中的 DNS 查询会定向到最近的 Azure DNS 服务器,以帮助提供此关键基础结构服务的良好性能和高可用性。 可以使用基于角色的访问控制 (RBAC) 来选择可以管理 Azure DNS 域的用户。

Azure DNS 的限制和注意事项

Azure DNS 是一个不断发展的平台,一直在增加新特性和功能。 但是现在 Azure DNS 存在一些限制。

  • 你只能将一个特定的 VNet 链接到一个专用 DNS 区域。
  • 反向 DNS 仅适用于链接 VNet 中的专用 IP 地址空间。
  • 目前不支持条件转发。
  • Azure DNS 目前不支持域名系统安全扩展插件 (DNSSEC)。
  • Azure DNS 不支持 DNS 区域传送。
  • 使用公用 DNS 区域时,有很多与区域数量以及每个订阅的记录数量相关的限制。

Azure 专用 DNS

Azure DNS 支持公用和专用 DNS,下表对此进行了说明。

DNS 服务 描述
Azure 公用 DNS 为面向 Internet 的 DNS 域提供名称解析。 你使用 Azure 公用 DNS 托管组织的 DNS 域。
Azure 专用 DNS 为 VNet 中的 VM 和 VNet 之间的 VM 提供名称解析。 使你可以通过水平分割视图来配置区域名称,这样专用和公用 DNS 区域就能使用相同的区域名称。

若要从 VNet 解析专用 DNS 区域的记录,必须将 VNet 链接到该区域。 链接 VNet 具有完全访问权限,可以解析在专用区域发布的所有 DNS 记录。 此外,你还可以在 VNet 链接上启用自动注册。 如果启用自动注册,将在专用区域中注册该 VNet 中 VM 的 DNS 记录。 启用自动注册后,每当创建 VM、更改其 IP 地址或删除 VM 时,Azure DNS 还会更新区域记录。

下表介绍了 Azure 专用 DNS 功能。

功能 说明
启用从链接到专用区域的 VNet 自动注册 VM 你的 VM 将作为主机 (A) 记录注册到专用区域,这些记录解析为 VM 的专用 IP 地址。 启用自动注册后,在 VNet 中删除 VM 时,Azure DNS 会自动从链接的专用区域中删除对应的 DNS 记录。
Azure 支持在链接到专用区域的 VNet 之间转发 DNS 解析 实现跨 VNet DNS 名称解析时,没有明确要求需要对等 VNet。 但由于其他与 DNS 无关的原因,你可能仍需要对等 VNet。
Azure 支持在 VNet 范围内的反向 DNS 查找 在分配给专用区域的 VNet 中对专用 IP 地址进行反向 DNS 查找将返回主机的完全限定的域名 (FQDN),其中将主机/记录名称和区域名称作为后缀。

通过 Azure IaaS VM 实现 DNS

附加到 VNet 的 Windows Server DNS 服务器可以将 DNS 查询转发到 Azure 中的递归解析程序。 这样,便可以解析该 VNet 中的主机名。

例如,Contoso IT 团队将一个域控制器 VM 部署到 Azure,该 VM 也运行 DNS 服务器角色。 在这种情况下,该 VM 可以响应其本地域的 DNS 查询。 还可以将所有其他查询转发到 Azure。 通过转发查询,Contoso 的 VM 可以查找本地资源(通过域控制器)和 Azure 提供的主机名(通过转发器)。

注意

Azure 通过使用虚拟 IPv4 地址 168.63.129.16 提供其递归 DNS 解析程序的访问权限。

可以将 DNS 转发用于:

  • 启用 VNet 之间的 DNS 解析。
  • 启用本地计算机来解析 Azure 提供的主机名。

提示

要解析 VM 的主机名,你必须将 DNS 服务器配置为将主机名查询转发到 Azure。

由于每个 VNet 中的 DNS 后缀不相同,因此可使用条件转发规则将 DNS 查询发送到正确的 VNet 进行解析。

注意

使用自己的 DNS 服务器时,Azure 会提供在每个 VNet 上指定多个 DNS 服务器的功能。

下图中两个 VNet 和一个本地网络使用转发在 VNet 之间执行 DNS 解析。

A diagram has an on-premises network and two VNets, each configured with its own DNS server. Queries for VNet1 and VNet2 from on-premises clients are forwarded to these DNS servers. Queries are then forwarded between these two DNS servers, and also to Azure DNS.

附加阅读材料

你可以通过查看以下文档来了解详细信息: