內部部署和 Azure 資源的 DNS
網域名稱系統(DNS)是整體落地區域架構設計中的重要主題。 某些組織可能會想要使用其在 DNS 中的現有投資。 其他人可能會將雲端採用視為將其內部 DNS 基礎結構現代化並使用原生 Azure 功能的機會。
設計考慮
您可以使用 Azure DNS 私人解析程式搭配 Azure 私人 DNS 區域進行跨單位名稱解析。
您可能需要跨內部部署和 Azure 使用現有的 DNS 解決方案。
虛擬網路只能連結至已啟用自動註冊的私人 DNS 區域。
設計建議
針對只需要 Azure 中名稱解析的環境,請使用 Azure 私人 DNS 區域進行解析。 建立名稱解析的委派區域,例如
azure.contoso.com。 啟用 Azure 私人 DNS 區域的自動註冊,以自動管理虛擬網路內部署之虛擬機的 DNS 記錄生命週期。針對需要跨 Azure 和內部部署名稱解析的環境,請使用 DNS 私人解析程式與 Azure 私人 DNS 區域。 DNS 私人解析程式相較於基於虛擬機的 DNS 解決方案提供許多優點,包括降低成本、內建高可用性、可擴充性和彈性。
如果您需要使用現有的 DNS 基礎結構,例如 Windows Server Active Directory 整合式 DNS,請確定 DNS 伺服器角色已部署至至少兩部虛擬機,並在虛擬網路中設定 DNS 設定以使用這些自定義 DNS 伺服器。
針對具有 Azure 防火牆的環境,請考慮將它作為 DNS Proxy。
您可以將 Azure 私人 DNS 區域連結至虛擬網路。 使用 DNS 私人解析程式搭配與虛擬網路相關聯的 DNS 轉送規則集:
針對在 Azure 虛擬網路中產生的 DNS 查詢,以解析內部部署 DNS 名稱,例如
corporate.contoso.com,DNS 查詢會轉送至規則集中指定的內部部署 DNS 伺服器的 IP 位址。針對在內部部署網路中產生的 DNS 查詢,以解析 Azure 私人 DNS 區域中的 DNS 記錄,您可以使用指向 Azure 的 DNS 私人解析程式入口端點 IP 位址的條件式轉送器來設定內部部署 DNS 伺服器。 此組態會將要求轉送至 Azure 私人 DNS 區域,例如
azure.contoso.com。
在聯機訂用帳戶中,為中樞虛擬網路中的 DNS 私人解析程式建立兩個專用子網。 為輸入端點建立一個子網,併為輸出端點建立一個子網。 這兩個子網的大小應至少為
/28。如果您將 DNS 解決方案與 ExpressRoute 閘道一起部署,您必須確保允許對公用 FQDN 的解析,並透過 DNS 轉送規則集的規則,向目標 DNS 伺服器返回有效的回應。 某些 Azure 服務依賴於解析公用 DNS 名稱以正常運作。 如需詳細資訊,請參閱
DNS 轉送規則集規則。 輸入端點會接收來自內部專用網內用戶端的輸入解析要求,不論是 Azure 或內部部署。 您最多可以有五個輸入端點。
輸出端點會將解析要求轉送至內部專用網內的目的地,不論是 Azure 或內部部署,都無法由 Azure DNS 私人區域解析。 您最多可以有五個輸出端點。
建立適當的規則集,以允許 DNS 轉送至內部部署 DNS 網域和命名空間。
需要部署和使用其自己的 DNS 的工作負載,例如 Red Hat OpenShift,應該使用他們首選的 DNS 解決方案。
在全域連線訂用帳戶內建立 Azure 私人 DNS 區域。 應建立的 Azure 私人 DNS 區域包含透過 私人端點存取 Azure 平臺即服務解決方案所需的區域。 範例包括
privatelink.database.windows.net或privatelink.blob.core.windows.net。