在混合式環境中實作 DNS
目前,Contoso 在其內部部署資料中心內使用 Windows Server VM 實作 DNS。 身為首席系統工程師,您必須決定要實作 Azure DNS 以取代這些內部部署工作負載的功能,還是要在 Windows Server VM 中實作 DNS。
在一些案例中,Contoso 可能會決定使用 Windows Server IaaS 實作 DNS,以新增至 Azure DNS 或取代 Azure DNS。 這些案例可能包括:
- 在位於不同 Vnet 的 VM 之間設定名稱解析。
- 從內部部署電腦設定 Azure 主機名稱的名稱解析。
- 實作條件式轉送。
- 實作 DNS 區域傳輸。
Azure DNS 概觀
您可以在 Azure DNS 中裝載 DNS 區域。 具體而言,Azure DNS 可為其區域提供授權 DNS 服務。 為了讓 DNS 針對組織網域內資源所進行的查詢可以到達 Azure DNS,您必須將該網域從父網域委派給 Azure DNS。
您移轉至 Azure DNS 的 DNS 區域,會裝載於 Azure 中 DNS 名稱伺服器的全球網路。 因為 Azure DNS 使用任一傳播通訊,所以來自您組織的 DNS 查詢會導向至最近的 Azure DNS 伺服器,協助此重要的基礎結構服務提供良好效能及高可用性。 您可以使用角色型存取控制 (RBAC) 來選取哪些使用者可以管理 Azure DNS 網域。
Azure DNS 的限制與考量
Azure DNS 是不斷演進的平台,並且隨時都會新增更多特色與功能。 但目前 Azure DNS 有一些限制。
- 您只能將特定 VNet 連結至一個私人 DNS 區域。
- 反向 (reverse,有時也稱為 inverse) DNS,僅適用於已連結 VNet 中的私人 IP 位址空間。
- 目前仍無法支援條件式轉送。
- Azure DNS 目前不支援網域名稱系統安全性延伸模組 (DNSSEC)。
- Azure DNS 不支援區域傳輸。
- 使用公用 DNS 區域時,存在某些與每個訂用帳戶區域和記錄數目的相關限制。
Azure 私人 DNS
Azure DNS 可同時支援公用 DNS 及私人 DNS,如下表所述。
| DNS 服務 | 描述 |
|---|---|
| Azure 公用 DNS | 提供適用於網際網路對應 DNS 網域的名稱解析。 您可以使用 Azure 公用 DNS 來裝載組織的 DNS 網域。 |
| Azure 私人 DNS | 提供適用於 VNet 內 VM,以及 VNet 間 VM 的名稱解析。 您可以利用水平分割檢視設定區域名稱;這讓私人與公用 DNS 區域能夠共用相同的區域名稱。 |
若要從 VNet 解析私人 DNS 區域的記錄,您必須將 VNet 連結到該區域。 連結的 VNet 具有完整存取權,並且可解析在私人區域中發佈的所有 DNS 記錄。 此外,您也可以在 VNet 連結上啟用自動註冊。 如果您啟用自動註冊,則會在私人區域中註冊該 VNet 上 VM 的 DNS 記錄。 啟用自動註冊後,每次建立 VM、變更其 IP 位址或刪除 VM 時,Azure DNS 也會更新區域記錄。
下表描述 Azure 私人 DNS 功能。
| 功能 | 描述 |
|---|---|
| 可讓您從連結至私人區域的 VNet 自動註冊 VM | 您的 VM 會向您的私人區域註冊,作為可解析為 VM 私人 IP 位址的主機 (A) 記錄。 啟用自動註冊之後,當您刪除 VNet 中的 VM 時,Azure DNS 會自動從連結的私人區域中移除對應的 DNS 記錄。 |
| Azure 支援在您連結至私人區域的 VNet 間轉送 DNS 解析 | 當您實作跨 VNet DNS 名稱解析時,不會明確要求您將 VNet 對等互連。 基於其他與 DNS 無關的原因,您可能仍然想要將 VNet 對等互連。 |
| Azure 支援 VNet 範圍內的反向 DNS 查閱 | 在您指派給私人區域的 VNet 內執行私人 IP 位址的反向 DNS 查閱,會傳回主機的完整網域名稱 (FQDN),包含主機/記錄名稱和作為尾碼的區域名稱。 |
使用 Azure IaaS VM 實作 DNS
連結至 VNet 的 Windows Server DNS 伺服器可以將 DNS 查詢轉送至 Azure 中的遞迴解析程式。 這可讓您解析該 VNet 內的主機名稱。
例如,Contoso IT 小組將同時執行 DNS 伺服器角色的網域控制站 VM 部署到 Azure。 在此案例中,VM 可以回應其內部部署網域的 DNS 查詢。 該 VM 也可以將所有其他查詢轉送到 Azure。 藉由轉送查詢,這可讓 Contoso 的 VM 尋找其內部部署資源 (透過網域控制站),以及 Azure 提供的主機名稱 (透過轉寄站)。
注意
Azure 可透過下列虛擬 IPv4 位址存取其遞迴 DNS 解析程式:168.63.129.16。
您可以使用 DNS 轉送來:
- 啟用 VNet 之間的 DNS 解析。
- 讓內部部署電腦解析 Azure 提供的主機名稱。
提示
若要解析 VM 的主機名稱,您必須設定 DNS 伺服器將主機名稱查詢轉送到 Azure。
因為每個 VNet 的 DNS 尾碼都不同,所以您要使用條件性轉送規則,將 DNS 查詢傳送到正確的 VNet 進行解析。
注意
當使用自己的 DNS 伺服器時,Azure 可為每個 VNet 提供可指定多部 DNS 伺服器的能力。
下列圖表包含兩個 VNet 和一個內部部署網路,使用轉送在 VNet 之間執行 DNS 解析。
延伸閱讀
您可參閱下列文件來深入了解: