ما هو Azure DNS Private Resolver؟

Azure DNS Private Resolver هو خدمة تمكنك من الاستعلام عن مناطق Azure DNS الخاصة من بيئة محلية والعكس بالعكس دون توزيع خوادم DNS المستندة إلى الجهاز الظاهري.

كيف تعمل هذه الوظيفة؟

يتطلب Azure DNS Private Resolver شبكة Azure الظاهرية. عند إنشاء Azure DNS Private Resolver داخل شبكة ظاهرية، يتم إنشاء نقطة نهاية واردة واحدة أو أكثر يمكن استخدامها كوجهة للاستعلامات DNS. تعالج نقطة النهاية الصادرة للمحلل استعلامات DNS استنادًا إلى مجموعة قواعد إعادة توجيه DNS التي تقوم بتكوينها. يمكن إرسال استعلامات DNS التي يتم بدؤها في شبكات مرتبطة بقاعدة بيانات إلى خوادم DNS أخرى.

لا تحتاج إلى تغيير أي إعدادات لعميل DNS على أجهزتك الظاهرية (VMs) لاستخدام Azure DNS Private Resolver.

يتم تلخيص عملية استعلام DNS عند استخدام Azure DNS Private Resolver أدناه:

  1. يصدر عميل في شبكة ظاهرية استعلام DNS.
  2. إذا تم تحديد خوادم DNS لهذه الشبكة الظاهرية كمخصصة، فسيتم إعادة توجيه الاستعلام إلى عناوين IP المحددة.
  3. إذا تم تكوين خوادم DNS الافتراضية (التي توفرها Azure) في الشبكة الظاهرية، وكانت هناك مناطق Private DNS مرتبطة بنفس الشبكة الظاهرية، يتم استشارة هذه المناطق.
  4. إذا لم يتطابق الاستعلام مع منطقة Private DNS مرتبطة بالشبكة الظاهرية، فسيتم عندئذ الرجوع إلى ارتباطات الشبكة الظاهريةلمجموعة قواعد إعادة توجيه DNS.
  5. إذا لم تكن هناك ارتباطات مجموعة قواعد، فسيتم استخدام Azure DNS لحل الاستعلام.
  6. إذا كانت ارتباطات مجموعة القواعد موجودة، يتم تقييم قواعد إعادة توجيه DNS.
  7. إذا تم العثور على لاحقة مطابقة، يتم إعادة توجيه الاستعلام إلى العنوان المحدد.
  8. إذا كانت هناك تطابقات متعددة، يتم استخدام أطول لاحقة.
  9. إذا لم يتم العثور على تطابق، فلن يتم إعادة توجيه DNS ويتم استخدام Azure DNS لحل الاستعلام.

يتم تلخيص Azure DNS Private Resolver في الشكل التالي. يتطلب تحليل DNS بين شبكات Azure الظاهرية والشبكات المحلية Azure ExpressRoute أو VPN.

بنية Azure DNS Private Resolver

الشكل 1: بنية Azure DNS Private Resolver

لمزيد من المعلومات حول إنشاء محلل Private DNS راجع:

مزايا Azure DNS Private Resolver

يوفر Azure DNS Private Resolver المزايا التالية:

  • خدمة مدارة بشكل كامل: قابلية وصول عالية مدمجة، تكرار المنطقة.
  • خفض التكلفة: خفض تكاليف التشغيل وتشغيلها بجزء صغير من سعر حلول IaaS التقليدية.
  • الوصول الخاص إلى مناطق DNS الخاصة بك: إعادة التوجيه المشروط من وإلى أماكن العمل.
  • قابلية التوسع: أداء عال لكل نقطة نهاية.
  • التناسب مع DevOps: أنشئ المسارات الخاصة بك باستخدام Terraform أو ARM أو Bicep.

التوفر الإقليمي

راجع منتجات Azure حسب المنطقة - Azure DNS.

موقع البيانات

لا ينقل محلل Azure DNS الخاص بيانات العميل أو يخزنها خارج المنطقة التي يتم فيها نشر المحلل.

نقاط نهاية محلل DNS ومجموعات القواعد

يتم توفير ملخص لنقاط نهاية الحل ومجموعات القواعد في هذه المقالة. للحصول على معلومات مفصلة حول نقاط النهاية ومجموعات القواعد، راجع نقاط نهاية ومجموعات قواعد Azure DNS Private Resolver.

نقاط النهاية الواردة

أنشئ نقطة نهاية واردة لتمكين تحليل الاسم من الموقع المحلي أو مواقع خاصة أخرى باستخدام عنوان IP الذي يعد جزءًا من مساحة عنوان الشبكة الظاهرية الخاصة بك. لحل منطقة Azure DNS الخاصة بك من أماكن العمل، أدخل عنوان IP لنقطة النهاية الواردة في معيد التوجيه الشرطي لنظام أسماء النطاقات المحلي. يجب أن يكون لدى معيد التوجيه المشروط DNS المحلي اتصال شبكة بالشبكة الافتراضية.

تتطلب نقطة النهاية الواردة شبكة فرعية في شبكة VNet حيث يتم توفيرها. يمكن تفويض الشبكة الفرعية فقط إلى Microsoft.Network/dnsResolvers ولا يمكن استخدامها للخدمات الأخرى. استعلامات DNS المستلمة بواسطة دخول نقطة النهاية الواردة إلى Azure. يمكنك حل الأسماء في السيناريوهات التي يكون لديك فيها مناطق DNS خاصة، بما في ذلك الأجهزة الافتراضية التي تستخدم التسجيل التلقائي، أو الخدمات التي تم تمكين الارتباط الخاص بها.

إشعار

يمكن تحديد عنوان IP المعين لنقطة نهاية واردة على أنه ثابت أو ديناميكي. لمزيد من المعلومات، راجع عناوين IP لنقطة النهاية الثابتة والديناميكية.

نقطة نهاية صادرة

تتيح نقطة النهاية الصادرة تحليل اسم إعادة التوجيه المشروط من Azure إلى الأماكن المحلية أو موفري السحابة الآخرين أو خوادم DNS الخارجية. تتطلب نقطة النهاية هذه شبكة فرعية مخصصة في الشبكة الظاهرية حيث يتم توفيرها، مع عدم تشغيل أي خدمة أخرى في الشبكة الفرعية، ولا يمكن تفويضها إلا إلى Microsoft.Network/dnsResolvers. ستخرج استعلامات DNS المرسلة إلى نقطة النهاية الصادرة من Azure.

تمكن ارتباطات الشبكة الظاهرية تحليل الاسم للشبكات الظاهرية المرتبطة بنقطة نهاية صادرة مع مجموعة قواعد إعادة توجيه DNS. هذه علاقة 1:1.

مجموعات قواعد إعادة توجيه DNS

مجموعة قواعد إعادة توجيه DNS هي مجموعة من قواعد إعادة توجيه DNS (حتى 1000) التي يمكن تطبيقها على نقطة نهاية صادرة واحدة أو أكثر، أو مرتبطة بشبكة ظاهرية واحدة أو أكثر. هذه علاقة 1:N. وترتبط مجموعات القواعد بنقطة نهاية صادرة محددة. ولمزيد من المعلومات، راجع مجموعات قواعد إعادة توجيه DNS.

مجموعات قواعد إعادة توجيه DNS

تتضمن قاعدة إعادة توجيه DNS خادم DNS مستهدفا واحدا أو أكثر يتم استخدامه لإعادة التوجيه الشرطي، ويتم تمثيله بواسطة:

  • اسم المجال
  • عنوان IP الهدف
  • المنفذ والبروتوكول الهدف (UDP أو TCP)

القيود

تنطبق الحدود التالية حاليا على Azure DNS Private Resolver:

محللDNS الخاص 1

Resource الحد
محللات DNS الخاصة لكل اشتراك 15
نقاط النهاية الواردة لكل محلل DNS خاص 5
نقاط النهاية الصادرة لكل محلل DNS خاص 5
إعادة توجيه القواعد لكل مجموعة قواعد إعادة توجيه DNS 1000
ارتباطات الشبكة الظاهرية لكل مجموعة قواعد إعادة توجيه DNS 500
نقاط النهاية الصادرة لكل مجموعة قواعد إعادة توجيه DNS 2
مجموعات قواعد إعادة توجيه DNS لكل نقطة نهاية صادرة 2
خوادم DNS المستهدفة لكل قاعدة إعادة توجيه 6
QPS لكل نقطة نهاية 10,000

1قد يتم فرض حدود مختلفة بواسطة مدخل Microsoft Azure حتى يتم تحديث المدخل. استخدم PowerShell لتوفير العناصر حتى الحدود الأحدث.

قيود الشبكة الظاهرية

القيود التالية محتفظ بها فيما يتعلق بالشبكات الظاهرية:

  • لا تدعم الشبكات الظاهرية مع تمكين التشفير Azure DNS Private Resolver.
  • يمكن لمحلل DNS الإشارة فقط إلى شبكة ظاهرية في نفس المنطقة مثل محلل DNS.
  • لا يمكن مشاركة شبكة ظاهرية بين محللات DNS متعددة. يمكن الإشارة إلى شبكة ظاهرية واحدة فقط بواسطة محلل DNS واحد.

قيود الشبكة الفرعية

الشبكات الفرعية المستخدمة لمحلل DNS لها القيود التالية:

  • يجب أن تكون الشبكة الفرعية مساحة عنوان /28 كحد أدنى أو مساحة عنوان /24 كحد أقصى. الشبكة الفرعية /28 كافية لاستيعاب حدود نقطة النهاية الحالية. يمكن أن يوفر حجم الشبكة الفرعية من /27 إلى /24 مرونة إذا تغيرت هذه الحدود.
  • لا يمكن مشاركة شبكة فرعية بين نقاط نهاية محلل DNS متعددة. يمكن استخدام شبكة فرعية واحدة فقط بواسطة نقطة نهاية محلل DNS واحدة.
  • يجب أن تشير جميع تكوينات IP لنقطة نهاية واردة لمحلل DNS إلى نفس الشبكة الفرعية. لا يُسمح بتمديد شبكات فرعية متعددة في تكوين IP لنقطة نهاية واردة لمحلل DNS واحد.
  • يجب أن تكون الشبكة الفرعية المستخدمة لنقطة نهاية واردة لمحلل DNS داخل الشبكة الظاهرية المشار إليها بواسطة محلل DNS الأصل.
  • يمكن تفويض الشبكة الفرعية فقط إلى Microsoft.Network/dnsResolvers ولا يمكن استخدامها للخدمات الأخرى.

قيود نقطة النهاية الصادرة

نقاط النهاية الصادرة لها القيود التالية:

  • لا يمكن حذف نقطة نهاية صادرة ما لم يتم حذف مجموعة قواعد إعادة توجيه DNS وروابط الشبكة الظاهرية الموجودة تحتها.

قيود القواعد

  • يمكن أن تحتوي مجموعات القواعد على ما يصل إلى 1000 قاعدة.
  • ربط مجموعات القواعد عبر المستأجرين غير مدعوم.

قيود أخرى

  • الشبكات الفرعية الممكنة بواسطة IPv6 غير مدعومة.
  • لا يدعم محلل DNS الخاص Azure ExpressRoute FastPath.
  • محلل DNS الخاص غير متوافق مع Azure Lighthouse.
    • لمعرفة ما إذا كان Azure Lighthouse قيد الاستخدام، ابحث عن موفري الخدمة في مدخل Microsoft Azure وحدد عروض موفر الخدمة.

الخطوات التالية