Principy překladu DNS ve službě Application Gateway

Application Gateway je speciální nasazení ve vaší virtuální síti. Vyřešení DNS pro instance prostředku vaší aplikační brány, která zpracovává příchozí provoz, je také ovlivněno konfiguracemi vaší virtuální sítě. Tento článek popisuje konfigurace DNS (Domain Name System) a jejich dopad na rozlišení názvů.

Potřeba rozlišení názvů

Application Gateway provádí překlad DNS pro plně kvalifikované názvy domén (FQDN)

• Plně kvalifikované názvy domén poskytované zákazníkem, například

  • Back-endový server založený na názvu domény
  • Koncový bod klíčového úložiště pro naslouchací certifikát
  • Adresa URL vlastní chybové stránky
  • Adresa URL pro ověření protokolu OCSP (Online Certificate Status Protocol)

• Plně kvalifikované doménové názvy pro management, které se využívají pro různé koncové body infrastruktury Azure (řídicí rovina). Jedná se o stavební bloky, které tvoří kompletní prostředek služby Application Gateway. Například komunikace s koncovými body monitorování umožňuje tok protokolů a metrik. Proto je důležité, aby aplikační brány interně komunikují s koncovými body jiných služeb Azure s příponami, jako je .windows.net, .azure.netatd.

Důležité

Tady jsou uvedené názvy domén koncových bodů správy, se kterými prostředek služby Application Gateway komunikuje. V závislosti na typu nasazení služby Application Gateway (podrobně v tomto článku) může jakýkoli problém s překladem názvů pro tyto názvy domén Azure vést k částečné nebo úplné ztrátě funkčnosti prostředků.

• .windows.net
• .chinacloudapi.cn
• .azure.net
• .azure.cn
• .usgovcloudapi.net
• .azure.us
• .microsoft.scloud
• .msftcloudes.com
• .microsoft.com

Krátké názvy a názvy domén s jedním popiskem

Application Gateway podporuje krátké názvy (např. server1, webserver) v back-endových fondech. Překlad závisí na konfiguraci DNS:

• Azure DNS (168.63.129.16): Řeší krátké názvy pouze ve stejné virtuální síti.
• Vlastní servery DNS: Vyžaduje konfiguraci domény vyhledávání.
• Místní DNS (přes VPN/ExpressRoute): Řeší interní názvy hostitelů.

Poznámka:

Pokud se ve stavu backendu zobrazují chyby překladu DNS s krátkými názvy, ověřte překlad z virtuálního počítače ve stejné virtuální síti.

Typy konfigurace DNS

Zákazníci mají různé potřeby infrastruktury, které vyžadují různé přístupy k překladu jmen. Tento dokument popisuje obecné scénáře implementace DNS a nabízí doporučení pro efektivní provoz prostředků aplikační brány.

Brány s veřejnou IP adresou (networkIsolationEnabled: False)

U veřejných bran probíhá veškerá komunikace řídicí roviny s doménami Azure prostřednictvím výchozího serveru Azure DNS na adrese 168.63.129.16. V této části prozkoumáme možné konfigurace zóny DNS s veřejnými aplikačními bránami a zjistíme, jak předejít konfliktům při řešení názvů domén Azure.

Použití výchozího DNS poskytnutého v Azure

DNS poskytovaný Azure se dodává jako výchozí nastavení se všemi virtuálními sítěmi v Azure a má IP adresu 168.63.129.16. Kromě překladu všech názvů veřejných domén poskytuje DNS poskytovaný Azure interní překlad ip adres pro virtuální počítače, které se nacházejí ve stejné virtuální síti. V tomto scénáři se všechny instance aplikační brány připojují na 168.63.129.16 pro překládání DNS.

Teče:

• V tomto diagramu vidíme, že instance služby Application Gateway komunikuje s DNS poskytovaným Azure (168.63.129.16) za účelem překladu ip adres back-endových serverů SQDN "server1.contoso.com" a "server2.contoso.com", jak je znázorněno s modrou čárou.
• Podobně se instance dotazuje 168.63.129.16 na DNS řešení prostředku Key Vault s povoleným privátním odkazem, jak je znázorněno oranžovou čárou. Pokud chcete službě Application Gateway povolit překlad koncového bodu služby Key Vault na jeho privátní IP adresu, je nezbytné propojit zónu privátního DNS s virtuální sítí této aplikační brány.
• Po úspěšném překladu DNS pro tyto plně kvalifikované názvy domén může instance komunikovat s koncovými body služby Key Vault a back-endového serveru.

Úvahy:

• Nevytvárejte a propojte privátní zóny DNS pro názvy domén Azure nejvyšší úrovně. Je nutné vytvořit zónu DNS pro subdoménu co nejspecifičtější. Například mít privátní zónu DNS pro privatelink.vaultcore.azure.net pro privátní koncový bod trezoru klíčů funguje ve všech případech lépe než mít zónu pro vaultcore.azure.net nebo azure.net.
• Pokud chcete komunikovat s back-endovými servery nebo jakoukoli službou pomocí privátního koncového bodu, ujistěte se, že je zóna DNS privátního propojení propojená s virtuální sítí vaší aplikační brány.

Použití vlastních serverů DNS

Ve virtuální síti je možné určit vlastní servery DNS. Tato konfigurace se může vyžadovat pro správu zón nezávisle na konkrétních názvech domén. Takové uspořádání směruje instance aplikační brány v rámci virtuální sítě také tak, aby využívaly zadané vlastní servery DNS k překladu názvů domén mimo Azure.

Teče:

• Diagram znázorňuje, že instance služby Application Gateway používá DNS poskytované službou Azure (168.63.129.16) pro převod názvů koncového bodu privátního odkazu služby Key Vault "contoso.privatelink.vaultcore.azure.net". Dotazy DNS na názvy domén Azure, mezi které patří azure.net, se přesměrují na DNS poskytovaný v Azure (zobrazený oranžový řádek).
• Pro rozlišení DNS "server1.contoso.com" instance dodržuje vlastní nastavení DNS (jak je znázorněno modrou čarou).

Úvahy:

Použití vlastních serverů DNS ve virtuální síti služby Application Gateway vyžaduje, abyste podnikli následující opatření, abyste zajistili, že nebude mít žádný vliv na fungování aplikační brány.

• Po změně serverů DNS přidružených k virtuální síti služby Application Gateway je nutné bránu aplikace restartovat (zastavit a spustit), aby se tyto změny projevily pro instance.
• Při použití privátního koncového bodu ve virtuální síti služby Application Gateway musí privátní zóna DNS zůstat propojená s virtuální sítí služby Application Gateway, aby bylo možné překládání na privátní IP adresu. Tato zóna DNS musí být pro subdoménu co nejvíce specifická.
• Pokud jsou vlastní DNS servery v jiné virtuální síti, ujistěte se, že je spojená s virtuální sítí služby Application Gateway a že konfigurace Skupiny zabezpečení sítě ani Směrovací tabulky na ně nemají vliv.

Brány s pouze privátní IP adresou (networkIsolationEnabled: True)

Nasazení privátní aplikační brány je navržené tak, aby oddělil provoz roviny dat a roviny správy zákazníka. Proto nemají výchozí Azure DNS nebo vlastní servery DNS žádný vliv na rozlišení názvů kritických koncových bodů správy. Při použití vlastních serverů DNS se ale musíte postarat o překlad názvů potřebný pro jakékoli operace přenosu dat.

Teče:

• Dotazy DNS na "contoso.com" dosáhnou vlastních serverů DNS prostřednictvím zákaznického komunikačního kanálu.
• Dotazy DNS pro "contoso.privatelink.vaultcore.azure.net" také dosáhnou vlastních serverů DNS. Vzhledem k tomu, že server DNS není autoritativní zónou pro tento název domény, předává dotaz rekurzivně do Azure DNS 168.63.129.16. Tato konfigurace je důležitá pro povolení překladu názvů prostřednictvím soukromé DNS zóny, která je propojena s virtuální sítí.
• Překlad všech koncových bodů správy probíhá prostřednictvím provozu v rámci roviny správy, který přímo komunikuje s DNS poskytovaným Azure.

Úvahy:

• Po změně serverů DNS přidružených k virtuální síti služby Application Gateway je nutné bránu aplikace restartovat (zastavit a spustit), aby se tyto změny projevily pro instance.
• Musíte nastavit pravidla předávání k odesílání všech ostatních dotazů na vyřešení domén do Azure DNS 168.63.129.16. Tato konfigurace je obzvláště důležitá, pokud máte soukromou zónu DNS k vyřešení soukromých koncových bodů.
• Při použití privátního koncového bodu musí privátní zóna DNS zůstat propojená s virtuální sítí služby Application Gateway, aby bylo možné překládání na privátní IP adresu.