Privátní resolver Azure DNS

Azure DNS

Azure ExpressRoute

Azure Firewall

Azure Virtual Network

Službu Azure VPN Gateway

Tento článek představuje řešení pro použití privátního překladače Azure DNS ke zjednodušení překladu hybridního rekurzivního systému DNS (Domain Name System). Privátní překladač DNS můžete použít pro místní úlohy a úlohy Azure. Privátní překladač DNS zjednodušuje privátní překlad DNS z místního prostředí do privátní služby DNS Azure a z privátní služby DNS Azure do místního prostředí.

Architektura

Následující části obsahují alternativy pro hybridní rekurzivní překlad DNS. První část popisuje řešení, které používá virtuální stroj (VM) pro předávání DNS. Následující části vysvětlují, jak používat privátní překladač DNS.

Použití virtuálního počítače pro předávání DNS

Před dostupností privátního překladače DNS se nasadil virtuální počítač pro předávání DNS, aby místní server mohl přeložit požadavky na privátní službu DNS Azure. Následující diagram znázorňuje podrobnosti tohoto překladu ip adres. Podmíněný předávací nástroj na místním serveru DNS předává požadavky do Azure a privátní zóna DNS je propojená s virtuální sítí. Požadavky na službu Azure se pak přeloží na příslušnou privátní IP adresu.

V tomto řešení nemůžete k překladu názvů místních domén použít veřejnou službu DNS Azure.

Na obrázku mapový klíč zobrazuje provoz DNS jako černou šipku a soukromá připojení jako modrou šipku. Oddíl místní virtuální sítě obsahuje interní DNS a klientský virtuální počítač. Šipky provozu DNS mezi nimi ukazují tam a zpět. Šipka ukazuje z interního DNS na část s IP adresou přes šipku provozu DNS označenou Podmíněný předávač. Vedle této části se nachází část DNS, která obsahuje názvy vmdn, dopředné a zpětné vyhledávací zóny, body důvěryhodnosti a servery pro podmíněné předávání. Šipky provozu DNS propojují sekci místní sítě a část VNet-hub-001. Podsíť snet-consumer v této části zahrnuje službu předávání DNS a koncový bod Private Link. Šipka privátního připojení ukazuje na koncový bod Private Link z klientského virtuálního počítače a z koncového bodu Private Link na databázi SQL. V sousední části se zobrazuje DNS poskytovaný Azure. Šipky DNS ukazují z této části na zónu Privátní DNS a na rekurzivní překladače Azure. Propojení virtuální sítě připojuje oddíl VNet-hub-001 k zóně Privátní DNS.

Stáhněte si soubor PowerPointu této architektury.

Pracovní postup

Následující pracovní postup odpovídá předchozímu diagramu:

1. Klientský virtuální počítač odešle požadavek na překlad IP adres na azsql1.database.windows.net místní interní server DNS.

2. Podmíněný předávač je nakonfigurovaný na interním serveru DNS. Předává dotaz DNS na database.windows.net10.5.0.254, což je IP adresa virtuálního počítače služby předávání DNS.

3. Virtuální počítač služby pro předávání DNS odešle požadavek na 168.63.129.16, což je IP adresa interního serveru DNS Azure.

4. Server Azure DNS odešle požadavek na překlad IP adres pro azsql1.database.windows.net rekurzivní překladače Azure. Resolvery odpovídají kanonickým názvem (CNAME) azsql1.privatelink.database.windows.net.

5. Server Azure DNS odešle požadavek na překlad IP adres do azsql1.privatelink.database.windows.net privátní zóny privatelink.database.windows.netDNS. Privátní DNS zóna odpoví privátní IP adresou 10.5.0.5.

6. Odpověď, která přidruží záznam CNAME azsql1.privatelink.database.windows.net k záznamu 10.5.0.5 , dorazí do serveru pro předávání DNS.

7. Odpověď přijde na místní interní server DNS.

8. Odpověď se dorazí na klientský virtuální počítač.

9. Klientský virtuální počítač naváže privátní připojení k privátnímu koncovému bodu, který používá IP adresu 10.5.0.5. Privátní koncový bod poskytuje klientskému virtuálnímu počítači bezpečnější připojení k databázi Azure.

Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Použití privátního překladače DNS

Pokud používáte privátní překladač DNS, nepotřebujete virtuální počítač pro předávání DNS a Azure DNS dokáže přeložit místní názvy domén.

Následující řešení používá privátní překladač DNS v hvězdicové síťové topologii. Osvědčeným postupem je, že vzor návrhu cílové zóny Azure doporučuje používat tento typ topologie. Hybridní síťové připojení se naváže pomocí Azure ExpressRoute a služby Azure Firewall. Toto nastavení poskytuje zabezpečenou hybridní síť. DNS Private Resolver je v síti hubu.

Obrázek má tři základní části. Největší částí je hvězdicová síť Azure. Tato část zahrnuje Azure DNS, Azure Private DNS a Azure DNS Private Resolver. Zahrnuje také bránu site-to-site nebo Azure ExpressRoute, příchozí koncový bod a odchozí koncový bod. Odchozí koncový bod se připojí tečkovanou čarou k sadě pravidel předávání DNS. Tato sada pravidel se připojuje pomocí tečkovaných čar k paprskům 1 a 2 v části Azure. Azure ExpressRoute připojuje bránu site-to-site nebo Azure ExpressRoute k části On-premises. Tato část obsahuje místní server, stolní počítače se systémem Windows, aplikace 1, aplikace 2, aplikace 3 a místní servery DNS s jejich IP adresami.

Komponenty řešení privátního překladače DNS

Řešení, které používá privátní překladač DNS, obsahuje následující komponenty:

• Místní síť. Tato síť zákaznických datacenter je připojená k Azure prostřednictvím ExpressRoute nebo připojení azure VPN Gateway typu site-to-site. Síťové komponenty zahrnují dva místní servery DNS. Jeden server používá IP adresu 192.168.0.1. Druhý server používá 192.168.0.2rozhraní . Oba servery fungují jako překladače nebo předávání pro všechny počítače v místní síti.

  Správce na těchto serverech vytvoří všechny místní záznamy DNS a služby předávání koncových bodů Azure. Podmíněné předávání jsou na těchto serverech nakonfigurované pro služby Azure Blob Storage a Azure API Management. Tyto předávací služby odesílají požadavky na příchozí připojení služby DNS Private Resolver. Příchozí koncový bod používá IP adresu 10.0.0.8 a je hostovaný ve virtuální síti rozbočovače.

  Následující tabulka uvádí záznamy na místních serverech.

  Název domény	IP adresa	Typ záznamu
  App1.onprem.company.com	192.168.0.8	Mapování adres
  App2.onprem.company.com	192.168.0.9	Mapování adres
  blob.core.windows.net	10.0.0.8	Modul pro předávání DNS
  azure-api.net	10.0.0.8	Modul pro předávání DNS

• Síť rozbočovače.

  • Pro hybridní připojení k Azure se používá služba VPN Gateway nebo připojení ExpressRoute.

  • Azure Firewall poskytuje spravovanou bránu firewall. Instance brány firewall se nachází ve vlastní podsíti.

  • Následující tabulka uvádí parametry, které jsou nakonfigurované pro privátní překladač DNS. Pro názvy DNS pro aplikace 1 a 2 je nakonfigurována sada pravidel pro předávání DNS.

    Parametr	IP adresa
    Virtuální síť	10.0.0.0/24
    Podsíť příchozího koncového bodu	10.0.0.0/28
    IP adresa příchozího koncového bodu	10.0.0.8
    Podsíť odchozího koncového bodu	10.0.0.16/28
    IP adresa odchozího koncového bodu	10.0.0.19

  • Virtuální síť rozbočovače je propojená s privátními zónami DNS pro službu Blob Storage a službu API.

• Paprskové sítě.

  • Virtuální počítače jsou hostované ve všech paprskových sítích pro testování a ověřování překladu DNS.

  • Všechny paprskové virtuální sítě Azure používají výchozí server Azure DNS na adrese IP 168.63.129.16. A všechny paprskové virtuální sítě jsou v partnerském vztahu s virtuálními sítěmi centra. Veškerý provoz, včetně provozu do a z privátního překladače DNS, se směruje přes centrum.

  • Paprskové virtuální sítě jsou propojené s privátními zónami DNS. Tato konfigurace umožňuje přeložit názvy služeb privátního propojení koncových bodů, jako je privatelink.blob.core.windows.net.

Tok provozu pro místní dotaz DNS

Následující diagram znázorňuje tok provozu, který má za následek, když místní server vydá požadavek DNS.

Image má dvě hlavní části, které jsou propojené službou Azure ExpressRoute. Část Místní obsahuje místní server, počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3, dotaz DNS a servery. Oddíl Azure zahrnuje bránu site-to-site nebo Azure ExpressRoute, příchozí a odchozí koncové body, Azure DNS, privátní DNS Azure, privátní překladač Azure DNS a dva oddíly DNS zřízené v Azure, z nichž každý obsahuje paprsek a virtuální počítač.

1. Místní server se dotazuje na záznam privátní služby DNS Azure, například blob.core.windows.net. Požadavek je odeslán na lokální DNS server na IP adrese 192.168.0.1 nebo 192.168.0.2. Všechny místní počítače odkazují na místní server DNS.

2. Podmíněný forwarder na lokálním DNS serveru pro blob.core.windows.net předává požadavek DNS resolveru na IP adrese 10.0.0.8.

3. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

4. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu překladače DNS.

Tok provozu pro dotaz DNS virtuálního počítače

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute připojuje místní část k lokalitě typu site-to nebo bráně Azure ExpressRoute v části Azure. Oddíl Azure obsahuje příchozí a odchozí koncové body v části brány, Azure DNS, privátní DNS Azure, privátní překladač Azure DNS, oddíly DNS zřízené Azure, které obsahují paprsek a virtuální počítač. Tyto oddíly se připojují prostřednictvím odkazu na virtuální síť pro předávání DNS k sadě pravidel předávání DNS. Tečkovaná čára spojuje tento oddíl s odchozím koncovým bodem.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby používaly překlad názvů, který Azure poskytuje. V důsledku toho se Azure DNS používá k překladu dotazu DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím privátního překladače DNS

Následující diagram znázorňuje tok provozu, který má za následek, že virtuální počítač 1 vydá požadavek DNS prostřednictvím příchozího koncového bodu DNS Private Resolver. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute připojuje místní část k lokalitě typu site-to nebo bráně Azure ExpressRoute v části Azure. Část Azure obsahuje příchozí a odchozí koncové body, Azure DNS, Azure Private DNS, Azure DNS Private Resolver a DNS server, které obsahují paprsek a virtuální počítač. Zelená šipka označuje tok mezi sekcemi serveru DNS, příchozím koncovým bodem, Azure DNS a privátním DNS Azure. Sekce serveru DNS se také připojují prostřednictvím odkazu virtuální sítě pro předávání DNS k sadě pravidel pro předávání DNS. Tečkovaná čára spojuje tento oddíl s odchozím koncovým bodem.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby se používaly 10.0.0.8 jako server DNS pro překlad názvů. V důsledku toho se k překladu dotazu DNS používá privátní překladač DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím místního serveru DNS

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS přes místní server DNS. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute propojí část Místní s částí Site-to-site nebo brány Azure ExpressRoute, která se nachází v části Azure. Část Azure obsahuje příchozí a odchozí koncové body, Azure DNS, Azure Private DNS, Azure DNS Private Resolver a DNS server, které obsahují paprsek a virtuální počítač. Sekce serveru DNS se také připojují prostřednictvím odkazu virtuální sítě pro předávání DNS k sadě pravidel pro předávání DNS. Fialová šipka ukazuje průběh operací.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby se používaly 192.168.0.1/2 jako server DNS pro překlad názvů. V důsledku toho se k překladu dotazu DNS používá místní server DNS. Požadavek je odeslán na lokální DNS server na IP adrese 192.168.0.1 nebo 192.168.0.2.

2. Podmíněný forwarder na lokálním DNS serveru pro blob.core.windows.net předává požadavek DNS resolveru na IP adrese 10.0.0.8.

3. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

4. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu dns privátního překladače DNS.

Komponenty

• VPN Gateway je brána virtuální sítě, která umožňuje odesílat šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet. V této architektuře je brána VPN volitelnou komponentou pro ExpressRoute, která umožňuje hybridní připojení mezi Azure a místními prostředími pro provoz podmíněného předávání DNS.

• ExpressRoute je síťová služba, která rozšiřuje místní sítě do cloudu Microsoftu. Vytváří privátní připojení ke cloudovým komponentám, jako jsou služby Azure a Microsoft 365, prostřednictvím poskytovatele připojení. V této architektuře se ExpressRoute používá pro hybridní připojení mezi Azure a místními prostředími, konkrétně pro provoz podmíněného předávání DNS.

• Azure Virtual Network je síťová služba a základní stavební blok privátních sítí v Azure. Umožňuje prostředkům Azure, jako jsou virtuální počítače, bezpečně komunikovat mezi sebou, internetem a místními sítěmi. V předchozím návrhu je primárním účelem virtuálních sítí hostovat privátní překladač DNS a Azure Virtual Machines. Tyto virtuální sítě usnadňují bezproblémovou komunikaci a integraci mezi různými službami Azure a místními prostředky.

• Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která vynucuje zásady připojení aplikací a sítě. Centrálně spravuje zásady napříč několika virtuálními sítěmi a předplatnými. V předchozím případě použití můžete implementovat Azure Firewall a zvýšit tak zabezpečení síťového provozu. Poskytuje pokročilou ochranu před hrozbami, filtrování síťového provozu a možnosti protokolování, které umožňují pouze autorizovaný provoz a blokují potenciální hrozby.

• Privátní překladač DNS je služba, která přemísní místní DNS s Azure DNS. V této architektuře je jeho primární funkcí usnadňovat dotazy DNS mezi privátními zónami Azure DNS a místním prostředím. Toto usnadnění eliminuje potřebu serverů DNS založených na virtuálních počítačích. Toto nastavení zajišťuje bezproblémové a efektivní překlad DNS napříč hybridními prostředími, což umožňuje prostředkům Azure a místním prostředkům efektivně komunikovat překlady DNS.

• Azure DNS je hostitelská služba pro domény DNS, která využívá infrastrukturu Azure pro překlad názvů. V tomto návrhu hraje klíčovou roli tím, že spravuje provoz rozlišení DNS.

• Privátní služba DNS Azure je spravovaná služba DNS, která překládá názvy domén v rámci virtuální sítě a připojených virtuálních sítí. Eliminuje potřebu vlastní konfigurace DNS. U privátních zón DNS můžete přiřadit vlastní názvy domén místo použití výchozích názvů, které Azure poskytuje během nasazení.

• Servery pro předávání DNS jsou servery DNS, které odesílají dotazy externím serverům, když nemohou samy přeložit názvy domén. Tento přístup je již dlouho standardní metodou pro překlad DNS. V tomto článku a jeho případech použití nahrazuje privátní překladač DNS založený na virtuálních počítačích, což poskytuje efektivnější a efektivnější přístup k překladu DNS.

Podrobnosti scénáře

Azure poskytuje různá řešení DNS, včetně Azure Traffic Manageru. Traffic Manager funguje jako služba vyrovnávání zatížení založená na DNS. Poskytuje způsob distribuce provozu mezi oblastmi Azure do veřejně přístupných aplikací.

Než byl k dispozici privátní překladač DNS, museli jste pro překlad DNS z místních systémů do Azure a z Azure do místních systémů používat vlastní servery DNS. Vlastní řešení DNS mají mnoho nevýhod:

• Správa několika vlastních serverů DNS pro více virtuálních sítí zahrnuje vysoké náklady na infrastrukturu a licencování.

• Musíte zvládnout všechny aspekty instalace, konfigurace a údržby serverů DNS.

• Režijní úlohy, jako je monitorování a opravy těchto serverů, jsou složité a náchylné k selhání.

• Správa záznamů a pravidel předávání DNS nepodporuje DevOps.

• Implementace škálovatelných serverových řešení DNS je náročná.

DNS Private Resolver řeší tyto překážky tím, že poskytuje následující funkce a klíčové výhody:

• Plně spravovaná služba společnosti Microsoft, která má integrovanou vysokou dostupnost a zónovou redundanci.

• Škálovatelné řešení optimalizované pro bezproblémovou integraci s DevOps.

• Úspora nákladů ve srovnání s tradičními řešeními na míru založenými na infrastruktuře jako službě.

• Podmíněné předávání pro Azure DNS na místní servery Odchozí koncový bod poskytuje tuto funkci, která dříve nebyla dostupná. Úlohy v Azure už nevyžadují přímá připojení k místním serverům DNS. Místo toho se úlohy Azure připojují k odchozí IP adrese privátního překladače DNS.

Potenciální případy použití

Toto řešení zjednodušuje privátní překlad DNS v hybridních sítích. Platí pro následující scénáře:

• Strategie přechodu během dlouhodobé migrace na plně nativní cloudová řešení

• Řešení zotavení po havárii a odolnost proti chybám, která replikují data a služby mezi místním a cloudovým prostředím

• Řešení hostující komponenty v Azure za účelem snížení latence mezi místními datacentry a vzdálenými umístěními

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

DNS Private Resolver je cloudová nativní služba navržená pro vysokou dostupnost a vytvořená tak, aby se bezproblémově integrovala s postupy DevOps, díky čemuž je vhodná pro kolaborativní a automatizované pracovní postupy. Poskytuje spolehlivé a vylepšené bezpečnostní řešení DNS při zachování jednoduchosti a nulové údržby pro uživatele.

Nenasazujte privátní překladač DNS do virtuální sítě, která zahrnuje bránu virtuální sítě ExpressRoute a používá pravidla se zástupnými znaky k směrování veškerého překladu IP adres na konkrétní server DNS. Tento typ konfigurace může způsobit problémy s připojením ke správě. Další informace najdete v tématu Privátní překladač DNS s pravidly zástupných znaků na bráně ExpressRoute.

Regionální dostupnost

Seznam oblastí, ve kterých je k dispozici privátní překladač DNS, najdete v tématu Regionální dostupnost.

Překladač DNS může odkazovat pouze na virtuální síť, která se nachází ve stejné oblasti jako překladač DNS.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Azure DNS má rozšíření zabezpečení DNS ve verzi Preview.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

• Jako řešení je privátní překladač DNS z velké části nákladově efektivní. Jednou z hlavních výhod privátního překladače DNS je, že je plně spravován. Tato funkce eliminuje potřebu dedikovaných serverů.

• Pokud chcete vypočítat náklady na privátní překladač DNS, použijte cenovou kalkulačku Azure. Cenové modely služby DNS Private Resolver najdete v tématu Ceny Azure DNS.

• Ceny zahrnují také funkce dostupnosti a škálovatelnosti.

• ExpressRoute podporuje dva fakturační modely:

  • Měřená data, která vám účtují poplatky za gigabajt za odchozí přenosy dat.

  • Neomezená data, která vám účtují pevný měsíční poplatek za port, který pokrývá všechny příchozí a odchozí přenosy dat.

  Další informace najdete v tématu s cenami ExpressRoute.

• Pokud místo ExpressRoute používáte službu VPN Gateway, náklady se liší podle produktu a účtují se za hodinu. Další informace najdete v tématu o cenách služby VPN Gateway.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Privátní překladač DNS je plně spravovaná služba Microsoftu, která dokáže zpracovat miliony požadavků. Použijte adresní prostor podsítě mezi /28 a /24. Pro většinu uživatelů je nejvhodnější /26. Další informace najdete v tématu Omezení podsítě.

Sítě

Následující zdroje poskytují informace o tom, jak vytvořit soukromý překladač DNS:

• Vytvoření privátního překladače DNS pomocí webu Azure Portal

• Vytvoření privátního překladače DNS pomocí Azure PowerShellu

Zpětná podpora DNS

Záznamy DNS tradičně mapuje název DNS na IP adresu. www.contoso.com Například se přeloží na 42.3.10.170. Reverzní DNS plní opačnou funkci. Mapuje IP adresu zpět na název DNS. Například adresa 42.3.10.170 IP se překládá na www.contoso.com.

Další informace o podpoře reverzního DNS v Azure a o tom, jak reverzní DNS funguje, najdete v tématu Přehled reverzního DNS a podpory v Azure.

Omezení

Privátní překladač DNS má následující omezení:

• Sady pravidel privátního překladače DNS se dají propojit jenom s virtuálními sítěmi, které jsou ve stejné geografické oblasti jako překladač.

• Virtuální síť nemůže obsahovat více než jeden privátní překladač DNS.

• Každému příchozímu a odchozímu koncovému bodu musíte přiřadit vyhrazenou podsíť.

Další informace najdete v tématu Omezení virtuální sítě.

Přispěvatelé

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autor:

• Moorthy Annadurai | Senior technický specialista

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Co je propojení virtuální sítě?
• Co je Azure DNS?
• Co je privátní služba DNS Azure?
• Co je privátní překladač DNS?
• Nejčastější dotazy k Azure DNS
• Přehled reverzního DNS a podpory v Azure

Související prostředky

• Soubory Azure přístupné místně a zabezpečené službou Active Directory Domain Services
• Návrh hybridního řešení DNS pomocí Azure
• Sdílená složka cloudu Azure Enterprise

Tento článek představuje řešení pro použití privátního překladače Azure DNS ke zjednodušení překladu hybridního rekurzivního systému DNS (Domain Name System). Privátní překladač DNS můžete použít pro místní úlohy a úlohy Azure. Privátní překladač DNS zjednodušuje privátní překlad DNS z místního prostředí do privátní služby DNS Azure a z privátní služby DNS Azure do místního prostředí.

Architektura

Následující části obsahují alternativy pro hybridní rekurzivní překlad DNS. První část popisuje řešení, které používá virtuální stroj (VM) pro předávání DNS. Následující části vysvětlují, jak používat privátní překladač DNS.

Použití virtuálního počítače pro předávání DNS

Před dostupností privátního překladače DNS se nasadil virtuální počítač pro předávání DNS, aby místní server mohl přeložit požadavky na privátní službu DNS Azure. Následující diagram znázorňuje podrobnosti tohoto překladu ip adres. Podmíněný předávací nástroj na místním serveru DNS předává požadavky do Azure a privátní zóna DNS je propojená s virtuální sítí. Požadavky na službu Azure se pak přeloží na příslušnou privátní IP adresu.

V tomto řešení nemůžete k překladu názvů místních domén použít veřejnou službu DNS Azure.

Na obrázku mapový klíč zobrazuje provoz DNS jako černou šipku a soukromá připojení jako modrou šipku. Oddíl místní virtuální sítě obsahuje interní DNS a klientský virtuální počítač. Šipky provozu DNS mezi nimi ukazují tam a zpět. Šipka ukazuje z interního DNS na část s IP adresou přes šipku provozu DNS označenou Podmíněný předávač. Vedle této části se nachází část DNS, která obsahuje názvy vmdn, dopředné a zpětné vyhledávací zóny, body důvěryhodnosti a servery pro podmíněné předávání. Šipky provozu DNS propojují sekci místní sítě a část VNet-hub-001. Podsíť snet-consumer v této části zahrnuje službu předávání DNS a koncový bod Private Link. Šipka privátního připojení ukazuje na koncový bod Private Link z klientského virtuálního počítače a z koncového bodu Private Link na databázi SQL. V sousední části se zobrazuje DNS poskytovaný Azure. Šipky DNS ukazují z této části na zónu Privátní DNS a na rekurzivní překladače Azure. Propojení virtuální sítě připojuje oddíl VNet-hub-001 k zóně Privátní DNS.

Stáhněte si soubor PowerPointu této architektury.

Pracovní postup

Následující pracovní postup odpovídá předchozímu diagramu:

1. Klientský virtuální počítač odešle požadavek na překlad IP adres na azsql1.database.windows.net místní interní server DNS.

2. Podmíněný předávač je nakonfigurovaný na interním serveru DNS. Předává dotaz DNS na database.windows.net10.5.0.254, což je IP adresa virtuálního počítače služby předávání DNS.

3. Virtuální počítač služby pro předávání DNS odešle požadavek na 168.63.129.16, což je IP adresa interního serveru DNS Azure.

4. Server Azure DNS odešle požadavek na překlad IP adres pro azsql1.database.windows.net rekurzivní překladače Azure. Resolvery odpovídají kanonickým názvem (CNAME) azsql1.privatelink.database.windows.net.

5. Server Azure DNS odešle požadavek na překlad IP adres do azsql1.privatelink.database.windows.net privátní zóny privatelink.database.windows.netDNS. Privátní DNS zóna odpoví privátní IP adresou 10.5.0.5.

6. Odpověď, která přidruží záznam CNAME azsql1.privatelink.database.windows.net k záznamu 10.5.0.5 , dorazí do serveru pro předávání DNS.

7. Odpověď přijde na místní interní server DNS.

8. Odpověď se dorazí na klientský virtuální počítač.

9. Klientský virtuální počítač naváže privátní připojení k privátnímu koncovému bodu, který používá IP adresu 10.5.0.5. Privátní koncový bod poskytuje klientskému virtuálnímu počítači bezpečnější připojení k databázi Azure.

Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Použití privátního překladače DNS

Pokud používáte privátní překladač DNS, nepotřebujete virtuální počítač pro předávání DNS a Azure DNS dokáže přeložit místní názvy domén.

Následující řešení používá privátní překladač DNS v hvězdicové síťové topologii. Osvědčeným postupem je, že vzor návrhu cílové zóny Azure doporučuje používat tento typ topologie. Hybridní síťové připojení se naváže pomocí Azure ExpressRoute a služby Azure Firewall. Toto nastavení poskytuje zabezpečenou hybridní síť. DNS Private Resolver je v síti hubu.

Obrázek má tři základní části. Největší částí je hvězdicová síť Azure. Tato část zahrnuje Azure DNS, Azure Private DNS a Azure DNS Private Resolver. Zahrnuje také bránu site-to-site nebo Azure ExpressRoute, příchozí koncový bod a odchozí koncový bod. Odchozí koncový bod se připojí tečkovanou čarou k sadě pravidel předávání DNS. Tato sada pravidel se připojuje pomocí tečkovaných čar k paprskům 1 a 2 v části Azure. Azure ExpressRoute připojuje bránu site-to-site nebo Azure ExpressRoute k části On-premises. Tato část obsahuje místní server, stolní počítače se systémem Windows, aplikace 1, aplikace 2, aplikace 3 a místní servery DNS s jejich IP adresami.

Komponenty řešení privátního překladače DNS

Řešení, které používá privátní překladač DNS, obsahuje následující komponenty:

• Místní síť. Tato síť zákaznických datacenter je připojená k Azure prostřednictvím ExpressRoute nebo připojení azure VPN Gateway typu site-to-site. Síťové komponenty zahrnují dva místní servery DNS. Jeden server používá IP adresu 192.168.0.1. Druhý server používá 192.168.0.2rozhraní . Oba servery fungují jako překladače nebo předávání pro všechny počítače v místní síti.

  Správce na těchto serverech vytvoří všechny místní záznamy DNS a služby předávání koncových bodů Azure. Podmíněné předávání jsou na těchto serverech nakonfigurované pro služby Azure Blob Storage a Azure API Management. Tyto předávací služby odesílají požadavky na příchozí připojení služby DNS Private Resolver. Příchozí koncový bod používá IP adresu 10.0.0.8 a je hostovaný ve virtuální síti rozbočovače.

  Následující tabulka uvádí záznamy na místních serverech.

  Název domény	IP adresa	Typ záznamu
  App1.onprem.company.com	192.168.0.8	Mapování adres
  App2.onprem.company.com	192.168.0.9	Mapování adres
  blob.core.windows.net	10.0.0.8	Modul pro předávání DNS
  azure-api.net	10.0.0.8	Modul pro předávání DNS

• Síť rozbočovače.

  • Pro hybridní připojení k Azure se používá služba VPN Gateway nebo připojení ExpressRoute.

  • Azure Firewall poskytuje spravovanou bránu firewall. Instance brány firewall se nachází ve vlastní podsíti.

  • Následující tabulka uvádí parametry, které jsou nakonfigurované pro privátní překladač DNS. Pro názvy DNS pro aplikace 1 a 2 je nakonfigurována sada pravidel pro předávání DNS.

    Parametr	IP adresa
    Virtuální síť	10.0.0.0/24
    Podsíť příchozího koncového bodu	10.0.0.0/28
    IP adresa příchozího koncového bodu	10.0.0.8
    Podsíť odchozího koncového bodu	10.0.0.16/28
    IP adresa odchozího koncového bodu	10.0.0.19

  • Virtuální síť rozbočovače je propojená s privátními zónami DNS pro službu Blob Storage a službu API.

• Paprskové sítě.

  • Virtuální počítače jsou hostované ve všech paprskových sítích pro testování a ověřování překladu DNS.

  • Všechny paprskové virtuální sítě Azure používají výchozí server Azure DNS na adrese IP 168.63.129.16. A všechny paprskové virtuální sítě jsou v partnerském vztahu s virtuálními sítěmi centra. Veškerý provoz, včetně provozu do a z privátního překladače DNS, se směruje přes centrum.

  • Paprskové virtuální sítě jsou propojené s privátními zónami DNS. Tato konfigurace umožňuje přeložit názvy služeb privátního propojení koncových bodů, jako je privatelink.blob.core.windows.net.

Tok provozu pro místní dotaz DNS

Následující diagram znázorňuje tok provozu, který má za následek, když místní server vydá požadavek DNS.

Image má dvě hlavní části, které jsou propojené službou Azure ExpressRoute. Část Místní obsahuje místní server, počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3, dotaz DNS a servery. Oddíl Azure zahrnuje bránu site-to-site nebo Azure ExpressRoute, příchozí a odchozí koncové body, Azure DNS, privátní DNS Azure, privátní překladač Azure DNS a dva oddíly DNS zřízené v Azure, z nichž každý obsahuje paprsek a virtuální počítač.

1. Místní server se dotazuje na záznam privátní služby DNS Azure, například blob.core.windows.net. Požadavek je odeslán na lokální DNS server na IP adrese 192.168.0.1 nebo 192.168.0.2. Všechny místní počítače odkazují na místní server DNS.

2. Podmíněný forwarder na lokálním DNS serveru pro blob.core.windows.net předává požadavek DNS resolveru na IP adrese 10.0.0.8.

3. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

4. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu překladače DNS.

Tok provozu pro dotaz DNS virtuálního počítače

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute připojuje místní část k lokalitě typu site-to nebo bráně Azure ExpressRoute v části Azure. Oddíl Azure obsahuje příchozí a odchozí koncové body v části brány, Azure DNS, privátní DNS Azure, privátní překladač Azure DNS, oddíly DNS zřízené Azure, které obsahují paprsek a virtuální počítač. Tyto oddíly se připojují prostřednictvím odkazu na virtuální síť pro předávání DNS k sadě pravidel předávání DNS. Tečkovaná čára spojuje tento oddíl s odchozím koncovým bodem.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby používaly překlad názvů, který Azure poskytuje. V důsledku toho se Azure DNS používá k překladu dotazu DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím privátního překladače DNS

Následující diagram znázorňuje tok provozu, který má za následek, že virtuální počítač 1 vydá požadavek DNS prostřednictvím příchozího koncového bodu DNS Private Resolver. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute připojuje místní část k lokalitě typu site-to nebo bráně Azure ExpressRoute v části Azure. Část Azure obsahuje příchozí a odchozí koncové body, Azure DNS, Azure Private DNS, Azure DNS Private Resolver a DNS server, které obsahují paprsek a virtuální počítač. Zelená šipka označuje tok mezi sekcemi serveru DNS, příchozím koncovým bodem, Azure DNS a privátním DNS Azure. Sekce serveru DNS se také připojují prostřednictvím odkazu virtuální sítě pro předávání DNS k sadě pravidel pro předávání DNS. Tečkovaná čára spojuje tento oddíl s odchozím koncovým bodem.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby se používaly 10.0.0.8 jako server DNS pro překlad názvů. V důsledku toho se k překladu dotazu DNS používá privátní překladač DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím místního serveru DNS

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS přes místní server DNS. V tomto scénáři se virtuální síť paprsků s 1 paprskem pokusí požadavek vyřešit.

Obrázek obsahuje dvě hlavní části. Část Místní obsahuje místní server, stolní počítače se systémem Windows, aplikaci 1, aplikaci 2, aplikaci 3 a servery a jejich IP adresy. Azure ExpressRoute propojí část Místní s částí Site-to-site nebo brány Azure ExpressRoute, která se nachází v části Azure. Část Azure obsahuje příchozí a odchozí koncové body, Azure DNS, Azure Private DNS, Azure DNS Private Resolver a DNS server, které obsahují paprsek a virtuální počítač. Sekce serveru DNS se také připojují prostřednictvím odkazu virtuální sítě pro předávání DNS k sadě pravidel pro předávání DNS. Fialová šipka ukazuje průběh operací.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby se používaly 192.168.0.1/2 jako server DNS pro překlad názvů. V důsledku toho se k překladu dotazu DNS používá místní server DNS. Požadavek je odeslán na lokální DNS server na IP adrese 192.168.0.1 nebo 192.168.0.2.

2. Podmíněný forwarder na lokálním DNS serveru pro blob.core.windows.net předává požadavek DNS resolveru na IP adrese 10.0.0.8.

3. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

4. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu dns privátního překladače DNS.

Komponenty

• VPN Gateway je brána virtuální sítě, která umožňuje odesílat šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet. V této architektuře je brána VPN volitelnou komponentou pro ExpressRoute, která umožňuje hybridní připojení mezi Azure a místními prostředími pro provoz podmíněného předávání DNS.

• ExpressRoute je síťová služba, která rozšiřuje místní sítě do cloudu Microsoftu. Vytváří privátní připojení ke cloudovým komponentám, jako jsou služby Azure a Microsoft 365, prostřednictvím poskytovatele připojení. V této architektuře se ExpressRoute používá pro hybridní připojení mezi Azure a místními prostředími, konkrétně pro provoz podmíněného předávání DNS.

• Azure Virtual Network je síťová služba a základní stavební blok privátních sítí v Azure. Umožňuje prostředkům Azure, jako jsou virtuální počítače, bezpečně komunikovat mezi sebou, internetem a místními sítěmi. V předchozím návrhu je primárním účelem virtuálních sítí hostovat privátní překladač DNS a Azure Virtual Machines. Tyto virtuální sítě usnadňují bezproblémovou komunikaci a integraci mezi různými službami Azure a místními prostředky.

• Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která vynucuje zásady připojení aplikací a sítě. Centrálně spravuje zásady napříč několika virtuálními sítěmi a předplatnými. V předchozím případě použití můžete implementovat Azure Firewall a zvýšit tak zabezpečení síťového provozu. Poskytuje pokročilou ochranu před hrozbami, filtrování síťového provozu a možnosti protokolování, které umožňují pouze autorizovaný provoz a blokují potenciální hrozby.

• Privátní překladač DNS je služba, která přemísní místní DNS s Azure DNS. V této architektuře je jeho primární funkcí usnadňovat dotazy DNS mezi privátními zónami Azure DNS a místním prostředím. Toto usnadnění eliminuje potřebu serverů DNS založených na virtuálních počítačích. Toto nastavení zajišťuje bezproblémové a efektivní překlad DNS napříč hybridními prostředími, což umožňuje prostředkům Azure a místním prostředkům efektivně komunikovat překlady DNS.

• Azure DNS je hostitelská služba pro domény DNS, která využívá infrastrukturu Azure pro překlad názvů. V tomto návrhu hraje klíčovou roli tím, že spravuje provoz rozlišení DNS.

• Privátní služba DNS Azure je spravovaná služba DNS, která překládá názvy domén v rámci virtuální sítě a připojených virtuálních sítí. Eliminuje potřebu vlastní konfigurace DNS. U privátních zón DNS můžete přiřadit vlastní názvy domén místo použití výchozích názvů, které Azure poskytuje během nasazení.

• Servery pro předávání DNS jsou servery DNS, které odesílají dotazy externím serverům, když nemohou samy přeložit názvy domén. Tento přístup je již dlouho standardní metodou pro překlad DNS. V tomto článku a jeho případech použití nahrazuje privátní překladač DNS založený na virtuálních počítačích, což poskytuje efektivnější a efektivnější přístup k překladu DNS.

Podrobnosti scénáře

Azure poskytuje různá řešení DNS, včetně Azure Traffic Manageru. Traffic Manager funguje jako služba vyrovnávání zatížení založená na DNS. Poskytuje způsob distribuce provozu mezi oblastmi Azure do veřejně přístupných aplikací.

Než byl k dispozici privátní překladač DNS, museli jste pro překlad DNS z místních systémů do Azure a z Azure do místních systémů používat vlastní servery DNS. Vlastní řešení DNS mají mnoho nevýhod:

• Správa několika vlastních serverů DNS pro více virtuálních sítí zahrnuje vysoké náklady na infrastrukturu a licencování.

• Musíte zvládnout všechny aspekty instalace, konfigurace a údržby serverů DNS.

• Režijní úlohy, jako je monitorování a opravy těchto serverů, jsou složité a náchylné k selhání.

• Správa záznamů a pravidel předávání DNS nepodporuje DevOps.

• Implementace škálovatelných serverových řešení DNS je náročná.

DNS Private Resolver řeší tyto překážky tím, že poskytuje následující funkce a klíčové výhody:

• Plně spravovaná služba společnosti Microsoft, která má integrovanou vysokou dostupnost a zónovou redundanci.

• Škálovatelné řešení optimalizované pro bezproblémovou integraci s DevOps.

• Úspora nákladů ve srovnání s tradičními řešeními na míru založenými na infrastruktuře jako službě.

• Podmíněné předávání pro Azure DNS na místní servery Odchozí koncový bod poskytuje tuto funkci, která dříve nebyla dostupná. Úlohy v Azure už nevyžadují přímá připojení k místním serverům DNS. Místo toho se úlohy Azure připojují k odchozí IP adrese privátního překladače DNS.

Potenciální případy použití

Toto řešení zjednodušuje privátní překlad DNS v hybridních sítích. Platí pro následující scénáře:

• Strategie přechodu během dlouhodobé migrace na plně nativní cloudová řešení

• Řešení zotavení po havárii a odolnost proti chybám, která replikují data a služby mezi místním a cloudovým prostředím

• Řešení hostující komponenty v Azure za účelem snížení latence mezi místními datacentry a vzdálenými umístěními

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

DNS Private Resolver je cloudová nativní služba navržená pro vysokou dostupnost a vytvořená tak, aby se bezproblémově integrovala s postupy DevOps, díky čemuž je vhodná pro kolaborativní a automatizované pracovní postupy. Poskytuje spolehlivé a vylepšené bezpečnostní řešení DNS při zachování jednoduchosti a nulové údržby pro uživatele.

Nenasazujte privátní překladač DNS do virtuální sítě, která zahrnuje bránu virtuální sítě ExpressRoute a používá pravidla se zástupnými znaky k směrování veškerého překladu IP adres na konkrétní server DNS. Tento typ konfigurace může způsobit problémy s připojením ke správě. Další informace najdete v tématu Privátní překladač DNS s pravidly zástupných znaků na bráně ExpressRoute.

Regionální dostupnost

Seznam oblastí, ve kterých je k dispozici privátní překladač DNS, najdete v tématu Regionální dostupnost.

Překladač DNS může odkazovat pouze na virtuální síť, která se nachází ve stejné oblasti jako překladač DNS.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Azure DNS má rozšíření zabezpečení DNS ve verzi Preview.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

• Jako řešení je privátní překladač DNS z velké části nákladově efektivní. Jednou z hlavních výhod privátního překladače DNS je, že je plně spravován. Tato funkce eliminuje potřebu dedikovaných serverů.

• Pokud chcete vypočítat náklady na privátní překladač DNS, použijte cenovou kalkulačku Azure. Cenové modely služby DNS Private Resolver najdete v tématu Ceny Azure DNS.

• Ceny zahrnují také funkce dostupnosti a škálovatelnosti.

• ExpressRoute podporuje dva fakturační modely:

  • Měřená data, která vám účtují poplatky za gigabajt za odchozí přenosy dat.

  • Neomezená data, která vám účtují pevný měsíční poplatek za port, který pokrývá všechny příchozí a odchozí přenosy dat.

  Další informace najdete v tématu s cenami ExpressRoute.

• Pokud místo ExpressRoute používáte službu VPN Gateway, náklady se liší podle produktu a účtují se za hodinu. Další informace najdete v tématu o cenách služby VPN Gateway.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Privátní překladač DNS je plně spravovaná služba Microsoftu, která dokáže zpracovat miliony požadavků. Použijte adresní prostor podsítě mezi /28 a /24. Pro většinu uživatelů je nejvhodnější /26. Další informace najdete v tématu Omezení podsítě.

Sítě

Následující zdroje poskytují informace o tom, jak vytvořit soukromý překladač DNS:

• Vytvoření privátního překladače DNS pomocí webu Azure Portal

• Vytvoření privátního překladače DNS pomocí Azure PowerShellu

Zpětná podpora DNS

Záznamy DNS tradičně mapuje název DNS na IP adresu. www.contoso.com Například se přeloží na 42.3.10.170. Reverzní DNS plní opačnou funkci. Mapuje IP adresu zpět na název DNS. Například adresa 42.3.10.170 IP se překládá na www.contoso.com.

Další informace o podpoře reverzního DNS v Azure a o tom, jak reverzní DNS funguje, najdete v tématu Přehled reverzního DNS a podpory v Azure.

Omezení

Privátní překladač DNS má následující omezení:

• Sady pravidel privátního překladače DNS se dají propojit jenom s virtuálními sítěmi, které jsou ve stejné geografické oblasti jako překladač.

• Virtuální síť nemůže obsahovat více než jeden privátní překladač DNS.

• Každému příchozímu a odchozímu koncovému bodu musíte přiřadit vyhrazenou podsíť.

Další informace najdete v tématu Omezení virtuální sítě.

Přispěvatelé

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autor:

• Moorthy Annadurai | Senior technický specialista

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Co je propojení virtuální sítě?
• Co je Azure DNS?
• Co je privátní služba DNS Azure?
• Co je privátní překladač DNS?
• Nejčastější dotazy k Azure DNS
• Přehled reverzního DNS a podpory v Azure

Související prostředky

• Soubory Azure přístupné místně a zabezpečené službou Active Directory Domain Services
• Návrh hybridního řešení DNS pomocí Azure
• Sdílená složka cloudu Azure Enterprise