Azure DNS Private Resolver

Tento článek představuje řešení pro použití privátního překladače Azure DNS ke zjednodušení hybridního rekurzivního překladu DNS (Domain Name System). Privátní překladač DNS můžete použít pro místní úlohy a úlohy Azure. Privátní překladač DNS zjednodušuje překlad privátního DNS z místního prostředí do privátní služby DNS Azure a naopak.

Architektura

Následující části obsahují alternativy pro hybridní rekurzivní překlad DNS. První část popisuje řešení, které používá virtuální počítač pro předávání DNS. Následující části vysvětlují, jak používat privátní překladač DNS.

Použití virtuálního počítače pro předávání DNS

Před dostupností privátního překladače DNS se nasadil virtuální počítač pro předávání DNS, aby místní server mohl přeložit požadavky na privátní službu DNS Azure. Následující diagram znázorňuje podrobnosti tohoto překladu ip adres. Podmíněný předávací nástroj na místním serveru DNS předává požadavky do Azure a privátní zóna DNS je propojená s virtuální sítí. Požadavky na službu Azure se pak přeloží na příslušnou privátní IP adresu.

V tomto řešení nemůžete k překladu názvů místních domén použít veřejnou službu DNS Azure.

Stáhněte si soubor PowerPointu této architektury.

Workflow

1. Klientský virtuální počítač odešle žádost o překlad ip adres pro azsql1.database.windows.net místnímu internímu serveru DNS.

2. Podmíněný předávač je nakonfigurovaný na interním serveru DNS. Předává dotaz DNS na database.windows.net adresu 10.5.0.254, což je adresa virtuálního počítače pro předávání DNS.

3. Virtuální počítač pro předávání DNS odešle požadavek na IP adresu interního serveru DNS 168.63.129.16.

4. Server Azure DNS odešle žádost o překlad adres IP pro azsql1.database.windows.net do rekurzivních překladačů Azure. Překladače reagují azsql1.privatelink.database.windows.net kanonického názvu (CNAME).

5. Server Azure DNS odešle žádost o překlad ip adres pro azsql1.privatelink.database.windows.net do privátní zóny privatelink.database.windows.netDNS . Privátní zóna DNS reaguje privátní IP adresou 10.5.0.5.

6. Odpověď, která přidruží CNAME azsql1.privatelink.database.windows.net k záznamu 10.5.0.5, přijde do služby pro předávání DNS.

7. Odpověď přijde na místní interní server DNS.

8. Odpověď se dorazí na klientský virtuální počítač.

9. Klientský virtuální počítač vytvoří privátní připojení k privátnímu koncovému bodu, který používá IP adresu 10.5.0.5. Privátní koncový bod poskytuje klientskému virtuálnímu počítači zabezpečené připojení k databázi Azure.

Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Použití privátního překladače DNS

Pokud používáte privátní překladač DNS, nepotřebujete virtuální počítač pro předávání DNS a Azure DNS dokáže přeložit místní názvy domén.

Následující řešení používá privátní překladač DNS v hvězdicové síťové topologii. Osvědčeným postupem je, že vzor návrhu cílové zóny Azure doporučuje použít tento typ topologie. Hybridní síťové připojení se naváže pomocí Azure ExpressRoute a služby Azure Firewall. Toto nastavení poskytuje zabezpečenou hybridní síť. Privátní překladač DNS se nasadí do paprskové sítě (označuje se jako síť sdílených služeb v diagramech v tomto článku).

Stáhněte si soubor PowerPointu této architektury.

Komponenty řešení privátního překladače DNS

Řešení, které používá privátní překladač DNS, obsahuje následující komponenty:

• Místní síť. Tato síť zákaznických datacenter je připojená k Azure prostřednictvím ExpressRoute nebo připojení azure VPN Gateway typu site-to-site. Síťové komponenty zahrnují dva místní servery DNS. Jeden používá IP adresu 192.168.0.1. Druhý používá verzi 192.168.0.2. Oba servery fungují jako překladače nebo předávání pro všechny počítače v místní síti.

Správce na těchto serverech vytvoří všechny místní záznamy DNS a služby předávání koncových bodů Azure. Podmíněné předávání jsou na těchto serverech nakonfigurované pro služby Azure Blob Storage a Azure API Management. Tyto předávací služby odesílají požadavky na příchozí připojení služby DNS Private Resolver. Příchozí koncový bod používá IP adresu 10.0.0.8 a je hostovaný ve virtuální síti sdílené služby (podsíť 10.0.0.0/28).

Následující tabulka uvádí záznamy na místních serverech.

• Síť rozbočovače.

  • Pro hybridní připojení k Azure se používá služba VPN Gateway nebo připojení ExpressRoute.
  • Azure Firewall poskytuje spravovanou bránu firewall jako službu. Instance brány firewall se nachází ve vlastní podsíti.

• Síť sdílených služeb.

  • Privátní překladač DNS je nasazený ve vlastní virtuální síti (oddělené od centrální sítě, ve které je nasazená brána ExpressRoute). Následující tabulka uvádí parametry, které jsou nakonfigurované pro privátní překladač DNS. Pro názvy DNS app1 a App2 je nakonfigurovaná sada pravidel předávání DNS.

  Parametr	IP adresa
  Virtuální síť	10.0.0.0/24
  Podsíť příchozího koncového bodu	10.0.0.0/28
  IP adresa příchozího koncového bodu	10.0.0.8
  Podsíť odchozího koncového bodu	10.0.0.16/28
  IP adresa odchozího koncového bodu	10.0.0.19

  • Virtuální síť sdílené služby (10.0.0.0/24) je propojená s privátními zónami DNS pro službu Blob Storage a službou API.

• Paprskové sítě.

  • Virtuální počítače jsou hostované ve všech paprskových sítích pro testování a ověřování překladu DNS.
  • Všechny virtuální sítě paprsku Azure používají výchozí server Azure DNS na IP adrese 168.63.129.16. A všechny paprskové virtuální sítě jsou v partnerském vztahu s virtuálními sítěmi centra. Veškerý provoz, včetně provozu do a z privátního překladače DNS, se směruje přes centrum.
  • Paprskové virtuální sítě jsou propojené s privátními zónami DNS. Tato konfigurace umožňuje přeložit názvy služeb privátního propojení koncových bodů, jako je privatelink.blob.core.windows.net.

Tok provozu pro místní dotaz DNS

Následující diagram znázorňuje tok provozu, který má za následek, když místní server vydá požadavek DNS.

Stáhněte si soubor PowerPointu této architektury.

1. Místní server se dotazuje na záznam privátní služby DNS Azure, například blob.core.windows.net. Požadavek se odešle na místní server DNS na IP adrese 192.168.0.1 nebo 192.168.0.2. Všechny místní počítače odkazují na místní server DNS.

2. Podmíněný předávací nástroj na místním serveru DNS pro blob.core.windows.net předávání požadavku na překladač DNS na IP adrese 10.0.0.8.

3. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

4. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu překladače DNS.

Tok provozu pro dotaz DNS virtuálního počítače

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS. V tomto případě se virtuální síť paprsku Paprsková 1 pokusí požadavek vyřešit.

Stáhněte si soubor PowerPointu této architektury.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby používaly překlad názvů, který Azure poskytuje. V důsledku toho se Azure DNS používá k překladu dotazu DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím privátního překladače DNS

Následující diagram znázorňuje tok provozu, který má za následek, že virtuální počítač 1 vydá požadavek DNS prostřednictvím příchozího koncového bodu DNS Private Resolver. V tomto případě se virtuální síť paprsku Paprsková 1 pokusí požadavek vyřešit.

Stáhněte si soubor PowerPointu této architektury.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby jako server DNS překladu názvů používaly 10.0.0.8. V důsledku toho se k překladu dotazu DNS používá privátní překladač DNS.

2. Pokud se dotaz pokusí přeložit privátní název, kontaktuje se služba Azure Private DNS.

3. Pokud dotaz neodpovídá privátní zóně DNS propojené s virtuální sítí, Azure DNS se připojí k privátnímu překladače DNS. Virtuální síť Spoke 1 má propojení virtuální sítě. Privátní překladač DNS kontroluje sadu pravidel předávání DNS přidruženou k virtuální síti Spoke 1.

4. Pokud se v sadě pravidel pro předávání DNS najde shoda, předá se dotaz DNS přes odchozí koncový bod na IP adresu zadanou v sadě pravidel.

5. Pokud privátní služba DNS Azure (2) a privátní překladač DNS (3) nemůžou najít odpovídající záznam, použije se k překladu dotazu Azure DNS (5).

Každé pravidlo předávání DNS určuje jeden nebo více cílových serverů DNS, které se mají použít pro podmíněné předávání. Zadané informace zahrnují název domény, cílovou IP adresu a port.

Tok provozu pro dotaz DNS virtuálního počítače prostřednictvím místního serveru DNS

Následující diagram znázorňuje tok provozu, který vede k tomu, že virtuální počítač 1 vydá požadavek DNS přes místní server DNS. V tomto případě se virtuální síť paprsku Paprsková 1 pokusí požadavek vyřešit.

Stáhněte si soubor PowerPointu této architektury.

1. Virtuální počítač 1 dotazuje záznam DNS. Paprskové virtuální sítě jsou nakonfigurované tak, aby jako server DNS překladu názvů používaly 192.168.0.1/2. V důsledku toho se k překladu dotazu DNS používá místní server DNS.

2. Požadavek se odešle na místní server DNS na IP adrese 192.168.0.1 nebo 192.168.0.2.

3. Podmíněný předávací nástroj na místním serveru DNS pro blob.core.windows.net předávání požadavku na překladač DNS na IP adrese 10.0.0.8.

4. Překladač DNS se dotazuje na Azure DNS a přijímá informace o propojení virtuální sítě privátní služby DNS Azure.

5. Privátní služba DNS Azure překládá dotazy DNS odeslané prostřednictvím veřejné služby DNS Azure do příchozího koncového bodu dns privátního překladače DNS.

Komponenty

• VPN Gateway je brána virtuální sítě, kterou můžete použít k odesílání šifrovaného provozu:

  • Mezi virtuální sítí Azure a místním umístěním přes veřejný internet.
  • Mezi virtuálními sítěmi Azure přes páteřní síť Azure.

• ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu. ExpressRoute vytváří privátní připojení ke cloudovým komponentám, jako jsou služby Azure a Microsoft 365, pomocí poskytovatele připojení.

• Azure Virtual Network je základním stavebním blokem privátních sítí v Azure. Prostřednictvím virtuální sítě můžou prostředky Azure, jako jsou virtuální počítače, mezi sebou bezpečně komunikovat, internet a místní sítě.

• Azure Firewall vynucuje zásady připojení aplikací a sítí. Tato služba zabezpečení sítě centrálně spravuje zásady napříč několika virtuálními sítěmi a předplatnými.

• Privátní překladač DNS je služba, která přemísní místní DNS s Azure DNS. Tuto službu můžete použít k dotazování privátních zón Azure DNS z místního prostředí a naopak bez nasazení serverů DNS založených na virtuálních počítačích.

• Azure DNS je hostitelská služba pro domény DNS. Azure DNS používá infrastrukturu Azure k poskytnutí překladu ip adres.

• Privátní služba DNS Azure spravuje a překládá názvy domén ve virtuální síti a v připojených virtuálních sítích. Pokud používáte tuto službu, nemusíte konfigurovat vlastní řešení DNS. Pokud používáte privátní zóny DNS, můžete místo názvů, které Azure poskytuje během nasazování, použít vlastní názvy domén.

• Servery DNS pro předávání jsou servery DNS, které předávají dotazy serverům mimo síť. Služba předávání DNS předává pouze dotazy na názvy, které nedokáže přeložit.

Podrobnosti scénáře

Azure nabízí různá řešení DNS:

• Azure DNS je hostitelská služba pro domény DNS. Ve výchozím nastavení používají virtuální sítě Azure k překladu DNS Azure DNS. Microsoft spravuje a udržuje Azure DNS.
• Azure Traffic Manager funguje jako služba vyrovnávání zatížení založená na DNS. Poskytuje způsob distribuce provozu mezi oblastmi Azure do veřejně přístupných aplikací.
• Privátní služba DNS Azure poskytuje službu DNS pro virtuální sítě. Zóny privátní služby DNS Azure můžete použít k překladu vlastních názvů domén a názvů virtuálních počítačů, aniž byste museli konfigurovat vlastní řešení a aniž byste museli upravovat vlastní konfiguraci. Během nasazování můžete místo názvů, které Azure poskytuje, použít vlastní názvy domén, pokud používáte privátní zóny DNS.
• Privátní překladač DNS je cloudová nativní služba, která je vysoce dostupná a přívětivá pro DevOps. Poskytuje jednoduchou, nulovou údržbu, spolehlivou a zabezpečenou službu DNS. Tuto službu můžete použít k překladu názvů DNS hostovaných v privátních zónách Azure DNS z místních sítí. Službu můžete také použít pro dotazy DNS pro vlastní názvy domén.

Než byl privátní překladač DNS dostupný, museli jste použít vlastní servery DNS pro překlad DNS z místních systémů do Azure a naopak. Vlastní řešení DNS mají mnoho nevýhod:

• Správa několika vlastních serverů DNS pro více virtuálních sítí zahrnuje vysoké náklady na infrastrukturu a licencování.
• Musíte zvládnout všechny aspekty instalace, konfigurace a údržby serverů DNS.
• Režijní úlohy, jako je monitorování a opravy těchto serverů, jsou složité a náchylné k selhání.
• Správa záznamů a pravidel předávání DNS nepodporuje DevOps.
• Implementace škálovatelných serverových řešení DNS je náročná.

Privátní překladač DNS tyto překážky překonat tím, že poskytuje následující funkce a klíčové výhody:

• Plně spravovaná služba Microsoftu s integrovanou vysokou dostupností a redundancí zón.
• Škálovatelné řešení, které dobře funguje s DevOps.
• Úspora nákladů oproti tradičním vlastním řešením založeným na infrastruktuře jako službě (IaaS).
• Podmíněné předávání pro Azure DNS na místní servery Odchozí koncový bod poskytuje tuto funkci, která nebyla v minulosti dostupná. Úlohy v Azure už nevyžadují přímá připojení k místním serverům DNS. Místo toho se úlohy Azure připojují k odchozí IP adrese privátního překladače DNS.

Potenciální případy použití

Toto řešení zjednodušuje privátní překlad DNS v hybridních sítích. Platí pro mnoho scénářů:

• Strategie přechodu během dlouhodobé migrace na plně nativní cloudová řešení
• Řešení zotavení po havárii a odolnost proti chybám, která replikují data a služby mezi místním a cloudovým prostředím
• Řešení hostující komponenty v Azure za účelem snížení latence mezi místními datacentry a vzdálenými umístěními

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Doporučujeme nasadit privátní překladač DNS do virtuální sítě, která obsahuje bránu ExpressRoute. Další informace najdete v tématu o branách virtuální sítě ExpressRoute.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Privátní překladač DNS je nativní cloudová služba, která je vysoce dostupná a přívětivá pro DevOps. Poskytuje spolehlivé a zabezpečené řešení DNS při zachování jednoduchosti a nulové údržby pro uživatele.

Regionální dostupnost

Seznam oblastí, ve kterých je k dispozici privátní překladač DNS, najdete v tématu Regionální dostupnost.

Překladač DNS může odkazovat pouze na virtuální síť, která je ve stejné oblasti jako překladač DNS.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Azure DNS podporuje rozšířenou sadu kódování ASCII pro textové sady záznamů (TXT). Další informace najdete v nejčastějších dotazech k Azure DNS.

Azure DNS v současné době nepodporuje rozšíření zabezpečení DNS (DNSSEC). Uživatelé ale tuto funkci požadují.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

• Jako řešení je privátní překladač DNS z velké části nákladově efektivní. Jednou z hlavních výhod privátního překladače DNS je, že je plně spravovaný, což eliminuje potřebu vyhrazených serverů.

• Pokud chcete vypočítat náklady na privátní překladač DNS, použijte cenovou kalkulačku Azure. Cenové modely služby DNS Private Resolver najdete v tématu Ceny Azure DNS.

• Ceny zahrnují také funkce dostupnosti a škálovatelnosti.

• ExpressRoute podporuje dva fakturační modely:

  • Měřená data, která vám účtují poplatky za gigabajt za odchozí přenosy dat.
  • Neomezená data, která vám účtují pevný měsíční poplatek za port, který pokrývá všechny příchozí a odchozí přenosy dat.

  Další informace najdete v tématu s cenami ExpressRoute.

• Pokud místo ExpressRoute používáte službu VPN Gateway, náklady se liší podle produktu a účtují se za hodinu. Další informace najdete v tématu o cenách služby VPN Gateway.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Privátní překladač DNS je plně spravovaná služba Microsoftu, která dokáže zpracovat miliony požadavků. Použijte adresní prostor podsítě mezi /28 a /24. Pro většinu uživatelů funguje nejlépe /26. Další informace najdete v tématu Omezení podsítě.

Sítě

Následující zdroje informací poskytují další informace o vytvoření privátního překladače DNS:

• Vytvoření privátního překladače DNS pomocí webu Azure Portal
• Vytvoření privátního překladače DNS pomocí Azure PowerShellu

Zpětná podpora DNS

Záznamy DNS tradičně mapuje název DNS na IP adresu. Například www.contoso.com se přeloží na 42.3.10.170. U reverzního DNS mapování směřuje opačným směrem. IP adresa se mapuje zpět na název. Například IP adresa 42.3.10.170 se přeloží na www.contoso.com.

Podrobné informace o podpora Azure pro reverzní DNS a o tom, jak funguje reverzní DNS, najdete v tématu Přehled reverzního DNS a podpory v Azure.

Omezení

Privátní překladač DNS má následující omezení:

• Sady pravidel privátního překladače DNS se dají propojit jenom s virtuálními sítěmi, které jsou ve stejné geografické oblasti jako překladač.
• Virtuální síť nemůže obsahovat více než jeden privátní překladač DNS.
• Každému příchozímu a odchozímu koncovému bodu musíte přiřadit vyhrazenou podsíť.

Další informace najdete v tématu Omezení virtuální sítě.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byl napsán následujícím přispěvatelem.

Hlavní autor:

• Moorthy Annadurai | Architekt cloudového řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Co je propojení virtuální sítě?
• Co je Azure DNS?
• Co je privátní služba DNS Azure?
• Co je privátní překladač DNS?
• Nejčastější dotazy k Azure DNS
• Přehled reverzního DNS a podpory v Azure

Související prostředky

• Soubory Azure přístupné místně a zabezpečené službou AD DS
• Návrh hybridního řešení DNS pomocí Azure
• Sdílená složka cloudu Azure Enterprise