Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Privátní překladač Azure DNS je plně spravovaná vysoce dostupná služba, která umožňuje zabezpečené a bezproblémové překlady DNS mezi virtuálními sítěmi Azure a místními prostředími – bez nutnosti nasazovat, spravovat nebo opravovat vlastní servery DNS. Tato služba umožňuje vyřešit dotazy DNS pro privátní zóny DNS odkudkoli, což usnadňuje hybridní síťovou konektivitu a zjednodušuje správu sítě v podnikových scénářích.
Jak to funguje?
Privátní překladač Azure DNS vyžaduje virtuální síť Azure. Při vytváření privátního překladače Azure DNS ve virtuální síti se vytvoří jeden nebo více příchozích koncových bodů, které se dají použít jako cíl pro dotazy DNS. Odchozí koncový bod překladače zpracovává dotazy DNS na základě nakonfigurované sady pravidel předávání DNS. Dotazy DNS iniciované v sítích propojených se sadou pravidel je možné odesílat na jiné servery DNS.
Pro použití privátního překladače Azure DNS nemusíte na virtuálních počítačích měnit žádná nastavení klienta DNS.
Proces dotazu DNS při použití privátního překladače Azure DNS je shrnutý níže:
- Klient ve virtuální síti vydává dotaz DNS.
- Pokud jsou servery DNS pro tuto virtuální síť zadané jako vlastní, dotaz se předá na zadané IP adresy.
- Pokud jsou ve virtuální síti nakonfigurované výchozí servery DNS (poskytované v Azure) a existují Privátní DNS zóny propojené se stejnou virtuální sítí, budou se tyto zóny konzultovat.
- Pokud dotaz neodpovídá soukromé DNS zóně propojené s virtuální sítí, jsou zkontrolována propojení virtuálních sítí pro pravidla předávání DNS.
- Pokud nejsou přítomny žádné odkazy na sadu pravidel, je k vyřešení dotazu použit Azure DNS.
- Pokud existují odkazy na sadu pravidel, vyhodnotí se pravidla předávání DNS.
- Pokud se najde shoda sufixu, dotaz se přepošle na zadanou adresu.
- Pokud existuje více shod, použije se nejdelší přípona.
- Pokud se nenajde žádná shoda, nedojde k předávání DNS a dotaz bude vyřešen pomocí Azure DNS.
Architektura privátního překladače Azure DNS je znázorněna na následujícím obrázku. Překlad DNS mezi virtuálními sítěmi Azure a místními sítěmi vyžaduje Azure ExpressRoute nebo VPN.
Obrázek 1: Architektura privátního řešení Azure DNS
Další informace o vytvoření privátního překladače DNS najdete v tématu:
- Začínáme: Vytvoření privátního resolveru Azure DNS pomocí Azure portalu
- Rychlý start: Vytvoření privátního překladače Azure DNS pomocí Azure PowerShellu
Výhody soukromého překládacího programu Azure DNS
Privátní řešitel Azure DNS nabízí následující výhody:
- Plně spravovaná: Integrovaná vysoká dostupnost, redundance zón.
- Snížení nákladů: Snížení provozních nákladů a spuštění za zlomek ceny tradičních řešení IaaS.
- Privátní přístup do vašich zón DNS: Podmíněné přesměrování do lokální infrastruktury a z ní.
- Škálovatelnost: Vysoký výkon na koncový bod
- DevOps Friendly: Vytvářejte kanály pomocí Terraformu, ARM nebo Bicep.
Regionální dostupnost
Viz Produkty Azure podle oblastí – Azure DNS.
Umístění dat
Privátní překladač Azure DNS nepřesouvá ani neukládá data zákazníků mimo oblast, ve které je nasazený.
Koncové body a sady pravidel rezolveru DNS
V tomto článku najdete souhrn koncových bodů rozhodovače a sad pravidel. Podrobné informace o koncových bodech a sadách pravidel najdete v tématu Koncové body a sady pravidel Azure DNS Private Resolver.
Příchozí koncové body
Příchozí koncový bod umožňuje rozlišení názvů z místního prostředí nebo jiných privátních umístění prostřednictvím IP adresy, která je součástí adresního prostoru vaší privátní virtuální sítě. Pokud chcete vyřešit privátní DNS zónu Azure z místního prostředí, zadejte IP adresu příchozího endpointu do podmíněného přeposílače DNS v místním prostředí. Místní podmíněný předávací nástroj DNS musí mít síťové připojení k virtuální síti.
Příchozí koncový bod vyžaduje podsíť ve virtuální síti, ve které je zřízená. Podsíť se dá delegovat jenom na Microsoft.Network/dnsResolvers a nedá se použít pro jiné služby. Dotazy DNS přijaté příchozím přenosem dat koncového bodu do Azure. Názvy můžete přeložit ve scénářích, kdy máte privátní DNS zóny, a to včetně virtuálních počítačů využívajících automatickou registraci nebo služeb s podporou Private Link.
Poznámka:
IP adresu přiřazenou příchozímu koncovému bodu je možné zadat jako statickou nebo dynamickou. Další informace najdete v tématu statické a dynamické IP adresy koncových bodů.
Odchozí koncové body
Odchozí koncový bod umožňuje překlad názvů s podmíněným předáváním z Azure do místního prostředí, k jiným poskytovatelům cloudu nebo na externí servery DNS. Tento koncový bod vyžaduje vyhrazenou podsíť ve virtuální síti, ve které je zřízená, bez jiné služby spuštěné v podsíti a dá se delegovat jenom na Microsoft.Network/dnsResolvers. Dotazy DNS odeslané do výstupního koncového bodu opustí Azure.
Propojení virtuálních sítí
Propojení virtuální sítě umožňují rozlišení názvů pro virtuální sítě propojené s odchozím koncovým bodem pomocí sady pravidel pro předávání DNS. Jde o relaci 1:1.
Sady pravidel předávání DNS
Sada pravidel předávání DNS je skupina pravidel předávání DNS (až 1 000), která je možné použít na jeden nebo více odchozích koncových bodů nebo je možné propojit s jednou nebo více virtuálními sítěmi. Toto je vztah 1:N. Sady pravidel jsou přidružené ke konkrétnímu odchozímu koncovému bodu. Další informace najdete v tématu Sady pravidel předávání DNS.
Pravidla předávání DNS
Pravidlo předávání DNS zahrnuje jeden nebo více cílových serverů DNS, které se používají k podmíněnému předávání, a jsou reprezentovány:
- Název domény
- Cílová IP adresa
- Cílový port a protokol (UDP nebo TCP)
Omezení
Aktuálně se na privátní překladač Azure DNS vztahují následující omezení:
Soukromý DNS resolver1
| Prostředek | Omezení |
|---|---|
| Privátní překladače DNS na předplatné | 15 |
| Příchozí koncové body pro privátní překladač DNS | 5 |
| Odchozí koncové body pro privátní překladač DNS | 5 |
| Pravidla předávání v rámci každé sady pravidel předávání DNS | 1 000 |
| Propojení virtuální sítě pro každou sadu pravidel předávání DNS | 500 |
| Odchozí koncové body pro sadu pravidel předávání DNS | 2 |
| Sady pravidel předávání DNS pro každý odchozí koncový bod | 2 |
| Cílové DNS servery pro každé pravidlo předávání | 6 |
| QPS pro koncový bod | 10 000 |
1Na webu Azure Portal se můžou vynucovat různá omezení, dokud se portál neaktualizuje. Pomocí PowerShellu můžete zřizovat elementy až po aktuální limity.
Omezení virtuální sítě
V souvislosti s virtuálními sítěmi platí následující omezení:
- Virtuální sítě s povoleným šifrováním nepodporují Azure DNS Private Resolver.
- Překladač DNS může odkazovat pouze na virtuální síť ve stejné oblasti jako překladač DNS.
- Jednu virtuální síť nemůže sdílet několik překladačů DNS. Na každou virtuální síť může odkazovat pouze jeden překladač DNS.
Omezení podsítě
Podsítě používané pro překladač DNS mají následující omezení:
- Podsíť musí mít adresní prostor minimálně /28 nebo maximálně /24. Podsíť /28 je dostatečná pro přizpůsobení aktuálních limitů koncových bodů. Velikost podsítě /27 až /24 může poskytnout flexibilitu, pokud se tato omezení změní.
- Podsíť se nedá sdílet mezi několika koncovými body překladače DNS. Jednu podsíť může používat jenom jeden koncový bod překladače DNS.
- Všechny konfigurace IP adres pro příchozí koncový bod resolveru DNS musí odkazovat na stejnou podsíť, ve které je koncový bod zřízen.
- Podsíť používaná pro příchozí koncový bod překladače DNS musí být ve virtuální síti odkazované nadřazeným překladačem DNS.
- Podsíť se dá delegovat jenom na Microsoft.Network/dnsResolvers a nedá se použít pro jiné služby.
Omezení odchozích koncových bodů
Odchozí koncové body mají následující omezení:
- Odchozí koncový bod není možné odstranit, dokud se neodstraní sada pravidel přesměrování DNS a propojení virtuální sítě, která obsahuje.
Omezení sady pravidel
- Sady pravidel můžou mít až 1 000 pravidel.
- Propojení sad pravidel mezi tenanty není podporováno.
Další omezení
- Propojení sad pravidel mezi tenanty se nepodporuje.
- Podsítě s podporou protokolu IPv6 se nepodporují.
- Privátní překladač DNS nepodporuje Azure ExpressRoute FastPath.
- Privátní překladač DNS není kompatibilní se službou Azure Lighthouse.
- Pokud chcete zjistit, jestli se Azure Lighthouse používá, vyhledejte poskytovatele služeb na webu Azure Portal a vyberte nabídky poskytovatele služeb.
Další kroky
- Zjistěte, jak vytvořit privátní překladač Azure DNS pomocí Azure PowerShell nebo Azure Portal.
- Zjistěte, jak rozlišit domény Azure a místní domény pomocí privátního resolveru Azure DNS.
- Přečtěte si o koncových bodech a sadách pravidel privátního překladače resolveru Azure DNS.
- Zjistěte, jak nastavit převzetí služeb při selhání DNS pomocí privátních resolverů.
- Zjistěte, jak nakonfigurovat hybridní DNS pomocí privátních překladačů.
- Informace o některých dalších klíčových možnostech sítě v Azure.
- Modul Learn: Úvod do Azure DNS