Architektura privátního překladače

  • Článek

Tento článek popisuje dvě možnosti návrhu architektury, které jsou k dispozici pro překlad názvů DNS, včetně privátních zón DNS ve vaší síti Azure pomocí privátního překladače Azure DNS. Ukázkové konfigurace jsou poskytovány s doporučeními pro návrh centralizovaného a distribuovaného překladu DNS v topologii hvězdicové virtuální sítě.

Distribuovaná architektura DNS

Zvažte následující topologii hvězdicové virtuální sítě v Azure s privátním překladačem umístěným v centru a propojením sady pravidel s paprskovou virtuální sítí. Centrum i paprskový paprsek ve svém nastavení virtuální sítě používají DNS poskytovanou Azure:

Hub and spoke with ruleset diagram.

Obrázek 1: Distribuovaná architektura DNS s využitím odkazů na sadu pravidel

  • Virtuální síť centra je nakonfigurovaná s adresními prostory 10.10.0.0/16.
  • Paprsková virtuální síť je nakonfigurovaná s adresními prostory 10.11.0.0/16.
  • Privátní zóna DNS azure.contoso.com je propojená s virtuální sítí centra.
  • Privátní překladač je zřízený ve virtuální síti centra.
    • Privátní překladač má jeden příchozí koncový bod s IP adresou 10.10.0.4.
    • Privátní překladač má jeden odchozí koncový bod a přidruženou sadu pravidel předávání DNS.
      • Sada pravidel předávání DNS je propojená s virtuální sítí paprsku.
      • Pravidlo sady pravidel je nakonfigurované tak, aby předával dotazy pro privátní zónu do příchozího koncového bodu.

Překlad DNS ve virtuální síti centra: Propojení virtuální sítě z privátní zóny do virtuální sítě centra umožňuje prostředkům uvnitř virtuální sítě centra automaticky překládat záznamy DNS v azure.contoso.com pomocí DNS poskytnutého Azure (168.63.129.16). Všechny ostatní obory názvů se také přeloží pomocí DNS poskytnutého Azure. Virtuální síť centra nepoužívá pravidla sady pravidel k překladu názvů DNS, protože není propojená se sadou pravidel. Pokud chcete použít pravidla předávání ve virtuální síti centra, vytvořte a propojte jinou sadu pravidel s virtuální sítí centra.

Překlad DNS ve virtuální síti paprsku: Propojení virtuální sítě ze sady pravidel do paprskové virtuální sítě umožňuje virtuální síti paprsku přeložit azure.contoso.com pomocí nakonfigurovaného pravidla předávání. Tady není potřeba propojení z privátní zóny s paprskovou virtuální sítí. Paprsková virtuální síť odesílá dotazy na azure.contoso.com do příchozího koncového bodu centra prostřednictvím DNS poskytnutého Azure, protože v sadě propojených pravidel existuje pravidlo odpovídající tomuto názvu domény. Dotazy na jiné obory názvů je možné přeposlat také konfigurací dalších pravidel. Dotazy DNS, které neodpovídají pravidlu sady pravidel, se nepřeposílají a přeloží se pomocí DNS poskytnutého Azure.

Důležité

V této ukázkové konfiguraci musí být virtuální síť centra propojená s privátní zónou, ale nesmí být propojená se sadou pravidel předávání s pravidlem přesměrování koncového bodu. Propojení sady pravidel předávání obsahující pravidlo s příchozím koncovým bodem jako cílem do stejné virtuální sítě, ve které je zřízený příchozí koncový bod, může způsobit smyčky překladu DNS.

Centralizovaná architektura DNS

Zvažte následující topologii hvězdicové virtuální sítě s příchozím koncovým bodem zřízeným jako vlastní DNS ve virtuální síti paprsku. Paprsková virtuální síť používá vlastní nastavení DNS 10.10.0.4 odpovídající privátnímu koncovému bodu překladače centra:

Hub and spoke with custom DNS diagram.

Obrázek 2: Centralizovaná architektura DNS s využitím vlastního DNS

  • Virtuální síť centra je nakonfigurovaná s adresními prostory 10.10.0.0/16.
  • Paprsková virtuální síť je nakonfigurovaná s adresními prostory 10.11.0.0/16.
  • Privátní zóna DNS azure.contoso.com je propojená s virtuální sítí centra.
  • Privátní překladač se nachází ve virtuální síti centra.
    • Privátní překladač má jeden příchozí koncový bod s IP adresou 10.10.0.4.
    • Privátní překladač má jeden (volitelný) odchozí koncový bod a přidruženou sadu pravidel předávání DNS.
      • Sada pravidel předávání DNS je propojená s virtuální sítí centra.
      • Pravidlo sady pravidel není nakonfigurované pro předávání dotazů pro privátní zónu do příchozího koncového bodu.

Překlad DNS ve virtuální síti centra: Propojení virtuální sítě z privátní zóny do virtuální sítě centra umožňuje prostředkům uvnitř virtuální sítě centra automaticky překládat záznamy DNS v azure.contoso.com pomocí DNS poskytnutého Azure (168.63.129.16). Pokud je nakonfigurovaná, pravidla sady pravidel určují, jak se názvy DNS přeposílají a překládají. Obory názvů, které neodpovídají pravidlu sady pravidel, se přeloží bez předávání pomocí DNS poskytnutého Azure.

Překlad DNS ve virtuální síti paprsku: V tomto příkladu paprsková virtuální síť odesílá veškerý provoz DNS do příchozího koncového bodu ve virtuální síti centra. Vzhledem k tomu , že azure.contoso.com má propojení virtuální sítě s virtuální sítí centra, můžou všechny prostředky v centru přeložit azure.contoso.com, včetně příchozího koncového bodu (10.10.0.4). Paprsk tedy k překladu privátní zóny používá příchozí koncový bod centra. Jiné názvy DNS se překládají pro virtuální síť paprsku podle pravidel zřízených v sadě pravidel předávání, pokud existují.

Poznámka:

Ve scénáři centralizované architektury DNS můžou centra i paprskové virtuální sítě při překladu názvů DNS používat volitelnou sadu pravidel propojených s centrem. Důvodem je to, že se veškerý provoz DNS z paprskové virtuální sítě odesílá do centra kvůli vlastnímu nastavení DNS virtuální sítě. Virtuální síť centra zde nevyžaduje odchozí koncový bod nebo sadu pravidel, ale pokud je zřízená a propojená s centrem (jak je znázorněno na obrázku 2), budou pravidla předávání používat obě hvězdicové virtuální sítě. Jak už jsme zmínili dříve, je důležité, aby pravidlo předávání pro privátní zónu nebylo v sadě pravidel přítomno, protože tato konfigurace může způsobit smyčku překladu DNS.

Další kroky