Nastavení DNS služby Azure Firewall
Můžete nakonfigurovat vlastní server DNS a povolit proxy server DNS pro službu Azure Firewall. Tato nastavení nakonfigurujte při nasazení brány firewall nebo je nakonfigurujte později na stránce nastavení DNS. Azure Firewall ve výchozím nastavení používá Azure DNS a proxy DNS je zakázané.
Servery DNS
Server DNS udržuje a překládá názvy domén na IP adresy. Azure Firewall ve výchozím nastavení používá k překladu názvů Azure DNS. Nastavení serveru DNS umožňuje nakonfigurovat vlastní servery DNS pro překlad názvů služby Azure Firewall. Můžete nakonfigurovat jeden server nebo více serverů. Pokud nakonfigurujete více serverů DNS, zvolí se použitý server náhodně. Ve vlastním DNS můžete nakonfigurovat maximálně 15 serverů DNS.
Poznámka:
Pro instance služby Azure Firewall spravované pomocí Azure Firewall Manageru se nastavení DNS konfigurují v přidružených zásadách služby Azure Firewall.
Konfigurace vlastních serverů DNS
- V části Nastavení brány Azure Firewall vyberte Nastavení DNS.
- V části Servery DNS můžete zadat nebo přidat existující servery DNS, které byly dříve zadány ve vaší virtuální síti.
- Vyberte Použít.
Brána firewall teď směruje provoz DNS na zadané servery DNS pro překlad názvů.
Proxy server DNS
Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatelem požadavků DNS z klientských virtuálních počítačů na server DNS.
Pokud chcete povolit filtrování plně kvalifikovaného názvu domény (plně kvalifikovaný název domény) v pravidlech sítě, povolte proxy server DNS a aktualizujte konfiguraci virtuálního počítače tak, aby používala bránu firewall jako proxy server DNS.
Pokud povolíte filtrování plně kvalifikovaného názvu domény v pravidlech sítě a nenakonfigurujete klientské virtuální počítače tak, aby používaly bránu firewall jako proxy server DNS, můžou požadavky DNS z těchto klientů cestovat na server DNS na jiný čas nebo vrátit jinou odpověď v porovnání s bránou firewall. Doporučujeme nakonfigurovat klientské virtuální počítače tak, aby jako proxy server DNS používaly Azure Firewall. Tím se azure Firewall umístí do cesty k požadavkům klientů, aby se zabránilo nekonzistence.
Pokud je Azure Firewall proxy serverEM DNS, jsou možné dva typy funkcí ukládání do mezipaměti:
Kladná mezipaměť: Překlad DNS je úspěšný. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL (time to live) v odpovědi až do 1 hodiny.
Záporná mezipaměť: Výsledkem překladu DNS není žádná odpověď nebo žádné rozlišení. Brána firewall tyto odpovědi ukládá do mezipaměti podle hodnoty TTL v odpovědi až do maximálního počtu 30 minut.
Proxy server DNS ukládá všechny přeložené IP adresy z plně kvalifikovaných názvů domén v pravidlech sítě. Osvědčeným postupem je použít plně kvalifikované názvy domén, které se přeloží na jednu IP adresu.
Dědičnost zásad
Nastavení DNS zásad použité pro samostatnou bránu firewall přepíší nastavení DNS samostatné brány firewall. Podřízená zásada dědí všechna nastavení DNS nadřazené zásady, ale může přepsat nadřazenou zásadu.
Pokud například chcete v pravidle sítě používat plně kvalifikované názvy domén, musí být povolený proxy server DNS. Pokud ale nadřazená zásada nemá povolený proxy server DNS, podřízené zásady nebudou podporovat plně kvalifikované názvy domén v pravidlech sítě, pokud toto nastavení nepřepíšete místně.
Konfigurace proxy serveru DNS
Konfigurace proxy serveru DNS vyžaduje tři kroky:
- Povolte proxy server DNS v nastavení DNS služby Azure Firewall.
- Volitelně můžete nakonfigurovat vlastní server DNS nebo použít zadaný výchozí.
- Nakonfigurujte privátní IP adresu služby Azure Firewall jako vlastní adresu DNS v nastavení serveru DNS vaší virtuální sítě, aby směrovali provoz DNS do služby Azure Firewall.
Poznámka:
Pokud se rozhodnete použít vlastní server DNS, vyberte libovolnou IP adresu ve virtuální síti s výjimkou ip adres v podsíti služby Azure Firewall.
Pokud chcete nakonfigurovat proxy server DNS, musíte nakonfigurovat nastavení serverů DNS virtuální sítě tak, aby používaly privátní IP adresu brány firewall. Pak povolte proxy DNS v nastavení DNS služby Azure Firewall.
Konfigurace serverů DNS virtuální sítě
- Vyberte virtuální síť, ve které se provoz DNS směruje přes instanci služby Azure Firewall.
- V části Nastavení vyberte servery DNS.
- V části Servery DNS vyberte Vlastní.
- Zadejte privátní IP adresu brány firewall.
- Zvolte Uložit.
- Restartujte virtuální počítače, které jsou připojené k virtuální síti, aby byly přiřazené nové nastavení serveru DNS. Virtuální počítače budou dál používat aktuální nastavení DNS, dokud se nerestartují.
Povolení proxy serveru DNS
- Vyberte instanci služby Azure Firewall.
- V části Nastavení vyberte nastavení DNS.
- Ve výchozím nastavení je proxy SERVER DNS zakázaný. Pokud je toto nastavení povolené, brána firewall naslouchá na portu 53 a předává požadavky DNS na nakonfigurované servery DNS.
- Zkontrolujte konfiguraci serverů DNS a ujistěte se, že jsou nastavení vhodná pro vaše prostředí.
- Zvolte Uložit.
Převzetí služeb při selhání s vysokou dostupností
Proxy server DNS má mechanismus převzetí služeb při selhání, který přestane používat zjištěný server, který není v pořádku, a používá jiný server DNS, který je k dispozici.
Pokud jsou všechny servery DNS nedostupné, není k dispozici žádný náhradní server DNS.
Kontroly stavu
Proxy server DNS provádí pětisekundové smyčky kontroly stavu, pokud nadřazené servery hlásí, že nejsou v pořádku. Kontroly stavu představují rekurzivní dotaz DNS na kořenový názvový server. Jakmile se nadřazený server považuje za v pořádku, brána firewall zastaví kontroly stavu až do další chyby. Když proxy server, který je v pořádku, vrátí chybu, brána firewall vybere v seznamu jiný server DNS.
Azure Firewall se zónami Azure Privátní DNS
Pokud používáte zónu Azure Privátní DNS se službou Azure Firewall, ujistěte se, že nevytvoříte mapování domén, která přepíší výchozí názvy domén účtů úložiště a dalších koncových bodů vytvořených Microsoftem. Pokud přepíšete výchozí názvy domén, přeruší přístup k provozu správy služby Azure Firewall účtům úložiště Azure a dalším koncovým bodům. Tím se přeruší aktualizace brány firewall, protokolování nebo monitorování.
Například provoz správy brány firewall vyžaduje přístup k účtu úložiště s názvem domény blob.core.windows.net a brána firewall spoléhá na Azure DNS pro překlady IP adres.
Nevytvávejte zónu Privátní DNS s názvem *.blob.core.windows.net
domény a přidružujte ji k virtuální síti Azure Firewall. Pokud přepíšete výchozí názvy domén, všechny dotazy DNS se směrují do privátní zóny DNS a tím se přeruší operace brány firewall. Místo toho vytvořte jedinečný název domény, například *.<unique-domain-name>.blob.core.windows.net
pro privátní zónu DNS.
Případně můžete povolit privátní propojení pro účet úložiště a integrovat ho s privátní zónou DNS, viz Kontrola provozu privátního koncového bodu pomocí služby Azure Firewall.