Azure Firewall nastavení DNS

  • Článek

Můžete nakonfigurovat vlastní server DNS a povolit proxy server DNS pro Azure Firewall. Tato nastavení nakonfigurujte při nasazování brány firewall nebo je nakonfigurujte později na stránce nastavení DNS . Ve výchozím nastavení Azure Firewall používá Azure DNS a proxy DNS je zakázaný.

Servery DNS

Server DNS udržuje názvy domén a překládá je na IP adresy. Ve výchozím nastavení používá Azure Firewall k překladu názvů Azure DNS. Nastavení serveru DNS umožňuje nakonfigurovat vlastní servery DNS pro překlad Azure Firewall IP adres. Můžete nakonfigurovat jeden server nebo více serverů. Pokud nakonfigurujete více serverů DNS, vybere se použitý server náhodně. Ve vlastním DNS můžete nakonfigurovat maximálně 15 serverů DNS.

Poznámka

U instancí Azure Firewall spravovaných pomocí Azure Firewall Manageru se nastavení DNS konfigurují v přidružených zásadách Azure Firewall.

Konfigurace vlastních serverů DNS – Azure Portal

  1. V části Nastavení Azure Firewall vyberteNastavení DNS.
  2. V části Servery DNS můžete zadat nebo přidat existující servery DNS, které byly dříve zadány ve vaší virtuální síti.
  3. Vyberte Použít.

Brána firewall teď směruje provoz DNS na zadané servery DNS za účelem překladu názvů.

Snímek obrazovky znázorňující nastavení pro servery D N S

Konfigurace vlastních serverů DNS – Azure CLI

Následující příklad aktualizuje Azure Firewall s vlastními servery DNS pomocí Azure CLI.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --dns-servers 10.1.0.4 10.1.0.5

Důležité

Příkaz az network firewall vyžaduje, aby bylo nainstalované rozšíření azure-firewall Azure CLI. Můžete ho nainstalovat pomocí příkazu az extension add --name azure-firewall.

Konfigurace vlastních serverů DNS – Azure PowerShell

Následující příklad aktualizuje Azure Firewall s vlastními servery DNS pomocí Azure PowerShell.

$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers

$azFw | Set-AzFirewall

Proxy server DNS

Můžete nakonfigurovat Azure Firewall tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatel požadavků DNS z klientských virtuálních počítačů na server DNS.

Pokud chcete v pravidlech sítě povolit filtrování plně kvalifikovaného názvu domény (FQDN), povolte proxy server DNS a aktualizujte konfiguraci virtuálního počítače tak, aby používal bránu firewall jako proxy server DNS.

Konfigurace proxy serveru D N S pomocí vlastního serveru D N S.

Pokud povolíte filtrování plně kvalifikovaného názvu domény v pravidlech sítě a nenakonfigurujete klientské virtuální počítače tak, aby používaly bránu firewall jako proxy server DNS, můžou požadavky DNS od těchto klientů putovat na server DNS v jinou dobu nebo vracet jinou odpověď než brána firewall. Doporučujeme nakonfigurovat klientské virtuální počítače tak, aby jako proxy dns používaly Azure Firewall. Tím se Azure Firewall vloží do cesty požadavků klientů, aby nedocházelo k nekonzistence.

Pokud je Azure Firewall proxy dns, jsou možné dva typy funkcí ukládání do mezipaměti:

  • Pozitivní mezipaměť: Překlad DNS je úspěšný. Brána firewall ukládá tyto odpovědi do mezipaměti podle hodnoty TTL (time to live) v odpovědi až do maximálního počtu 1 hodiny.

  • Záporná mezipaměť: Výsledkem překladu DNS je žádná odpověď nebo žádný překlad. Brána firewall ukládá tyto odpovědi do mezipaměti podle hodnoty TTL v odpovědi, maximálně 30 minut.

Proxy server DNS ukládá všechny přeložené IP adresy z plně kvalifikovaných názvů domén v pravidlech sítě. Osvědčeným postupem je používat plně kvalifikované názvy domén, které se přeloží na jednu IP adresu.

Dědičnost zásad

Nastavení DNS zásad použité na samostatnou bránu firewall přepíší nastavení DNS samostatné brány firewall. Podřízená zásada dědí všechna nastavení DNS nadřazených zásad, ale může přepsat nadřazené zásady.

Pokud například chcete v pravidle sítě používat plně kvalifikované názvy domén, musí být povolený proxy server DNS. Pokud ale nadřazené zásady nemají povolený proxy server DNS, podřízené zásady nebudou plně kvalifikované názvy domén v pravidlech sítě podporovat, pokud toto nastavení místně nepřepíšete.

Konfigurace proxy serveru DNS

Konfigurace proxy serveru DNS vyžaduje tři kroky:

  1. Povolte proxy server DNS v Azure Firewall nastavení DNS.
  2. Volitelně můžete nakonfigurovat vlastní server DNS nebo použít zadaný výchozí.
  3. V nastavení serveru DNS virtuální sítě nakonfigurujte privátní IP adresu Azure Firewall jako vlastní adresu DNS. Toto nastavení zajišťuje směrování provozu DNS do Azure Firewall.

Konfigurace proxy serveru DNS – Azure Portal

Pokud chcete nakonfigurovat proxy server DNS, musíte nakonfigurovat nastavení serverů DNS virtuální sítě tak, aby používaly privátní IP adresu brány firewall. Potom povolte proxy server DNS v Azure Firewall nastavení DNS.

Konfigurace serverů DNS virtuální sítě
  1. Vyberte virtuální síť, do které se bude provoz DNS směrovat přes instanci Azure Firewall.
  2. V části Nastavení vyberte Servery DNS.
  3. V části Servery DNS vyberte Vlastní.
  4. Zadejte privátní IP adresu brány firewall.
  5. Vyberte Uložit.
  6. Restartujte virtuální počítače, které jsou připojené k virtuální síti, aby jim bylo přiřazeno nové nastavení serveru DNS. Virtuální počítače budou dál používat aktuální nastavení DNS, dokud se nerestartují.
Povolení proxy serveru DNS
  1. Vyberte instanci Azure Firewall.
  2. V části Nastavení vyberte Nastavení DNS.
  3. Ve výchozím nastavení je proxy server DNS zakázaný. Pokud je toto nastavení povolené, brána firewall naslouchá na portu 53 a předává požadavky DNS nakonfigurovaným serverům DNS.
  4. Zkontrolujte konfiguraci serverů DNS a ujistěte se, že jsou nastavení vhodná pro vaše prostředí.
  5. Vyberte Uložit.

Snímek obrazovky znázorňující nastavení proxy serveru D N-S

Konfigurace proxy serveru DNS – Azure CLI

Ke konfiguraci nastavení proxy serveru DNS v Azure Firewall můžete použít Azure CLI. Můžete ho také použít k aktualizaci virtuálních sítí tak, aby jako server DNS používaly Azure Firewall.

Konfigurace serverů DNS virtuální sítě

Následující příklad nakonfiguruje virtuální síť tak, aby jako server DNS používala Azure Firewall.

az network vnet update \
    --name VNetName \ 
    --resource-group VNetRG \
    --dns-servers <firewall-private-IP>
Povolení proxy serveru DNS

Následující příklad povoluje funkci proxy serveru DNS v Azure Firewall.

az network firewall update \
    --name fwName \ 
    --resource-group fwRG \
    --enable-dns-proxy true

Konfigurace proxy serveru DNS – Azure PowerShell

Ke konfiguraci nastavení proxy serveru DNS v Azure Firewall můžete použít Azure PowerShell. Můžete ho také použít k aktualizaci virtuálních sítí tak, aby jako server DNS používaly Azure Firewall.

Konfigurace serverů DNS virtuální sítě

Následující příklad nakonfiguruje virtuální síť tak, aby používala Azure Firewall jako server DNS.

$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers

$VNet | Set-AzVirtualNetwork
Povolení proxy serveru DNS

Následující příklad povoluje funkci proxy serveru DNS v Azure Firewall.

$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true

$azFw | Set-AzFirewall

Převzetí služeb při selhání s vysokou dostupností

Proxy server DNS má mechanismus převzetí služeb při selhání, který přestane používat zjištěný server, který není v pořádku, a používá jiný server DNS, který je k dispozici.

Pokud jsou všechny servery DNS nedostupné, není k dispozici žádný náhradní server DNS.

Kontroly stavu

Proxy server DNS provádí pětisekundové smyčky kontroly stavu tak dlouho, dokud upstreamové servery hlásí, že není v pořádku. Kontroly stavu jsou rekurzivním dotazem DNS na kořenový názvový server. Jakmile je nadřazený server považován za v pořádku, brána firewall zastaví kontroly stavu až do další chyby. Když proxy server, který je v pořádku, vrátí chybu, brána firewall vybere v seznamu jiný server DNS.

Další kroky