Schnellstart: Erstellen einer Azure DNS Private Resolver-Instanz über das Azure-Portal

  • Artikel

In diesem Schnellstart werden Sie durch die Schritte zum Erstellen einer Azure DNS Private Resolver-Instanz über das Azure-Portal geführt. Sie können für diesen Schnellstart auch Azure PowerShell verwenden.

Mit Azure DNS Private Resolver können Sie Azure DNS Private Zones von einer lokalen Umgebung aus abfragen (und umgekehrt), ohne VM-basierte DNS-Server bereitstellen zu müssen. Sie müssen keine IaaS-basierten Lösungen mehr in Ihren virtuellen Netzwerken bereitstellen, um in privaten Azure DNS-Zonen registrierte Namen aufzulösen. Sie können die bedingte Weiterleitung von Domänen zurück an lokale, Multi-Cloud- und öffentliche DNS-Server konfigurieren. Weitere Informationen, einschließlich Vorteile, Funktionen und regionaler Verfügbarkeit, finden Sie unter Was ist Azure DNS Private Resolver?.

In diesem Artikel:

  • Es werden zwei VNets erstellt: myvnet und myvnet2.
  • Ein Azure DNS Private Resolver wird im ersten VNet mit einem eingehenden Endpunkt an 10.10.0.4 erstellt.
  • Es wird ein DNS-Weiterleitungsregelsatz für den privaten Resolver erstellt.
  • Der DNS-Weiterleitungsregelsatz ist mit dem zweiten VNet verknüpft.
  • Beispielregeln werden dem DNS-Weiterleitungsregelnsatz hinzugefügt.

In diesem Artikel wird keine DNS-Weiterleitung an ein lokales Netzwerk veranschaulicht. Weitere Informationen finden Sie unter Auflösen von Azure- und lokalen Domänen.

Die folgende Abbildung fasst das Setup zusammen, das in diesem Artikel verwendet wird:

Konzeptuelle Abbildung der Komponenten des Private Resolvers

Voraussetzungen

Ein Azure-Abonnement ist erforderlich.

  • Falls Sie noch nicht über ein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen.

Registrieren des Namespace des Microsoft.Network-Anbieters

Bevor Sie Microsoft.Network-Dienste mit Ihrem Azure-Abonnement verwenden können, müssen Sie den Microsoft.Network-Namespace registrieren:

  1. Wählen Sie das Blatt Abonnement im Azure-Portal aus. Wählen Sie dann Ihr Abonnement aus.
  2. Wählen Sie unter Einstellungen die Option Ressourcenanbieter aus.
  3. Wählen Sie Microsoft.Network und dann Registrieren aus.

Erstellen einer Ressourcengruppe

Erstellen Sie zunächst eine Ressourcengruppe oder wählen Sie eine bestehende aus, um die Ressourcen für Ihren DNS-Resolver zu hosten. Die Ressourcengruppe muss sich in einer unterstützten Region befinden. In diesem Beispiel ist der Standort USA, Westen-Mitte. So erstellen Sie eine neue Ressourcengruppe:

  1. Wählen Sie Ressourcengruppe erstellen aus.

  2. Wählen Sie den Namen Ihres Abonnements aus, geben Sie einen Namen für die Ressourcengruppe ein, und wählen Sie eine unterstützte Region aus.

  3. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

    Erstellen einer Ressourcengruppe

Erstellen eines virtuellen Netzwerks

Als nächstes fügen Sie der erstellten Ressourcengruppe ein virtuelles Netzwerk hinzu und konfigurieren Subnetze.

  1. Wählen Sie die von Ihnen erstellte Ressourcengruppe aus. Wählen Sie dann Erstellen, Netzwerk aus der Liste der Kategorien und anschließend neben Virtuelles Netzwerk die Option Erstellen aus.

  2. Geben Sie auf der Registerkarte Grundeinstellungen einen Namen für das neue virtuelle Netzwerk ein, und wählen Sie die Region aus, die mit Ihrer Ressourcengruppe identisch ist.

  3. Ändern Sie auf der Registerkarte IP-Adressen den IPv4-Adressraum in 10.0.0.0/8.

  4. Wählen Sie Subnetz hinzufügen aus, und geben Sie den Subnetznamen und den Adressbereich ein:

    • Subnetzname: snet-inbound
    • Subnetzadressbereich: 10.0.0.0/28
    • Wählen Sie Hinzufügen aus, um das neue Subnetz hinzuzufügen.

  5. Wählen Sie Subnetz hinzufügen aus, und konfigurieren Sie das ausgehende Endpunktsubnetz:

    • Subnetzname: snet-outbound
    • Subnetzadressbereich: 10.1.1.0/28
    • Wählen Sie Hinzufügen aus, um dieses Subnetz hinzuzufügen.

  6. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

    Erstellen eines virtuellen Netzwerks

Erstellen eines DNS-Resolvers innerhalb des virtuellen Netzwerks

  1. Öffnen Sie das Azure-Portal, und suchen Sie nach DNS Private Resolver.

  2. Wählen Sie DNS Private Resolver und anschließend Erstellen aus, und geben Sie dann auf der Registerkarte Grundlagen für DNS Private Resolver erstellen Folgendes ein:

    • Abonnement: Wählen Sie den verwendeten Abonnementnamen aus.
    • Ressourcengruppe: Wählen Sie den Namen der von Ihnen erstellten Ressourcengruppe aus.
    • Name: Geben Sie einen Namen für Ihren DNS-Resolver ein (z. B. „mydnsresolver“).
    • Region: Wählen Sie die Region aus, die Sie für das virtuelle Netzwerk verwendet haben.
    • Virtuelles Netzwerk: Wählen Sie das von Ihnen erstellte virtuelle Netzwerk aus.

    Erstellen Sie den DNS-Resolver noch nicht.

    Erstellen des Resolvers – Grundlagen

  3. Wählen Sie die Registerkarte Eingehende Endpunkte aus. Wählen Sie dann Endpunkt hinzufügen aus, und geben Sie dann einen Namen neben dem Endpunktnamen ein (z. B. „myinboundendpoint“).

  4. Wählen Sie neben Subnetz das von Ihnen erstellte Subnetz für den eingehenden Endpunkt (z. B. „snet-inbound“, 10.0.0.0/28) und anschließend Speichern aus.

  5. Wählen Sie die Registerkarte Ausgehende Endpunkte aus. Wählen Sie dann Endpunkt hinzufügen aus, und geben Sie dann einen Namen neben dem Endpunktnamen ein (z. B. „myoutboundendpoint“).

  6. Wählen Sie neben Subnetz das von Ihnen erstellte Subnetz für den ausgehenden Endpunkt (z. B. „snet-outbound“, 10.1.1.0/28) und anschließend Speichern aus.

  7. Wählen Sie die Registerkarte Regelsatz und dann Regelsatz hinzufügen aus, und geben Sie Folgendes ein:

    • Regelsatzname: Geben Sie einen Namen für Ihren Regelsatz ein (z. B. myruleset).
    • Endpunkte: Wählen Sie den ausgehenden Endpunkt aus, den Sie erstellt haben (z. B. „myoutboundendpoint“).

  8. Wählen Sie unter Regeln die Option Hinzufügen aus, und geben Sie Ihre Regeln für die bedingte DNS-Weiterleitung ein. Beispiel:

    • Regelname: Geben Sie einen Regelnamen (z. B. „contosocom“) ein.
    • Domänenname: Geben Sie einen Domänennamen mit einem nachstehenden Punkt ein (z. B. „contoso.com.“).
    • Regelstatus: Wählen Sie Aktiviert oder Deaktiviert aus. Die Standardeinstellung ist aktiviert.
    • Wählen Sie Ziel hinzufügen aus, und geben Sie eine gewünschte IPv4-Zieladresse ein (z. B. 11.0.1.4).
    • Wählen Sie bei Bedarf erneut Ziel hinzufügen aus, um eine andere IPv4-Zieladresse hinzuzufügen (z. B. 11.0.1.5).
    • Wenn Sie mit dem Hinzufügen von Ziel-IP-Adressen fertig sind, wählen Sie Hinzufügen aus.

  9. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

    Erstellen des Resolvers – Regelsatz

    In diesem Beispiel gibt es nur eine Regel für die bedingte Weiterleitung, aber Sie können viele erstellen. Bearbeiten Sie die Regeln, um sie nach Bedarf zu aktivieren oder zu deaktivieren.

    Screenshot von Create Resolver – Review.

    Nachdem Sie Erstellen ausgewählt haben, beginnt die Bereitstellung des neuen DNS-Resolvers. Dieser Vorgang kann ein oder zwei Minuten dauern. Der Status jeder Komponente wird während der Bereitstellung angezeigt.

    Erstellen des Resolvers – Status

Erstellen eines zweiten virtuellen Netzwerks

Erstellen Sie ein zweites virtuelles Netzwerk, um eine lokale oder andere Umgebung zu simulieren. So erstellen Sie ein zweites virtuelles Netzwerk

  1. Wählen Sie Virtuelle Netzwerke aus der Liste Azure-Dienste aus, oder suchen Sie nach Virtuelle Netzwerke, und wählen Sie dann Virtuelle Netzwerke aus.

  2. Wählen Sie Erstellen und dann auf der Registerkarte Grundeinstellungen Ihr Abonnement aus. Wählen Sie dann dieselbe Ressourcengruppe aus, die Sie in diesem Leitfaden verwendet haben (z. B. „myresourcegroup“).

  3. Geben Sie neben Name einen Namen für das neue virtuelle Netzwerk ein (z. B. „myvnet2“).

  4. Stellen Sie sicher, dass die ausgewählte Region dieselbe Region ist, die zuvor in diesem Leitfaden verwendet wurde (z. B. USA, Westen-Mitte).

  5. Wählen Sie die Registerkarte IP-Adressen aus, und bearbeiten Sie den Standard-IP-Adressraum. Ersetzen Sie den Adressraum durch einen simulierten lokalen Adressraum (z. B. 12.0.0.0/8).

  6. Wählen Sie Subnetz hinzufügen aus, und geben Sie Folgendes ein:

    • Subnetzname: backendsubnet
    • Subnetzadressbereich: 12.2.0.0/24

  7. Wählen Sie Hinzufügen, dann Überprüfen und erstellen und anschließend Erstellen aus.

    Screenshot der Erstellung eines zweiten vnet.

Um Ihren Weiterleitungsregelsatz auf das zweite virtuelle Netzwerk anzuwenden, müssen Sie einen virtuellen Link erstellen.

  1. Suchen Sie nach DNS-Weiterleitungsregelsätze in der Azure-Diensteliste, und wählen Sie Ihren Regelsatz (z. B. myruleset) aus.

  2. Wählen Sie Virtuelle Netzwerklinks aus, wählen Sie Hinzufügen und myvnet2 aus, und verwenden Sie den Standardlinknamen myvnet2-link.

  3. Wählen Sie Hinzufügen aus, und überprüfen Sie, ob der Link erfolgreich hinzugefügt wurde. Möglicherweise müssen Sie die Seite aktualisieren.

    Screenshot: Regelsatz für virtuelle Netzwerklinks

Weiter unten in diesem Artikel wird eine Regel erstellt, bei der der eingehende Endpunkt des privaten Resolvers als Ziel verwendet wird. Diese Konfiguration kann zu einer DNS-Auflösungsschleife führen, wenn das VNet, in dem der Resolver bereitgestellt wird, ebenfalls mit dem Regelsatz verknüpft ist. Um dieses Problem zu beheben, entfernen Sie die Verknüpfung mit myvnet.

  1. Suchen Sie nach DNS-Weiterleitungsregelsätze in der Azure-Diensteliste, und wählen Sie Ihren Regelsatz (z. B. myruleset) aus.

  2. Wählen Sie VNet-Verknüpfungen, myvnet-link, Entfernen und dann OK aus.

    Screenshot: Regelsatz mit Verknüpfungen mit dem virtuellen Netzwerk nach dem Entfernen einer Verknüpfung.

Konfigurieren eines DNS-Weiterleitungsregelsatzes

Fügen Sie Ihrem DNS-Weiterleitungsregelsatz nach Wunsch bestimmte Regeln hinzu oder entfernen Sie welche, z. B.:

  • Eine Regel zum Auflösen einer privaten Azure DNS-Zone, die mit Ihrem virtuellen Netzwerk verknüpft ist: azure.contoso.com.
  • Eine Regel zum Auflösen einer lokalen Zone: internal.contoso.com.
  • Eine Platzhalterregel, um nicht übereinstimmende DNS-Abfragen an einen schützenden DNS-Dienst weiterzuleiten.

Wichtig

Die in dieser Schnellstartanleitung gezeigten Regeln sind Beispiele für Regeln, die für bestimmte Szenarien verwendet werden können. Es sind keine der in diesem Artikel beschriebenen Regeln erforderlich. Achten Sie darauf, Ihre Weiterleitungsregeln zu testen und sicherzustellen, dass die Regeln keine DNS-Lösungsprobleme verursachen.

Wenn Sie eine Wildcardregel in Ihr Ruleset einschließen, stellen Sie sicher, dass der DNS-Zieldienst öffentliche DNS-Namen auflösen kann. Einige Azure-Dienste weisen Abhängigkeiten von der Auflösung öffentlicher Namen auf.

Löschen einer Regel aus dem Weiterleitungsregelsatz

Einzelne Regeln können gelöscht oder deaktiviert werden. In diesem Beispiel wird eine Regel gelöscht.

  1. Suchen Sie nach DNS-Weiterleitungsregelsätze in der Azure-Diensteliste, und wählen Sie einen aus.
  2. Wählen Sie den zuvor konfigurierten Regelsatz aus (z. B. myruleset), und wählen Sie dann Regeln aus.
  3. Wählen Sie die zuvor konfigurierte Beispielregel contosocom aus, und wählen Sie Löschen und dann OK aus.

Hinzufügen von Regeln zum Weiterleitungsregelsatz

Fügen Sie dem Regelsatz drei neue bedingte Weiterleitungsregeln hinzu.

  1. Auf der Seite myruleset | Regeln wählen Sie Hinzufügen aus und geben Sie die folgenden Regeldaten ein:

    • Regelname: AzurePrivate
    • Domänenname: azure.contoso.com.
    • Regelzustand: Aktiviert

  2. Geben Sie unter Ziel-IP-Adresse den Wert 10.0.0.4 ein und wählen Sie dann Hinzufügen aus.

  3. Auf der Seite myruleset | Regeln wählen Sie Hinzufügen aus und geben Sie die folgenden Regeldaten ein:

    • Regelname: Internal
    • Domänenname: internal.contoso.com.
    • Regelzustand: Aktiviert

  4. Geben Sie unter Ziel-IP-Adresse den Wert 192.168.1.2 ein und wählen Sie dann Hinzufügen aus.

  5. Auf der Seite myruleset | Regeln wählen Sie Hinzufügen aus und geben Sie die folgenden Regeldaten ein:

    • Regelname: Wildcard
    • Domänenname: . (geben Sie nur einen Punkt ein)
    • Regelzustand: Aktiviert

  6. Geben Sie unter Ziel-IP-Adresse den Wert 10.5.5.5 ein und wählen Sie dann Hinzufügen aus.

    Screenshot: Beispiel für einen Weiterleitungsregelsatz

In diesem Beispiel:

  • 10.0.0.4 ist der eingehende Endpunkt des Resolvers.
  • 192.168.1.2 ist ein lokaler DNS-Server.
  • 10.5.5.5 ist ein schützender DNS-Dienst.

Testen des privaten Resolvers

Sie sollten jetzt in der Lage sein, DNS-Datenverkehr an Ihren DNS-Resolver zu senden und Datensätze auf der Grundlage Ihrer Regelsätze für die Weiterleitung aufzulösen, einschließlich:

  • Azure DNS Private Zones, die mit dem virtuellen Netzwerk verknüpft sind, in dem der Resolver bereitgestellt wird.
    • Wenn ein VNet mit der privaten Zone selbst verknüpft ist, benötigt es keine Regel für die private Zone im Weiterleitungsregelsatz. Ressourcen im VNet können die Zone direkt auflösen. In diesem Beispiel ist das zweite VNet jedoch nicht mit der privaten Zone verknüpft. Die Zone kann weiterhin mithilfe des Weiterleitungsregelsatzes aufgelöst werden. Weitere Informationen zu diesem Entwurf finden Sie unter Private Resolver-Architektur.
  • Private DNS-Zonen, die lokal gehostet werden.
  • DNS-Zonen im DNS-Namespace des öffentlichen Internets.

Nächste Schritte

Was ist Azure DNS Private Resolver?