Was ist Azure DNS Private Resolver?

Azure DNS Private Resolver ist ein neuer Dienst, mit dem Sie private Zonen in Azure DNS von einer lokalen Umgebung aus abfragen können (und umgekehrt), ohne VM-basierte DNS-Server bereitstellen zu müssen.

Wie funktioniert dies?

Für Azure DNS Private Resolver ist ein Azure Virtual Network erforderlich. Wenn Sie einen Azure DNS Private Resolver innerhalb eines virtuellen Netzwerks erstellen, werden ein oder mehrere eingehende Endpunkte eingerichtet, die als Ziel für DNS-Abfragen verwendet werden können. Der ausgehende Endpunkt des Resolvers verarbeitet DNS-Abfragen basierend auf einem von Ihnen konfigurierten DNS-Weiterleitungsregelsatz. DNS-Abfragen, die in mit einem Regelsatz verknüpften Netzwerken initiiert werden, können an andere DNS-Server gesendet werden.

Sie müssen keine DNS-Clienteinstellungen auf Ihren virtuellen Computern (VMs) ändern, um den Azure DNS Private Resolver zu verwenden.

Der DNS-Abfragevorgang beim Verwenden eines Azure DNS Private Resolver wird unten zusammengefasst:

1. Ein Client in einem virtuellen Netzwerk sendet eine DNS-Abfrage.
2. Wenn die DNS-Server für dieses virtuelle Netzwerk als benutzerdefiniert angegeben werden, wird die Abfrage an die angegebenen IP-Adressen weitergeleitet.
3. Wenn (von Azure bereitgestellte) DNS-Standardserver im virtuellen Netzwerk konfiguriert sind und es private DNS-Zonen gibt, die mit demselben virtuellen Netzwerk verknüpft sind, werden diese Zonen geprüft.
4. Wenn die Abfrage nicht mit einer privaten DNS-Zone übereinstimmt, die mit dem virtuellen Netzwerk verknüpft ist, werden Verknüpfungen virtueller Netzwerke für DNS-Weiterleitungsregelsätze geprüft.
5. Wenn keine Regelsatzverknüpfungen vorhanden sind, wird die Abfrage anhand von Azure DNS aufgelöst.
6. Wenn Regelsatzverknüpfungen vorhanden sind, werden die DNS-Weiterleitungsregeln ausgewertet.
7. Wenn eine Suffix-Übereinstimmung gefunden wird, wird die Abfrage an die angegebene Adresse weitergeleitet.
8. Wenn mehrere Übereinstimmungen vorhanden sind, wird das längste Suffix verwendet.
9. Wenn keine Übereinstimmung gefunden wird, erfolgt keine DNS-Weiterleitung, und Azure DNS wird verwendet, um die Abfrage aufzulösen.

Die Architektur für den Azure DNS Private Resolver wird in der folgenden Abbildung zusammengefasst. Für die DNS-Auflösung zwischen virtuellen Azure-Netzwerken und lokalen Netzwerken ist Azure ExpressRoute oder ein VPN erforderlich.

Abbildung 1: Azure DNS Private Resolver-Architektur

Weitere Informationen zum Erstellen eines privaten DNS-Resolvers finden Sie unter:

• Schnellstart: Erstellen einer Azure DNS Private Resolver-Instanz über das Azure-Portal
• Schnellstart: Erstellen einer Azure DNS Private Resolver-Instanz mithilfe von Azure PowerShell

Vorteile des Azure DNS Private Resolver

Der Azure DNS Private Resolver bietet folgende Vorteile:

• Vollständig verwaltet: Integrierte hohe Verfügbarkeit, Zonenredundanz.
• Kostenminderung: Reduzierung von Betriebskosten und Ausführung zu einem Bruchteil des Preises herkömmlicher IaaS-Lösungen.
• Privater Zugriff auf Ihre privaten DNS-Zonen: Bedingte Weiterleitung an und von lokalen Standorten.
• Skalierbarkeit: Hohe Leistung pro Endpunkt.
• DevOps-freundlich: Erstellen von Pipelines mit Terraform, ARM oder Bicep.

Regionale Verfügbarkeit

Informationen finden Sie unter Azure-Produkte nach Region – Azure DNS.

Datenresidenz

Kundendaten werden von Azure DNS Private Resolver weder außerhalb der Region verschoben noch dort gespeichert.

DNS-Resolver-Endpunkte und -Regelsätze

Eine Zusammenfassung der Resolver-Endpunkte und Regelsätze finden Sie in diesem Artikel. Genauere Informationen zu Endpunkten und Regelsätze finden Sie unter Azure DNS Private Resolver-Endpunkte und -regelsätze.

Eingehende Endpunkte

Ein eingehender Endpunkt aktiviert die Namensauflösung von einem lokalen oder anderen privaten Standort über eine IP-Adresse, die Teil Ihres privaten virtuellen Netzwerkadressenbereichs ist. Um Ihre azure private DNS-Zone lokal zu beheben, geben Sie die IP-Adresse des eingehenden Endpunkts in Ihre lokale DNS-bedingte Weiterleitung ein. Der lokale DNS-bedingte Weiterleitung muss über eine Netzwerkverbindung mit dem virtuellen Netzwerk verfügen.

Dieser Endpunkt erfordert ein Subnetz im VNet, in dem er bereitgestellt wird. Das Subnetz kann nur an Microsoft.Network/dnsResolvers delegiert werden und nicht für andere Dienste verwendet werden. DNS-Abfragen, die vom eingehenden Endpunkt empfangen werden, gehen in Azure ein. Sie können Namen in Szenarien auflösen, in denen Sie über private DNS-Zonen verfügen, einschließlich VMs, die eine automatische Registrierung oder Private Link-fähige Dienste verwenden.

Hinweis

Die einem eingehenden Endpunkt zugewiesene IP-Adresse kann statisch oder dynamisch sein. Weitere Informationen finden Sie unter statische und dynamische Endpunkt-IP-Adressen.

Ausgehende Endpunkte

Ein ausgehender Endpunkt aktiviert die Auflösung bedingter Weiterleitungsnamen von Azure auf lokale, andere Cloudanbieter oder externe DNS-Server. Dieser Endpunkt erfordert ein dediziertes Subnetz im VNet, in dem er bereitgestellt wird, ohne dass ein anderer Dienst im Subnetz ausgeführt wird, und er kann nur an Microsoft.Network/dnsResolvers delegiert werden. DNS-Abfragen, die an den ausgehenden Endpunkt gesendet werden, gehen von Azure aus.

Verknüpfungen virtueller Netzwerke

Virtuelle Netzwerkverknüpfungen ermöglichen die Namensauflösung für virtuelle Netzwerke, die mit einem ausgehenden Endpunkt verknüpft sind, mit einem DNS-Weiterleitungsregelsatz. Dies ist eine 1:1-Beziehung.

DNS-Weiterleitungsregelsätze

Ein DNS-Weiterleitungsregelsatz ist eine Gruppe von DNS-Weiterleitungsregeln (bis zu 1.000), die auf einen oder mehrere ausgehende Endpunkte angewendet oder mit einem oder mehreren virtuellen Netzwerken verknüpft werden können. Dies ist eine 1:N-Beziehung. Regeln sind einem bestimmten ausgehenden Endpunkt zugeordnet. Weitere Informationen finden Sie unter DNS-Weiterleitungsregeln.

DNS-Weiterleitungsregelsätze

Eine DNS-Weiterleitungsregel enthält einen oder mehrere Ziel-DNS-Server, die für die bedingte Weiterleitung verwendet werden, und wird durch Folgendes dargestellt:

• einen Domänennamen,
• eine Ziel-IP-Adresse,
• einen Zielport und ein Protokoll (UDP oder TCP).

Beschränkungen

Die folgenden Grenzwerte gelten derzeit für Azure DNS Private Resolver:

DNS Private Resolver¹

Resource	Begrenzung
DNS Private Resolver pro Abonnement	15
Endpunkte für eingehenden Datenverkehr pro DNS Private Resolver	5
Endpunkte für ausgehenden Datenverkehr pro DNS Private Resolver	5
Weiterleitungsregeln pro DNS-Weiterleitungsregelsatz	1000
Virtuelle Netzwerkverbindungen pro DNS-Weiterleitungsregelsatz	500
Endpunkte für ausgehenden Datenverkehr pro DNS-Weiterleitungsregelsatz	2
DNS-Weiterleitungsregelsatz pro ausgehender Endpunkt	2
DNS-Zielserver pro Weiterleitungsregel	6
QPS pro Endpunkt	10.000

¹ Möglicherweise werden vom Azure-Portal andere Grenzwerte erzwungen, bis das Portal aktualisiert wird. Verwenden Sie PowerShell, um Elemente bis zu den aktuellen Grenzwerten bereitzustellen.

Einschränkungen für virtuelle Netzwerke

Die folgenden Einschränkungen gelten in Bezug auf virtuelle Netzwerke:

• VNets mit aktivierter Verschlüsselung unterstützen Azure DNS Private Resolver nicht.
• Ein DNS-Resolver kann nur auf ein virtuelles Netzwerk in derselben Region wie der des DNS-Resolvers verweisen.
• Ein virtuelles Netzwerk kann nicht zwischen mehreren DNS-Resolvern freigegeben werden. Auf ein einzelnes virtuelles Netzwerk kann nur von einem einzelnen DNS-Resolver verwiesen werden.

Einschränkungen für Subnetze

Folgende Einschränkungen gelten für Subnetze, die für DNS-Resolver verwendet werden:

• Ein Subnetz muss mindestens einen Adressraum von /28 oder maximal einen Adressraum von /24 aufweisen. Ein Subnetz /28 reicht aus, um aktuelle Endpunktgrenzwerte zu berücksichtigen. Eine Subnetzgröße von /27 bis /24 kann Flexibilität bieten, wenn sich diese Grenzwerte ändern.
• Ein Subnetz kann nicht zwischen mehreren DNS-Resolver-Endpunkten freigegeben werden. Ein einzelnes Subnetz kann nur von einem einzelnen DNS-Resolver-Endpunkt verwendet werden.
• Alle IP-Konfigurationen für einen eingehenden DNS-Resolver-Endpunkt müssen auf dasselbe Subnetz verweisen. Ein einzelner DNS-Resolver-Endpunkt kann sich nicht über mehrere Subnetze in der IP-Konfiguration erstrecken.
• Das Subnetz, das für einen eingehenden DNS-Resolver-Endpunkt verwendet wird, muss sich innerhalb des virtuellen Netzwerks befinden, auf das vom übergeordneten DNS-Resolver verwiesen wird.
• Das Subnetz kann nur an Microsoft.Network/dnsResolvers delegiert werden und nicht für andere Dienste verwendet werden.

Einschränkungen für ausgehende Endpunkte

Für ausgehende Endpunkte gelten die folgenden Einschränkungen:

• Ein ausgehender Endpunkt kann nicht gelöscht werden, es sei denn, der DNS-Weiterleitungsregelsatz und die Verknüpfungen des virtuellen Netzwerks darunter werden gelöscht.

Einschränkungen für Regelsätze

• Regelsätze können bis zu 1000 Regeln umfassen.
• Mandantenübergreifendes Verknüpfen von Regelsätzen wird nicht unterstützt.

Weitere Einschränkungen

• IPv6-aktivierte Subnetze werden nicht unterstützt.
• DNS Private Resolver unterstützt Azure ExpressRoute FastPath nicht.
• DNS Private Resolver ist nicht mit Azure Lighthouse kompatibel.
  • Um festzustellen, ob Azure Lighthouse verwendet wird, suchen Sie im Azure-Portal nach Dienstanbieter und wählen Dienstanbieterangebote aus.

Nächste Schritte

• Weitere Informationen zum Erstellen eines Azure DNS Private Resolver mit Azure PowerShell oder Azure-Portal.
• Erfahren Sie, wie Azure- und lokale Domänen mithilfe des Azure DNS Private Resolver aufgelöst werden.
• Erfahren Sie mehr über Azure DNS Private Resolver-Endpunkte und Regelnets.
• Erfahren Sie, wie Sie DNS-Failover mit privaten Resolvern einrichten
• Erfahren Sie, wie Sie Hybrid-DNS mithilfe privater Auflösungen konfigurieren.
• Erfahren Sie mehr über die anderen zentralen Netzwerkfunktionen von Azure.
• Lern-Modul: Einführung in Azure DNS.