Architektur für den privaten Resolver

In diesem Artikel werden zwei Architekturentwurfsoptionen erläutert, die zum Auflösen von DNS-Namen verfügbar sind, einschließlich privater DNS-Zonen in Ihrem Azure-Netzwerk mithilfe eines Azure DNS Private Resolver. Beispielkonfigurationen werden mit Entwurfsempfehlungen für eine zentralisierte vs. eine verteilte DNS-Auflösung in einer Hub-and-Spoke-VNet-Topologie bereitgestellt.

• Eine Übersicht über den Azure DNS Private Resolver finden Sie unter Was ist Azure DNS Private Resolver.
• Weitere Informationen zu Komponenten des privaten Resolvers finden Sie unter Endpunkte und Regelsätze für Azure DNS Private Resolver.

Verteilte DNS-Architektur

Betrachten Sie die folgende Hub-and-Spoke-VNet-Topologie in Azure mit einem privaten Resolver im Hub und einen Regelsatzlink zum Spoke-VNet: Sowohl Hub als auch Spoke verwenden von Azure bereitgestelltes DNS in ihren VNet-Einstellungen:

Abbildung 1: Verteilte DNS-Architektur mit Regelsatzlinks

• Ein Hub-VNet ist mit dem Adressraum 10.10.0.0/16 konfiguriert.
• Ein Spoke-VNet ist mit dem Adressraum 10.11.0.0/16 konfiguriert.
• Eine private DNS-Zone azure.contoso.com ist mit dem Hub-VNet verknüpft.
• Ein privater Resolver wird im Hub-VNet bereitgestellt.
  • Der private Resolver verfügt über einen eingehenden Endpunkt mit der IP-Adresse 10.10.0.4.
  • Der private Resolver verfügt über einen ausgehenden Endpunkt und einen zugeordneten DNS-Weiterleitungsregelsatz.
    • Der DNS-Weiterleitungsregelsatz ist mit dem Spoke-VNet verknüpft.
    • Eine Regelsatzregel ist konfiguriert, um Abfragen für die private Zone an den eingehenden Endpunkt weiterzuleiten.

DNS-Auflösung im Hub-VNet: Die virtuelle Netzwerkverbindung von der privaten Zone zum Hub-VNet ermöglicht es Ressourcen im Hub-VNet, DNS-Einträge in azure.contoso.com mit dem von Azure bereitgestellten DNS (168.63.129.16) automatisch aufzulösen. Alle anderen Namespaces werden auch mit dem von Azure bereitgestellten DNS aufgelöst. Das Hub-VNet verwendet keine Regelsatzregeln, um DNS-Namen aufzulösen, da es nicht mit dem Regelsatz verknüpft ist. Um Weiterleitungsregeln im Hub-VNet zu verwenden, erstellen Sie ein anderes Regelset, und verknüpfen Sie es mit dem Hub-VNet.

DNS-Auflösung im Spoke-VNet: Die virtuelle Netzwerkverbindung vom Regelsatz zum Spoke-VNet ermöglicht es dem Spoke-VNet, azure.contoso.com mithilfe der konfigurierten Weiterleitungsregel aufzulösen. Eine Verbindung von der privaten Zone zum Spoke-VNet ist hier nicht erforderlich. Das Spoke-VNet sendet Abfragen für azure.contoso.com über das von Azure bereitgestellte DNS an den eingehenden Endpunkt des Hubs, da eine mit diesem Domänennamen übereinstimmende Regel im verknüpften Regelsatz vorhanden ist. Abfragen für andere Namespaces können auch weitergeleitet werden, indem zusätzliche Regeln konfiguriert werden. DNS-Abfragen, die nicht mit einer Regelsatzregel übereinstimmen, werden nicht weitergeleitet und mit dem von Azure bereitgestellten DNS aufgelöst.

Wichtig

In dieser Beispielkonfiguration muss das Hub-VNet mit der privaten Zone verknüpft sein, darf aber nicht mit einem Weiterleitungsregelsatz mit einer Weiterleitungsregel für eingehende Endpunkte verknüpft sein. Das Verknüpfen eines Weiterleitungsregelsatzes, der eine Regel enthält mit dem eingehenden Endpunkt als Ziel im gleichen VNet, in dem der eingehende Endpunkt bereitgestellt wird, kann DNS-Auflösungsschleifen verursachen.

Zentralisierte DNS-Architektur

Betrachten Sie die folgende Hub-and-Spoke-VNet-Topologie mit einem eingehenden Endpunkt, der als benutzerdefiniertes DNS im Spoke-VNet bereitgestellt ist. Das Spoke-VNet nutzt die benutzerdefinierte DNS-Einstellung 10.10.0.4, die dem eingehenden Endpunkt des privaten Resolvers des Hubs entspricht:

Abbildung 2: Zentralisierte DNS-Architektur mit benutzerdefiniertem DNS

• Ein Hub-VNet ist mit dem Adressraum 10.10.0.0/16 konfiguriert.
• Ein Spoke-VNet ist mit dem Adressraum 10.11.0.0/16 konfiguriert.
• Eine private DNS-Zone azure.contoso.com ist mit dem Hub-VNet verknüpft.
• Ein privater Resolver befindet sich im Hub-VNet.
  • Der private Resolver verfügt über einen eingehenden Endpunkt mit der IP-Adresse 10.10.0.4.
  • Der private Resolver verfügt über einen (optionalen) ausgehenden Endpunkt und einen zugeordneten DNS-Weiterleitungsregelsatz.
    • Der DNS-Weiterleitungsregelsatz ist mit dem Hub-VNet verknüpft.
    • Eine Regelsatzregel ist nicht konfiguriert, um Abfragen für die private Zone an den eingehenden Endpunkt weiterzuleiten.

DNS-Auflösung im Hub-VNet: Die virtuelle Netzwerkverbindung von der privaten Zone zum Hub-VNet ermöglicht es Ressourcen im Hub-VNet, DNS-Einträge in azure.contoso.com mit dem von Azure bereitgestellten DNS (168.63.129.16) automatisch aufzulösen. Wenn sie konfiguriert sind, bestimmen Regelsatzregeln, wie DNS-Namen weitergeleitet und aufgelöst werden. Namespaces, die nicht mit einer Regelsatzregel übereinstimmen, werden mit dem von Azure bereitgestellten DNS ohne Weiterleitung aufgelöst.

DNS-Auflösung im Spoke-VNet: In diesem Beispiel sendet das Spoke-VNet seinen gesamten DNS-Datenverkehr an den eingehenden Endpunkt im Hub-VNet. Da azure.contoso.com über eine virtuelle Netzwerkverbindung mit dem Hub-VNet verfügt, können alle Ressourcen im Hub azure.contoso.com auflösen, einschließlich des eingehenden Endpunkts (10.10.0.4). Daher verwendet der Spoke den eingehenden Endpunkt des Hubs, um die private Zone aufzulösen. Andere DNS-Namen werden für das Spoke-VNet ggf. gemäß den Regeln aufgelöst, die in einem Weiterleitungsregelsatz bereitgestellt werden.

Hinweis

Im Szenario der zentralisierten DNS-Architektur können sowohl das Hub- als auch das Spoke-VNet beim Auflösen von DNS-Namen den optionalen mit dem Hub verknüpften Regelsatz verwenden. Dies liegt daran, dass der gesamte DNS-Datenverkehr aus dem Spoke-VNet aufgrund der benutzerdefinierten DNS-Einstellung des VNet an den Hub gesendet wird. Für das Hub-VNet ist hier kein ausgehender Endpunkt und kein Regelsatz erforderlich. Wenn jedoch einer bereitgestellt und mit dem Hub verknüpft ist (wie in Abbildung 2 dargestellt), verwenden sowohl das Hub- als auch das Spoke-VNet die Weiterleitungsregeln. Wie bereits erwähnt, ist es wichtig, dass keine Weiterleitungsregel für die private Zone im Regelsatz vorhanden ist, da diese Konfiguration eine DNS-Auflösungsschleife verursachen kann.

Nächste Schritte

• Überprüfen Sie Komponenten, Vorteile und Anforderungen für Azure DNS Private Resolver.
• Weitere Informationen zum Erstellen eines Azure DNS Private Resolver mit Azure PowerShell oder Azure-Portal.
• Erfahren Sie, wie Azure- und lokale Domänen mithilfe des Azure DNS Private Resolver aufgelöst werden.
• Erfahren Sie mehr über Azure DNS Private Resolver-Endpunkte und Regelnets.
• Erfahren Sie, wie Sie DNS-Failover mit privaten Resolvern einrichten
• Erfahren Sie mehr über die anderen zentralen Netzwerkfunktionen von Azure.
• Lern-Modul: Einführung in Azure DNS.