Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Azure DNS Private Resolver est un service entièrement géré et hautement disponible qui permet une résolution DNS sécurisée et transparente entre les réseaux virtuels Azure et les environnements locaux, sans avoir à déployer, gérer ou corriger des serveurs DNS personnalisés. À l’aide de ce service, vous pouvez résoudre les requêtes DNS pour les zones DNS privées à partir de n’importe où. Il facilite la connectivité réseau hybride et simplifie la gestion du réseau pour les scénarios d’entreprise.
Fonctionnement du programme de résolution privé Azure DNS
Azure DNS Private Resolver nécessite un réseau virtuel Azure. Lorsque vous créez un programme de résolution privé Azure DNS à l’intérieur d’un réseau virtuel, vous créez un ou plusieurs points de terminaison entrants que vous pouvez utiliser comme destination pour les requêtes DNS. Le point de terminaison sortant du résolveur traite les requêtes DNS en fonction d’un ensemble de règles de transfert DNS que vous configurez. Vous pouvez envoyer des requêtes DNS lancées dans des réseaux liés à un ensemble de règles à d’autres serveurs DNS.
Vous n’avez pas besoin de changer les paramètres de client DNS sur vos machines virtuelles pour utiliser Azure DNS Private Resolver.
La liste suivante récapitule le processus de requête DNS lors de l’utilisation d’un programme de résolution privé Azure DNS :
- Le client d’un réseau virtuel émet une requête DNS.
- Si vous spécifiez des serveurs DNS personnalisés pour ce réseau virtuel, la requête est transférée aux adresses IP spécifiées.
- Si vous configurez des serveurs DNS par défaut (fournis par Azure) dans le réseau virtuel et qu’il existe des zones DNS privées liées au même réseau virtuel, ces zones sont consultées.
- Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, les liens de réseau virtuel pour les ensembles de règles de transfert DNS sont consultés.
- Si aucun lien d’ensemble de règles n’est présent, Azure DNS est utilisé pour résoudre la requête.
- Si des liens d’ensemble de règles sont présents, les règles de transfert DNS sont évaluées.
- Si une correspondance de suffixe est trouvée, la requête est transmise à l'adresse spécifiée.
- Si plusieurs correspondances sont présentes, le suffixe le plus long est utilisé.
- Si aucune correspondance n’est trouvée, aucun transfert DNS ne se produit et Azure DNS est utilisé pour résoudre la requête.
L’architecture d’Azure DNS Private Resolver est résumée dans la figure suivante. La résolution DNS entre les réseaux virtuels Azure et les réseaux locaux nécessite Azure ExpressRoute ou un VPN.
Figure 1 : Architecture du programme de résolution privé Azure DNS.
Pour plus d’informations sur la création d’un résolveur de DNS privé, voir :
- Démarrage rapide : Créer un résolveur privé Azure DNS en utilisant le portail Azure
- Démarrage rapide : Créer une zone Azure DNS Private Resolver avec Azure PowerShell
Avantages d’Azure DNS Private Resolver
Azure DNS Private Resolver offre les avantages suivants :
- Entièrement managé : haute disponibilité intégrée et redondance de zone.
- Réduction des coûts : réduction des coûts d’exploitation et exécution à une fraction du prix des solutions IaaS traditionnelles.
- Accès privé à vos zones DNS privées : transfert conditionnel vers et à partir du site local.
- Scalabilité : haute performance par point de terminaison.
- DevOps Friendly : Créez vos pipelines avec Terraform, un modèle ARM ou Bicep.
Disponibilité régionale
Voir Produits Azure par région - Azure DNS.
Résidence des données
Azure DNS Private Resolver ne déplace pas ou ne stocke pas les données client en dehors de la région où le programme de résolution est déployé.
Points de terminaison et ensembles de règles du programme de résolution DNS
Cet article fournit un résumé des points de terminaison et des ensembles de règles du programme de résolution. Si vous souhaitez en savoir plus sur les points de terminaison et les ensembles de règles, veuillez consulter la rubrique Points de terminaison et ensembles de règles Azure DNS Private Resolver.
Points de terminaison entrants
Un point de terminaison entrant active la résolution de noms à partir d’un emplacement local ou d’autres emplacements privés, via une adresse IP qui fait partie de votre espace d’adressage de réseau virtuel privé. Pour résoudre votre zone DNS privée Azure localement, entrez l’adresse IP du point de terminaison entrant dans votre redirecteur conditionnel DNS local. Le redirecteur conditionnel DNS local doit disposer d’une connexion réseau au réseau virtuel.
Le point de terminaison entrant nécessite un sous-réseau dans le réseau virtuel où vous le déployez. Vous pouvez uniquement déléguer le sous-réseau à Microsoft.Network/dnsResolvers et ne peut pas l’utiliser pour d’autres services. Le point de terminaison entrant reçoit des requêtes DNS qui s’ingressent vers Azure. Vous pouvez résoudre les noms dans les scénarios où vous avez des zones DNS privées, y compris des machines virtuelles qui utilisent l’inscription automatique ou les services compatibles avec Private Link.
Remarque
Vous pouvez spécifier l’adresse IP affectée à un point de terminaison entrant comme statique ou dynamique. Pour plus d’informations, consultez Adresse IP de point de terminaison statique et dynamique.
Points de terminaison sortants
Un point de terminaison sortant permet la résolution de noms de transfert conditionnel d’Azure vers des environnements locaux, d’autres fournisseurs de cloud ou des serveurs DNS externes. Ce point de terminaison nécessite un sous-réseau dédié dans le réseau virtuel où vous le déployez, sans aucun autre service s’exécutant dans le sous-réseau. Vous ne pouvez déléguer ce sous-réseau qu’à Microsoft.Network/dnsResolvers. Les requêtes DNS que vous envoyez vers le point de terminaison sortant transitent par Azure.
Liens de réseau virtuel
Les liens de réseau virtuel activent la résolution de noms pour les réseaux virtuels liés à un point de terminaison sortant avec un ensemble de règles de transfert DNS. Ce lien est une relation un-à-un.
Ensembles de règles de transfert DNS
Un ensemble de règles de transfert DNS est un groupe de jusqu’à 1 000 règles de transfert DNS que vous pouvez appliquer à un ou plusieurs points de terminaison sortants ou lier à un ou plusieurs réseaux virtuels. Cette configuration est une relation un-à-plusieurs. Vous associez des ensembles de règles à un point de terminaison sortant spécifique. Pour plus d’informations, consultez Ensembles de règles de transfert DNS.
Règles de transfert DNS
Une règle de transfert DNS inclut un ou plusieurs serveurs DNS cibles que vous utilisez pour le transfert conditionnel. Les éléments suivants représentent des règles :
- Un nom de domaine
- Une adresse IP cible
- Un port cible et un protocole (UDP ou TCP)
Restrictions
Les limites suivantes s’appliquent actuellement à Azure DNS Private Resolver :
DNS Private Resolver1
| Ressource | Limite |
|---|---|
| Programmes de résolution privés DNS par abonnement | 15 |
| Points de terminaison entrants par programme de résolution privé DNS | 5 |
| Points de terminaison sortants par résolveur DNS privé | 5 |
| Règles de transfert pour chaque ensemble de règles DNS | 1 000 |
| Liens de réseau virtuel par ensemble de règles de transfert DNS | 500 |
| Points de terminaison sortants par ensemble de règles de transfert DNS | 2 |
| Ensembles de règles de transfert DNS par point de terminaison sortant | 2 |
| Serveurs DNS cibles par règle de transfert | 6 |
| QPS par point de terminaison | 10 000 |
1Différentes limites peuvent être appliquées par le portail Azure jusqu’à ce que celui-ci soit mis à jour. Utilisez PowerShell pour provisionner des éléments jusqu’aux limites les plus récentes.
Restrictions des réseaux virtuels
Les restrictions suivantes s’appliquent aux réseaux virtuels :
- Les réseaux virtuels avec chiffrement activé ne prennent pas en charge Azure DNS Private Resolver.
- Un résolveur DNS ne peut référencer qu’un réseau virtuel présent dans sa région.
- Un programme de résolution DNS unique ne peut référencer qu’un seul réseau virtuel. Plusieurs résolveurs DNS ne peuvent pas partager le même réseau virtuel.
Restrictions des sous-réseaux
Les sous-réseaux utilisés pour le résolveur DNS comportent les limitations suivantes :
- Un sous-réseau doit être au minimum un espace d'adressage /28 ou au maximum un espace d’adressage /24. Un sous-réseau /28 est suffisant pour prendre en charge les limites actuelles du point de terminaison. Une taille de sous-réseau comprise entre /27 et /24 peut offrir de la flexibilité si ces limites changent.
- Plusieurs points de terminaison de programme de résolution DNS ne peuvent pas partager un sous-réseau. Un point de terminaison de programme de résolution DNS unique ne peut utiliser qu’un seul sous-réseau.
- Toutes les configurations IP d’un point de terminaison entrant de programme de résolution DNS doivent référencer le même sous-réseau que celui où le point de terminaison est approvisionné.
- Le sous-réseau utilisé pour le point de terminaison entrant d’un résolveur DNS doit figurer dans le réseau virtuel référencé par le résolveur DNS parent.
- Le sous-réseau ne peut être délégué qu’à Microsoft.Network/dnsResolvers et ne peut pas être utilisé pour d’autres services.
Restrictions des points de terminaison sortants
Les points de terminaison sortants comportent les limitations suivantes :
- Vous ne pouvez pas supprimer un point de terminaison sortant, sauf si vous supprimez d’abord le jeu de règles de transfert DNS et les liens de réseau virtuel sous celui-ci.
Restrictions relatives aux ensembles de règles
- Les ensembles de règles peuvent avoir jusqu’à 1 000 règles.
- La liaison des ensembles de règles entre différents locataires n’est pas prise en charge.
Autres restrictions
- Vous ne pouvez pas lier des ensembles de règles entre locataires.
- Vous ne pouvez pas utiliser les sous-réseaux activés par IPv6.
- DNS Private Resolver ne prend pas en charge Azure ExpressRoute FastPath.
- Le programme de résolution privé DNS n’est pas compatible avec Azure Lighthouse.
- Pour savoir si Azure Lighthouse est en cours d’utilisation, recherchez les Fournisseurs de services dans le Portail Azure et sélectionnez Offres des fournisseur de services.
Étapes suivantes
- Découvrez comment créer un Azure DNS Private Resolver en utilisant Azure PowerShell ou le portail Azure.
- Découvrez comment résoudre des domaines Azure et locaux à l’aide d’Azure DNS Private Resolver.
- Apprenez-en davantage sur les points de terminaison et ensembles de règles Azure DNS Private Resolver.
- Découvrez comment configurer le basculement DNS à l’aide de programmes de résolution privés.
- Découvrez comment configurer un service DNS hybride à l’aide de résolveurs privés.
- Découvrez certaines des autres fonctionnalités de réseau clés d’Azure.
- Module Learn : Présentation d’Azure DNS.