Architecture d’un résolveur privé

Cet article décrit deux options de conception architecturale disponibles pour résoudre les noms DNS, y compris les zones DNS privées sur votre réseau Azure à l’aide d’Azure DNS Private Resolver. Des exemples de configurations sont fournis avec des recommandations de conception pour la résolution DNS centralisée et distribuée dans une topologie de réseau virtuel hub-and-spoke.

• Pour obtenir une vue d’ensemble d’Azure DNS Private Resolver, consultez Qu’est-ce qu’Azure DNS Private Resolver ?.
• Pour plus d’informations sur les composants du programme de résolution privé, consultez Points de terminaison et ensembles de règles Azure DNS Private Resolver.

Architecture DNS distribuée

Prenez en compte la topologie VNet hub-and-spoke suivante dans Azure avec un programme de résolution privé situé dans le hub et un lien d’ensemble de règles vers le VNet de spoke. Le hub et le spoke utilisent tous deux le DNS fourni par Azure dans leurs paramètres de réseau virtuel :

Figure 1 : Architecture DNS distribuée à l’aide de liens d’ensemble de règles

• Un réseau virtuel hub est configuré avec l’espace d’adressage 10.10.0.0/16.
• Un réseau virtuel spoke est configuré avec l’espace d’adressage 10.11.0.0/16.
• Une zone DNS privée azure.contoso.com est liée au réseau virtuel hub.
• Un programme de résolution privé est approvisionné dans le réseau virtuel hub.
  • Le programme de résolution privé a un point de terminaison entrant avec l’adresse IP 10.10.0.4.
  • Le programme de résolution privé a un point de terminaison sortant et un ensemble de règles de transfert DNS associé.
    • L’ensemble de règles de transfert DNS est lié au réseau virtuel spoke.
    • Une règle d’ensemble de règles est configurée pour transférer les requêtes de la zone privée vers le point de terminaison entrant.

Résolution DNS dans le réseau virtuel hub : la liaison de réseau virtuel de la zone privée au réseau virtuel hub permet aux ressources à l’intérieur du réseau virtuel hub de résoudre automatiquement les enregistrements DNS dans azure.contoso.com à l’aide du DNS fourni par Azure (168.63.129.16). Tous les autres espaces de noms sont également résolus à l’aide du DNS fourni par Azure. Le réseau virtuel hub n’utilise pas de règles d’ensemble de règles pour résoudre les noms DNS, car il n’est pas lié à l’ensemble de règles. Pour utiliser des règles de transfert dans le réseau virtuel hub, créez et liez un autre ensemble de règles au réseau virtuel hub.

Résolution DNS dans le réseau virtuel spoke : le lien de réseau virtuel entre l’ensemble de règles et le réseau virtuel spoke permet au réseau virtuel spoke de résoudre azure.contoso.com à l’aide de la règle de transfert configurée. Un lien entre la zone privée et le réseau virtuel spoke n’est pas nécessaire ici. Le VNet de spoke envoie des requêtes pour azure.contoso.com au point de terminaison entrant du hub via le DNS fourni par Azure, car il existe une règle correspondant à ce nom de domaine dans l’ensemble de règles lié. Les requêtes pour d’autres espaces de noms peuvent également être transférées en configurant des règles supplémentaires. Les requêtes DNS qui ne correspondent pas à une règle d’ensemble de règles ne sont pas transférées et sont résolues à l’aide du DNS fourni par Azure.

Important

Dans cet exemple de configuration, le réseau virtuel hub doit être lié à la zone privée, mais pas à un ensemble de règles de transfert avec une règle de transfert de point de terminaison entrant. La liaison d’un ensemble de règles de transfert qui contient une règle avec le point de terminaison entrant comme destination au même réseau virtuel où le point de terminaison entrant est approvisionné peut entraîner des boucles de résolution DNS.

Architecture DNS centralisée

Réfléchissez à la topologie VNet hub-and-spoke suivante, qui dispose d’un point de terminaison entrant approvisionné en tant que DNS personnalisé dans le VNet de spoke. Le VNet de spoke utilise un paramètre DNS personnalisé de 10.10.0.4, ce qui correspond au point de terminaison entrant du programme de résolution privé du hub :

Figure 2 : Architecture DNS centralisée utilisant un DNS personnalisé

• Un réseau virtuel hub est configuré avec l’espace d’adressage 10.10.0.0/16.
• Un réseau virtuel spoke est configuré avec l’espace d’adressage 10.11.0.0/16.
• Une zone DNS privée azure.contoso.com est liée au réseau virtuel hub.
• Un programme de résolution privé se trouve dans le réseau virtuel hub.
  • Le programme de résolution privé a un point de terminaison entrant avec l’adresse IP 10.10.0.4.
  • Le programme de résolution privé a un point de terminaison sortant (facultatif) et un ensemble de règles de transfert DNS associé.
    • L’ensemble de règles de transfert DNS est lié au réseau virtuel hub.
    • Une règle d’ensemble de règles n’est pas configurée pour transférer les requêtes de la zone privée au point de terminaison entrant.

Résolution DNS dans le réseau virtuel hub : la liaison de réseau virtuel de la zone privée au réseau virtuel hub permet aux ressources à l’intérieur du réseau virtuel hub de résoudre automatiquement les enregistrements DNS dans azure.contoso.com à l’aide du DNS fourni par Azure (168.63.129.16). Si elles sont configurées, les règles de l’ensemble de règles déterminent la façon dont les noms DNS sont transférés et résolus. Les espaces de noms qui ne correspondent pas à une règle d’ensemble de règles sont résolus sans transfert à l’aide du DNS fourni par Azure.

Résolution DNS dans le réseau virtuel spoke : dans cet exemple, le réseau virtuel spoke envoie tout son trafic DNS au point de terminaison entrant dans le réseau virtuel Hub. Étant donné que azure.contoso.com dispose d’un lien de réseau virtuel vers le réseau virtuel Hub, toutes les ressources du hub peuvent résoudre azure.contoso.com, y compris le point de terminaison entrant (10.10.0.4). Ainsi, le spoke utilise le point de terminaison entrant du hub pour résoudre la zone privée. D’autres noms DNS sont résolus pour le réseau virtuel spoke en fonction des règles approvisionnées dans un ensemble de règles de transfert, le cas échéant.

Notes

Dans le scénario d’architecture DNS centralisée, les réseaux virtuels hub-and-spoke peuvent utiliser l’ensemble de règles facultatif lié au hub lors de la résolution des noms DNS. En effet, tout le trafic DNS du réseau virtuel spoke est envoyé au hub en raison du paramètre DNS personnalisé du réseau virtuel. Le réseau virtuel hub n’a pas besoin d’un point de terminaison sortant ou d’un ensemble de règles, mais s’il est approvisionné et lié au hub (comme illustré dans la figure 2), les réseaux virtuels hub-and-spoke utilisent les règles de transfert. Comme mentionné précédemment, il est important qu’aucune règle de transfert pour la zone privée ne soit présente dans l’ensemble de règles, car cette configuration peut provoquer une boucle de résolution DNS.

Étapes suivantes

• Passez en revue les composants, les avantages et les exigences pour Azure DNS Private Resolver.
• Découvrez comment créer un Azure DNS Private Resolver en utilisant Azure PowerShell ou le portail Azure.
• Découvrez comment résoudre des domaines Azure et locaux à l’aide d’Azure DNS Private Resolver.
• Apprenez-en davantage sur les points de terminaison et ensembles de règles Azure DNS Private Resolver.
• Découvrez comment configurer le basculement DNS avec des résolveurs privés.
• Découvrez certaines des autres fonctionnalités de réseau clés d’Azure.
• Module Learn : Présentation d’Azure DNS.