Programme de résolution privé Azure DNS

Azure DNS

Azure ExpressRoute

Pare-feu Azure

Réseau virtuel Azure

Passerelle VPN Azure

Cet article présente une solution permettant d’utiliser Azure DNS Private Resolver pour simplifier la résolution du système de noms de domaine (DNS) récursif hybride. Vous pouvez utiliser DNS Private Resolver pour des charges de travail locales et Azure. DNS Private Resolver simplifie la résolution DNS privée d’un service local vers le service DNS privé Azure et d’un service DNS privé Azure vers un service local.

Architecture

Les sections suivantes présentent des alternatives pour la résolution DNS récursive hybride. La première section décrit une solution qui utilise une machine virtuelle de redirecteur DNS. Les sections suivantes expliquent comment utiliser DNS Private Resolver.

Utiliser une machine virtuelle de redirecteur DNS

Avant que DNS Private Resolver soit disponible, une machine virtuelle de redirecteur DNS était déployée pour permettre au serveur local de résoudre des requêtes envoyées au service DNS privé Azure. Le diagramme suivant illustre les détails de cette résolution de noms. Un redirecteur conditionnel sur le serveur DNS local transfère les demandes à Azure, et une zone DNS privée est liée à un réseau virtuel. Les demandes adressées au service Azure sont ensuite résolues en l’adresse IP privée appropriée.

Dans cette solution, vous ne pouvez pas utiliser le service DNS public Azure pour résoudre des noms de domaine locaux.

Dans l’image, une clé de carte affiche le trafic DNS sous la forme d’une flèche noire et les connexions privées sous la forme d’une flèche bleue. Une section de réseau virtuel local contient le DNS interne et la machine virtuelle cliente. Les flèches de trafic DNS pointent d’avant en arrière entre eux. Une flèche pointe du DNS interne vers une section d’adresse IP via une flèche de trafic DNS étiquetée Redirecteur conditionnel. À côté de cette section se trouve une section DNS qui contient vmdns, les zones de recherche directe et inverse, les points de confiance et les redirecteurs conditionnels. Les flèches de trafic DNS connectent la section réseau local et la section VNet-hub-001. Le sous-réseau snet-consumer de cette section inclut le redirecteur DNS et le point de terminaison Private Link. Une flèche de connexion privée pointe vers le point de terminaison Private Link à partir de la machine virtuelle cliente et à partir du point de terminaison Private Link vers la base de données SQL. La section adjacente affiche le DNS fourni par Azure. À partir de cette section, les flèches DNS pointent vers la zone DNS privée et vers les résolveurs récursifs Azure. Une liaison de réseau virtuel relie la section VNet-hub-001 à la zone DNS privée.

Téléchargez un fichier PowerPoint de cette architecture.

Flux de travail

Le workflow suivant correspond au diagramme précédent :

1. Une machine virtuelle cliente envoie une demande de résolution de noms à azsql1.database.windows.net un serveur DNS interne local.

2. Un redirecteur conditionnel est configuré sur le serveur DNS interne. Il transmet la requête DNS à database.windows.net , 10.5.0.254qui est l’adresse IP d’une machine virtuelle de redirecteur DNS.

3. La machine virtuelle du redirecteur DNS envoie la demande à 168.63.129.16, qui est l’adresse IP du serveur DNS interne Azure.

4. Le serveur DNS Azure envoie une demande de résolution de noms aux azsql1.database.windows.net résolveurs récursifs Azure. Les résolveurs répondent par le nom canonique (CNAME) azsql1.privatelink.database.windows.net.

5. Le serveur DNS Azure envoie une demande de résolution de noms pour azsql1.privatelink.database.windows.net à la zone privatelink.database.windows.netDNS privée. La zone DNS privée répond avec l’adresse 10.5.0.5IP privée .

6. La réponse qui associe le CNAME azsql1.privatelink.database.windows.net à l’enregistrement 10.5.0.5 arrive au redirecteur DNS.

7. La réponse arrive au serveur DNS interne local.

8. La réponse arrive à la machine virtuelle cliente.

9. La machine virtuelle cliente établit une connexion privée au point de terminaison privé qui utilise l’adresse 10.5.0.5IP . Le point de terminaison privé fournit à la machine virtuelle cliente une connexion plus sécurisée à une base de données Azure.

Pour plus d’informations, consultez la configuration DNS du point de terminaison privé Azure.

Utiliser DNS Private Resolver

Lorsque vous utilisez DNS Private Resolver, vous n’avez pas besoin de machine virtuelle de redirecteur DNS, et Azure DNS est capable de résoudre les noms de domaine locaux.

La solution suivante utilise le programme de résolution privé DNS dans une topologie de réseau hub-spoke. Il est recommandé d’utiliser ce type de topologie dans le modèle de conception de zone d’atterrissage Azure. Une connexion réseau hybride est établie à l’aide d’Azure ExpressRoute et du Pare-feu Azure. Cette configuration fournit un réseau hybride sécurisé. Le résolveur privé DNS se trouve dans le réseau hub.

L’image comporte trois sections principales. La plus grande section est un réseau Azure en étoile. Cette section inclut Azure DNS, Azure Private DNS et Azure DNS Private Resolver. Il comprend également une passerelle de site à site ou Azure ExpressRoute, un point de terminaison entrant et un point de terminaison sortant. Le point de terminaison sortant se connecte via une ligne pointillée à l’ensemble de règles de transfert DNS. Cet ensemble de règles se connecte via des lignes pointillées à Spoke 1 et Spoke 2 dans la section Azure. Azure ExpressRoute connecte la passerelle de site à site ou Azure ExpressRoute à la section Local. Cette section contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs DNS locaux avec leurs adresses IP.

Composants de solution DNS Private Resolver

La solution qui utilise DNS Private Resolver contient les composants suivants :

• Un réseau local. Ce réseau de centres de données clients est connecté à Azure via ExpressRoute ou une connexion de passerelle VPN Azure site à site. Les composants réseau incluent deux serveurs DNS locaux. Un serveur utilise l’adresse 192.168.0.1IP . L’autre serveur utilise 192.168.0.2. Les deux serveurs fonctionnent en tant que résolveurs ou redirecteurs pour tous les ordinateurs à l’intérieur du réseau local.

  Un administrateur crée tous les enregistrements DNS locaux et les points de terminaison sortants Azure sur ces serveurs. Des redirecteurs conditionnels sont configurés sur ces serveurs pour les services Stockage Blob Azure et Azure API Management. Ces redirecteurs transfèrent les requêtes à la connexion entrante de DNS Private Resolver. Le point de terminaison entrant utilise l’adresse 10.0.0.8 IP et est hébergé dans le réseau virtuel hub.

  Le tableau suivant répertorie les enregistrements sur les serveurs locaux.

  Nom de domaine	Adresse IP	Type d’enregistrement
  App1.onprem.company.com	192.168.0.8	Mappage d’adresse
  App2.onprem.company.com	192.168.0.9	Mappage d’adresse
  blob.core.windows.net	10.0.0.8	Redirecteur DNS
  azure-api.net	10.0.0.8	Redirecteur DNS

• Un réseau hub.

  • Une passerelle VPN ou une connexion ExpressRoute sont utilisées pour la connexion hybride à Azure.

  • Le Pare-feu Azure fournit un pare-feu managé. L’instance de pare-feu réside dans son propre sous-réseau.

  • Le tableau suivant répertorie les paramètres configurés pour DNS Private Resolver. Pour les noms DNS de l’application 1 et de l’application 2, l’ensemble de règles de transfert DNS est configuré.

    Paramètre	Adresse IP
    Réseau virtuel	10.0.0.0/24
    Sous-réseau de point de terminaison entrant	10.0.0.0/28
    Adresse IP de point de terminaison entrant	10.0.0.8
    Sous-réseau de point de terminaison sortant	10.0.0.16/28
    Adresse IP de point de terminaison sortant	10.0.0.19

  • Le réseau virtuel hub est lié aux zones DNS privées pour le stockage Blob et le service API.

• Réseaux spoke.

  • Des machines virtuelles sont hébergées dans tous les réseaux spoke à des fins de test et de validation de résolution DNS.

  • Tous les réseaux virtuels spoke Azure utilisent le serveur DNS Azure par défaut à l’adresse 168.63.129.16IP . Et tous les réseaux virtuels spoke sont appairés aux réseaux virtuels hub. Tout le trafic, y compris le trafic vers et depuis le résolveur privé DNS, est acheminé via le hub.

  • Les réseaux virtuels spoke sont liés à des zones DNS privées. Cette configuration permet de résoudre les noms des services de liaison de points de terminaison privés comme privatelink.blob.core.windows.net.

Flux de trafic pour une requête DNS locale

Le diagramme suivant montre le flux de trafic qui se produit quand un serveur local émet une demande DNS.

L’image comporte deux sections principales qui sont connectées par Azure ExpressRoute. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3, la requête DNS et les serveurs. La section Azure comprend une passerelle de site à site ou Azure ExpressRoute, les points de terminaison entrants et sortants, le DNS Azure, le DNS privé Azure, le résolveur privé Azure DNS et deux sections DNS provisionnées Azure qui contiennent chacune un spoke et une machine virtuelle.

1. Un serveur local interroge un enregistrement de service DNS privé Azure tel que blob.core.windows.net. La requête est envoyée au serveur DNS local à l’adresse 192.168.0.1 IP ou 192.168.0.2. Tous les ordinateurs locaux pointent vers le serveur DNS local.

2. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transmet la requête au résolveur DNS à l’adresse 10.0.0.8IP .

3. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

4. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant du programme de résolution de DNS.

Flux de trafic pour une requête DNS de machine virtuelle

Le diagramme suivant montre le flux de trafic qui se produit quand la machine virtuelle 1 émet une demande DNS. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Sur site à site ou la passerelle Azure ExpressRoute dans la section Azure. La section Azure contient les points de terminaison entrants et sortants à l’intérieur de la section passerelle, Azure DNS, Azure Private DNS, Azure DNS Private Resolver, Azure Provisioned DNS qui contiennent un spoke et une machine virtuelle. Ces sections se connectent via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une ligne pointillée relie cette section au point de terminaison sortant.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser la résolution de noms qu’Azure fournit. Par conséquent, Azure DNS est utilisé pour résoudre la requête DNS.

2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

5. Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via DNS Private Resolver

Le diagramme suivant montre le flux de trafic qui se produit lorsque MV 1 émet une requête DNS via un point de terminaison entrant DNS Private Resolver. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Sur site à site ou la passerelle Azure ExpressRoute dans la section Azure. La section Azure contient les points de terminaison entrants et sortants, Azure DNS, Azure Private DNS, Azure DNS Private Resolver et les sections de serveur DNS qui contiennent un spoke et une machine virtuelle. Une flèche verte indique le flux entre les sections du serveur DNS, le point de terminaison entrant, Azure DNS et Azure Private DNS. Les sections du serveur DNS se connectent également via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une ligne pointillée relie cette section au point de terminaison sortant.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés 10.0.0.8 comme serveur DNS de résolution de noms. Par conséquent, DNS Private Resolver est utilisé pour résoudre la requête DNS.

2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

5. Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via un serveur DNS local

Le diagramme suivant montre le flux de trafic qui se produit quand MV 1 émet une requête DNS via un serveur DNS local. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Locale à la section de site à site ou à la section de passerelle Azure ExpressRoute située dans la section Azure. La section Azure contient les points de terminaison entrants et sortants, Azure DNS, Azure Private DNS, Azure DNS Private Resolver et les sections de serveur DNS qui contiennent un spoke et une machine virtuelle. Les sections du serveur DNS se connectent également via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une flèche violette indique le déroulement des opérations.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés 192.168.0.1/2 comme serveur DNS de résolution de noms. Par conséquent, un serveur DNS local est utilisé pour résoudre la requête DNS. La requête est envoyée au serveur DNS local à l’adresse 192.168.0.1 IP ou 192.168.0.2.

2. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transmet la requête au résolveur DNS à l’adresse 10.0.0.8IP .

3. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

4. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant de DNS Private Resolver.

Composants

• La passerelle VPN est une passerelle de réseau virtuel qui vous permet d’envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public. Dans cette architecture, une passerelle VPN est un composant facultatif pour ExpressRoute qui permet une connectivité hybride entre Azure et les environnements locaux pour le trafic de redirecteur conditionnel DNS.

• ExpressRoute est un service de mise en réseau qui étend les réseaux locaux dans le cloud Microsoft. Il établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365 par l’intermédiaire d’un fournisseur de connectivité. Dans cette architecture, ExpressRoute est utilisé pour la connectivité hybride entre Azure et les environnements locaux, en particulier pour le trafic de redirecteur conditionnel DNS.

• Le réseau virtuel Azure est un service de mise en réseau et le bloc de construction fondamental des réseaux privés dans Azure. Il permet aux ressources Azure telles que les machines virtuelles de communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux. Dans la conception précédente, l’objectif principal des réseaux virtuels est d’héberger le résolveur privé DNS et les machines virtuelles Azure. Ces réseaux virtuels facilitent la communication et l’intégration transparentes entre les différents services Azure et les ressources locales.

• Le Pare-feu Azure est un service de sécurité réseau managé basé sur le cloud qui applique des stratégies de connectivité des applications et du réseau. Il gère de manière centralisée les politiques sur plusieurs réseaux virtuels et abonnements. Dans le cas d’utilisation précédent, vous pouvez implémenter le Pare-feu Azure pour améliorer la sécurité du trafic réseau. Il offre une protection avancée contre les menaces, un filtrage du trafic réseau et des capacités de journalisation pour autoriser uniquement le trafic autorisé tout en bloquant les menaces potentielles.

• Dns Private Resolver est un service qui ponte un DNS local avec Azure DNS. Dans cette architecture, sa fonction principale est de faciliter les requêtes DNS entre les zones privées Azure DNS et un environnement local. Cette facilitation élimine le besoin de serveurs DNS basés sur des machines virtuelles. Cette configuration garantit une résolution DNS transparente et efficace dans les environnements hybrides, ce qui permet à Azure et aux ressources locales de communiquer efficacement les résolutions DNS.

• Azure DNS est un service d’hébergement pour les domaines DNS qui tire parti de l’infrastructure d’Azure pour la résolution de noms. Il joue un rôle crucial dans cette conception en gérant le trafic de résolution DNS.

• Le service DNS privé Azure est un service DNS managé qui résout les noms de domaine au sein d’un réseau virtuel et des réseaux virtuels connectés. Il élimine le besoin d’une configuration DNS personnalisée. Avec les zones DNS privées, vous pouvez attribuer des noms de domaine personnalisés au lieu d’utiliser les noms par défaut fournis par Azure lors du déploiement.

• Les redirecteurs DNS sont des serveurs DNS qui envoient des requêtes à des serveurs externes lorsqu’ils ne peuvent pas résoudre les noms de domaine par eux-mêmes. Cette approche est depuis longtemps une méthode standard pour la résolution DNS. Dans cet article et ses cas d’utilisation, le résolveur privé DNS remplace les redirecteurs DNS basés sur des machines virtuelles, ce qui offre une approche plus efficace et simplifiée de la résolution DNS.

Détails du scénario

Azure fournit diverses solutions DNS, notamment Azure Traffic Manager. Traffic Manager agit comme un service d’équilibrage de charge basé sur DNS. Il permet de distribuer le trafic entre régions Azure à des applications accessibles au public.

Avant que DNS Private Resolver ne soit disponible, vous deviez utiliser des serveurs DNS personnalisés pour la résolution DNS des systèmes locaux vers Azure et d’Azure vers les systèmes locaux. Les solutions DNS personnalisées présentent de nombreux inconvénients :

• La gestion de plusieurs serveurs DNS personnalisés pour plusieurs réseaux virtuels implique des coûts élevés d’infrastructure et de licence.

• Vous devez gérer tous les aspects de l’installation, de la configuration et de la maintenance des serveurs DNS.

• Les tâches générales, telles que la surveillance et la mise à jour corrective de ces serveurs, sont complexes et sujettes à des défaillances.

• Il n’existe aucune prise en charge de DevOps pour la gestion des enregistrements DNS et des règles de transfert.

• Il est coûteux d’implémenter des solutions de serveur DNS évolutives.

DNS Private Resolver résout ces obstacles en offrant les fonctionnalités et les avantages clés suivants :

• Un service Microsoft entièrement géré qui intègre une haute disponibilité et une redondance interzone.

• Une solution évolutive optimisée pour une intégration transparente avec DevOps.

• Économies de coûts par rapport aux solutions personnalisées traditionnelles basées sur l’infrastructure en tant que service.

• Transfert conditionnel pour Azure DNS vers des serveurs locaux. Le point de terminaison sortant offre cette fonctionnalité, qui n’était pas disponible auparavant. Les charges de travail dans Azure ne nécessitent plus de connexions directes aux serveurs DNS locaux. Au lieu de cela, les charges de travail Azure se connectent à l’adresse IP sortante de DNS Private Resolver.

Cas d’usage potentiels

Cette solution simplifie la résolution DNS privée dans des réseaux hybrides. Elle s’applique aux scénarios suivants :

• Stratégies de transition pendant la migration à long terme vers des solutions totalement natives Cloud

• Solutions de récupération d’urgence et de tolérance de panne qui répliquent des données et services entre des environnements locaux et cloud

• Solutions hébergeant des composants dans Azure pour réduire la latence entre les centres de données locaux et les emplacements distants

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Well-Architected Framework.

Fiabilité

La fiabilité permet de s’assurer que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la fiabilité.

DNS Private Resolver est un service cloud natif conçu pour la haute disponibilité et conçu pour s’intégrer de manière transparente aux pratiques DevOps, ce qui le rend bien adapté aux flux de travail collaboratifs et automatisés. Il offre une solution DNS de sécurité fiable et améliorée tout en maintenant la simplicité et l’absence de maintenance pour les utilisateurs.

Ne déployez pas DNS Private Resolver dans un réseau virtuel qui inclut une passerelle de réseau virtuel ExpressRoute et utilise des règles génériques pour diriger toute la résolution de noms vers un serveur DNS spécifique. Ce type de configuration peut entraîner des problèmes de connectivité de gestion. Pour plus d’informations, consultez Résolveur privé DNS avec règles génériques sur une passerelle ExpressRoute.

Disponibilité régionale

Pour obtenir la liste des régions dans lesquelles dns Private Resolver est disponible, consultez disponibilité régionale.

Un résolveur DNS ne peut faire référence qu’à un réseau virtuel situé dans la même région que le résolveur DNS.

Sécurité

La sécurité offre des garanties contre les attaques délibérées et l’utilisation abusive de vos données et systèmes précieux. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la sécurité.

Azure DNS dispose d’extensions de sécurité DNS en préversion.

Optimisation des coûts

L’optimisation des coûts se concentre sur les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez la liste de contrôle de révision de conception pour l’optimisation des coûts.

• En tant que solution, DNS Private Resolver est largement rentable. L’un des principaux avantages de DNS Private Resolver est qu’il est entièrement géré. Cette fonctionnalité élimine le besoin de serveurs dédiés.

• Pour calculer le coût du programme de résolution privé DNS, utilisez la calculatrice de prix Azure. Pour connaître les modèles de tarification dns Private Resolver, consultez la tarification d’Azure DNS.

• La tarification inclut également des caractéristiques de disponibilité et de scalabilité.

• ExpressRoute prend en charge deux modèles de facturation :

  • Le modèle Données limitées vous facture par gigaoctet pour les transferts de données sortants.

  • Le modèle Données illimitées vous facture des frais de port mensuel fixes qui couvrent tous les transferts de données entrants et sortants.

  Pour plus d’informations, consultez la tarification ExpressRoute.

• Si vous utilisez une passerelle VPN au lieu d’ExpressRoute, le coût varie selon le produit et est facturé par heure. Pour plus d’informations, consultez la tarification de la passerelle VPN.

Efficacité des performances

L’efficacité des performances fait référence à la capacité de votre charge de travail à mettre à l’échelle pour répondre efficacement aux demandes des utilisateurs. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour l’efficacité des performances.

DNS Private Resolver est un service Microsoft complètement managé qui peut gérer des millions de requêtes. Utilisez un espace d’adressage de sous-réseau compris entre /28 et /24. Pour la plupart des utilisateurs, /26 est le plus approprié. Pour plus d’informations, consultez restrictions de sous-réseau.

Mise en réseau

Les ressources suivantes fournissent des informations sur la création d’un résolveur DNS privé :

• Créer un programme de résolution privé DNS à l’aide du portail Azure

• Créer un programme de résolution privé DNS à l’aide d’Azure PowerShell

Prise en charge de DNS inversé

Traditionnellement, les enregistrements DNS mappent un nom DNS à une adresse IP. Par exemple, www.contoso.com se résout en 42.3.10.170. Le DNS inverse remplit la fonction inverse. Il mappe une adresse IP à un nom DNS. Par exemple, l’adresse 42.3.10.170 IP se résout en www.contoso.com.

Pour plus d’informations sur la prise en charge Azure du DNS inverse et sur le fonctionnement du DNS inverse, consultez Vue d’ensemble du DNS inverse et de la prise en charge dans Azure.

Restrictions

DNS Private Resolver présente les limitations suivantes :

• L’ensemble de règles DNS Private Resolver ne peut être lié qu’à des réseaux virtuels situés dans la même région géographique que le résolveur.

• Un réseau virtuel ne peut pas contenir plus d’un résolveur DNS privé.

• Vous devez affecter un sous-réseau dédié à chaque point de terminaison entrant et sortant.

Pour plus d’informations, consultez les restrictions de réseau virtuel.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteur principal :

• Moorthy Annadurai | Spécialiste technique senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Qu’est-ce qu’une liaison de réseau virtuel ?
• Qu’est-ce qu’Azure DNS ?
• Qu’est-ce que le service DNS privé Azure ?
• Qu’est-ce que le programme de résolution privé DNS ?
• FAQ Azure DNS
• Vue d’ensemble du DNS inversé et de la prise en charge dans Azure

Ressources associées

• Fichiers Azure accessibles localement et sécurisés par les services de domaine Active Directory
• Concevoir une solution DNS hybride avec Azure
• Partage de fichiers cloud d’entreprise Azure

Cet article présente une solution permettant d’utiliser Azure DNS Private Resolver pour simplifier la résolution du système de noms de domaine (DNS) récursif hybride. Vous pouvez utiliser DNS Private Resolver pour des charges de travail locales et Azure. DNS Private Resolver simplifie la résolution DNS privée d’un service local vers le service DNS privé Azure et d’un service DNS privé Azure vers un service local.

Architecture

Les sections suivantes présentent des alternatives pour la résolution DNS récursive hybride. La première section décrit une solution qui utilise une machine virtuelle de redirecteur DNS. Les sections suivantes expliquent comment utiliser DNS Private Resolver.

Utiliser une machine virtuelle de redirecteur DNS

Avant que DNS Private Resolver soit disponible, une machine virtuelle de redirecteur DNS était déployée pour permettre au serveur local de résoudre des requêtes envoyées au service DNS privé Azure. Le diagramme suivant illustre les détails de cette résolution de noms. Un redirecteur conditionnel sur le serveur DNS local transfère les demandes à Azure, et une zone DNS privée est liée à un réseau virtuel. Les demandes adressées au service Azure sont ensuite résolues en l’adresse IP privée appropriée.

Dans cette solution, vous ne pouvez pas utiliser le service DNS public Azure pour résoudre des noms de domaine locaux.

Dans l’image, une clé de carte affiche le trafic DNS sous la forme d’une flèche noire et les connexions privées sous la forme d’une flèche bleue. Une section de réseau virtuel local contient le DNS interne et la machine virtuelle cliente. Les flèches de trafic DNS pointent d’avant en arrière entre eux. Une flèche pointe du DNS interne vers une section d’adresse IP via une flèche de trafic DNS étiquetée Redirecteur conditionnel. À côté de cette section se trouve une section DNS qui contient vmdns, les zones de recherche directe et inverse, les points de confiance et les redirecteurs conditionnels. Les flèches de trafic DNS connectent la section réseau local et la section VNet-hub-001. Le sous-réseau snet-consumer de cette section inclut le redirecteur DNS et le point de terminaison Private Link. Une flèche de connexion privée pointe vers le point de terminaison Private Link à partir de la machine virtuelle cliente et à partir du point de terminaison Private Link vers la base de données SQL. La section adjacente affiche le DNS fourni par Azure. À partir de cette section, les flèches DNS pointent vers la zone DNS privée et vers les résolveurs récursifs Azure. Une liaison de réseau virtuel relie la section VNet-hub-001 à la zone DNS privée.

Téléchargez un fichier PowerPoint de cette architecture.

Flux de travail

Le workflow suivant correspond au diagramme précédent :

1. Une machine virtuelle cliente envoie une demande de résolution de noms à azsql1.database.windows.net un serveur DNS interne local.

2. Un redirecteur conditionnel est configuré sur le serveur DNS interne. Il transmet la requête DNS à database.windows.net , 10.5.0.254qui est l’adresse IP d’une machine virtuelle de redirecteur DNS.

3. La machine virtuelle du redirecteur DNS envoie la demande à 168.63.129.16, qui est l’adresse IP du serveur DNS interne Azure.

4. Le serveur DNS Azure envoie une demande de résolution de noms aux azsql1.database.windows.net résolveurs récursifs Azure. Les résolveurs répondent par le nom canonique (CNAME) azsql1.privatelink.database.windows.net.

5. Le serveur DNS Azure envoie une demande de résolution de noms pour azsql1.privatelink.database.windows.net à la zone privatelink.database.windows.netDNS privée. La zone DNS privée répond avec l’adresse 10.5.0.5IP privée .

6. La réponse qui associe le CNAME azsql1.privatelink.database.windows.net à l’enregistrement 10.5.0.5 arrive au redirecteur DNS.

7. La réponse arrive au serveur DNS interne local.

8. La réponse arrive à la machine virtuelle cliente.

9. La machine virtuelle cliente établit une connexion privée au point de terminaison privé qui utilise l’adresse 10.5.0.5IP . Le point de terminaison privé fournit à la machine virtuelle cliente une connexion plus sécurisée à une base de données Azure.

Pour plus d’informations, consultez la configuration DNS du point de terminaison privé Azure.

Utiliser DNS Private Resolver

Lorsque vous utilisez DNS Private Resolver, vous n’avez pas besoin de machine virtuelle de redirecteur DNS, et Azure DNS est capable de résoudre les noms de domaine locaux.

La solution suivante utilise le programme de résolution privé DNS dans une topologie de réseau hub-spoke. Il est recommandé d’utiliser ce type de topologie dans le modèle de conception de zone d’atterrissage Azure. Une connexion réseau hybride est établie à l’aide d’Azure ExpressRoute et du Pare-feu Azure. Cette configuration fournit un réseau hybride sécurisé. Le résolveur privé DNS se trouve dans le réseau hub.

L’image comporte trois sections principales. La plus grande section est un réseau Azure en étoile. Cette section inclut Azure DNS, Azure Private DNS et Azure DNS Private Resolver. Il comprend également une passerelle de site à site ou Azure ExpressRoute, un point de terminaison entrant et un point de terminaison sortant. Le point de terminaison sortant se connecte via une ligne pointillée à l’ensemble de règles de transfert DNS. Cet ensemble de règles se connecte via des lignes pointillées à Spoke 1 et Spoke 2 dans la section Azure. Azure ExpressRoute connecte la passerelle de site à site ou Azure ExpressRoute à la section Local. Cette section contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs DNS locaux avec leurs adresses IP.

Composants de solution DNS Private Resolver

La solution qui utilise DNS Private Resolver contient les composants suivants :

• Un réseau local. Ce réseau de centres de données clients est connecté à Azure via ExpressRoute ou une connexion de passerelle VPN Azure site à site. Les composants réseau incluent deux serveurs DNS locaux. Un serveur utilise l’adresse 192.168.0.1IP . L’autre serveur utilise 192.168.0.2. Les deux serveurs fonctionnent en tant que résolveurs ou redirecteurs pour tous les ordinateurs à l’intérieur du réseau local.

  Un administrateur crée tous les enregistrements DNS locaux et les points de terminaison sortants Azure sur ces serveurs. Des redirecteurs conditionnels sont configurés sur ces serveurs pour les services Stockage Blob Azure et Azure API Management. Ces redirecteurs transfèrent les requêtes à la connexion entrante de DNS Private Resolver. Le point de terminaison entrant utilise l’adresse 10.0.0.8 IP et est hébergé dans le réseau virtuel hub.

  Le tableau suivant répertorie les enregistrements sur les serveurs locaux.

  Nom de domaine	Adresse IP	Type d’enregistrement
  App1.onprem.company.com	192.168.0.8	Mappage d’adresse
  App2.onprem.company.com	192.168.0.9	Mappage d’adresse
  blob.core.windows.net	10.0.0.8	Redirecteur DNS
  azure-api.net	10.0.0.8	Redirecteur DNS

• Un réseau hub.

  • Une passerelle VPN ou une connexion ExpressRoute sont utilisées pour la connexion hybride à Azure.

  • Le Pare-feu Azure fournit un pare-feu managé. L’instance de pare-feu réside dans son propre sous-réseau.

  • Le tableau suivant répertorie les paramètres configurés pour DNS Private Resolver. Pour les noms DNS de l’application 1 et de l’application 2, l’ensemble de règles de transfert DNS est configuré.

    Paramètre	Adresse IP
    Réseau virtuel	10.0.0.0/24
    Sous-réseau de point de terminaison entrant	10.0.0.0/28
    Adresse IP de point de terminaison entrant	10.0.0.8
    Sous-réseau de point de terminaison sortant	10.0.0.16/28
    Adresse IP de point de terminaison sortant	10.0.0.19

  • Le réseau virtuel hub est lié aux zones DNS privées pour le stockage Blob et le service API.

• Réseaux spoke.

  • Des machines virtuelles sont hébergées dans tous les réseaux spoke à des fins de test et de validation de résolution DNS.

  • Tous les réseaux virtuels spoke Azure utilisent le serveur DNS Azure par défaut à l’adresse 168.63.129.16IP . Et tous les réseaux virtuels spoke sont appairés aux réseaux virtuels hub. Tout le trafic, y compris le trafic vers et depuis le résolveur privé DNS, est acheminé via le hub.

  • Les réseaux virtuels spoke sont liés à des zones DNS privées. Cette configuration permet de résoudre les noms des services de liaison de points de terminaison privés comme privatelink.blob.core.windows.net.

Flux de trafic pour une requête DNS locale

Le diagramme suivant montre le flux de trafic qui se produit quand un serveur local émet une demande DNS.

L’image comporte deux sections principales qui sont connectées par Azure ExpressRoute. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3, la requête DNS et les serveurs. La section Azure comprend une passerelle de site à site ou Azure ExpressRoute, les points de terminaison entrants et sortants, le DNS Azure, le DNS privé Azure, le résolveur privé Azure DNS et deux sections DNS provisionnées Azure qui contiennent chacune un spoke et une machine virtuelle.

1. Un serveur local interroge un enregistrement de service DNS privé Azure tel que blob.core.windows.net. La requête est envoyée au serveur DNS local à l’adresse 192.168.0.1 IP ou 192.168.0.2. Tous les ordinateurs locaux pointent vers le serveur DNS local.

2. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transmet la requête au résolveur DNS à l’adresse 10.0.0.8IP .

3. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

4. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant du programme de résolution de DNS.

Flux de trafic pour une requête DNS de machine virtuelle

Le diagramme suivant montre le flux de trafic qui se produit quand la machine virtuelle 1 émet une demande DNS. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Sur site à site ou la passerelle Azure ExpressRoute dans la section Azure. La section Azure contient les points de terminaison entrants et sortants à l’intérieur de la section passerelle, Azure DNS, Azure Private DNS, Azure DNS Private Resolver, Azure Provisioned DNS qui contiennent un spoke et une machine virtuelle. Ces sections se connectent via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une ligne pointillée relie cette section au point de terminaison sortant.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser la résolution de noms qu’Azure fournit. Par conséquent, Azure DNS est utilisé pour résoudre la requête DNS.

2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

5. Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via DNS Private Resolver

Le diagramme suivant montre le flux de trafic qui se produit lorsque MV 1 émet une requête DNS via un point de terminaison entrant DNS Private Resolver. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Sur site à site ou la passerelle Azure ExpressRoute dans la section Azure. La section Azure contient les points de terminaison entrants et sortants, Azure DNS, Azure Private DNS, Azure DNS Private Resolver et les sections de serveur DNS qui contiennent un spoke et une machine virtuelle. Une flèche verte indique le flux entre les sections du serveur DNS, le point de terminaison entrant, Azure DNS et Azure Private DNS. Les sections du serveur DNS se connectent également via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une ligne pointillée relie cette section au point de terminaison sortant.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés 10.0.0.8 comme serveur DNS de résolution de noms. Par conséquent, DNS Private Resolver est utilisé pour résoudre la requête DNS.

2. Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.

3. Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.

4. Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.

5. Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.

Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.

Flux de trafic pour une requête DNS de machine virtuelle via un serveur DNS local

Le diagramme suivant montre le flux de trafic qui se produit quand MV 1 émet une requête DNS via un serveur DNS local. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.

L’image comprend deux sections principales. La section Sur site contient le serveur local, les postes de travail Windows, l’application 1, l’application 2, l’application 3 et les serveurs et leurs adresses IP. Azure ExpressRoute connecte la section Locale à la section de site à site ou à la section de passerelle Azure ExpressRoute située dans la section Azure. La section Azure contient les points de terminaison entrants et sortants, Azure DNS, Azure Private DNS, Azure DNS Private Resolver et les sections de serveur DNS qui contiennent un spoke et une machine virtuelle. Les sections du serveur DNS se connectent également via le lien du réseau virtuel de transfert DNS à l’ensemble de règles de transfert DNS. Une flèche violette indique le déroulement des opérations.

1. La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés 192.168.0.1/2 comme serveur DNS de résolution de noms. Par conséquent, un serveur DNS local est utilisé pour résoudre la requête DNS. La requête est envoyée au serveur DNS local à l’adresse 192.168.0.1 IP ou 192.168.0.2.

2. Un redirecteur conditionnel sur le serveur DNS local pour blob.core.windows.net transmet la requête au résolveur DNS à l’adresse 10.0.0.8IP .

3. Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.

4. Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant de DNS Private Resolver.

Composants

• La passerelle VPN est une passerelle de réseau virtuel qui vous permet d’envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public. Dans cette architecture, une passerelle VPN est un composant facultatif pour ExpressRoute qui permet une connectivité hybride entre Azure et les environnements locaux pour le trafic de redirecteur conditionnel DNS.

• ExpressRoute est un service de mise en réseau qui étend les réseaux locaux dans le cloud Microsoft. Il établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365 par l’intermédiaire d’un fournisseur de connectivité. Dans cette architecture, ExpressRoute est utilisé pour la connectivité hybride entre Azure et les environnements locaux, en particulier pour le trafic de redirecteur conditionnel DNS.

• Le réseau virtuel Azure est un service de mise en réseau et le bloc de construction fondamental des réseaux privés dans Azure. Il permet aux ressources Azure telles que les machines virtuelles de communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux. Dans la conception précédente, l’objectif principal des réseaux virtuels est d’héberger le résolveur privé DNS et les machines virtuelles Azure. Ces réseaux virtuels facilitent la communication et l’intégration transparentes entre les différents services Azure et les ressources locales.

• Le Pare-feu Azure est un service de sécurité réseau managé basé sur le cloud qui applique des stratégies de connectivité des applications et du réseau. Il gère de manière centralisée les politiques sur plusieurs réseaux virtuels et abonnements. Dans le cas d’utilisation précédent, vous pouvez implémenter le Pare-feu Azure pour améliorer la sécurité du trafic réseau. Il offre une protection avancée contre les menaces, un filtrage du trafic réseau et des capacités de journalisation pour autoriser uniquement le trafic autorisé tout en bloquant les menaces potentielles.

• Dns Private Resolver est un service qui ponte un DNS local avec Azure DNS. Dans cette architecture, sa fonction principale est de faciliter les requêtes DNS entre les zones privées Azure DNS et un environnement local. Cette facilitation élimine le besoin de serveurs DNS basés sur des machines virtuelles. Cette configuration garantit une résolution DNS transparente et efficace dans les environnements hybrides, ce qui permet à Azure et aux ressources locales de communiquer efficacement les résolutions DNS.

• Azure DNS est un service d’hébergement pour les domaines DNS qui tire parti de l’infrastructure d’Azure pour la résolution de noms. Il joue un rôle crucial dans cette conception en gérant le trafic de résolution DNS.

• Le service DNS privé Azure est un service DNS managé qui résout les noms de domaine au sein d’un réseau virtuel et des réseaux virtuels connectés. Il élimine le besoin d’une configuration DNS personnalisée. Avec les zones DNS privées, vous pouvez attribuer des noms de domaine personnalisés au lieu d’utiliser les noms par défaut fournis par Azure lors du déploiement.

• Les redirecteurs DNS sont des serveurs DNS qui envoient des requêtes à des serveurs externes lorsqu’ils ne peuvent pas résoudre les noms de domaine par eux-mêmes. Cette approche est depuis longtemps une méthode standard pour la résolution DNS. Dans cet article et ses cas d’utilisation, le résolveur privé DNS remplace les redirecteurs DNS basés sur des machines virtuelles, ce qui offre une approche plus efficace et simplifiée de la résolution DNS.

Détails du scénario

Azure fournit diverses solutions DNS, notamment Azure Traffic Manager. Traffic Manager agit comme un service d’équilibrage de charge basé sur DNS. Il permet de distribuer le trafic entre régions Azure à des applications accessibles au public.

Avant que DNS Private Resolver ne soit disponible, vous deviez utiliser des serveurs DNS personnalisés pour la résolution DNS des systèmes locaux vers Azure et d’Azure vers les systèmes locaux. Les solutions DNS personnalisées présentent de nombreux inconvénients :

• La gestion de plusieurs serveurs DNS personnalisés pour plusieurs réseaux virtuels implique des coûts élevés d’infrastructure et de licence.

• Vous devez gérer tous les aspects de l’installation, de la configuration et de la maintenance des serveurs DNS.

• Les tâches générales, telles que la surveillance et la mise à jour corrective de ces serveurs, sont complexes et sujettes à des défaillances.

• Il n’existe aucune prise en charge de DevOps pour la gestion des enregistrements DNS et des règles de transfert.

• Il est coûteux d’implémenter des solutions de serveur DNS évolutives.

DNS Private Resolver résout ces obstacles en offrant les fonctionnalités et les avantages clés suivants :

• Un service Microsoft entièrement géré qui intègre une haute disponibilité et une redondance interzone.

• Une solution évolutive optimisée pour une intégration transparente avec DevOps.

• Économies de coûts par rapport aux solutions personnalisées traditionnelles basées sur l’infrastructure en tant que service.

• Transfert conditionnel pour Azure DNS vers des serveurs locaux. Le point de terminaison sortant offre cette fonctionnalité, qui n’était pas disponible auparavant. Les charges de travail dans Azure ne nécessitent plus de connexions directes aux serveurs DNS locaux. Au lieu de cela, les charges de travail Azure se connectent à l’adresse IP sortante de DNS Private Resolver.

Cas d’usage potentiels

Cette solution simplifie la résolution DNS privée dans des réseaux hybrides. Elle s’applique aux scénarios suivants :

• Stratégies de transition pendant la migration à long terme vers des solutions totalement natives Cloud

• Solutions de récupération d’urgence et de tolérance de panne qui répliquent des données et services entre des environnements locaux et cloud

• Solutions hébergeant des composants dans Azure pour réduire la latence entre les centres de données locaux et les emplacements distants

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Well-Architected Framework.

Fiabilité

La fiabilité permet de s’assurer que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la fiabilité.

DNS Private Resolver est un service cloud natif conçu pour la haute disponibilité et conçu pour s’intégrer de manière transparente aux pratiques DevOps, ce qui le rend bien adapté aux flux de travail collaboratifs et automatisés. Il offre une solution DNS de sécurité fiable et améliorée tout en maintenant la simplicité et l’absence de maintenance pour les utilisateurs.

Ne déployez pas DNS Private Resolver dans un réseau virtuel qui inclut une passerelle de réseau virtuel ExpressRoute et utilise des règles génériques pour diriger toute la résolution de noms vers un serveur DNS spécifique. Ce type de configuration peut entraîner des problèmes de connectivité de gestion. Pour plus d’informations, consultez Résolveur privé DNS avec règles génériques sur une passerelle ExpressRoute.

Disponibilité régionale

Pour obtenir la liste des régions dans lesquelles dns Private Resolver est disponible, consultez disponibilité régionale.

Un résolveur DNS ne peut faire référence qu’à un réseau virtuel situé dans la même région que le résolveur DNS.

Sécurité

La sécurité offre des garanties contre les attaques délibérées et l’utilisation abusive de vos données et systèmes précieux. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la sécurité.

Azure DNS dispose d’extensions de sécurité DNS en préversion.

Optimisation des coûts

L’optimisation des coûts se concentre sur les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez la liste de contrôle de révision de conception pour l’optimisation des coûts.

• En tant que solution, DNS Private Resolver est largement rentable. L’un des principaux avantages de DNS Private Resolver est qu’il est entièrement géré. Cette fonctionnalité élimine le besoin de serveurs dédiés.

• Pour calculer le coût du programme de résolution privé DNS, utilisez la calculatrice de prix Azure. Pour connaître les modèles de tarification dns Private Resolver, consultez la tarification d’Azure DNS.

• La tarification inclut également des caractéristiques de disponibilité et de scalabilité.

• ExpressRoute prend en charge deux modèles de facturation :

  • Le modèle Données limitées vous facture par gigaoctet pour les transferts de données sortants.

  • Le modèle Données illimitées vous facture des frais de port mensuel fixes qui couvrent tous les transferts de données entrants et sortants.

  Pour plus d’informations, consultez la tarification ExpressRoute.

• Si vous utilisez une passerelle VPN au lieu d’ExpressRoute, le coût varie selon le produit et est facturé par heure. Pour plus d’informations, consultez la tarification de la passerelle VPN.

Efficacité des performances

L’efficacité des performances fait référence à la capacité de votre charge de travail à mettre à l’échelle pour répondre efficacement aux demandes des utilisateurs. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour l’efficacité des performances.

DNS Private Resolver est un service Microsoft complètement managé qui peut gérer des millions de requêtes. Utilisez un espace d’adressage de sous-réseau compris entre /28 et /24. Pour la plupart des utilisateurs, /26 est le plus approprié. Pour plus d’informations, consultez restrictions de sous-réseau.

Mise en réseau

Les ressources suivantes fournissent des informations sur la création d’un résolveur DNS privé :

• Créer un programme de résolution privé DNS à l’aide du portail Azure

• Créer un programme de résolution privé DNS à l’aide d’Azure PowerShell

Prise en charge de DNS inversé

Traditionnellement, les enregistrements DNS mappent un nom DNS à une adresse IP. Par exemple, www.contoso.com se résout en 42.3.10.170. Le DNS inverse remplit la fonction inverse. Il mappe une adresse IP à un nom DNS. Par exemple, l’adresse 42.3.10.170 IP se résout en www.contoso.com.

Pour plus d’informations sur la prise en charge Azure du DNS inverse et sur le fonctionnement du DNS inverse, consultez Vue d’ensemble du DNS inverse et de la prise en charge dans Azure.

Restrictions

DNS Private Resolver présente les limitations suivantes :

• L’ensemble de règles DNS Private Resolver ne peut être lié qu’à des réseaux virtuels situés dans la même région géographique que le résolveur.

• Un réseau virtuel ne peut pas contenir plus d’un résolveur DNS privé.

• Vous devez affecter un sous-réseau dédié à chaque point de terminaison entrant et sortant.

Pour plus d’informations, consultez les restrictions de réseau virtuel.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteur principal :

• Moorthy Annadurai | Spécialiste technique senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Qu’est-ce qu’une liaison de réseau virtuel ?
• Qu’est-ce qu’Azure DNS ?
• Qu’est-ce que le service DNS privé Azure ?
• Qu’est-ce que le programme de résolution privé DNS ?
• FAQ Azure DNS
• Vue d’ensemble du DNS inversé et de la prise en charge dans Azure

Ressources associées

• Fichiers Azure accessibles localement et sécurisés par les services de domaine Active Directory
• Concevoir une solution DNS hybride avec Azure
• Partage de fichiers cloud d’entreprise Azure