Programme de résolution privé Azure DNS
Cet article présente une solution permettant d’utiliser Azure DNS Private Resolver pour simplifier la résolution du système de noms de domaine (DNS) récursif hybride. Vous pouvez utiliser DNS Private Resolver pour des charges de travail locales et Azure. DNS Private Resolver simplifie la résolution DNS privée d’un service local vers le service DNS privé Azure et d’un service DNS privé Azure vers un service local.
Architecture
Les sections suivantes présentent des alternatives pour la résolution DNS récursive hybride. La première section décrit une solution qui utilise une machine virtuelle de redirecteur DNS. Les sections suivantes expliquent comment utiliser DNS Private Resolver.
Utiliser une machine virtuelle de redirecteur DNS
Avant que DNS Private Resolver soit disponible, une machine virtuelle de redirecteur DNS était déployée pour permettre au serveur local de résoudre des requêtes envoyées au service DNS privé Azure. Le diagramme suivant illustre les détails de cette résolution de noms. Un redirecteur conditionnel sur le serveur DNS local transfère les demandes à Azure, et une zone DNS privée est liée à un réseau virtuel. Les demandes adressées au service Azure sont ensuite résolues en l’adresse IP privée appropriée.
Dans cette solution, vous ne pouvez pas utiliser le service DNS public Azure pour résoudre des noms de domaine locaux.
Téléchargez un fichier PowerPoint de cette architecture.
Flux de travail
Le workflow suivant correspond au diagramme précédent :
Une machine virtuelle cliente envoie une demande de résolution de noms à
azsql1.database.windows.net
un serveur DNS interne local.Un redirecteur conditionnel est configuré sur le serveur DNS interne. Il transmet la requête DNS à
database.windows.net
,10.5.0.254
qui est l’adresse IP d’une machine virtuelle de redirecteur DNS.La machine virtuelle du redirecteur DNS envoie la demande à
168.63.129.16
, qui est l’adresse IP du serveur DNS interne Azure.Le serveur DNS Azure envoie une demande de résolution de noms aux
azsql1.database.windows.net
résolveurs récursifs Azure. Les résolveurs répondent par le nom canonique (CNAME)azsql1.privatelink.database.windows.net
.Le serveur DNS Azure envoie une demande de résolution de noms pour
azsql1.privatelink.database.windows.net
à la zoneprivatelink.database.windows.net
DNS privée. La zone DNS privée répond avec l’adresse10.5.0.5
IP privée .La réponse qui associe le CNAME
azsql1.privatelink.database.windows.net
à l’enregistrement10.5.0.5
arrive au redirecteur DNS.La réponse arrive au serveur DNS interne local.
La réponse arrive à la machine virtuelle cliente.
La machine virtuelle cliente établit une connexion privée au point de terminaison privé qui utilise l’adresse
10.5.0.5
IP . Le point de terminaison privé fournit à la machine virtuelle cliente une connexion plus sécurisée à une base de données Azure.
Pour plus d’informations, consultez la configuration DNS du point de terminaison privé Azure.
Utiliser DNS Private Resolver
Lorsque vous utilisez DNS Private Resolver, vous n’avez pas besoin de machine virtuelle de redirecteur DNS, et Azure DNS est capable de résoudre les noms de domaine locaux.
La solution suivante utilise le programme de résolution privé DNS dans une topologie de réseau hub-spoke. Il est recommandé d’utiliser ce type de topologie dans le modèle de conception de zone d’atterrissage Azure. Une connexion réseau hybride est établie à l’aide d’Azure ExpressRoute et du Pare-feu Azure. Cette configuration fournit un réseau hybride sécurisé. Le résolveur privé DNS se trouve dans le réseau hub.
Composants de solution DNS Private Resolver
La solution qui utilise DNS Private Resolver contient les composants suivants :
Un réseau local. Ce réseau de centres de données clients est connecté à Azure via ExpressRoute ou une connexion de passerelle VPN Azure site à site. Les composants réseau incluent deux serveurs DNS locaux. Un serveur utilise l’adresse
192.168.0.1
IP . L’autre serveur utilise192.168.0.2
. Les deux serveurs fonctionnent en tant que résolveurs ou redirecteurs pour tous les ordinateurs à l’intérieur du réseau local.Un administrateur crée tous les enregistrements DNS locaux et les points de terminaison sortants Azure sur ces serveurs. Des redirecteurs conditionnels sont configurés sur ces serveurs pour les services Stockage Blob Azure et Azure API Management. Ces redirecteurs transfèrent les requêtes à la connexion entrante de DNS Private Resolver. Le point de terminaison entrant utilise l’adresse
10.0.0.8
IP et est hébergé dans le réseau virtuel hub.Le tableau suivant répertorie les enregistrements sur les serveurs locaux.
Nom de domaine Adresse IP Type d’enregistrement App1.onprem.company.com
192.168.0.8 Mappage d’adresse App2.onprem.company.com
192.168.0.9 Mappage d’adresse blob.core.windows.net
10.0.0.8 Redirecteur DNS azure-api.net
10.0.0.8 Redirecteur DNS Un réseau hub.
Une passerelle VPN ou une connexion ExpressRoute sont utilisées pour la connexion hybride à Azure.
Le Pare-feu Azure fournit un pare-feu managé. L’instance de pare-feu réside dans son propre sous-réseau.
Le tableau suivant répertorie les paramètres configurés pour DNS Private Resolver. Pour les noms DNS de l’application 1 et de l’application 2, l’ensemble de règles de transfert DNS est configuré.
Paramètre Adresse IP Réseau virtuel 10.0.0.0/24 Sous-réseau de point de terminaison entrant 10.0.0.0/28 Adresse IP de point de terminaison entrant 10.0.0.8 Sous-réseau de point de terminaison sortant 10.0.0.16/28 Adresse IP de point de terminaison sortant 10.0.0.19 Le réseau virtuel hub est lié aux zones DNS privées pour le stockage Blob et le service API.
Réseaux spoke.
Des machines virtuelles sont hébergées dans tous les réseaux spoke à des fins de test et de validation de résolution DNS.
Tous les réseaux virtuels spoke Azure utilisent le serveur DNS Azure par défaut à l’adresse
168.63.129.16
IP . Et tous les réseaux virtuels spoke sont appairés aux réseaux virtuels hub. Tout le trafic, y compris le trafic vers et depuis le résolveur privé DNS, est acheminé via le hub.Les réseaux virtuels spoke sont liés à des zones DNS privées. Cette configuration permet de résoudre les noms des services de liaison de points de terminaison privés comme
privatelink.blob.core.windows.net
.
Flux de trafic pour une requête DNS locale
Le diagramme suivant montre le flux de trafic qui se produit quand un serveur local émet une demande DNS.
Un serveur local interroge un enregistrement de service DNS privé Azure tel que
blob.core.windows.net
. La requête est envoyée au serveur DNS local à l’adresse192.168.0.1
IP ou192.168.0.2
. Tous les ordinateurs locaux pointent vers le serveur DNS local.Un redirecteur conditionnel sur le serveur DNS local pour
blob.core.windows.net
transmet la requête au résolveur DNS à l’adresse10.0.0.8
IP .Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.
Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant du programme de résolution de DNS.
Flux de trafic pour une requête DNS de machine virtuelle
Le diagramme suivant montre le flux de trafic qui se produit quand la machine virtuelle 1 émet une demande DNS. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.
La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour utiliser la résolution de noms qu’Azure fournit. Par conséquent, Azure DNS est utilisé pour résoudre la requête DNS.
Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.
Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.
Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.
Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.
Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.
Flux de trafic pour une requête DNS de machine virtuelle via DNS Private Resolver
Le diagramme suivant montre le flux de trafic qui se produit lorsque MV 1 émet une requête DNS via un point de terminaison entrant DNS Private Resolver. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.
La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés
10.0.0.8
comme serveur DNS de résolution de noms. Par conséquent, DNS Private Resolver est utilisé pour résoudre la requête DNS.Si la requête tente de résoudre un nom privé, un service DNS privé Azure est contacté.
Si la requête ne correspond pas à une zone DNS privée liée au réseau virtuel, Azure DNS se connecte à DNS Private Resolver. Le réseau virtuel Spoke 1 a un lien de réseau virtuel. DNS Private Resolver recherche un ensemble de règles de transfert DNS associé au réseau virtuel Spoke 1.
Si une correspondance est trouvée dans l’ensemble de règles de transfert DNS, la requête DNS est transférée via le point de terminaison sortant à l’adresse IP spécifiée dans l’ensemble de règles.
Si le service DNS privé Azure (2) et le programme de résolution privé DNS (3) ne peuvent pas trouver d’enregistrement correspondant, Azure DNS (5) est utilisé pour résoudre la requête.
Chaque règle de transfert DNS spécifie un ou plusieurs serveurs DNS cibles à utiliser pour le transfert conditionnel. Les informations spécifiées incluent le nom de domaine, l’adresse IP cible et le port.
Flux de trafic pour une requête DNS de machine virtuelle via un serveur DNS local
Le diagramme suivant montre le flux de trafic qui se produit quand MV 1 émet une requête DNS via un serveur DNS local. Dans ce scénario, le réseau virtuel spoke Spoke 1 tente de résoudre la demande.
La machine virtuelle 1 interroge un enregistrement DNS. Les réseaux virtuels spoke sont configurés pour être utilisés
192.168.0.1/2
comme serveur DNS de résolution de noms. Par conséquent, un serveur DNS local est utilisé pour résoudre la requête DNS. La requête est envoyée au serveur DNS local à l’adresse192.168.0.1
IP ou192.168.0.2
.Un redirecteur conditionnel sur le serveur DNS local pour
blob.core.windows.net
transmet la requête au résolveur DNS à l’adresse10.0.0.8
IP .Le programme de résolution de DNS interroge Azure DNS et reçoit des informations sur un lien de réseau virtuel de service DNS privé Azure.
Le service DNS privé Azure résout les requêtes DNS envoyées via le service DNS public Azure au point de terminaison entrant de DNS Private Resolver.
Composants
La passerelle VPN est une passerelle de réseau virtuel qui vous permet d’envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public. Dans cette architecture, une passerelle VPN est un composant facultatif pour ExpressRoute qui permet une connectivité hybride entre Azure et les environnements locaux pour le trafic de redirecteur conditionnel DNS.
ExpressRoute est un service de mise en réseau qui étend les réseaux locaux dans le cloud Microsoft. Il établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365 par l’intermédiaire d’un fournisseur de connectivité. Dans cette architecture, ExpressRoute est utilisé pour la connectivité hybride entre Azure et les environnements locaux, en particulier pour le trafic de redirecteur conditionnel DNS.
Le réseau virtuel Azure est un service de mise en réseau et le bloc de construction fondamental des réseaux privés dans Azure. Il permet aux ressources Azure telles que les machines virtuelles de communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux. Dans la conception précédente, l’objectif principal des réseaux virtuels est d’héberger le résolveur privé DNS et les machines virtuelles Azure. Ces réseaux virtuels facilitent la communication et l’intégration transparentes entre les différents services Azure et les ressources locales.
Le Pare-feu Azure est un service de sécurité réseau managé basé sur le cloud qui applique des stratégies de connectivité des applications et du réseau. Il gère de manière centralisée les politiques sur plusieurs réseaux virtuels et abonnements. Dans le cas d’utilisation précédent, vous pouvez implémenter le Pare-feu Azure pour améliorer la sécurité du trafic réseau. Il offre une protection avancée contre les menaces, un filtrage du trafic réseau et des capacités de journalisation pour autoriser uniquement le trafic autorisé tout en bloquant les menaces potentielles.
Dns Private Resolver est un service qui ponte un DNS local avec Azure DNS. Dans cette architecture, sa fonction principale est de faciliter les requêtes DNS entre les zones privées Azure DNS et un environnement local. Cette facilitation élimine le besoin de serveurs DNS basés sur des machines virtuelles. Cette configuration garantit une résolution DNS transparente et efficace dans les environnements hybrides, ce qui permet à Azure et aux ressources locales de communiquer efficacement les résolutions DNS.
Azure DNS est un service d’hébergement pour les domaines DNS qui tire parti de l’infrastructure d’Azure pour la résolution de noms. Il joue un rôle crucial dans cette conception en gérant le trafic de résolution DNS.
Le service DNS privé Azure est un service DNS managé qui résout les noms de domaine au sein d’un réseau virtuel et des réseaux virtuels connectés. Il élimine le besoin d’une configuration DNS personnalisée. Avec les zones DNS privées, vous pouvez attribuer des noms de domaine personnalisés au lieu d’utiliser les noms par défaut fournis par Azure lors du déploiement.
Les redirecteurs DNS sont des serveurs DNS qui envoient des requêtes à des serveurs externes lorsqu’ils ne peuvent pas résoudre les noms de domaine par eux-mêmes. Cette approche est depuis longtemps une méthode standard pour la résolution DNS. Dans cet article et ses cas d’utilisation, le résolveur privé DNS remplace les redirecteurs DNS basés sur des machines virtuelles, ce qui offre une approche plus efficace et simplifiée de la résolution DNS.
Détails du scénario
Azure fournit diverses solutions DNS, notamment Azure Traffic Manager. Traffic Manager agit comme un service d’équilibrage de charge basé sur DNS. Il permet de distribuer le trafic entre régions Azure à des applications accessibles au public.
Avant que DNS Private Resolver ne soit disponible, vous deviez utiliser des serveurs DNS personnalisés pour la résolution DNS des systèmes locaux vers Azure et d’Azure vers les systèmes locaux. Les solutions DNS personnalisées présentent de nombreux inconvénients :
La gestion de plusieurs serveurs DNS personnalisés pour plusieurs réseaux virtuels implique des coûts élevés d’infrastructure et de licence.
Vous devez gérer tous les aspects de l’installation, de la configuration et de la maintenance des serveurs DNS.
Les tâches générales, telles que la surveillance et la mise à jour corrective de ces serveurs, sont complexes et sujettes à des défaillances.
Il n’existe aucune prise en charge de DevOps pour la gestion des enregistrements DNS et des règles de transfert.
Il est coûteux d’implémenter des solutions de serveur DNS évolutives.
DNS Private Resolver résout ces obstacles en offrant les fonctionnalités et les avantages clés suivants :
Un service Microsoft entièrement géré qui intègre une haute disponibilité et une redondance interzone.
Une solution évolutive optimisée pour une intégration transparente avec DevOps.
Économies de coûts par rapport aux solutions personnalisées traditionnelles basées sur l’infrastructure en tant que service.
Transfert conditionnel pour Azure DNS vers des serveurs locaux. Le point de terminaison sortant offre cette fonctionnalité, qui n’était pas disponible auparavant. Les charges de travail dans Azure ne nécessitent plus de connexions directes aux serveurs DNS locaux. Au lieu de cela, les charges de travail Azure se connectent à l’adresse IP sortante de DNS Private Resolver.
Cas d’usage potentiels
Cette solution simplifie la résolution DNS privée dans des réseaux hybrides. Elle s’applique aux scénarios suivants :
Stratégies de transition pendant la migration à long terme vers des solutions totalement natives Cloud
Solutions de récupération d’urgence et de tolérance de panne qui répliquent des données et services entre des environnements locaux et cloud
Solutions hébergeant des composants dans Azure pour réduire la latence entre les centres de données locaux et les emplacements distants
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Well-Architected Framework.
Fiabilité
La fiabilité permet de s’assurer que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la fiabilité.
DNS Private Resolver est un service cloud natif conçu pour la haute disponibilité et conçu pour s’intégrer de manière transparente aux pratiques DevOps, ce qui le rend bien adapté aux flux de travail collaboratifs et automatisés. Il offre une solution DNS de sécurité fiable et améliorée tout en maintenant la simplicité et l’absence de maintenance pour les utilisateurs.
Ne déployez pas DNS Private Resolver dans un réseau virtuel qui inclut une passerelle de réseau virtuel ExpressRoute et utilise des règles génériques pour diriger toute la résolution de noms vers un serveur DNS spécifique. Ce type de configuration peut entraîner des problèmes de connectivité de gestion. Pour plus d’informations, consultez Résolveur privé DNS avec règles génériques sur une passerelle ExpressRoute.
Disponibilité régionale
Pour obtenir la liste des régions dans lesquelles dns Private Resolver est disponible, consultez disponibilité régionale.
Un résolveur DNS ne peut faire référence qu’à un réseau virtuel situé dans la même région que le résolveur DNS.
Sécurité
La sécurité offre des garanties contre les attaques délibérées et l’utilisation abusive de vos données et systèmes précieux. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour la sécurité.
Azure DNS dispose d’extensions de sécurité DNS en préversion.
Optimisation des coûts
L’optimisation des coûts se concentre sur les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez la liste de contrôle de révision de conception pour l’optimisation des coûts.
En tant que solution, DNS Private Resolver est largement rentable. L’un des principaux avantages de DNS Private Resolver est qu’il est entièrement géré. Cette fonctionnalité élimine le besoin de serveurs dédiés.
Pour calculer le coût du programme de résolution privé DNS, utilisez la calculatrice de prix Azure. Pour connaître les modèles de tarification dns Private Resolver, consultez la tarification d’Azure DNS.
La tarification inclut également des caractéristiques de disponibilité et de scalabilité.
ExpressRoute prend en charge deux modèles de facturation :
Le modèle Données limitées vous facture par gigaoctet pour les transferts de données sortants.
Le modèle Données illimitées vous facture des frais de port mensuel fixes qui couvrent tous les transferts de données entrants et sortants.
Pour plus d’informations, consultez la tarification ExpressRoute.
Si vous utilisez une passerelle VPN au lieu d’ExpressRoute, le coût varie selon le produit et est facturé par heure. Pour plus d’informations, consultez la tarification de la passerelle VPN.
Efficacité des performances
L’efficacité des performances fait référence à la capacité de votre charge de travail à mettre à l’échelle pour répondre efficacement aux demandes des utilisateurs. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour l’efficacité des performances.
DNS Private Resolver est un service Microsoft complètement managé qui peut gérer des millions de requêtes. Utilisez un espace d’adressage de sous-réseau compris entre /28 et /24. Pour la plupart des utilisateurs, /26 est le plus approprié. Pour plus d’informations, consultez restrictions de sous-réseau.
Mise en réseau
Les ressources suivantes fournissent des informations sur la création d’un résolveur DNS privé :
Créer un programme de résolution privé DNS à l’aide du portail Azure
Créer un programme de résolution privé DNS à l’aide d’Azure PowerShell
Prise en charge de DNS inversé
Traditionnellement, les enregistrements DNS mappent un nom DNS à une adresse IP. Par exemple, www.contoso.com
se résout en 42.3.10.170
. Le DNS inverse remplit la fonction inverse. Il mappe une adresse IP à un nom DNS. Par exemple, l’adresse 42.3.10.170
IP se résout en www.contoso.com
.
Pour plus d’informations sur la prise en charge Azure du DNS inverse et sur le fonctionnement du DNS inverse, consultez Vue d’ensemble du DNS inverse et de la prise en charge dans Azure.
Restrictions
DNS Private Resolver présente les limitations suivantes :
L’ensemble de règles DNS Private Resolver ne peut être lié qu’à des réseaux virtuels situés dans la même région géographique que le résolveur.
Un réseau virtuel ne peut pas contenir plus d’un résolveur DNS privé.
Vous devez affecter un sous-réseau dédié à chaque point de terminaison entrant et sortant.
Pour plus d’informations, consultez les restrictions de réseau virtuel.
Contributeurs
Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.
Auteur principal :
- Moorthy Annadurai | Spécialiste technique senior
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
- Qu’est-ce qu’une liaison de réseau virtuel ?
- Qu’est-ce qu’Azure DNS ?
- Qu’est-ce que le service DNS privé Azure ?
- Qu’est-ce que le programme de résolution privé DNS ?
- FAQ Azure DNS
- Vue d’ensemble du DNS inversé et de la prise en charge dans Azure