Résoudre les domaines Azure et locaux

  • Article

Résolution DNS hybride

Cet article fournit des conseils sur la configuration de la résolution DNS hybride à l’aide d’un service Azure DNS Private Resolver avec un ensemble de règles de transfert DNS. Dans ce scénario, vos ressources Azure DNS sont connectées à un réseau local à l’aide d’une connexion VPN ou ExpressRoute.

La résolution DNS hybride est définie ici comme l’activation de ressources Azure pour résoudre les domaines locaux, et du service DNS local pour résoudre les zones DNS privées Azure.

Programme de résolution privé Azure DNS

Azure DNS Private Resolver est un service qui peut résoudre les requêtes DNS locales pour les zones privées Azure DNS. Auparavant, il était nécessaire de déployer un programme de résolution DNS personnalisé basé sur une machine virtuelle ou d’utiliser des solutions DNS, DHCP et IPAM (DDI) non-Microsoft pour effectuer cette fonction.

Les avantages de l’utilisation du service Azure DNS Private Resolver par rapport aux solutions de résolution basées sur des machines virtuelles ou aux solutions DDI incluent les points suivants :

  • Maintenance zéro : Contrairement aux solutions basées sur des machines virtuelles ou du matériel, le service de résolution privé ne nécessite pas de mises à jour logicielles, d’analyses de vulnérabilité ni de mise à jour corrective de sécurité. Le service de résolution privé est complètement managé.
  • Réduction des coûts : Azure DNS Private Resolver est un service multilocataire et peut coûter une fraction des dépenses nécessaires pour l’utilisation et les licences de plusieurs programmes de résolution DNS basés sur des machines virtuelles.
  • Haute disponibilité : Le service Azure DNS Private Resolver dispose de fonctionnalités de haute disponibilité intégrées. Le service tient compte de la zone de disponibilité, ce qui garantit que la haute disponibilité et la redondance de votre solution DNS pourront être accomplies avec beaucoup moins d’efforts. Pour plus d’informations sur la configuration du basculement DNS à l’aide du service de résolution privé, consultez Tutoriel : Configurer le basculement DNS avec des résolveurs privés.
  • Compatibilité DevOps : Les solutions DNS traditionnelles sont difficiles à intégrer aux workflows DevOps, car ceux-ci nécessitent souvent une configuration manuelle pour chaque modification DNS. Le résolveur privé Azure DNS fournit une interface ARM pleinement fonctionnelle qui peut être facilement intégrée aux workflows DevOps.

Ensemble de règles de transfert DNS

Un ensemble de règles de transfert DNS est un groupe de règles qui spécifient un ou plusieurs serveurs DNS personnalisés pour répondre aux requêtes pour des espaces de noms DNS spécifiques. Pour plus d’informations, consultez Points de terminaison et ensembles de règles Azure DNS Private Resolver.

Procédures

Les procédures suivantes décrites dans cet article sont utilisées pour activer et tester le service DNS hybride :

Créer une zone privée Azure DNS

Créez une zone privée avec au moins un enregistrement de ressource à utiliser pour les tests. Les guides de démarrage rapide suivants sont disponibles pour vous aider à créer une zone privée :

Dans cet article, la zone privée azure.contoso.com et l’enregistrement de ressource test sont utilisés. L’inscription automatique n’est pas requise pour la démonstration actuelle.

Important

Un serveur récursif est utilisé pour transférer des requêtes d’un emplacement local vers Azure dans cet exemple. Si le serveur fait autorité pour la zone parente (contoso.com), le transfert n’est pas possible, sauf si vous créez d’abord une délégation pour azure.contoso.com.

Visualiser les enregistrements de ressources

Condition requise : vous devez créer un lien de réseau virtuel dans la zone vers le réseau virtuel dans lequel vous allez déployer Azure DNS Private Resolver. Dans l’exemple suivant, la zone privée est associée à deux réseaux virtuels : myeastvnet et mywestvnet. Au moins un lien est requis.

Visualiser les liens de zone

Créer un service Azure DNS Private Resolver

Les guides de démarrage rapide suivants sont disponibles pour vous aider à créer un résolveur privé. Ces guides de démarrage rapide vous guident tout au long de la création d’un groupe de ressources, d’un réseau virtuel et d’un service Azure DNS Private Resolver. Les étapes de configuration d’un point de terminaison entrant, d’un point de terminaison sortant et d’un ensemble de règles de transfert DNS sont fournies :

Une fois terminé, notez l’adresse IP du point de terminaison entrant pour le service Azure DNS Private Resolver. Dans cet exemple, l’adresse IP est 10.10.0.4. Cette adresse IP sera utilisée ultérieurement pour configurer les redirecteurs conditionnels DNS locaux.

Visualiser l’adresse IP du point de terminaison

Configurer un ensemble de règles de transfert Azure DNS

Créez un ensemble de règles de transfert dans la même région que votre résolveur privé. L’exemple suivant illustre deux ensembles de règles. L’ensemble de règles de la région USA Est est utilisé pour la démonstration du service DNS hybride.

Visualiser la région de l’ensemble de règles

Condition requise : vous devez créer un lien de réseau virtuel vers le réseau virtuel sur lequel votre résolveur privé est déployé. Dans l’exemple suivant, deux liens de réseau virtuel sont présents. Le lien myeastvnet-link est créé vers un réseau virtuel hub où le résolveur privé est provisionné. Il existe également un lien de réseau virtuel myeastspoke-link qui fournit une résolution DNS hybride dans un réseau virtuel spoke qui n’a pas son propre résolveur privé. Le réseau spoke est en mesure d’utiliser le résolveur privé, car il est appairé au réseau hub. Le lien du réseau virtuel spoke n’est pas requis pour la démonstration actuelle.

Visualiser les liens de l’ensemble de règles

Ensuite, créez une règle dans votre ensemble de règles pour votre domaine local. Dans cet exemple, nous utilisons contoso.com. Définissez l’adresse IP de destination de votre règle en spécifiant l’adresse IP de votre serveur DNS local. Dans cet exemple, le serveur DNS local est à 10.100.0.2. Vérifiez que la règle est activée.

Afficher les règles

Notes

Ne modifiez pas les paramètres DNS de votre réseau virtuel pour utiliser l’adresse IP du point de terminaison entrant. Conservez les paramètres DNS par défaut.

Configurer des redirecteurs conditionnels DNS locaux

La procédure de configuration du service DNS local dépend du type de serveur DNS que vous utilisez. Dans l’exemple suivant, un serveur DNS Windows à 10.100.0.2 est configuré avec un redirecteur conditionnel pour la zone DNS privée azure.contoso.com. Le redirecteur conditionnel est défini pour transférer des requêtes à 10.10.0.4, qui est l’adresse IP du point de terminaison entrant pour votre service Azure DNS Private Resolver. Une autre adresse IP est également configurée ici pour activer le basculement DNS. Pour plus d’informations sur l’activation du basculement, consultez Tutoriel : Configurer le basculement DNS à l’aide de résolveurs privés. Pour les besoins de cette démonstration, seul le point de terminaison entrant 10.10.0.4 est requis.

Visualiser le transfert local

Illustrer un service DNS hybride

À l’aide d’une machine virtuelle située dans le réseau virtuel où Azure DNS Private Resolver est provisionné, émettez une requête DNS pour un enregistrement de ressource dans votre domaine local. Dans cet exemple, une requête est effectuée pour l’enregistrement testdns.contoso.com :

Vérifier Azure vers site local

Le chemin de la requête est : Azure DNS > point de terminaison entrant > point de terminaison sortant > règle d’ensemble de règles pour contoso.com > DNS local (10.100.0.2). Le serveur DNS à 10.100.0.2 est un résolveur DNS local, mais il pourrait également être un serveur DNS faisant autorité.

À l’aide d’une machine virtuelle ou d’un appareil local, émettez une requête DNS pour un enregistrement de ressource dans votre zone DNS privée Azure. Dans cet exemple, une requête est effectuée pour l’enregistrement testdns.contoso.com :

Vérifier du site local vers Azure

Le chemin de cette requête est : résolveur DNS par défaut du client (10.100.0.2) > règle de redirecteur conditionnel local pour azure.contoso.com > point de terminaison entrant (10.10.0.4)

Étapes suivantes