Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure DNS Programme de résolution privé est un service managé qui permet la résolution DNS entre les environnements locaux et les zones privées Azure DNS sans nécessiter de serveurs DNS basés sur des machines virtuelles. Vous pouvez configurer le transfert conditionnel vers des serveurs DNS locaux, multiclouds et publics.
Lorsque vous utilisez Azure, la fiabilité est une responsabilité partagée. Microsoft offre une gamme de fonctionnalités permettant de prendre en charge la résilience et la récupération. Vous êtes responsable de comprendre le fonctionnement de ces fonctionnalités dans tous les services que vous utilisez et de sélectionner les fonctionnalités dont vous avez besoin pour atteindre vos objectifs métier et vos objectifs de temps d’activité.
Cet article explique comment rendre le programme de résolution privé DNS résilient aux pannes et interruptions potentielles, notamment les erreurs temporaires, les défaillances de zone de disponibilité et les défaillances à l’échelle de la région. Il décrit également les considérations relatives à la sauvegarde et à la restauration et le comportement de maintenance des services.
Vue d’ensemble de l’architecture de fiabilité
Lorsque vous utilisez le programme de résolution privé DNS, vous déployez un programme de résolution privé dans un réseau virtuel Azure. Ensuite, vous configurez des points de terminaison, qui reçoivent et transfèrent des requêtes DNS vers et à partir d’un emplacement local, ainsi que des règles de transfert, qui définissent le comportement de transfert. Pour plus d’informations, consultez points de terminaison et ensembles de règles DNS Private Resolver.
Microsoft est responsable de la disponibilité et de l’intégrité du service de résolution managé et de ses opérations de plateforme. Vous êtes responsable de la conception de la topologie de point de terminaison et de jeu de règles, de la configuration de la logique de transfert DNS et de la garantie que votre chemin de connectivité réseau prend en charge vos exigences de fiabilité.
Votre fiabilité de bout en bout dépend également des décisions relatives aux services dépendants et à l’architecture réseau. Par exemple, vos zones DNS privées, la configuration du réseau virtuel, les règles de pare-feu, l’infrastructure locale et la configuration de la connectivité hybride affectent directement les résultats de la résolution de noms pendant les défaillances.
Résilience aux erreurs temporaires
Les erreurs temporaires sont des défaillances courtes et intermittentes dans les composants. Elles se produisent fréquemment dans un environnement distribué comme le cloud, et font partie intégrante des opérations ordinaires. Les erreurs temporaires se corrigent après une courte période de temps. Il est important que vos applications puissent gérer les erreurs temporaires, généralement en réessayant les requêtes affectées.
Toutes les applications hébergées dans le cloud doivent suivre les instructions de gestion des erreurs temporaires Azure lorsqu’elles communiquent avec toutes les API, bases de données et autres composants hébergés dans le cloud. Pour plus d’informations, consultez Recommandations pour la gestion des erreurs temporaires.
Si une erreur temporaire se produit pendant la résolution DNS, le client DNS ou le programme de résolution intermédiaire doit réessayer les requêtes DNS. Configurez les valeurs de délai d’expiration de manière appropriée : entre 2 et 5 secondes est généralement un délai d’expiration suffisant pour un client DNS.
Le temps de vie de chaque enregistrement DNS affecte également la façon dont votre solution gère les erreurs. Si le TTL est très faible, les clients doivent effectuer davantage de requêtes de résolution DNS et il y a davantage de risques de voir survenir des défaillances transitoires. Si le TTL est très élevé, en cas de panne réelle d’un serveur back-end nécessitant de rediriger le trafic vers une autre adresse IP, les clients risquent de subir un retard de basculement jusqu’à l’expiration du TTL. Configurez soigneusement les TTL pour équilibrer la disponibilité, la latence et la réactivité.
Résilience aux échecs de zone de disponibilité
Les zones de disponibilité sont des groupes physiquement distincts de centres de données au sein d’une région Azure. Lorsqu'une zone tombe en panne, les services peuvent basculer vers l'une des zones restantes.
DNS Private Resolver est automatiquement redondant entre zones dans les régions qui prennent en charge les zones de disponibilité. Microsoft approvisionne le service dans toutes les zones de ces régions.
Spécifications
Prise en charge des régions : DNS Private Resolver fournit une redondance interzone automatique dans les régions qui prennent en charge les zones de disponibilité.
Coûts
Il n’existe aucun coût supplémentaire pour activer la redondance de zone pour le programme de résolution privé DNS. Pour plus d’informations sur la tarification, consultez Azure DNS tarification.
Configurez la prise en charge des zones de disponibilité
Le programme de résolution privé DNS est automatiquement redondant interzone dans les régions prises en charge. Aucune configuration n’est requise pour activer la redondance de zone et vous ne pouvez pas la désactiver. Pour connaître les étapes de déploiement, consultez Démarrage rapide : Créer un programme de résolution privé DNS à l’aide du portail Azure.
Comportement lorsque toutes les zones sont saines
Cette section décrit ce que vous devez attendre lorsque vous déployez un programme de résolution privé DNS dans une région avec des zones de disponibilité et toutes les zones sont opérationnelles.
Opération interzone : Dns Private Resolver exécute l’infrastructure sur plusieurs zones et achemine automatiquement les requêtes entre les zones.
Réplication des données interzones : Dns Private Resolver ne réplique pas les données client entre les zones, car le service est sans état et ne conserve pas les données client.
Comportement lors d’une défaillance de zone
Cette section décrit ce que vous devez attendre lorsque vous déployez un programme de résolution privé DNS dans une région avec des zones de disponibilité et une zone a une panne.
- Detection et response : Microsoft détecte les défaillances de zone de disponibilité et gère toutes les actions de réponse. Vous n’avez pas besoin d’agir pour lancer un basculement de zone.
- Notification : Microsoft ne vous avertit pas automatiquement lorsqu'une zone est en panne. Toutefois, vous pouvez utiliser Azure Resource Health pour surveiller l’intégrité d’une ressource individuelle et configurer des alertes Resource Health pour vous avertir des problèmes. Vous pouvez également utiliser Azure Service Health pour comprendre l’intégrité globale du service, y compris les défaillances de zone, et vous pouvez configurer des alertes Service Health pour vous avertir des problèmes.
Demandes actives : Les requêtes DNS en cours qui utilisent l’infrastructure affectée peuvent échouer ou expirer et doivent être retentées. Si les clients gèrent correctement les erreurs temporaires , ils évitent généralement un impact significatif.
Perte de données attendue : Aucune perte de données n’est attendue, car le service est sans état et ne stocke pas les données client.
Temps d’arrêt attendu : Une petite quantité de temps d’arrêt peut se produire pendant que le service déplace les demandes vers une infrastructure de zone saine. Ce temps d’arrêt est généralement quelques secondes.
Redistribution : Microsoft redirige automatiquement les demandes de résolution DNS via les zones saines.
Récupération de la zone
Lorsqu’une zone de disponibilité défaillante récupère, le programme de résolution privé DNS restaure automatiquement les opérations normales sans intervention du client.
Tester les pannes de zone
Dns Private Resolver est un service entièrement géré par Microsoft, redondant interzone. Étant donné que Microsoft gère la redondance de zone, vous n'avez pas besoin de tester les scénarios de transition des zones de disponibilité.
Résilience aux défaillances à l’échelle de la région
Le programme de résolution privé DNS est un service à région unique. Si la région devient indisponible, votre programme de résolution privé n’est pas disponible.
Solutions multirégions personnalisées pour la résilience
Pour améliorer votre résilience aux défaillances à l’échelle de la région, vous pouvez déployer plusieurs résolveurs privés dans des régions distinctes. Ensuite, configurez le transfert et les modèles de trafic pour prendre en charge le basculement entre les régions. Pour obtenir des instructions détaillées, consultez Configurer le basculement DNS à l’aide de résolveurs privés.
Sauvegarde et restauration
Dns Private Resolver ne stocke pas les données client et ne nécessite pas de sauvegarde ou de restauration. Pour recréer des configurations, envisagez de conserver des modèles d’infrastructure en tant que code (IaC) pour les ressources réseau. Les programmeurs de résolution privés sont uniquement en configuration et ne stockent aucune donnée client. Concentrez donc les efforts de sauvegarde sur les modèles IaC pour un redéploiement rapide de votre programme de résolution, des paramètres de point de terminaison, des ensembles de règles de transfert DNS et d’autres ressources.
Résilience à la maintenance du service
Microsoft applique régulièrement des mises à jour de service et effectue d’autres maintenances. La plateforme Azure gère automatiquement ces activités, ce qui garantit que la maintenance est fluide et transparente pour vous. Aucun temps d'arrêt n'est prévu pendant les événements de maintenance, sauf si vous avez été informé via la maintenance planifiée d'Azure Service Health.
Contrat de niveau de service
Le contrat de niveau de service (SLA) pour les services Azure décrit la disponibilité attendue de chaque service et les conditions que votre solution doit respecter pour atteindre cette attente de disponibilité. Pour plus d’informations, consultez les SLA pour les services en ligne.
Dns Private Resolver fournit un contrat SLA de disponibilité pour les réponses de requête DNS, tant que les clients réessayent les requêtes ayant échoué à plusieurs reprises.