Implémenter DNS dans les environnements hybrides
Contoso utilise des machines virtuelles Windows Server dans son centre de données local pour implémenter DNS. En tant qu’ingénieur système principal, vous devez décider s’il est préférable d’implémenter Azure DNS pour remplacer les fonctionnalités de ces charges de travail locales, ou d’implémenter DNS dans les machines virtuelles Windows Server.
Il existe un certain nombre de scénarios dans lesquels Contoso peut implémenter DNS pour des machines virtuelles IaaS Windows Server, soit en plus d’Azure DNS, soit à la place d’Azure DNS. Voici quelques-uns de ces scénarios :
- Configuration de la résolution de noms entre les machines virtuelles de différents VNet.
- Configuration de la résolution de noms pour les noms d’hôtes Azure à partir d’ordinateurs locaux.
- Implémentation du transfert conditionnel.
- Implémentation des transferts de zones DNS.
Vue d’ensemble d’Azure DNS
Vous pouvez héberger vos zones DNS dans Azure DNS. Plus précisément, Azure DNS propose des services DNS faisant autorité pour ses zones. Pour permettre aux requêtes DNS portant sur des ressources situées dans le domaine de votre organisation d’atteindre Azure DNS, vous devez déléguer ce domaine à Azure DNS à partir du domaine parent.
Les zones DNS que vous migrez vers Azure DNS sont hébergées dans un réseau mondial de serveurs de noms DNS au sein d’Azure. Dans la mesure où Azure DNS utilise des communications anycast, une requête DNS émise par votre organisation est dirigée vers le serveur Azure DNS le plus proche, ce qui contribue à garantir un bon niveau de performance et une haute disponibilité pour ce service d’infrastructure critique. Vous pouvez utiliser la fonctionnalité RBAC (contrôle d’accès en fonction du rôle) pour sélectionner les utilisateurs de votre organisation qui peuvent gérer vos domaines Azure DNS.
Limitations et considérations relatives à Azure DNS
Azure DNS est une plateforme évolutive à laquelle sont constamment ajoutées de nouvelles fonctionnalités et capacités. Toutefois, Azure DNS présente certaines limitations.
- Vous pouvez uniquement lier un VNet spécifique à une zone DNS privée.
- Le DNS inversé (parfois appelé inverse) fonctionne uniquement pour l’espace d’adressage IP privé du VNet lié.
- Le transfert conditionnel n’est pas pris en charge.
- Azure DNS ne prend pas en charge les extensions de sécurité DNS (DNSSEC).
- Azure DNS ne prend pas en charge les transferts de zones.
- Quand vous utilisez des zones DNS publiques, il existe un certain nombre de limites liées au nombre de zones et d’enregistrements par abonnement.
DNS privé Azure
Azure DNS prend en charge à la fois le DNS public et le DNS privé, comme indiqué dans le tableau suivant.
| Service DNS | Description |
|---|---|
| DNS public Azure | Fournit la résolution de noms pour les domaines DNS avec accès via Internet. Le DNS public Azure vous sert à héberger les domaines DNS de votre organisation. |
| DNS privé Azure | Fournit la résolution de noms pour les machines virtuelles d’un VNet ainsi que de VNet à VNet. Vous permet de configurer les noms de zones avec une vue divisée. Ainsi, une zone DNS privée et une zone DNS publique peuvent partager le même nom de zone. |
Pour permettre la résolution de noms des enregistrements de la zone DNS privée de votre VNet, vous devez lier le VNet à la zone. Les VNet liés disposent d’un accès total et peuvent résoudre tous les enregistrements DNS publiés dans la zone privée. De plus, vous pouvez également activer l’inscription automatique sur une liaison de VNet. Si vous activez l’inscription automatique, les enregistrements DNS des machines virtuelles de ce VNet sont inscrits dans la zone privée. Quand l’inscription automatique est activée, Azure DNS met également à jour les enregistrements de zone chaque fois qu’une machine virtuelle est créée, qu’elle change d’adresse IP ou qu’elle est supprimée.
Le tableau suivant décrit les fonctionnalités du DNS privé Azure.
| Fonctionnalité | Description |
|---|---|
| Active l’inscription automatique des machines virtuelles d’un VNet que vous liez à une zone privée | Vos machines virtuelles sont inscrites auprès de votre zone privée en tant qu’enregistrements (A) d’hôte qui sont résolus en adresses IP privées des machines virtuelles. Une fois l’inscription automatique activée, quand vous supprimez une machine virtuelle d’un VNet, Azure DNS supprime automatiquement l’enregistrement DNS correspondant de la zone privée liée. |
| Azure prend en charge le transfert de la résolution DNS vers les VNet que vous liez à votre zone privée | Quand vous implémentez la résolution de noms DNS entre VNet, vous n’êtes pas explicitement tenu d’appairer vos VNet. Cela ne vous empêche pas néanmoins d’appairer les VNet pour d’autres raisons, sans rapport avec DNS. |
| Azure prend en charge la recherche DNS inversée dans l’étendue du VNet | La recherche DNS inversée pour une adresse IP privée dans un VNet que vous affectez à une zone privée retourne le nom de domaine complet (FQDN) de l’hôte avec un suffixe composé du nom de l’hôte/de l’enregistrement et du nom de la zone. |
Implémenter DNS avec des machines virtuelles IaaS Azure
Les serveurs DNS Windows Server attachés à un VNet peuvent transférer les requêtes DNS aux programmes de résolution récursifs d’Azure. Cela vous permet de résoudre les noms d’hôte au sein de ce réseau virtuel.
Par exemple, l’équipe informatique de Contoso déploie une machine virtuelle contrôleur de domaine, qui exécute également le rôle serveur DNS sur Azure. Dans ce cas, la machine virtuelle peut répondre aux requêtes DNS pour son domaine local. La machine virtuelle peut également transférer toutes les autres requêtes vers Azure. Le transfert des requêtes permet aux machines virtuelles de Contoso de localiser à la fois leurs ressources locales (via le contrôleur de domaine) et les noms d’hôtes fournis par Azure (via le redirecteur).
Notes
Azure fournit l’accès à ses programmes de résolution DNS récursifs à l’aide de l’adresse IPv4 virtuelle suivante : 168.63.129.16.
Vous pouvez utiliser le transfert DNS pour :
- Activer la résolution DNS entre des VNet.
- Permettre à vos machines locales de résoudre les noms d’hôtes fournis par Azure.
Conseil
Pour résoudre le nom d’hôte d’une machine virtuelle, vous devez configurer votre serveur DNS pour qu’il transfère les requêtes de nom d’hôte vers Azure.
Dans la mesure où le suffixe DNS est différent dans chaque VNet, vous pouvez utiliser des règles de transfert conditionnel pour envoyer les requêtes DNS au VNet approprié en vue de leur résolution.
Notes
Quand vous utilisez vos propres serveurs DNS, Azure vous permet de spécifier plusieurs serveurs DNS sur chaque VNet.
Le diagramme suivant présente deux VNet et un réseau local exécutant une résolution DNS entre les VNet à l’aide du transfert.
Documentation supplémentaire
Pour plus d’informations, consultez les documents suivants :