Azure DNS Private Resolver-végpontok és szabálykészletek
Ebben a cikkben megismerheti az Azure DNS Private Resolver összetevőit. A bejövő végpontokat, a kimenő végpontokat és a DNS-továbbítási szabálykészleteket tárgyaljuk. Ezeknek az összetevőknek a tulajdonságait és beállításait ismertetjük, és példákat is megadunk a használatukra.
Az Azure DNS Private Resolver architektúrája az alábbi ábrán van összefoglalva. Ebben a példában a hálózat egy DNS-feloldót helyez üzembe egy küllős virtuális hálózattal társviszonyban lévő központi virtuális hálózaton.
1. ábra: Példaközpont és küllős hálózat DNS-feloldóval
- A szabálykészlet-hivatkozások a DNS-továbbítási szabálykészletben a küllős és a küllős virtuális hálózatokra is ki vannak építve, így mindkét virtuális hálózat erőforrásai dns-továbbítási szabályokkal feloldják az egyéni DNS-névtereket.
- A rendszer egy privát DNS-zónát is üzembe helyez és csatol a központi virtuális hálózathoz, így a központi virtuális hálózat erőforrásai feloldják a zónában lévő rekordokat.
- A küllős virtuális hálózat a privát zónában lévő rekordokat egy OLYAN DNS-továbbítási szabály használatával oldja fel, amely a privát zóna lekérdezéseit továbbítja a központi virtuális hálózat bejövő végpontjának VIP-jére.
- Az ábrán egy ExpressRoute-hoz csatlakoztatott helyszíni hálózat is látható, amelynek DNS-kiszolgálói úgy vannak konfigurálva, hogy az Azure privát zónájának lekérdezéseit továbbíthassák a bejövő végponti VIP-nek. A hibrid DNS-feloldás Azure DNS Private Resolverrel való engedélyezéséről további információt az Azure és a helyszíni tartományok feloldása című témakörben talál.
Feljegyzés
A névfeloldáshoz nincs szükség a diagramon látható társviszony-létesítési kapcsolatra. A DNS-továbbítási szabálykészletből csatolt virtuális hálózatok névfeloldáskor használják a szabálykészletet, függetlenül attól, hogy a társított virtuális hálózatok társviszonyai a VNet szabálykészlettel vannak-e összekapcsolva.
Bejövő végpontok
Ahogy a neve is sugallja, a bejövő végpontok az Azure-ba bejövők. A bejövő végpontok IP-címet biztosítanak a DNS-lekérdezések továbbításához a helyszíni és a virtuális hálózaton kívüli helyekről. A bejövő végpontra küldött DNS-lekérdezések feloldása az Azure DNS használatával történik. saját DNS bejövő végpontot kiépíteni kívánt virtuális hálózathoz csatolt zónákat a bejövő végpont oldja fel.
A bejövő végponthoz társított IP-cím mindig annak a privát virtuális hálózati címtérnek a része, ahol a magánfeloldó üzembe van helyezve. Más erőforrások nem létezhetnek ugyanabban az alhálózatban a bejövő végponttal.
Statikus és dinamikus végpont IP-címei
A bejövő végponthoz rendelt IP-cím lehet statikus vagy dinamikus. Ha statikus beállítást választ, nem választhat fenntartott IP-címet az alhálózatban. Ha dinamikus IP-címet választ, az alhálózat ötödik elérhető IP-címe lesz hozzárendelve. A 10.10.0.4 például a 10.10.0.0/28 alhálózat ötödik IP-címe (.0, .1, .2, .3, .4). Ha a bejövő végpont újra meg van adva, ez az IP-cím változhat, de általában az alhálózat 5. IP-címe lesz újra használatban. A dinamikus IP-cím csak akkor változik, ha a bejövő végpont újra meg van adva. Az alábbi példa egy statikus IP-címet ad meg:
Az alábbi példa egy 10.10.0.4 virtuális IP-címmel (VIP) rendelkező bejövő végpont kiépítését mutatja be egy 10.10.0.0/16 címtérrel rendelkező virtuális hálózat alhálózatán snet-E-inbound
belül.
Kimenő végpontok
A kimenő végpontok az Azure-ból lépnek ki, és dns-továbbítási szabálykészletekhez csatolhatók.
A kimenő végpontok a privát virtuális hálózati címtér részét képezik, ahol a privát feloldó üzembe van helyezve. A kimenő végpont egy alhálózathoz van társítva, de nem rendelkezik olyan IP-címmel, mint a bejövő végpont. Más erőforrások nem létezhetnek ugyanabban az alhálózatban a kimenő végponttal. Az alábbi képernyőképen egy kimenő végpont látható az alhálózaton snet-E-outbound
belül.
DNS-továbbítási szabálykészletek
A DNS-továbbítási szabálykészletek lehetővé teszik egy vagy több egyéni DNS-kiszolgáló megadását adott DNS-névterek lekérdezéseinek megválaszolásához. A szabályok egyes szabályai határozzák meg a DNS-nevek feloldásának módját. A szabálykészletek összekapcsolhatók egy vagy több virtuális hálózattal is, így a virtuális hálózatok erőforrásai használhatják a konfigurált továbbítási szabályokat.
A szabálykészletek a következő társításokkal rendelkeznek:
- Egyetlen szabálykészlet legfeljebb 2 kimenő végponthoz társítható ugyanahhoz a DNS Private Resolver-példányhoz. Nem társítható két kimenő végponttal két különböző DNS Private Resolver-példányban.
- Egy szabálykészlet legfeljebb 1000 DNS-továbbítási szabálysal rendelkezhet.
- Egy szabálykészlet legfeljebb 500 virtuális hálózathoz kapcsolható ugyanabban a régióban.
Egy szabálykészlet nem csatolható egy másik régióban lévő virtuális hálózathoz. További információ a szabályokról és az egyéb privát feloldókorlátokról: Mik az Azure DNS használati korlátai?
Szabálykészlet hivatkozásai
Amikor egy szabálykészletet virtuális hálózathoz csatol, a virtuális hálózaton belüli erőforrások a szabálykészletben engedélyezett DNS-továbbítási szabályokat használják. A csatolt virtuális hálózatok nem szükségesek ahhoz a virtuális hálózathoz való társviszonyhoz, ahol a kimenő végpont létezik, de ezek a hálózatok konfigurálhatók társként. Ez a konfiguráció gyakori a küllős és a küllős kialakításban. Ebben a küllős és küllős forgatókönyvben a küllős virtuális hálózatot nem kell a privát DNS-zónához kapcsolni a zónában lévő erőforrásrekordok feloldásához. Ebben az esetben a privát zóna továbbítási szabálykészlet-szabálya lekérdezéseket küld a központi virtuális hálózat bejövő végpontjára. Például: azure.contoso.com a 10.10.0.4-hez.
Az alábbi képernyőképen egy, a küllős virtuális hálózathoz társított DNS-továbbítási szabálykészlet látható: myeastspoke.
A DNS-továbbítási szabálykészletek virtuális hálózati kapcsolatai lehetővé teszik, hogy más virtuális hálózatok erőforrásai továbbítási szabályokat használjanak a DNS-nevek feloldásakor. A magánfeloldóval rendelkező virtuális hálózatot minden olyan privát DNS-zónából is össze kell kapcsolni, amelyekre szabályok vonatkoznak.
A virtuális hálózat myeastspoke
erőforrásai például feloldhatják a privát DNS-zónában azure.contoso.com
lévő rekordokat, ha:
- A kiépített
myeastvnet
szabálykészlet a következőhöz van csatolva:myeastspoke
- A csatolt szabálykészletben egy szabálykészlet-szabály van konfigurálva és engedélyezve a bejövő végponttal való feloldáshoz
azure.contoso.com
a következő helyen:myeastvnet
Feljegyzés
Egy szabálykészletet egy másik Azure-előfizetés virtuális hálózatához is csatolhat. A megadott erőforráscsoportnak azonban ugyanabban a régióban kell lennie, mint a magánfeloldó.
Szabályok
A DNS-továbbítási szabályok (szabályok) a következő tulajdonságokkal rendelkeznek:
Tulajdonság | Leírás |
---|---|
Szabály neve | A szabály neve. A névnek betűvel kell kezdődnie, és csak betűket, számokat, aláhúzásjeleket és kötőjeleket tartalmazhat. |
Tartománynév | A dot-terminated DNS névtér, ahol a szabály érvényes. A névtérnek nulla címkével (helyettesítő karakterhez) vagy 1 és 34 közötti címkével kell rendelkeznie. Például contoso.com. két címkéje van.1 |
Cél IP-címe:Port | A továbbítás célja. Egy vagy több DNS-kiszolgáló IP-címe és portja, amelyek a megadott névtérben lévő DNS-lekérdezések feloldására szolgálnak. |
Szabályállapot | A szabály állapota: Engedélyezve vagy letiltva. Ha egy szabály le van tiltva, a rendszer figyelmen kívül hagyja. |
1Az egycímkés tartománynevek támogatottak.
Több szabály egyeztetése esetén a rendszer a leghosszabb előtagegyezést használja.
Ha például a következő szabályokkal rendelkezik:
Szabály neve | Tartománynév | Cél IP-címe:Port | Szabályállapot |
---|---|---|---|
Contoso | contoso.com konfigurálta. | 10.100.0.2:53 | Engedélyezve |
AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Engedélyezve |
Helyettesítő | . | 10.100.0.2:53 | Engedélyezve |
Egy lekérdezés secure.store.azure.contoso.com
megfelel az AzurePrivate-szabálynak azure.contoso.com
és a Contoso-szabálynak contoso.com
is, de az AzurePrivate-szabály elsőbbséget élvez, mivel az előtag azure.contoso
hosszabb, mint contoso
.
Fontos
Ha egy szabály megtalálható abban a szabálykészletben, amelynek célja egy privát feloldó bejövő végpontja, ne kapcsolja a szabálykészletet ahhoz a virtuális hálózathoz, ahol a bejövő végpont ki van építve. Ez a konfiguráció DNS-feloldási ciklusokat okozhat. Például: Az előző forgatókönyvben nem adható hozzá myeastvnet
szabálykészlet-hivatkozás, mert a bejövő végpont 10.10.0.4
ki van építve myeastvnet
, és egy olyan szabály van jelen, amely a bejövő végponttal oldható fel azure.contoso.com
.
Az ebben a cikkben bemutatott szabályok példák azokra a szabályokra, amelyeket adott forgatókönyvekhez használhat. A használt példák nem kötelezőek. Ügyeljen a továbbítási szabályok tesztelésére.
Ha helyettesítő szabályt tartalmaz a szabálykészletben, győződjön meg arról, hogy a cél DNS-szolgáltatás fel tudja oldani a nyilvános DNS-neveket. Egyes Azure-szolgáltatások függenek a nyilvános névfeloldástól.
Szabályfeldolgozás
- Ha több DNS-kiszolgáló van beírva egy szabály célhelyeként, a rendszer az első beírt IP-címet használja, hacsak nem válaszol. Exponenciális háttéralgoritmussal állapítható meg, hogy a cél IP-cím válaszképes-e.
- Bizonyos tartományok figyelmen kívül lesznek hagyva, amikor helyettesítő szabályt használnak a DNS-feloldáshoz, mert az Azure-szolgáltatások számára vannak fenntartva. A fenntartott tartományok listáját az Azure Services DNS-zónakonfigurációjában találja. A cikkben felsorolt kétcímkés DNS-nevek (például: windows.net, azure.com, azure.net, windowsazure.us) az Azure-szolgáltatások számára vannak fenntartva.
Fontos
- Nem adhatja meg az Azure DNS 168.63.129.16 IP-címét egy szabály cél IP-címeként. Ha megkísérli hozzáadni ezt az IP-címet, a következő hibaüzenet jelenik meg: Kivétel a szabályra vonatkozó kérés hozzáadásakor.
- Ne használja a privát feloldó bejövő végpontjának IP-címét továbbítási célként olyan zónákhoz, amelyek nincsenek összekapcsolva azzal a virtuális hálózattal, ahol a privát feloldó ki van építve.
Tervezési beállítások
A továbbítási szabálykészletek és bejövő végpontok központi és küllős architektúrában való üzembe helyezése ideális esetben a hálózat kialakításától függ. A következő szakaszokban röviden két konfigurációs lehetőséget tárgyalunk. A konfigurációs példák részletesebb ismertetését lásd : Privát feloldóarchitektúra.
Továbbítási szabálykészlet hivatkozásai
A továbbítási szabálykészletek virtuális hálózathoz való csatolása lehetővé teszi a DNS-továbbítási képességeket az adott virtuális hálózatban. Ha például egy szabálykészlet olyan szabályt tartalmaz, amely a lekérdezéseket egy magánfeloldó bejövő végpontjára továbbítja, ez a szabálytípus lehetővé teszi a bejövő végpont virtuális hálózatához csatolt privát zónák feloldását. Ez a konfiguráció akkor használható, ha egy központi virtuális hálózat privát zónához van csatolva, és engedélyezni szeretné a privát zóna feloldását küllős virtuális hálózatokban, amelyek nincsenek a privát zónához csatolva. Ebben a forgatókönyvben a privát zóna DNS-feloldását a központi virtuális hálózat bejövő végpontja végzi.
A szabálykészlet-kapcsolat tervezési forgatókönyve leginkább olyan elosztott DNS-architektúrákhoz ideális, ahol a hálózati forgalom az Azure-hálózaton oszlik el, és egyes helyeken egyedi lehet. Ezzel a kialakítással egyetlen szabálykészlet módosításával szabályozhatja a DNS-feloldást a szabálykészlethez társított összes virtuális hálózaton.
Feljegyzés
Ha a szabálykészlet hivatkozási beállítását használja, és van egy továbbítási szabály a bejövő végponttal célként, ne kapcsolja össze a továbbítási szabálykészletet a központi virtuális hálózattal. Ha az ilyen típusú szabálykészletet ugyanahhoz a virtuális hálózathoz csatolja, ahol a bejövő végpont ki van építve, DNS-feloldási ciklust eredményezhet.
Bejövő végpontok egyéni DNS-ként
A bejövő végpontok képesek a bejövő DNS-lekérdezések feldolgozására, és egyéni DNS-ként konfigurálhatók virtuális hálózatokhoz. Ez a konfiguráció lecserélheti azokat a példányokat, ahol saját DNS-kiszolgálót használ egyéni DNS-ként egy virtuális hálózatban.
Az egyéni DNS-tervezési forgatókönyv leginkább olyan központi DNS-architektúrákhoz ideális, ahol a DNS-feloldás és a hálózati forgalom többnyire egy központi virtuális hálózatra van irányítva, és központi helyről vezérelhető.
Ha egy küllős virtuális hálózatról szeretne feloldani egy privát DNS-zónát ezzel a módszerrel, a bejövő végpontot tároló virtuális hálózatot hozzá kell kapcsolni a privát zónához. A központi virtuális hálózat (opcionálisan) csatolható egy továbbítási szabálykészlethez. Ha egy szabálykészlet a központhoz van csatolva, a rendszer a bejövő végpontnak küldött összes DNS-forgalmat feldolgozta a szabálykészlet.
Következő lépések
- Tekintse át az Azure DNS Private Resolver összetevőit, előnyeit és követelményeit.
- Megtudhatja, hogyan hozhat létre Privát Azure DNS-feloldót az Azure PowerShell vagy az Azure Portal használatával.
- Ismerje meg, hogyan oldhatja fel az Azure-beli és a helyszíni tartományokat az Azure DNS Private Resolver használatával.
- Megtudhatja, hogyan állíthatja be a DNS-feladatátvételt privát feloldók használatával.
- Megtudhatja, hogyan konfigurálhatja a hibrid DNS-t privát feloldók használatával.
- Ebben a dokumentumban az Azure egyéb lényeges hálózat képességeivel ismerkedhet meg.
- Learn modul: Bevezetés az Azure DNS használatába.