Szerkesztés

Megosztás a következőn keresztül:

Hibrid tartománynévrendszer-megoldás tervezése az Azure-ral

Azure Bastion
Azure DNS
Azure ExpressRoute
Azure Virtual Network

Ez a referenciaarchitektúra bemutatja, hogyan tervezhet hibrid dns-megoldást a helyszínen és a Microsoft Azure-ban üzemeltetett számítási feladatok neveinek feloldásához. Ez az architektúra a helyszíni és a nyilvános internetről csatlakozó felhasználók és más rendszerek számára működik.

Architektúra

Diagram showing a Hybrid Domain Name System (DNS).

Töltse le az architektúra Visio-fájlját.

Workflow

Az architektúra az alábbi összetevőkből áll:

  • Helyszíni hálózat. A helyszíni hálózat egyetlen adatközpontot jelöl, amely Azure ExpressRoute-on vagy virtuális magánhálózati (VPN-) kapcsolaton keresztül csatlakozik az Azure-hoz. Ebben a forgatókönyvben a következő összetevők alkotják a helyszíni hálózatot:
    • DNS-kiszolgálók . Ezek a kiszolgálók két kiszolgálót jelölnek, amelyeken telepítve van a DNS-szolgáltatás, amelyek feloldóként/továbbítóként működnek. Ezeket a DNS-kiszolgálókat a helyszíni hálózat összes számítógépéhez használják DNS-kiszolgálóként. Ezeken a kiszolgálókon rekordokat kell létrehozni az Azure és a helyszíni összes végpont esetében.
    • Átjáró. Az átjáró az Azure-hoz való csatlakozáshoz használt VPN-eszközt vagy ExpressRoute-kapcsolatot jelöli.
  • Központi előfizetés. A központi előfizetés olyan Azure-előfizetést jelöl, amely több Azure-beli számítási feladat között megosztott kapcsolati, felügyeleti és hálózati erőforrások üzemeltetésére szolgál. Ezek az erőforrások több előfizetésre bonthatók a nagyvállalati szintű architektúrában leírtak szerint.

    Megjegyzés:

    A központi virtuális hálózat helyettesíthető egy virtuális szintű hálózat (WAN) központtal, amely esetben a DNS-kiszolgálókat egy másik Azure-beli virtuális hálózaton (VNet) kellene üzemeltetni. A nagyvállalati szintű architektúrában ez a virtuális hálózat az Identitás-előfizetés nevű saját előfizetésében van fenntartva.

    • Azure Bastion-alhálózat. A központi virtuális hálózat Azure Bastion szolgáltatása a központi virtuális gépekre (VM-ekre) és a küllős virtuális hálózatokra való karbantartás céljából a nyilvános internetről történő újraegyesítésére szolgál.
    • Privát végpont alhálózata. A privát végpont alhálózata privát végpontokat üzemeltet az Azure által üzemeltetett számítási feladatokhoz olyan virtuális hálózatokban, amelyek nincsenek társviszonyban a központtal. Az ilyen típusú leválasztott virtuális hálózat ip-címei ütközhetnek az Azure-ban és a helyszínen használt egyéb IP-címekkel.
    • Átjáró-alhálózat. Az átjáró alhálózata üzemelteti az Azure VPN-t vagy ExpressRoute-átjárót, amely a helyszíni adatközponthoz való kapcsolódás biztosítására szolgál.
    • Megosztott szolgáltatások alhálózata. A megosztott szolgáltatások alhálózata több Azure-számítási feladat között megosztott szolgáltatásokat üzemeltet. Ebben a forgatókönyvben ez az alhálózat windowsos vagy Linux rendszerű virtuális gépeket üzemeltet, amelyeket DNS-kiszolgálóként is használnak. Ezek a DNS-kiszolgálók ugyanazokat a DNS-zónákat üzemeltetik, mint a helyszíni kiszolgálók.
  • Csatlakozás előfizetés. A csatlakoztatott előfizetés olyan számítási feladatok gyűjteményét jelenti, amelyek virtuális hálózatot igényelnek, és a helyszíni hálózathoz való kapcsolódást igénylik.
    • Virtuális társhálózatok létesítése. Ez az összetevő egy társviszony-létesítési kapcsolat a központi virtuális hálózathoz. Ez a kapcsolat lehetővé teszi a kapcsolatot a helyszíni hálózatról a küllőhöz és vissza a központi virtuális hálózaton keresztül.
    • Alapértelmezett alhálózat. Az alapértelmezett alhálózat mintaterhelést tartalmaz.
      • web-vmss. Ez a minta virtuálisgép-méretezési csoport olyan számítási feladatot üzemeltet az Azure-ban, amely a helyszíni, az Azure-ból és a nyilvános internetről érhető el.
      • Terheléselosztó. A terheléselosztó hozzáférést biztosít egy virtuális gépek sorozata által üzemeltetett számítási feladatokhoz. Az alapértelmezett alhálózat terheléselosztójának IP-címét kell használni a számítási feladat Azure-ból és a helyszíni adatközpontból való eléréséhez.
    • AppGateway alhálózat. Ez az alhálózat az Azure-alkalmazás Átjáró szolgáltatáshoz szükséges alhálózat.
      • AppGateway. Az Application Gateway hozzáférést biztosít a mintaterheléshez az alapértelmezett alhálózaton a nyilvános internetről érkező felhasználók számára.
      • wkld1-pip. Ez a cím az a nyilvános IP-cím, amellyel a mintaterhelést a nyilvános internetről érheti el.
  • Leválasztott előfizetés. A leválasztott előfizetés olyan számítási feladatok gyűjteménye, amelyek nem igényelnek kapcsolatot a helyszíni adatközponttal, és amelyek a privát kapcsolat szolgáltatást használják.
    • PLSSubnet. A privát kapcsolati szolgáltatás alhálózata (PLSSubnet) egy vagy több privát kapcsolati szolgáltatás-erőforrást tartalmaz, amely kapcsolatot biztosít a Csatlakozás előfizetésben üzemeltetett számítási feladatokhoz.
    • Alapértelmezett alhálózat. Az alapértelmezett alhálózat mintaterhelést tartalmaz.
      • web-vmss. Ez a minta virtuálisgép-méretezési csoport olyan számítási feladatot üzemeltet az Azure-ban, amely a helyszíni, az Azure-ból és a nyilvános internetről érhető el.
      • Terheléselosztó. A terheléselosztó hozzáférést biztosít egy virtuális gépek sorozata által üzemeltetett számítási feladatokhoz. Ez a terheléselosztó a privát kapcsolat szolgáltatáshoz csatlakozik, hogy hozzáférést biztosítson az Azure-ból és a helyszíni adatközpontból érkező felhasználók számára.
    • AppGateway alhálózat. Ez az alhálózat az Application Gateway szolgáltatáshoz szükséges alhálózat.
      • AppGateway. Az Application Gateway hozzáférést biztosít a mintaterheléshez az alapértelmezett alhálózaton a nyilvános internetről érkező felhasználók számára.
      • wkld2-pip. Ez a cím az a nyilvános IP-cím, amellyel a mintaterhelést a nyilvános internetről érheti el.
    • Azure Bastion-alhálózat. A leválasztott virtuális hálózaton található Azure Bastion szolgáltatást a központ virtuális gépeihez és a küllős virtuális hálózatokhoz való karbantartás céljából használják a nyilvános internetről.

Összetevők

  • Virtuális hálózat. Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Típusú Azure-erőforrást tesz lehetővé, például azure-beli virtuális gépeket (VM) az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációhoz.

  • Azure Bastion. Az Azure Bastion egy teljes mértékben felügyelt szolgáltatás, amellyel biztonságosan és egyszerűen hozhat létre RDP- és SSH-kapcsolatot a virtuális gépeivel anélkül, hogy nyilvános IP-címeken is elérhetővé kellene tennie őket.

  • VPN Gateway. A VPN Gateway titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül. A VPN Gateway használatával titkosított forgalmat is küldhet az Azure-beli virtuális hálózatok között a Microsoft-hálózaton keresztül. A VPN-átjáró a virtuális hálózati átjárók egy adott típusa.

  • Private Link. Az Azure privát kapcsolat privát kapcsolódási lehetőséget kínál egy virtuális hálózatból Azure platformszolgáltatásokhoz (PaaS), az ügyfelek tulajdonában lévő szolgáltatásokhoz és a Microsoft-partnerek szolgáltatásaihoz. Leegyszerűsíti a hálózati architektúrát, és biztonságossá teszi a végpontok közötti kapcsolatot az Azure-ban azáltal, hogy megszünteti az adatok nyilvános interneten történő közzétételét.

  • Application Gateway. Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications. A hagyományos terheléselosztók az átviteli rétegen működnek (OSI 4. réteg – TCP és UDP), és a forrás IP-címe és portja alapján irányítják a forgalmat a célállomás IP-címére és portjára.

Javaslatok

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Megjegyzés:

Az alábbi javaslatokhoz az 1. számítási feladatot kapcsolt számítási feladatként, a 2. számítási feladatot pedig leválasztott számítási feladatként fogjuk hivatkozni. Azokra a felhasználókra és rendszerekre is hivatkozunk, akik helyszíni felhasználókként, internethasználókként és Azure-rendszerekként férnek hozzá ezekhez a számítási feladatokhoz.

Az AD DS kiterjesztése az Azure-ba (nem kötelező)

Integrált DNS-zónák használata az AD DS-ben a helyszíni adatközpont és az Azure DNS-rekordjainak üzemeltetéséhez. Ebben a forgatókönyvben két AD DS DNS-kiszolgáló van: egy helyszíni és egy a központi virtuális hálózatban.

Javasoljuk, hogy terjesszék ki az AD DS-tartományt az Azure-ba. Azt is javasoljuk, hogy konfigurálja a küllős virtuális hálózatokat az AD DS DNS-kiszolgálók használatára a központi virtuális hálózatban az Azure összes virtuális gépéhez.

Megjegyzés:

Ez a javaslat csak azokra a szervezetekre vonatkozik, amelyek az Active Directory integrált DNS-zónát használják a névfeloldáshoz. Mások fontolóra vehetik a feloldóként/továbbítóként működő DNS-kiszolgálók implementálását.

Osztott agy DNS konfigurálása

Győződjön meg arról, hogy a megosztott agy dns-ének a helyén van, hogy az Azure-rendszerek, a helyszíni felhasználók és az internetfelhasználók hozzáférhessenek a számítási feladatokhoz attól függően, hogy honnan csatlakoznak.

A csatlakoztatott és a leválasztott számítási feladatok esetében a DNS-feloldáshoz a következő összetevőket javasoljuk:

Ennek az agyfelosztási javaslatnak a jobb megértéséhez fontolja meg az 1. számítási feladatot, amelyhez a wkld1.contoso.com teljes tartománynevet (FQDN) fogjuk használni.

Ebben az esetben az internetfelhasználóknak fel kell oldaniuk ezt a nevet arra a nyilvános IP-címre, amelyet az Application Gateway a Wkld1-pip használatával tesz elérhetővé. Ez a megoldás úgy érhető el, hogy létrehoz egy címrekordot (A rekordot) az Azure DNS-ben a csatlakoztatott előfizetéshez.

A helyszíni felhasználóknak ugyanazt a nevet kell feloldaniük a csatlakoztatott előfizetés terheléselosztójának belső IP-címére. Ezt a megoldást úgy oldjuk meg, hogy létrehozunk egy A rekordot a központi előfizetés DNS-kiszolgálóiban.

Az Azure-rendszerek ugyanezt a nevet a csatlakoztatott előfizetés terheléselosztójának belső IP-címére is feloldhatják, ha létrehoznak egy A rekordot a központi előfizetés DNS-kiszolgálójában, vagy privát DNS-zónákat használnak. Privát DNS-zónák használatakor manuálisan hozzon létre egy A rekordot a privát DNS-zónában, vagy engedélyezze az automatikus regisztrációt.

A mi esetünkben a 2 . számítási feladat egy leválasztott előfizetésben üzemel, és a helyszíni felhasználók és a csatlakoztatott Azure-rendszerek számára ez a számítási feladat a központi virtuális hálózat privát végpontján keresztül érhető el. Ennek a számítási feladatnak azonban van egy harmadik kapcsolati lehetősége is: az Azure-rendszerek ugyanabban a virtuális hálózaton, mint a 2. számítási feladat.

A 2. számítási feladat DNS-ajánlásainak jobb megértéséhez a wkld2.contoso.com teljes tartománynevet fogjuk használni, és megvitatjuk az egyes javaslatokat.

Ebben az esetben az internetfelhasználóknak fel kell oldaniuk ezt a nevet arra a nyilvános IP-címre, amelyet az Application Gateway a Wkld2-pip használatával tesz elérhetővé. Ez a megoldás úgy érhető el, hogy létrehoz egy A rekordot az Azure DNS-ben a csatlakoztatott előfizetéshez.

A központi virtuális hálózathoz és küllős virtuális hálózatokhoz csatlakoztatott helyszíni felhasználóknak és Azure-rendszereknek ugyanazt a nevet kell feloldaniük a központi virtuális hálózat privát végpontjának belső IP-címére. Ezt a megoldást úgy oldjuk meg, hogy létrehozunk egy A rekordot a központi előfizetés DNS-kiszolgálóiban.

A 2. számítási feladattal azonos virtuális hálózatban lévő Azure-rendszereknek a leválasztott előfizetés terheléselosztójának IP-címére kell feloldaniük a nevet. Ez a megoldás egy privát DNS-zóna azure DNS-ben való használatával történik az adott előfizetésben.

A különböző virtuális hálózatok Azure-rendszerei továbbra is feloldhatják a 2. számítási feladat IP-címét, ha ezeket a virtuális hálózatokat a 2. számítási feladat A rekordját futtató privát DNS-zónával kapcsolja össze.

Automatikus regisztráció engedélyezése

Ha privát DNS-zónával rendelkező virtuális hálózati kapcsolatot konfigurál, igény szerint konfigurálhatja az automatikus regisztrációt az összes virtuális géphez.

Megjegyzés:

Az automatikus regisztráció csak virtuális gépeken működik. A virtuális hálózatról IP-címmel konfigurált összes többi erőforrás esetében manuálisan kell létrehoznia a DNS-rekordokat a privát DNS-zónában.

Ha AD DS DNS-kiszolgálót használ, konfigurálja a Windows rendszerű virtuális gépek dinamikus frissítéseit, hogy a saját DNS-rekordjait naprakészen tartsa az AD DS DNS-kiszolgálókon. Javasoljuk, hogy engedélyezze a dinamikus frissítéseket, és konfigurálja a DNS-kiszolgálókat, hogy csak biztonságos frissítéseket engedélyezzenek.

A Linux rendszerű virtuális gépek nem támogatják a biztonságos dinamikus frissítéseket. Helyszíni Linux rendszerű számítógépek esetén a Dynamic Host Configuration Protocol (DHCP) használatával regisztrálja a DNS-rekordokat az AD DS DNS-kiszolgálókon.

Az Azure-beli Linux rendszerű virtuális gépekhez használjon automatizált folyamatot.

Considerations

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Méretezhetőség

  • Azure-régiónként vagy helyszíni adatközpontonként fontolja meg legalább két DNS-kiszolgáló használatát.
  • Figyelje meg, hogyan történik ez az előző forgatókönyvben a helyszíni DNS-kiszolgálók és a központi virtuális hálózat esetében.

Elérhetőség

  • Fontolja meg a DNS-kiszolgálók elhelyezését. A skálázhatósági szempontok szakaszban leírtaknak megfelelően a DNS-kiszolgálókat azokhoz a felhasználókhoz és rendszerekhez kell közel helyezni, amelyekhez hozzáférésre van szükség.
    • Azure-régiónként. Minden Azure-régió saját virtuális hálózattal vagy vWAN-központtal rendelkezik. Itt kell üzembe helyezni a DNS-kiszolgálókat.
    • Helyszíni adatközpontonként. A helyszíni adatközpontonkénti DNS-kiszolgálóknak is rendelkezniük kell egy pár DNS-kiszolgálóval az adott helyeken lévő felhasználók és rendszerek számára.
    • Izolált (leválasztott) számítási feladatok esetén minden előfizetéshez magánhálózati DNS-zónát és nyilvános DNS-zónát kell üzemeltetnie a megosztott agyú DNS-rekordok kezeléséhez.

Kezelhetőség

  • Fontolja meg a szolgáltatásként nyújtott platform (PaaS) szolgáltatások DNS-rekordjainak szükségességét.
  • Figyelembe kell vennie a privát végpontot használó PaaS-szolgáltatások DNS-feloldását is. Ehhez használjon privát DNS-zónát, és a DevOps-folyamat használatával hozzon létre rekordokat a DNS-kiszolgálókon.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

  • Ha a DNS Standard kiadás C használatát igényli, vegye figyelembe, hogy az Azure DNS jelenleg nem támogatja azt.
  • DNS Standard kiadás C-ellenőrzéshez helyezzen üzembe egy egyéni DNS-kiszolgálót, és engedélyezze a DN Standard kiadás C-érvényesítést.
  • Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.

DevOps

  • Automatizálja az architektúra konfigurálását az Azure Resource Manager-sablonok kombinálásával az összes erőforrás konfigurálásához. A privát és a nyilvános DNS-zónák egyaránt támogatják az Azure CLI, a PowerShell, a .NET és a REST API teljes körű felügyeletét.
  • Ha folyamatos integrációs és folyamatos fejlesztési (CI/CD) folyamatot használ a számítási feladatok Üzembe helyezéséhez és karbantartásához az Azure-ban és a helyszínen, a DNS-rekordok automatikus regisztrációját is konfigurálhatja.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

  • Az Azure DNS-zóna költségei az Azure-ban üzemeltetett DNS-zónák számán és a fogadott DNS-lekérdezések számán alapulnak.
  • Az Azure díjkalkulátorával megbecsülheti költségeit. Az Azure DNS díjszabási modelljeinek ismertetése itt olvasható.
  • Az Azure ExpressRoute számlázási modellje vagy forgalmi díjas adatokon alapul, amelyek gigabájtonként díjat számolnak fel a kimenő adatátvitelért, vagy korlátlan mennyiségű adatot, amely havi díjat számít fel, beleértve az összes adatátvitelt is.
  • Ha VPN-t használ, az ExpressRoute helyett a költség a virtuális hálózati átjáró termékváltozatától függ, és óránként kerül felszámításra.

Következő lépések

További információ az összetevők technológiáiról:

Ismerkedjen meg a kapcsolódó architektúrákkal: