Rövid útmutató: Privát Azure DNS-feloldó létrehozása az Azure Portal használatával

  • Cikk

Ez a rövid útmutató végigvezeti az Azure DNS Private Resolver Azure Portalon történő létrehozásának lépésein. Ha szeretné, az Azure PowerShell használatával is elvégezheti ezt a rövid útmutatót.

Az Azure DNS Private Resolver egy olyan szolgáltatás, amely lehetővé teszi az Azure DNS magánzónáinak lekérdezését egy helyszíni környezetből és fordítva, virtuálisgép-alapú DNS-kiszolgálók üzembe helyezése nélkül. Az Azure privát DNS-zónákban regisztrált nevek feloldásához már nem kell IaaS-alapú megoldásokat kiépítenie a virtuális hálózatokon. Konfigurálhatja a tartományok helyszíni, többfelhős és nyilvános DNS-kiszolgálókra való feltételes továbbítását. További információkért, beleértve az előnyöket, a képességeket és a regionális rendelkezésre állást, olvassa el az Azure DNS Private Resolver ismertetése című témakört.

A cikk tartalma:

  • Két virtuális hálózat jön létre: a myvnet és a myvnet2.
  • Az Azure DNS Private Resolver az első virtuális hálózatban jön létre egy bejövő végponttal a 10.10.0.4-nél.
  • Létrejön egy DNS-továbbítási szabálykészlet a privát feloldó számára.
  • A DNS-továbbítási szabálykészlet a második virtuális hálózathoz van csatolva.
  • Példaszabályokat adnak hozzá a DNS-továbbítási szabálykészlethez.

Ez a cikk nem mutatja be a DNS helyszíni hálózatra való továbbítását. További információ: Azure- és helyszíni tartományok feloldása.

Az alábbi ábra a cikkben használt beállításokat foglalja össze:

A magánfeloldó összetevőit megjelenítő fogalmi ábra

Előfeltételek

Azure-előfizetésre van szükség.

  • Ha még nem rendelkezik Azure-előfizetéssel, létrehozhat egy ingyenes fiókot.

A Microsoft.Network-szolgáltató névterének regisztrálása

Ahhoz, hogy a Microsoft.Network-szolgáltatásokat az Azure-előfizetésével használhassa, regisztrálnia kell a Microsoft.Network névterét:

  1. Válassza ki az Előfizetés panelt az Azure Portalon, majd válassza ki az előfizetést.
  2. Az Gépház területen válassza az Erőforrás-szolgáltatók lehetőséget.
  3. Válassza a Microsoft.Network lehetőséget, majd a Regisztráció lehetőséget.

Erőforráscsoport létrehozása

Először hozzon létre vagy válasszon ki egy meglévő erőforráscsoportot a DNS-feloldó erőforrásainak üzemeltetéséhez. Az erőforráscsoportnak támogatott régióban kell lennie. Ebben a példában a hely az USA nyugati középső régiója. Új erőforráscsoport létrehozása:

  1. Válassza az Erőforráscsoport létrehozása lehetőséget.

  2. Válassza ki az előfizetés nevét, adja meg az erőforráscsoport nevét, és válasszon egy támogatott régiót.

  3. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

    erőforráscsoport létrehozása

Virtuális hálózat létrehozása

Ezután vegyen fel egy virtuális hálózatot a létrehozott erőforráscsoportba, és konfigurálja az alhálózatokat.

  1. Jelölje ki a létrehozott erőforráscsoportot, válassza a Létrehozás lehetőséget, válassza a Hálózatkezelés lehetőséget a kategóriák listájából, majd a Virtuális hálózat mellett válassza a Létrehozás lehetőséget.

  2. Az Alapok lapon adja meg az új virtuális hálózat nevét, és válassza ki azt a régiót, amely megegyezik az erőforráscsoportával.

  3. Az IP-címek lapon módosítsa az IPv4-címteret 10.0.0.0/8 értékre.

  4. Válassza az Alhálózat hozzáadása lehetőséget, és adja meg az alhálózat nevét és címtartományát:

    • Alhálózat neve: snet-inbound
    • Alhálózati címtartomány: 10.0.0.0/28
    • Válassza a Hozzáadás lehetőséget az új alhálózat hozzáadásához.

  5. Válassza az Alhálózat hozzáadása lehetőséget, és konfigurálja a kimenő végpont alhálózatát:

    • Alhálózat neve: kimenő hálózat
    • Alhálózati címtartomány: 10.1.1.0/28
    • Válassza a Hozzáadás lehetőséget az alhálózat hozzáadásához.

  6. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

    virtuális hálózat létrehozása

DNS-feloldó létrehozása a virtuális hálózaton belül

  1. Nyissa meg az Azure Portalt, és keressen DNS-magánfeloldókat.

  2. Válassza a DNS Privát feloldók lehetőséget, válassza a Létrehozás lehetőséget, majd a DNS Privát feloldó létrehozása alapismeretek lapján adja meg a következőket:

    • Előfizetés: Válassza ki a használt előfizetés nevét.
    • Erőforráscsoport: Válassza ki a létrehozott erőforráscsoport nevét.
    • Név: Adjon nevet a DNS-feloldónak (például: mydnsresolver).
    • Régió: Válassza ki a virtuális hálózathoz használt régiót.
    • Virtuális hálózat: Válassza ki a létrehozott virtuális hálózatot.

    Még ne hozza létre a DNS-feloldót.

    feloldó létrehozása – alapismeretek

  3. Válassza a Bejövő végpontok lapot, válassza a Végpont hozzáadása lehetőséget, majd adjon meg egy nevet a Végpont neve (például myinboundendpoint) mellett.

  4. Az Alhálózat mellett válassza ki a létrehozott bejövő végpont alhálózatot (például snet-inbound, 10.0.0.0/28), majd válassza a Mentés lehetőséget.

  5. Válassza a Kimenő végpontok lapot, válassza a Végpont hozzáadása lehetőséget, majd adjon meg egy nevet a Végpont neve (például myoutboundendpoint) mellett.

  6. Az Alhálózat mellett válassza ki a létrehozott kimenő végponti alhálózatot (például snet-outbound, 10.1.1.0/28), majd válassza a Mentés lehetőséget.

  7. Válassza a Szabálykészlet lapot, válassza a Szabálykészlet hozzáadása lehetőséget, és adja meg a következőket:

    • Szabálykészlet neve: Adja meg a szabálykészlet nevét (pl. myruleset).
    • Végpontok: Válassza ki a létrehozott kimenő végpontot (pl. myoutboundendpoint).

  8. A Szabályok területen válassza a Feltételes DNS-továbbítási szabályok hozzáadása és megadása lehetőséget. Példa:

    • Szabály neve: Adjon meg egy szabálynevet (pl. contosocom).
    • Tartománynév: Adjon meg egy tartománynevet egy záró ponttal (például: contoso.com.).
    • Szabályállapot: Válassza az Engedélyezve vagy a Letiltva lehetőséget. Az alapértelmezett beállítás engedélyezve van.
    • Válassza a Cél hozzáadása lehetőséget , és adja meg a kívánt cél IPv4-címet (például: 11.0.1.4).
    • Ha szükséges, válassza ismét a Cél hozzáadása lehetőséget egy másik cél IPv4-cím hozzáadásához (például: 11.0.1.5).
    • Amikor befejezte a cél IP-címek hozzáadását, válassza a Hozzáadás lehetőséget.

  9. Válassza az Áttekintés és létrehozás, majd a Létrehozás lehetőséget.

    feloldó létrehozása – szabálykészlet

    Ebben a példában csak egy feltételes továbbítási szabály van, de számosat létrehozhat. Módosítsa a szabályokat, hogy szükség szerint engedélyezze vagy tiltsa le őket.

    A Feloldó létrehozása – áttekintés képernyőképe.

    A Létrehozás kiválasztása után az új DNS-feloldó megkezdi az üzembe helyezést. Ez a folyamat eltarthat egy-két percig. Az egyes összetevők állapota az üzembe helyezés során jelenik meg.

    feloldó létrehozása – állapot

Második virtuális hálózat létrehozása

Hozzon létre egy második virtuális hálózatot egy helyszíni vagy más környezet szimulálásához. Második virtuális hálózat létrehozása:

  1. Válassza ki a virtuális hálózatokat az Azure-szolgáltatások listájából, vagy keressen rá a virtuális hálózatokra, majd válassza a Virtuális hálózatok lehetőséget.

  2. Válassza a Létrehozás lehetőséget, majd az Alapszintű beállítások lapon válassza ki az előfizetést, és válassza ki ugyanazt az erőforráscsoportot, amelyet ebben az útmutatóban használt (például myresourcegroup).

  3. A Név mellett adja meg az új virtuális hálózat nevét (pl. myvnet2).

  4. Ellenőrizze, hogy a kiválasztott régió megegyezik-e az útmutatóban korábban használt régióval (például: USA nyugati középső régiója).

  5. Válassza az IP-címek lapot, és szerkessze az alapértelmezett IP-címteret. Cserélje le a címteret egy szimulált helyszíni címtérre (például: 12.0.0.0/8).

  6. Válassza az Alhálózat hozzáadása lehetőséget, és adja meg a következőket:

    • Alhálózat neve: backendsubnet
    • Alhálózati címtartomány: 12.2.0.0/24

  7. Válassza a Hozzáadás, a Véleményezés + létrehozás, majd a Létrehozás lehetőséget.

    Képernyőkép egy második virtuális hálózat létrehozásáról.

Ha a továbbítási szabálykészletet a második virtuális hálózatra szeretné alkalmazni, létre kell hoznia egy virtuális hivatkozást.

  1. Keressen DNS-továbbítási szabálykészleteket az Azure-szolgáltatások listájában, és válassza ki a szabálykészletet (például: myruleset).

  2. Válassza a Virtuális hálózati hivatkozások lehetőséget, válassza a Hozzáadás lehetőséget, válassza a myvnet2 lehetőséget, és használja az alapértelmezett myvnet2-hivatkozás hivatkozását.

  3. Válassza a Hozzáadás lehetőséget, és ellenőrizze, hogy a hivatkozás sikeresen lett-e hozzáadva. Lehetséges, hogy frissítenie kell az oldalt.

    Képernyőkép a szabálykészlet virtuális hálózati kapcsolatairól.

A cikk későbbi részében létrehozunk egy szabályt a privát feloldó bejövő végpontjának használatával célként. Ez a konfiguráció DNS-feloldási ciklust okozhat, ha a feloldó kiépített virtuális hálózata szintén a szabálykészlethez van csatolva. A probléma megoldásához távolítsa el a myvnetre mutató hivatkozást.

  1. Keressen DNS-továbbítási szabálykészleteket az Azure-szolgáltatások listájában, és válassza ki a szabálykészletet (például: myruleset).

  2. Válassza a Virtuális hálózati hivatkozások lehetőséget, válassza a myvnet-link, az Eltávolítás és az OK gombot.

    Képernyőkép a szabálykészlet virtuális hálózati hivatkozásairól a hivatkozás eltávolítása után.

DNS-továbbítási szabálykészlet konfigurálása

Adja hozzá vagy távolítsa el a DNS-továbbítási szabálykészletet a kívánt módon, például:

  • A virtuális hálózathoz társított Azure saját DNS zóna feloldására szolgáló szabály: azure.contoso.com.
  • Egy helyszíni zóna feloldására szolgáló szabály: internal.contoso.com.
  • Helyettesítő szabály a nem egyező DNS-lekérdezések védelmi DNS-szolgáltatásnak való továbbításához.

Fontos

Az ebben a rövid útmutatóban bemutatott szabályok példák az adott forgatókönyvekhez használható szabályokra. Az ebben a cikkben ismertetett leválasztási szabályok egyike sem szükséges. Ügyeljen arra, hogy tesztelje a továbbítási szabályokat, és győződjön meg arról, hogy a szabályok nem okoznak DNS-feloldási problémákat.

Ha helyettesítő szabályt tartalmaz a szabálykészletben, győződjön meg arról, hogy a cél DNS-szolgáltatás fel tudja oldani a nyilvános DNS-neveket. Egyes Azure-szolgáltatások függenek a nyilvános névfeloldástól.

Szabály törlése a továbbítási szabálykészletből

Az egyes szabályok törölhetők vagy letilthatók. Ebben a példában egy szabály törlődik.

  1. Keressen dns-továbbítási szabálykészleteket az Azure Services listájában, és válassza ki.
  2. Válassza ki a korábban konfigurált szabálykészletet (pl. myruleset), majd válassza a Szabályok lehetőséget.
  3. Válassza ki a korábban konfigurált contosocom mintaszabályt, válassza a Törlés, majd az OK gombot.

Szabályok hozzáadása a továbbítási szabálykészlethez

Adjon hozzá három új feltételes továbbítási szabályt a szabálykészlethez.

  1. A myruleset | Szabályok lap, válassza a Hozzáadás lehetőséget, és adja meg a következő szabályadatokat:

    • Szabály neve: AzurePrivate
    • Tartománynév: azure.contoso.com.
    • Szabály állapota: Engedélyezve

  2. A Cél IP-cím csoportban adja meg a 10.0.0.4-et, majd válassza a Hozzáadás lehetőséget.

  3. A myruleset | Szabályok lap, válassza a Hozzáadás lehetőséget, és adja meg a következő szabályadatokat:

    • Szabály neve: Belső
    • Tartománynév: internal.contoso.com.
    • Szabály állapota: Engedélyezve

  4. A Cél IP-cím csoportban adja meg a 192.168.1.2 értéket, majd válassza a Hozzáadás lehetőséget.

  5. A myruleset | Szabályok lap, válassza a Hozzáadás lehetőséget, és adja meg a következő szabályadatokat:

    • Szabály neve: Helyettesítő karakter
    • Tartománynév: . (csak egy pont megadása)
    • Szabály állapota: Engedélyezve

  6. A Cél IP-cím csoportban adja meg a 10.5.5.5-ös értéket, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép egy továbbítási szabálykészletről.

Ebben a példában:

  • A 10.0.0.4 a feloldó bejövő végpontja.
  • A 192.168.1.2 egy helyszíni DNS-kiszolgáló.
  • A 10.5.5.5 egy védő DNS-szolgáltatás.

A privát feloldó tesztelése

Most már képesnek kell lennie DNS-forgalmat küldeni a DNS-feloldónak, és feloldani a rekordokat a továbbítási szabálykészletek alapján, beleértve a következőket:

  • Az Azure DNS privát zónái ahhoz a virtuális hálózathoz kapcsolódnak, ahol a feloldó üzembe van helyezve.
    • Ha egy virtuális hálózat magához a privát zónához van csatolva, akkor nincs szükség a privát zónára vonatkozó szabályra a továbbítási szabálykészletben. A virtuális hálózat erőforrásai közvetlenül feloldhatják a zónát. Ebben a példában azonban a második virtuális hálózat nem kapcsolódik a privát zónához. Továbbra is feloldhatja a zónát a továbbítási szabálykészlet használatával. Erről a kialakításról további információt a Privát feloldó architektúrája című témakörben talál.
  • saját DNS helyszíni üzemeltetésű zónákat.
  • DNS-zónák a nyilvános internetes DNS-névtérben.

Következő lépések

Mi az Azure DNS Private Resolver?