Mi az Azure DNS Private Resolver?
Az Azure DNS Private Resolver egy olyan szolgáltatás, amely lehetővé teszi az Azure DNS magánzónáinak lekérdezését egy helyszíni környezetből és fordítva, virtuálisgép-alapú DNS-kiszolgálók üzembe helyezése nélkül.
Hogyan működik?
Az Azure DNS Private Resolver használatához Azure-beli virtuális hálózat szükséges. Amikor azure DNS Private Resolvert hoz létre egy virtuális hálózaton belül, egy vagy több bejövő végpont jön létre, amelyek a DNS-lekérdezések célhelyeként használhatók. A feloldó kimenő végpontja egy konfigurált DNS-továbbítási szabálykészlet alapján dolgozza fel a DNS-lekérdezéseket. A szabálykészlethez kapcsolódó hálózatokban kezdeményezett DNS-lekérdezések más DNS-kiszolgálókra is elküldhetők.
Az Azure DNS Private Resolver használatához nem kell módosítania a virtuális gépek (virtuális gépek) DNS-ügyfélbeállításait.
Az Azure DNS Private Resolver használatakor a DNS-lekérdezési folyamat az alábbiakban foglalható össze:
- Egy virtuális hálózaton lévő ügyfél DNS-lekérdezést ad ki.
- Ha a virtuális hálózat DNS-kiszolgálói egyéniként vannak megadva, a rendszer a lekérdezést a megadott IP-címekre továbbítja.
- Ha az alapértelmezett (Azure által biztosított) DNS-kiszolgálók a virtuális hálózaton vannak konfigurálva, és saját DNS zónák ugyanahhoz a virtuális hálózathoz vannak társítva, a rendszer ezeket a zónákat tekinti át.
- Ha a lekérdezés nem egyezik a virtuális hálózathoz csatolt saját DNS zónával, akkor a rendszer a DNS-továbbítási szabálykészletekhez tartozó virtuális hálózati hivatkozásokat tekinti át.
- Ha nincsenek szabálykészlet-hivatkozások, akkor az Azure DNS használatával oldja meg a lekérdezést.
- Ha vannak szabálykészlet-hivatkozások, a rendszer kiértékeli a DNS-továbbítási szabályokat .
- Ha utótagegyezést talál, a rendszer a lekérdezést a megadott címre továbbítja.
- Ha több egyezés van jelen, a leghosszabb utótagot használja a rendszer.
- Ha nem talál egyezést, nem történik DNS-továbbítás, és az Azure DNS használatával oldja meg a lekérdezést.
Az Azure DNS Private Resolver architektúrája az alábbi ábrán van összefoglalva. Az Azure-beli virtuális hálózatok és a helyszíni hálózatok közötti DNS-feloldáshoz Azure ExpressRoute vagy VPN szükséges.
1. ábra: Azure DNS Private Resolver-architektúra
A privát DNS-feloldó létrehozásával kapcsolatos további információkért lásd:
- Rövid útmutató: Privát Azure DNS-feloldó létrehozása az Azure Portal használatával
- Rövid útmutató: Privát Azure DNS-feloldó létrehozása az Azure PowerShell használatával
Az Azure DNS Private Resolver előnyei
Az Azure DNS Private Resolver a következő előnyöket nyújtja:
- Teljes körűen felügyelt: Beépített magas rendelkezésre állás, zónaredundancia.
- Költségcsökkentés: Csökkentse az üzemeltetési költségeket, és a hagyományos IaaS-megoldások árának töredékéért fusson.
- Privát hozzáférés a saját DNS zónákhoz: Feltételesen továbbítható a helyszíni zónákba és onnan.
- Méretezhetőség: Végpontonkénti nagy teljesítmény.
- DevOps Friendly: A folyamatokat a Terraform, az ARM vagy a Bicep használatával hozhatja létre.
Régiónkénti rendelkezésre állás
Lásd: Azure-termékek régiónként – Azure DNS.
Adattárolási hely
Az Azure DNS Private Resolver nem helyezi át vagy tárolja az ügyféladatokat azon a régión kívül, ahol a feloldó üzembe van helyezve.
DNS-feloldó végpontok és szabálykészletek
A feloldó végpontjainak és szabálykészleteinek összegzését ebben a cikkben találja. A végpontokkal és szabálykészletekkel kapcsolatos részletes információkért tekintse meg az Azure DNS Private Resolver végpontjait és szabálykészleteit.
Bejövő végpontok
A bejövő végpontok lehetővé teszik a névfeloldás használatát a helyszíni vagy más magánhálózati helyekről a privát virtuális hálózati címtér részét képező IP-címen keresztül. Az Azure-beli privát DNS-zóna helyszíni feloldásához adja meg a bejövő végpont IP-címét a helyszíni DNS feltételes továbbítójába. A helyszíni DNS feltételes továbbítójának hálózati kapcsolattal kell rendelkeznie a virtuális hálózathoz.
A bejövő végponthoz egy alhálózatra van szükség a virtuális hálózaton, ahol ki van építve. Az alhálózat csak a Microsoft.Network/dnsResolvers szolgáltatáshoz delegálható, más szolgáltatásokhoz nem használható. Az Azure-ba bejövő végpont által fogadott DNS-lekérdezések. A neveket olyan helyzetekben oldhatja fel, ahol saját DNS zónákkal rendelkezik, beleértve az automatikus regisztrációt használó virtuális gépeket vagy a Private Link-kompatibilis szolgáltatásokat.
Feljegyzés
A bejövő végponthoz rendelt IP-cím megadható statikusként vagy dinamikusként. További információ: statikus és dinamikus végpont IP-címei.
Kimenő végpontok
A kimenő végpontok lehetővé teszik a névfeloldást az Azure-ból a helyszíni, más felhőszolgáltatók vagy külső DNS-kiszolgálók számára. Ehhez a végponthoz dedikált alhálózatra van szükség a virtuális hálózaton, ahol ki van építve, és nincs más szolgáltatás az alhálózaton, és csak a Microsoft.Network/dnsResolvers számára delegálható. A kimenő végpontra küldött DNS-lekérdezések az Azure-ból fognak kijönni.
Virtuális hálózati kapcsolatok
A virtuális hálózati kapcsolatok lehetővé teszik a névfeloldást azon virtuális hálózatok esetében, amelyek EGY DNS-továbbítási szabálykészlettel rendelkező kimenő végponthoz vannak csatolva. Ez egy egy-az-egyhez típusú kapcsolat.
DNS-továbbítási szabálykészletek
A DNS-továbbítási szabálykészlet a DNS-továbbítási szabályok egy csoportja (legfeljebb 1000), amely egy vagy több kimenő végpontra alkalmazható, vagy egy vagy több virtuális hálózathoz csatolható. Ez egy 1:N kapcsolat. A szabálykészletek egy adott kimenő végponthoz vannak társítva. További információ: DNS-továbbítási szabálykészletek.
DNS-továbbítási szabályok
A DNS-továbbítási szabály egy vagy több, feltételes továbbításhoz használt cél DNS-kiszolgálót tartalmaz, amelyet a következők jelölnek:
- Tartománynév
- Cél IP-cím
- Célport és protokoll (UDP vagy TCP)
Korlátozások
Az Azure DNS Private Resolverre jelenleg a következő korlátozások vonatkoznak:
DNS privát feloldó1
| Erőforrás | Korlát |
|---|---|
| PRIVÁT DNS-feloldók előfizetésenként | 15 |
| Bejövő végpontok PRIVÁT DNS-feloldónként | 5 |
| Kimenő végpontok DNS-alapú privát feloldónként | 5 |
| Továbbítási szabályok DNS-továbbítási szabálykészletenként | 1000 |
| Virtuális hálózati kapcsolatok DNS-továbbítási szabálykészletenként | 500 |
| Kimenő végpontok DNS-továbbítási szabálykészletenként | 2 |
| Kimenő végpontonkénti DNS-továbbítási szabálykészletek | 2 |
| Cél DNS-kiszolgálók továbbítási szabályonként | 6 |
| QPS végpontonként | 10,000. |
1Az Azure Portal a portál frissítéséig különböző korlátokat kényszeríthet ki. A PowerShell használatával az elemeket a legújabb korlátokig építheti ki.
Virtuális hálózat korlátozásai
A következő korlátozások vonatkoznak a virtuális hálózatokra:
- A DNS-feloldó csak a vele megegyező régióban található virtuális hálózatokra hivatkozhat.
- A virtuális hálózat nem osztható meg több DNS-feloldó között. Egy adott virtuális hálózatra csak egy adott DNS-feloldó hivatkozhat.
Alhálózati korlátozások
A DNS-feloldóhoz használt alhálózatokra az alábbi korlátozások vonatkoznak:
- Az alhálózatnak minimum /28-as címtartománnyal és maximum /24-es címtartománnyal kell rendelkeznie. A /28-alhálózat elegendő az aktuális végpontkorlátok befogadására. A /27 és /24 közötti alhálózati méretek rugalmasságot biztosíthatnak, ha ezek a korlátok megváltoznak.
- Egy alhálózat nem osztható meg több DNS-feloldó végpont között. Egyetlen alhálózatot csak egyetlen DNS-feloldó végpont használhat.
- A DNS-feloldó bejövő végpontjainak minden IP-konfigurációjának ugyanarra az alhálózatra kell hivatkoznia. Egyetlen DNS-feloldó bejövő végpontjának IP-konfigurációjában nem lehet több alhálózatot átfogni.
- A DNS-feloldó bejövő végpontjaihoz használt alhálózatnak a szülő DNS-feloldó által hivatkozott virtuális hálózaton belül kell lennie.
- Az alhálózat csak a Microsoft.Network/dnsResolvers szolgáltatáshoz delegálható, más szolgáltatásokhoz nem használható.
Kimenő végpont korlátozásai
A kimenő végpontokra a következő korlátozások vonatkoznak:
- A kimeneti végpontok nem törölhetők, amíg az alattuk található, DNS-továbbításra vonatkozó szabályok és virtuális hálózati hivatkozások törölve nem lettek.
Szabálykészlet-korlátozások
- A szabálykészletek legfeljebb 1000 szabályt tartalmazhatnak.
Egyéb korlátozások
- Az IPv6-kompatibilis alhálózatok nem támogatottak.
- A PRIVÁT DNS-feloldó nem támogatja az Azure ExpressRoute FastPath-t.
- A PRIVÁT DNS-feloldó bejövő végpontjának kiépítése nem kompatibilis az Azure Lighthouse-ral.
- Annak megtekintéséhez, hogy az Azure Lighthouse használatban van-e, keressen szolgáltatókat az Azure Portalon, és válassza ki a szolgáltatói ajánlatokat.
Következő lépések
- Megtudhatja, hogyan hozhat létre Privát Azure DNS-feloldót az Azure PowerShell vagy az Azure Portal használatával.
- Ismerje meg, hogyan oldhatja fel az Azure-beli és a helyszíni tartományokat az Azure DNS Private Resolver használatával.
- Ismerje meg az Azure DNS Private Resolver végpontjait és szabálykészleteit.
- Megtudhatja, hogyan állíthatja be a DNS-feladatátvételt privát feloldók használatával
- Megtudhatja, hogyan konfigurálhatja a hibrid DNS-t privát feloldók használatával.
- Ebben a dokumentumban az Azure egyéb lényeges hálózat képességeivel ismerkedhet meg.
- Learn modul: Bevezetés az Azure DNS használatába.