Apa itu Azure DNS Private Resolver?

  • Artikel

Azure DNS Private Resolver adalah layanan baru yang memungkinkan Anda menanyakan zona privat Azure DNS dari lingkungan lokal dan sebaliknya tanpa menyebarkan server DNS berbasis VM.

Bagaimana cara kerjanya?

Azure DNS Private Resolver memerlukan Azure Virtual Network. Saat Anda membuat Azure DNS Private Resolver di dalam jaringan virtual, satu atau beberapa titik akhir masuk ditetapkan yang dapat digunakan sebagai tujuan untuk kueri DNS. Titik akhir keluar resolver memeroses kueri DNS berdasarkan aturan penerusan DNS yang Anda konfigurasikan. Kueri DNS yang dimulai dalam jaringan yang ditautkan ke set aturan dapat dikirim ke server DNS lainnya.

Anda tidak perlu mengubah pengaturan klien DNS apa pun di mesin virtual (VM) untuk menggunakan Azure DNS Private Resolver.

Proses kueri DNS saat menggunakan Azure DNS Private Resolver diringkas di bawah ini:

  1. Klien dalam jaringan virtual mengeluarkan kueri DNS.
  2. Jika server DNS untuk jaringan virtual ini ditentukan sebagai kustom, maka kueri diteruskan ke alamat IP yang ditentukan.
  3. Jika Server DNS Default (yang disediakan Azure) dikonfigurasi di jaringan virtual, dan ada zona DNS Privat yang ditautkan ke jaringan virtual yang sama, zona ini akan dikonsultasikan.
  4. Jika kueri tidak sesuai dengan zona DNS Privat yang ditautkan ke jaringan virtual, maka Tautan jaringan virtual untuk aturan penerusan DNS akan dikonsultasikan.
  5. Jika tidak ada tautan set aturan, maka Azure DNS digunakan untuk menyelesaikan kueri.
  6. Jika tautan set aturan ada, aturan penerusan DNS dievaluasi.
  7. Jika ditemukan kesesuaian akhiran, kueri diteruskan ke alamat yang ditentukan.
  8. Jika ada beberapa kecocokan, maka akhiran terpanjang yang digunakan.
  9. Jika tidak ditemukan kesesuaian, maka tidak terjadi penerusan DNS dan Azure DNS digunakan untuk menyelesaikan kueri.

Arsitektur untuk Azure DNS Private Resolver dirangkum dalam gambar berikut. Resolusi DNS antara jaringan virtual Azure dan jaringan lokal memerlukan Azure ExpressRoute atau VPN.

Azure DNS Private Resolver architecture

Gambar 1: Arsitektur Azure DNS Private Resolver

Untuk informasi selengkapnya tentang membuat private DNS resolver, lihat:

Manfaat Azure DNS Private Resolver

Azure Private DNS Resolver memberikan keuntungan berikut:

  • Dikelola sepenuhnya: Ketersediaan tinggi bawaan, redundansi zona.
  • Pengurangan biaya: Mengurangi biaya pengoperasian dan berjalan dengan harga sebagian kecil dari solusi IaaS tradisional.
  • Akses privat ke Zona DNS Privat Anda: Teruskan ke dan dari lokal secara kondisional.
  • Skalabilitas: Performa tinggi per titik akhir.
  • DevOps Friendly: Bangun alur Anda dengan Terraform, ARM, atau Bicep.

Ketersediaan regional

Lihat Produk Azure menurut Wilayah - Azure DNS.

Residensi data

Azure DNS Private Resolver tidak memindahkan atau menyimpan data pelanggan keluar dari wilayah tempat penyelesai disebarkan.

Titik akhir dan aturan pemecah masalah DNS

Ringkasan titik akhir penyelesai dan set aturan disediakan dalam artikel ini. Untuk informasi terperinci tentang titik akhir dan seperangkat aturan, lihat Titik akhir dan aturan Azure DNS Private Resolver.

Titik akhir masuk

Titik akhir masuk mengaktifkan resolusi nama dari lokal, atau lokasi privat lainnya, melalui alamat IP yang merupakan bagian dari ruang alamat jaringan virtual privat Anda. Untuk mengatasi zona DNS privat Azure Anda dari lokal, masukkan alamat IP titik akhir masuk ke penerus kondisional DNS lokal Anda. Penerus kondisional DNS lokal harus memiliki koneksi jaringan ke jaringan virtual.

Titik akhir masuk ini memerlukan subnet di VNet tempatnya diprovisikan. Subnet hanya dapat didelegasikan ke Microsoft.Network/dnsResolvers dan tidak dapat digunakan untuk layanan lain. Kueri DNS yang diterima oleh masuknya titik akhir masuk ke Azure. Anda dapat menyelesaikan nama-nama dalam skenario saat Anda memiliki Zona DNS Privat, termasuk VM yang menggunakan pendaftaran otomatis atau layanan dengan dukungan Private Link.

Catatan

Alamat IP yang ditetapkan ke titik akhir masuk dapat ditentukan sebagai statis atau dinamis. Untuk informasi selengkapnya, lihat alamat IP titik akhir statis dan dinamis.

Titik akhir keluar

Titik akhir keluar mengaktifkan resolusi nama penerusan bersyarat dari Azure ke lokal, penyedia cloud lain, atau server DNS eksternal. Titik akhir ini memerlukan subnet khusus di VNet yang disediakan, tanpa layanan lain yang berjalan di dalamnya, dan hanya dapat didelegasikan ke Microsoft.Network/dnsResolvers. Kueri DNS yang dikirim ke titik akhir keluar akan keluar dari Azure.

Link jaringan virtual mengaktifkan resolusi nama untuk jaringan virtual yang ditautkan ke titik akhir keluar dengan kumpulan aturan penerusan DNS. Ini adalah hubungan 1:1.

Set Aturan Penerusan DNS

Sekelompok aturan penerusan DNS adalah sekelompok aturan penerusan DNS (hingga 1000) yang dapat diterapkan ke satu atau beberapa titik akhir keluar, atau ditautkan ke satu atau beberapa jaringan virtual. Ini adalah hubungan 1:N. Set aturan dikaitkan dengan titik akhir keluar tertentu. Untuk informasi selengkapnya, lihat Set aturan penerusan DNS.

Aturan penerusan DNS

Aturan penerusan DNS menyertakan satu atau beberapa server DNS target yang digunakan untuk penerusan kondisi, dan diwakili oleh:

  • Nama domain
  • Alamat IP target
  • Port dan Protokol target (UDP atau TCP)

Batasan

Batas berikut saat ini berlaku untuk Azure DNS Private Resolver:

Pemecah masalahprivat DNS 1

Sumber daya Batasan
Pemecah masalah privat DNS per langganan 15
Titik akhir masuk per pemecah masalah privat DNS 5
Titik akhir keluar per pemecah masalah privat DNS 5
Aturan penerusan per aturan penerusan DNS 1000
Tautan jaringan virtual per seperangkat aturan penerusan DNS 500
Titik akhir keluar per aturan penerusan DNS 2
Aturan penerusan DNS per titik akhir keluar 2
Server DNS target per aturan penerusan 6
QPS per titik akhir 10,000

1Batas berbeda mungkin diberlakukan oleh portal Azure hingga portal diperbarui. Gunakan PowerShell untuk memprovisikan elemen hingga batas terbaru.

Pembatasan jaringan virtual

Pembatasan berikut berlaku sehubungan dengan jaringan virtual:

  • DNS resolver hanya dapat mereferensikan jaringan virtual di wilayah yang sama dengan DNS resolver.
  • Jaringan virtual tidak dapat dibagikan antara beberapa DNS resolver. Satu jaringan virtual hanya dapat dirujuk oleh satu DNS resolver.

Pembatasan subnet

Subnet yang digunakan untuk DNS resolver memiliki batasan berikut:

  • Subnet harus memiliki minimal /28 ruang alamat atau memiliki maksimal ruang alamat /24. Subnet /28 cukup untuk mengakomodasi batas titik akhir saat ini. Ukuran subnet /27 hingga /24 dapat memberikan fleksibilitas jika batas ini berubah.
  • Subnet tidak dapat dibagikan antara beberapa titik akhir DNS resolver. Satu subnet hanya dapat digunakan oleh satu titik akhir DNS resolver.
  • Semua konfigurasi IP untuk titik akhir masuk DNS resolver harus mereferensikan subnet yang sama. Mencakup beberapa subnet dalam konfigurasi IP untuk satu titik akhir masuk penyelesai DNS tidak diperbolehkan.
  • Subnet yang digunakan untuk titik akhir masuk pemecah masalah DNS harus berada dalam jaringan virtual yang dirujuk oleh DNS resolver induk.
  • Subnet hanya dapat didelegasikan ke Microsoft.Network/dnsResolvers dan tidak dapat digunakan untuk layanan lain.

Pembatasan titik akhir keluar

Titik akhir keluar memiliki batasan berikut:

  • Titik akhir keluar tidak dapat dihapus kecuali set aturan penerusan DNS dan link jaringan virtual di bawahnya dihapus.

Pembatasan aturan

  • Aturan dapat memiliki hingga 1000 aturan.

Pembatasan lain

  • Subnet yang diaktifkan IPv6 tidak didukung.
  • Resolver privat DNS tidak mendukung Azure ExpressRoute FastPath.
  • Provisi titik akhir masuk penyelesai privat DNS tidak kompatibel dengan Azure Lighthouse.
    • Untuk melihat apakah Azure Lighthouse sedang digunakan, cari Penyedia layanan di portal Azure dan pilih Penawaran penyedia layanan.

Langkah berikutnya