Edit

Merancang solusi Sistem Nama Domain hibrida dengan Azure

Azure Bastion
Azure DNS
Azure ExpressRoute
Azure Virtual Network

Arsitektur referensi ini menggambarkan cara merancang solusi Domain Name System (DNS) hibrid untuk menyelesaikan nama untuk beban kerja yang dihosting baik secara lokal dan di Microsoft Azure. Arsitektur ini digunakan oleh pengguna dan sistem lain yang terhubung dari lokal dan internet publik.

Arsitektur

Diagram showing a Hybrid Domain Name System (DNS).

Unduh file Visio arsitektur ini.

Alur kerja

Arsitektur terdiri dari komponen-komponen berikut:

  • Jaringan lokal. Jaringan lokal mewakili satu pusat data yang terhubung ke Azure melalui koneksi Azure ExpressRoute atau Jaringan Privat Maya (VPN ). Dalam skenario ini, komponen berikut membentuk jaringan lokal:
    • Server DNS. Server ini mewakili dua server dengan layanan DNS yang dipasang yang bertindak sebagai resolver / forwarder. Server DNS ini digunakan sebagai server DNS untuk semua komputer di jaringan lokal. Rekaman harus dibuat di server ini untuk semua titik akhir di Azure dan lokal.
    • Gateway. Gateway mewakili perangkat VPN atau koneksi ExpressRoute yang digunakan untuk tersambung ke Azure.
  • Langganan hub. Langganan hub mewakili langganan Azure yang digunakan untuk menghosting konektivitas, manajemen, dan sumber daya jaringan yang dibagikan di beberapa beban kerja yang dihosting oleh Azure. Sumber daya ini dapat dipecah menjadi beberapa langganan, seperti yang dijelaskan dalam arsitektur berskala perusahaan.

    Catatan

    Jaringan virtual hub dapat diganti dengan hub jaringan area luas (WAN ) virtual, dalam hal ini server DNS harus dihosting di jaringan virtual Azure (VNet) yang berbeda. Dalam arsitektur berskala perusahaan, VNet tersebut dipertahankan dalam langganannya sendiri yang berjudul Langganan identitas.

    • Subnet Azure Bastion. Layanan Azure Bastion di jaringan virtual hub digunakan untuk melakukan remoting dari internet publik ke mesin virtual (VM) di hub dan spoke VNets untuk melakukan pemeliharaan.
    • Subnet titik akhir privat. Subnet titik akhir privat menghosting titik akhir privat untuk beban kerja yang dihosting Azure di VNet yang tidak diserekankan ke hub. Pada jenis VNet yang terputus ini, alamat IP-nya dapat bertabrakan dengan alamat IP lain yang digunakan di Azure dan lokal.
    • Subnet gateway. Subnet gateway menghosting gateway Azure VPN, atau ExpressRoute, yang digunakan untuk menyediakan kembali konektivitas ke pusat data lokal.
    • Subnet layanan berbagi. Subnet layanan berbagi menghosting layanan yang dibagikan di antara beberapa beban kerja Azure. Dalam skenario ini, subnet ini menghosting mesin virtual yang menjalankan Windows atau Linux yang juga digunakan sebagai server DNS. Server DNS ini menghosting zona DNS yang sama dengan server lokal.
  • Langganan tersambung. Langganan terhubung mewakili kumpulan beban kerja yang memerlukan jaringan virtual dan konektivitas kembali ke jaringan lokal.
    • Perekanan VNet. Komponen ini adalah koneksi perekanan kembali ke hub VNet. Koneksi ini memungkinkan adanaya konektivitas dari jaringan lokal ke spoke dan back melalui hub VNet.
    • Subnet default. Subnet default berisi beban kerja sampel.
      • web-vmss. Sampel skala mesin virtual ini mengatur host beban kerja di Azure yang dapat diakses dari lokal, Azure, dan internet publik.
      • Azure Load Balancer. Penyeimbang beban memberikan akses ke beban kerja yang dihost oleh serangkaian VM. Alamat IP penyeimbang beban ini di subnet default harus digunakan untuk mengakses beban kerja dari Azure dan pusat data lokal.
    • Subnet AppGateway. Subnet ini adalah subnet yang diperlukan oleh layanan Azure Application Gateway.
      • AppGateway. Application Gateway memberikan akses ke sampel beban kerja di subnet default kepada pengguna dari internet publik.
      • wkld1-pip. Alamat ini adalah alamat IP publik yang digunakan untuk mengakses beban kerja sampel dari internet publik.
  • Langganan terputus. Langganan terputus mewakili kumpulan beban kerja yang tidak memerlukan konektivitas kembali ke pusat data lokal dan yang menggunakan layanan tautan privat.
    • PLSSubnet. Subnet layanan tautan privat (PLSSubnet) berisi satu atau beberapa sumber daya layanan tautan pribadi yang menyediakan konektivitas ke beban kerja yang dihosting di Langganan terhubung.
    • Subnet default. Subnet default berisi beban kerja sampel.
      • web-vmss. Sampel skala mesin virtual ini mengatur host beban kerja di Azure yang dapat diakses dari lokal, Azure, dan internet publik.
      • Azure Load Balancer. Penyeimbang beban memberikan akses ke beban kerja yang dihost oleh serangkaian VM. Penyeimbang beban ini terhubung ke layanan tautan pribadi untuk memberikan akses bagi pengguna yang berasal dari Azure dan pusat data lokal.
    • Subnet AppGateway. Subnet ini adalah subnet yang diperlukan oleh layanan Azure Application Gateway.
      • AppGateway. Application Gateway memberikan akses ke sampel beban kerja di subnet default kepada pengguna dari internet publik.
      • wkld2-pip. Alamat ini adalah alamat IP publik yang digunakan untuk mengakses beban kerja sampel dari internet publik.
    • Subnet Azure Bastion. Layanan Azure Bastion di jaringan virtual terputus digunakan untuk melakukan remoting dari internet publik ke mesin virtual (VM) di hub dan spoke VNets untuk tujuan pemeliharaan.

Komponen

  • Jaringan Virtual. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. VNet memungkinkan banyak jenis sumber daya Azure, seperti Azure Virtual Machines (VM), untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.

  • Azure Bastion. Azure Bastion adalah layanan terkelola sepenuhnya yang menyediakan akses Protokol Desktop Jarakjauh (RDP) dan Secure Shell Protocol (SSH) yang lebih aman dan mulus ke mesin virtual (VM) tanpa eksposur melalui alamat IP publik.

  • VPN Gateway. VPN Gateway mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik. Anda juga dapat menggunakan VPN Gateway untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft. Gateway VPN adalah jenis gateway jaringan virtual spesifik.

  • Private Link. Azure Private Link menyediakan konektivitas pribadi dari jaringan virtual ke platform Azure sebagai layanan (PaaS), layanan mitra milik pelanggan, atau Microsoft. Layanan ini menyederhanakan arsitektur jaringan dan mengamankan koneksi antara titik akhir di Azure dengan menghilangkan paparan data ke internet publik.

  • Application Gateway. Azure Application Gateway adalah penyeimbang beban lalu lintas web yang memungkinkan Anda mengelola lalu lintas ke aplikasi web Anda. Penyeimbang muatan tradisional beroperasi di lapisan transportasi (OSI layer 4 - TCP dan UDP) dan lalu lintas rute berdasarkan alamat IP sumber dan port, ke alamat IP tujuan dan port.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Catatan

Untuk rekomendasi berikut, kami akan memanggilBeban Kerja 1 sebagai beban kerja yang terhubung dan Beban Kerja 2 sebagai beban kerja yang terputus. Kami juga akan memanggil pengguna dan sistem yang mengakses beban kerja tersebut sebagai pengguna lokal, pengguna internet, dan sistem Azure.

Perluas AD DS hingga ke Azure (opsional)

Gunakan zona DNS terintegrasi di AD DS untuk menghosting rekaman DNS untuk pusat data lokal dan Azure Anda. Dalam skenario ini, ada dua set server DNS AD DS: satu lokal dan satu lagi di hub VNet.

Sebaiknya perluas domain AD DS Anda hingga ke Azure. Kami juga menyarankan untuk mengkonfigurasi hub dan spoke VNets untuk menggunakan server DNS AD DS di hub VNet untuk semua VM di Azure.

Catatan

Rekomendasi ini hanya berlaku untuk organisasi yang menggunakan zona DNS Terintegrasi AD DS untuk resolusi nama. Orang lain dapat mempertimbangkan untuk mengimplementasikan server DNS yang bertindak sebagai resolver / forwarder.

Mengkonfigurasi DNS split-brain

Pastikan DNS split-brain ada, sehingga sistem Azure, pengguna lokal, dan pengguna internet dapat mengakses beban kerja berdasarkan tempat mereka terhubung.

Untuk beban kerja yang terhubung dan terputus, sebaiknya menggunakan komponen berikut untuk resolusi DNS:

Untuk lebih memahami rekomendasi split-brain ini, pertimbangkan Workload 1, yang akan kita gunakan wkld1.contoso.com yaitu nama domain yang sepenuhnya memenuhi syarat (FQDN).

Dalam skenario ini, pengguna internet harus menyelesaikan nama tersebut ke alamat IP publik yang diekspos Application Gateway melalui Wkld1-pip. Resolusi ini dilakukan dengan membuat rekaman alamat (Rekaman A) di Azure DNS untuk langganan terhubung.

Pengguna lokal harus menyelesaikan nama yang sama ke alamat IP internal untuk penyeimbang beban dalam langganan terhubung. Resolusi ini dilakukan dengan membuat rekaman A di server DNS di langganan hub.

Sistem Azure dapat menyelesaikan nama yang sama ke alamat IP internal untuk penyeimbang beban dalam langganan terhubung baik dengan membuat rekaman A di server DNS di langganan hub, atau dengan menggunakan zona DNS pribadi. Saat Anda menggunakan zona DNS pribadi, buat rekaman A secara manual di zona DNS pribadi atau aktifkan pendaftaran otomatis.

Dalam skenario kami, Beban kerja 2 dihosting dalam langganan terputus, dan akses ke beban kerja ini untuk pengguna lokal dan sistem Azure yang terhubung dapat dilakukan melalui titik akhir privat di hub VNet. Namun, ada kemungkinan koneksi ketiga untuk beban kerja ini: Sistem Azure di VNet yang sama dengan Beban kerja 2.

Untuk lebih memahami rekomendasi DNS untuk Beban kerja 2, kami akan menggunakan FQDN wkld2.contoso.com dan mendiskusikan berbagai rekomendasi individual.

Dalam skenario ini, pengguna internet harus menyelesaikan nama tersebut ke alamat IP publik yang diekspos Application Gateway melalui Wkld2-pip. Resolusi ini dilakukan dengan membuat Rekaman A di Azure DNS untuk langganan terhubung.

Pengguna lokal dan sistem Azure yang terhubung ke hub VNet dan spoke VNet harus menyelesaikan nama yang sama ke alamat IP internal untuk titik akhir privat di Hub VNet. Resolusi ini dilakukan dengan membuat rekaman A di server DNS di langganan hub.

Sistem Azure di VNet yang sama dengan Beban kerja 2 harus menyelesaikan nama ke alamat IP penyeimbang beban di langganan terputus. Resolusi ini dilakukan dengan menggunakan zona DNS privat di Azure DNS dalam langganan tersebut.

Sistem Azure di VNet yang berbeda masih dapat menyelesaikan alamat IP Beban Kerja 2 jika Anda menautkan VNet tersebut dengan zona DNS pribadi yang menghosting rekaman A untuk Beban Kerja 2.

Aktifkan pendaftaran otomatis

Saat mengonfigurasi tautan VNet dengan zona DNS privat, Anda dapat secara opsional mengonfigurasi pendaftaran otomatis untuk semua mesin virtual.

Catatan

Pendaftaran otomatis hanya berfungsi untuk komputer virtual. Untuk semua sumber daya lain yang dikonfigurasikan dengan alamat IP dari VNet, Anda harus membuat rekaman DNS secara manual di zona DNS privat.

Jika Anda menggunakan server DNS AD DS, konfigurasikan VM Windows dapat menggunakan pembaruan dinamis untuk komputer Windows untuk menjaga rekaman DNS Anda sendiri tetap yang terbaru di server DNS AD DS. Sebaiknya aktifkan pembaruan dinamis dan konfigurasikan server DNS untuk hanya memperbolehkan pembaruan yang aman.

VM Linux tidak mendukung pembaruan dinamis yang aman. Untuk komputer Linux lokal, gunakan Dynamic Host Configuration Protocol (DHCP) untuk mendaftarkan rekaman DNS ke server DNS AD DS.

Gunakan proses otomatis unntuk VM Linux di Azure.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Skalabilitas

  • Per wilayah Azure atau pusat data lokal, pertimbangkan untuk menggunakan setidaknya dua server DNS per wilayah Azure atau pusat data lokal.
  • Perhatikan cara hal tersebut dilakukan dalam skenario sebelumnya, dengan server DNS lokal dan di jaringan virtual hub.

Ketersediaan

  • Pertimbangkanlah penempatan server DNS. Seperti yang dijelaskan di bagian pertimbangan skalabilitas, server DNS harus ditempatkan di lokasi yang dekat dengan pengguna dan sistem yang membutuhkan akses ke server DNS.
    • Per Wilayah Azure. Setiap wilayah Azure memiliki hub VNet atau hub vWAN sendiri-sendiri. Di sinilah server DNS Anda harus disebarkan.
    • Per pusat data lokal. Anda juga harus memiliki sepasang server DNS per data lokal pusat untuk pengguna dan sistem di lokasi tersebut.
    • Untuk beban kerja yang terisolasi (terputus), host zona DNS privat dan zona DNS publik untuk setiap langganan untuk mengelola rekaman DNS split-brain.

Keterkelolaan

  • Pertimbangkan perlunya rekaman DNS untuk layanan platform as a service (PaaS).
  • Anda juga harus mempertimbangkan resolusi DNS untuk layanan PaaS yang menggunakan titik akhir privat. Gunakan zona DNS privat untuk hal tersebut dan gunakan alur DevOps Anda untuk membuat rekaman di server DNS.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

  • Jika Anda memerlukan penggunaan DNSSEC, mohon diingat bahwa itu tidak didukung oleh Azure DNS untuk saat ini.
  • Untuk validasi DNSSEC, sebarkan server DNS kustom dan aktifkan validasi DNSEC.
  • Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk memberikan lebih banyak pertahanan terhadap serangan DDoS. Anda harus mengaktifkan Azure DDOS Protection di jaringan virtual perimeter apa pun.

DevOps

  • Otomatiskan konfigurasi arsitektur ini dengan menggabungkan templat Azure Resource Manager untuk konfigurasi semua sumber daya. Zona DNS pribadi dan publik mendukung manajemen penuh dari Azure CLI, PowerShell, .NET, dan REST API.
  • Jika Anda menggunakan integrasi berkelanjutan dan alur pengembangan berkelanjutan (CI/CD) untuk menyebarkan dan memelihara beban kerja di Azure dan lokal, Anda juga dapat mengonfigurasi pendaftaran otomatis rekaman DNS.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

  • Biaya zona Azure DNS dihitung berdasarkan jumlah zona DNS yang dihosting di Azure dan jumlah kueri DNS yang diterima.
  • Gunakan kalkulator harga Azure untuk memperkirakan biaya. Model harga untuk Azure DNS dijelaskan di sini.
  • Model penagihan untuk Azure ExpressRoute didasarkan pada paket data terukur, yang menagih Anda per gigabyte untuk transfer data keluar, atau data tak terbatas, yang mengenakan biaya bulanan termasuk semua transfer data.
  • Jika Anda menggunakan VPN, ketimbang tergantung pada ExpressRoute, biayanya tergantung pada SKU gateway jaringan virtual dan dikenakan biaya per jam.

Langkah berikutnya

Pelajari selengkapnya tentang teknologi komponen:

Jelajahi arsitektur terkait: