Arsitektur resolver privat

Artikel ini membahas dua opsi desain arsitektur yang tersedia untuk mengatasi nama DNS, termasuk zona DNS privat di seluruh jaringan Azure Anda menggunakan Azure DNS Private Resolver. Contoh konfigurasi disediakan bersama rekomendasi desain untuk pemecahan masalah DNS secara terpusat versus terdistribusi dalam topologi VNet hub dan spoke.

• Untuk gambaran umum Azure DNS Private Resolver, lihat Apa itu Azure DNS Private Resolver.
• Untuk informasi selengkapnya tentang komponen penyelesai privat, lihat Titik akhir dan aturan Azure DNS Private Resolver.

Arsitektur DNS terdistribusi

Pertimbangkan topologi VNet hub dan spoke berikut di Azure dengan resolver privat yang terletak di hub dan tautan ruleset ke VNet spoke. Hub dan spoke menggunakan DNS yang disediakan Azure di pengaturan VNet mereka:

Gambar 1: Arsitektur DNS terdistribusi menggunakan tautan set aturan

• VNet hub dikonfigurasi dengan ruang alamat 10.10.0.0/16.
• VNet spoke dikonfigurasi dengan rentang alamat 10.11.0.0/16.
• Zona DNS privat azure.contoso.com ditautkan ke VNet hub.
• Penyelesai privat dipasang di hub VNet.
  • Resolver privat memiliki satu titik akhir masuk dengan alamat IP 10.10.0.4.
  • Resolver privat memiliki satu endpoint keluar dan satu set aturan penerusan DNS terkait.
    • Kumpulan aturan penerusan DNS ditautkan ke VNet spoke.
    • Aturan set dikonfigurasi untuk meneruskan kueri untuk zona privat ke titik masuk.

Resolusi DNS di hub VNet: Tautan jaringan virtual dari zona privat ke Hub VNet memungkinkan sumber daya di dalam hub VNet untuk secara otomatis menyelesaikan catatan DNS di azure.contoso.com menggunakan DNS yang disediakan Azure (168.63.129.16). Semua namespace lainnya juga diselesaikan menggunakan DNS yang disediakan Azure. VNet hub tidak menggunakan aturan ruleset untuk mengatasi nama DNS karena tidak ditautkan ke ruleset. Untuk menggunakan aturan penerusan di VNet hub, buat dan tautkan set aturan lain ke Hub VNet.

Resolusi DNS di VNet spoke: Tautan jaringan virtual dari kumpulan aturan ke VNet spoke memungkinkan VNet spoke melakukan resolusi azure.contoso.com menggunakan aturan penerusan yang dikonfigurasi. Tautan dari zona privat ke VNet spoke tidak diperlukan di sini. Spoke VNet mengirimkan kueri untuk azure.contoso.com ke titik akhir masuk hub melalui DNS yang disediakan Azure karena ada aturan yang cocok dengan nama domain ini dalam kumpulan aturan tertaut. Kueri untuk namespace lain juga dapat diteruskan dengan mengonfigurasi aturan tambahan. Kueri DNS yang tidak cocok dengan aturan aturan tidak diteruskan dan diselesaikan menggunakan DNS yang disediakan Azure.

Penting

Dalam contoh konfigurasi ini, VNet hub harus ditautkan ke zona privat, tetapi tidak boleh ditautkan ke set aturan penerusan dengan aturan penerusan titik akhir masuk. Menautkan kumpulan aturan penerusan yang berisi aturan dengan titik akhir masuk sebagai tujuan ke VNet yang sama di mana titik akhir masuk disediakan dapat menyebabkan perulangan resolusi DNS.

Arsitektur DNS terpusat

Pertimbangkan topologi VNet hub dan spoke berikut ini, dengan titik akhir masuk yang disediakan sebagai DNS khusus di VNet spoke. VNet spoke menggunakan pengaturan DNS Kustom 10.10.0.4, yang sesuai dengan titik akhir masuk pemecah DNS pribadi Hub.

Gambar 2: Arsitektur DNS terpusat menggunakan DNS kustom

• VNet hub dikonfigurasi dengan ruang alamat 10.10.0.0/16.
• VNet spoke dikonfigurasi dengan ruang alamat 10.11.0.0/16.
• Zona DNS privat azure.contoso.com ditautkan ke VNet hub.
• Resolver privat terletak di hub VNet.
  • Resolver privat memiliki satu titik akhir masuk dengan alamat IP 10.10.0.4.
  • Resolver privat memiliki satu titik akhir keluar (opsional) dan set aturan penerusan DNS terkait.
    • Kumpulan aturan penerusan DNS ditautkan ke VNet hub.
    • Aturan tidak dikonfigurasi untuk meneruskan kueri untuk zona privat ke endpoint masuk.

Resolusi DNS di hub VNet: Tautan jaringan virtual dari zona privat ke Hub VNet memungkinkan sumber daya di dalam hub VNet untuk secara otomatis menyelesaikan catatan DNS di azure.contoso.com menggunakan DNS yang disediakan Azure (168.63.129.16). Jika dikonfigurasi, aturan-aturan menentukan bagaimana nama DNS diteruskan dan dipecahkan. Namespace yang tidak cocok dengan aturan set aturan diselesaikan tanpa diteruskan menggunakan DNS yang disediakan Azure.

Resolusi DNS di VNet spoke: Dalam contoh ini, VNet spoke mengirimkan semua lalu lintas DNS-nya ke titik akhir masuk di Hub VNet. Karena azure.contoso.com memiliki tautan jaringan virtual ke Hub VNet, semua sumber daya di Hub dapat menyelesaikan azure.contoso.com, termasuk titik akhir masuk (10.10.0.4). Dengan demikian, spoke menggunakan titik akhir masuk hub untuk menyelesaikan zona privat. Nama DNS lainnya dipecahkan untuk VNet spoke sesuai dengan aturan yang disediakan dalam set aturan penerusan, jika ada.

Nota

Dalam skenario arsitektur DNS terpusat, baik hub maupun VNet cabang dapat menggunakan seperangkat aturan yang terhubung ke hub secara opsional saat melakukan resolusi nama DNS. Ini karena semua lalu lintas DNS dari spoke VNet dikirim ke hub karena pengaturan DNS kustom VNet. Hub VNet tidak memerlukan titik akhir keluar atau set aturan di sini, tetapi jika disediakan dan ditautkan ke hub (seperti yang ditunjukkan pada Gambar 2), VNet hub dan spoke akan menggunakan aturan penerusan. Seperti disebutkan sebelumnya, penting bahwa aturan penerusan untuk zona privat tidak ada dalam set aturan karena konfigurasi ini dapat menyebabkan perulangan resolusi DNS.

Langkah berikutnya

• Tinjau komponen, keuntungan, dan persyaratan untuk Azure DNS Private Resolver.
• Pelajari cara membuat Azure DNS Private Resolver dengan menggunakan Azure PowerShell atau portal Azure.
• Pahami cara Mengatasi domain lokal dan Azure menggunakan Azure DNS Private Resolver.
• Pelajari Titik akhir dan set aturan Azure DNS Private Resolver.
• Pelajari cara Menyiapkan failover DNS menggunakan penyelesai privat
• Pelajari tentang beberapa kemampuan jaringan utama Azure lainnya.
• Modul pembelajaran: Pengantar Azure DNS.