Bagikan melalui

Layanan DNS Internal (iDNS) untuk SDN

Jika Anda bekerja untuk Penyedia Layanan Cloud (CSP) atau Enterprise yang berencana untuk menyebarkan Software Defined Networking (SDN) di Windows Server, Anda dapat menyediakan layanan DNS ke beban kerja penyewa yang dihosting dengan menggunakan DNS Internal (iDNS), yang terintegrasi dengan SDN.

Komputer virtual yang dihosting (VM) dan aplikasi mengharuskan DNS untuk berkomunikasi dalam jaringan mereka sendiri dan dengan sumber daya eksternal di Internet. Dengan iDNS, Anda dapat menyediakan layanan resolusi nama DNS untuk ruang nama lokal yang terisolasi dan untuk sumber daya Internet.

Karena layanan iDNS tidak dapat diakses dari Virtual Network penyewa, selain melalui proksi iDNS, server tidak rentan terhadap aktivitas berbahaya di jaringan penyewa.

Key Features

Berikut ini adalah fitur utama untuk iDNS.

  • Menyediakan layanan resolusi nama DNS bersama untuk beban kerja penyewa
  • Layanan DNS otoritatif untuk resolusi nama dan pendaftaran DNS dalam ruang nama penyewa
  • Layanan DNS rekursif untuk resolusi nama Internet dari VM penyewa.
  • Jika diinginkan, Anda dapat mengonfigurasi hosting simultan nama fabric dan penyewa
  • Solusi DNS hemat biaya - penyewa tidak perlu menyebarkan infrastruktur DNS mereka sendiri
  • Ketersediaan tinggi dengan integrasi Direktori Aktif, yang diperlukan.

Selain fitur-fitur ini, jika Anda khawatir tentang menjaga server DNS terintegrasi AD Anda tetap terbuka ke Internet, Anda dapat menyebarkan server iDNS di belakang pemecah masalah rekursif lain di jaringan sekitar.

Karena iDNS adalah server terpusat untuk semua kueri DNS, CSP atau Enterprise juga dapat menerapkan firewall DNS penyewa, menerapkan filter, mendeteksi aktivitas berbahaya, dan mengaudit transaksi di lokasi pusat

iDNS Infrastructure

Infrastruktur iDNS mencakup Server iDNS dan proksi iDNS.

iDNS Servers

iDNS menyertakan sekumpulan server DNS yang menghosting data khusus penyewa, seperti Catatan Sumber Daya DNS VM.

Server iDNS adalah server otoritatif untuk zona DNS internalnya, dan juga bertindak sebagai penyelesai untuk nama publik saat VM penyewa mencoba menyambungkan ke sumber daya eksternal.

Semua nama host untuk VM di Virtual Network disimpan sebagai Rekaman Sumber Daya DNS di bawah zona yang sama. Misalnya, jika Anda menyebarkan iDNS untuk zona bernama contoso.local, Catatan Sumber Daya DNS untuk VM di jaringan tersebut disimpan di zona contoso.local.

Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) VM Penyewa terdiri dari nama komputer dan string akhiran DNS untuk Virtual Network, dalam format GUID. For example, if you have a tenant VM named TENANT1 that is on the Virtual Network contoso,local, the VM's FQDN is TENANT1.vn-guid.contoso.local, where vn-guid is the DNS suffix string for the Virtual Network.

Note

Jika Anda adalah administrator fabric, Anda dapat menggunakan infrastruktur CSP atau Enterprise DNS Anda sebagai server iDNS alih-alih menyebarkan server DNS baru khusus untuk digunakan sebagai server iDNS. Baik Anda menyebarkan server baru untuk iDNS atau Anda menggunakan infrastruktur yang ada, iDNS bergantung pada Direktori Aktif untuk memberikan ketersediaan tinggi. Oleh karena itu, server iDNS Anda harus diintegrasikan dengan Direktori Aktif.

iDNS Proxy

Proksi iDNS adalah layanan Windows yang berjalan di setiap host, dan yang meneruskan lalu lintas DNS Virtual Network penyewa ke Server iDNS.

Ilustrasi berikut menggambarkan jalur lalu lintas DNS dari Jaringan Virtual penyewa melalui proksi iDNS ke Server iDNS dan Internet.

iDNS Infrastructure

Cara Menyebarkan iDNS

Saat Anda menyebarkan SDN di Windows Server 2016 dengan menggunakan skrip, iDNS secara otomatis disertakan dalam penyebaran Anda.

Untuk informasi selengkapnya, lihat topik berikut.

Memahami Langkah-Langkah Penyebaran iDNS

Anda dapat menggunakan bagian ini untuk mendapatkan pemahaman tentang bagaimana iDNS diinstal dan dikonfigurasi saat Anda menyebarkan SDN menggunakan skrip.

Berikut ini adalah ringkasan langkah-langkah yang diperlukan untuk menyebarkan iDNS.

Note

Jika Anda telah menyebarkan SDN dengan menggunakan skrip, Anda tidak perlu melakukan salah satu langkah ini. Langkah-langkahnya disediakan hanya untuk tujuan informasi dan pemecahan masalah.

Langkah 1: Sebarkan DNS

Anda bisa menyebarkan server DNS dengan menggunakan contoh perintah Windows PowerShell berikut.

Install-WindowsFeature DNS -IncludeManagementTools

Langkah 2: Mengonfigurasi informasi iDNS di Pengontrol Jaringan

Segmen skrip ini adalah panggilan REST yang dilakukan oleh administrator ke Network Controller, menginformasikannya tentang konfigurasi zona iDNS - seperti alamat IP iDNSServer dan zona yang digunakan untuk menghosting nama iDNS.

Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
{
      "properties": {
        "connections": [
          {
            "managementAddresses": [
              "10.0.0.9"
            ],
            "credential": {
              "resourceRef": "/credentials/iDnsServer-Credentials"
            },
            "credentialType": "usernamePassword"
          }
        ],
        "zone": "contoso.local"
      }
    }

Note

This is an excerpt from the section Configuration ConfigureIDns in SDNExpress.ps1. Untuk informasi selengkapnya, lihat Menyebarkan infrastruktur Jaringan yang Ditentukan Perangkat Lunak menggunakan skrip.

Langkah 3: Mengonfigurasi Layanan Proksi iDNS

Layanan Proksi iDNS berjalan pada setiap host Hyper-V, menyediakan jembatan antara jaringan virtual penyewa dan jaringan fisik tempat server iDNS berada. Kunci registri berikut harus dibuat pada setiap host Hyper-V.

DNS port: Fixed port 53

  • Kunci Registri = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "Port"
  • Data Nilai = 53
  • ValueType="Dword"

Port Proksi DNS: Port tetap 53

  • Kunci Registri = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "ProxyPort"
  • Data Nilai = 53
  • ValueType="Dword"

DNS IP: Fixed IP address configured on the network interface, in case the tenant chooses to use the iDNS service

  • Kunci Registri = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • NamaNilai = "IP"
  • ValueData = "169.254.169.254"
  • ValueType = "String"

Mac Address: Media Access Control address of the DNS server

  • Kunci Registri = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
  • ValueName = "MAC"
  • ValueData = "aa-bb-cc-aa-bb-cc"
  • ValueType = "String"

Alamat Server IDNS: Daftar Server iDNS yang dipisahkan koma.

  • Kunci Registri: HKLM\SYSTEM\CurrentControlSet\Services\DNSProxy\Parameters
  • ValueName = "Penerusan"
  • ValueData = "10.0.0.9"
  • ValueType = "String"

Note

This is an excerpt from the section Configuration ConfigureIDnsProxy in SDNExpress.ps1. Untuk informasi selengkapnya, lihat Menyebarkan infrastruktur Jaringan yang Ditentukan Perangkat Lunak menggunakan skrip.

Langkah 4: Mulai ulang Layanan Agen Host Pengontrol Jaringan

Anda dapat menggunakan perintah Windows PowerShell berikut untuk memulai ulang Layanan Agen Host Pengontrol Jaringan.

Restart-Service nchostagent -Force

For more information, see Restart-Service.

Mengaktifkan aturan firewall untuk layanan proksi DNS

Anda dapat menggunakan perintah Windows PowerShell berikut untuk membuat aturan firewall yang memungkinkan pengecualian bagi proksi untuk berkomunikasi dengan VM dan server iDNS.

Enable-NetFirewallRule -DisplayGroup 'DNS Proxy Firewall'

For more information, see Enable-NetFirewallRule.

Memvalidasi Layanan iDNS

Untuk memvalidasi Layanan iDNS, Anda harus menyebarkan beban kerja penyewa sampel.

Untuk informasi selengkapnya, lihat Membuat VM dan Menyambungkan ke Jaringan Virtual Penyewa atau VLAN.

Jika Anda ingin VM penyewa menggunakan layanan iDNS, Anda harus membiarkan konfigurasi Server DNS antarmuka jaringan VM kosong dan mengizinkan antarmuka untuk menggunakan DHCP.

Setelah VM dengan antarmuka jaringan seperti itu dimulai, ia secara otomatis menerima konfigurasi yang memungkinkan VM untuk menggunakan iDNS, dan VM segera mulai melakukan resolusi nama dengan menggunakan layanan iDNS.

Jika Anda mengonfigurasi VM penyewa untuk menggunakan layanan iDNS dengan membiarkan server DNS antarmuka jaringan dan informasi Server DNS Alternatif kosong, Pengontrol Jaringan menyediakan VM dengan alamat IP, dan melakukan pendaftaran nama DNS atas nama VM dengan Server iDNS.

Pengontrol Jaringan juga menginformasikan proksi iDNS tentang VM dan detail yang diperlukan untuk melakukan resolusi nama untuk VM.

Saat VM memulai kueri DNS, proksi bertindak sebagai penerus kueri dari Virtual Network ke layanan iDNS.

Proksi DNS juga memastikan bahwa kueri VM penyewa terisolasi. Jika server iDNS berwenang untuk kueri, server iDNS merespons dengan respons otoritatif. Jika server iDNS tidak otoritatif untuk kueri, server melakukan rekursi DNS untuk mengatasi nama Internet.

Note

This information is included in the section Configuration AttachToVirtualNetwork in SDNExpressTenant.ps1. Untuk informasi selengkapnya, lihat Menyebarkan infrastruktur Jaringan yang Ditentukan Perangkat Lunak menggunakan skrip.