Architettura del resolver privato

Questo articolo illustra due opzioni di progettazione dell'architettura disponibili per risolvere i nomi DNS, incluse le zone DNS private nella rete di Azure usando un Resolver privato DNS di Azure. Le configurazioni di esempio vengono fornite con raccomandazioni di progettazione per la risoluzione DNS centralizzata e distribuita in una topologia di rete virtuale hub-spoke.

• Per una panoramica del Resolver privato DNS di Azure, vedere Informazioni sul Resolver privato DNS di Azure.
• Per altre informazioni sui componenti del resolver privato, vedere endpoint e set di regole del Resolver privato DNS di Azure.

Architettura DNS distribuita

Si consideri la topologia di rete virtuale hub-spoke seguente in Azure con un resolver privato che si trova nell'hub e un collegamento del set di regole alla rete virtuale spoke. Sia l'hub che lo spoke usano il DNS fornito da Azure nelle impostazioni della rete virtuale:

Figura 1: architettura DNS distribuita tramite collegamenti al set di regole

• Una rete virtuale hub è configurata con lo spazio indirizzi 10.10.0.0/16.
• Una rete virtuale spoke è configurata con lo spazio indirizzi 10.11.0.0/16.
• Una zona DNS privato azure.contoso.com è collegata alla rete virtuale hub.
• Viene effettuato il provisioning di un resolver privato nella rete virtuale hub.
  • Il resolver privato ha un endpoint in ingresso con un indirizzo IP 10.10.0.4.
  • Il resolver privato ha un endpoint in uscita e un set di regole di inoltro DNS associato.
    • Il set di regole di inoltro DNS è collegato alla rete virtuale spoke.
    • Una regola del set di regole è configurata per inoltrare le query per la zona privata all'endpoint in ingresso.

Risoluzione DNS nella rete virtuale hub: il collegamento di rete virtuale dalla zona privata alla rete virtuale hub consente alle risorse all'interno della rete virtuale hub di risolvere automaticamente i record DNS in azure.contoso.com usando il DNS fornito da Azure (168.63.129.16). Tutti gli altri spazi dei nomi vengono risolti anche usando il DNS fornito da Azure. La rete virtuale hub non usa regole del set di regole per risolvere i nomi DNS perché non è collegata al set di regole. Per usare le regole di inoltro nella rete virtuale hub, creare e collegare un altro set di regole alla rete virtuale hub.

Risoluzione DNS nella rete virtuale spoke: il collegamento di rete virtuale dal set di regole alla rete virtuale spoke consente alla rete virtuale spoke di risolvere azure.contoso.com usando la regola di inoltro configurata. Non è necessario un collegamento dalla zona privata alla rete virtuale spoke. La rete virtuale spoke invia query per azure.contoso.com all'endpoint in ingresso dell'hub tramite il DNS fornito da Azure perché esiste una regola corrispondente a questo nome di dominio nel set di regole collegato. Le query per altri spazi dei nomi possono anche essere inoltrate configurando regole aggiuntive. Le query DNS che non corrispondono a una regola del set di regole non vengono inoltrate e vengono risolte tramite DNS fornito da Azure.

Importante

In questa configurazione di esempio la rete virtuale hub deve essere collegata alla zona privata, ma non deve essere collegata a un set di regole di inoltro con una regola di inoltro dell'endpoint in ingresso. Il collegamento di un set di regole di inoltro contenente una regola con l'endpoint in ingresso come destinazione alla stessa rete virtuale in cui viene effettuato il provisioning dell'endpoint in ingresso può causare cicli di risoluzione del DNS.

Architettura DNS centralizzata

Si consideri la topologia di rete virtuale hub-spoke seguente con un endpoint in ingresso di cui è stato effettuato il provisioning come DNS personalizzato nella rete virtuale spoke. La rete virtuale spoke usa un'impostazione DNS personalizzata 10.10.0.4, corrispondente all'endpoint in ingresso del resolver privato dell'hub:

Figura 2: architettura DNS centralizzata con DNS personalizzato

• Una rete virtuale hub è configurata con lo spazio indirizzi 10.10.0.0/16.
• Una rete virtuale spoke è configurata con lo spazio indirizzi 10.11.0.0/16.
• Una zona DNS privato azure.contoso.com è collegata alla rete virtuale hub.
• Un resolver privato si trova nella rete virtuale hub.
  • Il resolver privato ha un endpoint in ingresso con un indirizzo IP 10.10.0.4.
  • Il resolver privato ha un endpoint in uscita (facoltativo) e un set di regole di inoltro DNS associato.
    • Il set di regole di inoltro DNS è collegato alla rete virtuale hub.
    • Una regola del set di regole non è configurata per inoltrare query per la zona privata all'endpoint in ingresso.

Risoluzione DNS nella rete virtuale hub: il collegamento di rete virtuale dalla zona privata alla rete virtuale hub consente alle risorse all'interno della rete virtuale hub di risolvere automaticamente i record DNS in azure.contoso.com usando il DNS fornito da Azure (168.63.129.16). Se configurate, le regole del set di regole determinano il modo in cui i nomi DNS vengono inoltrati e risolti. Gli spazi dei nomi che non corrispondono a una regola del set di regole vengono risolti senza inoltro tramite DNS fornito da Azure.

Risoluzione DNS nella rete virtuale spoke: in questo esempio la rete virtuale spoke invia tutto il traffico DNS all'endpoint in ingresso nella rete virtuale hub. Poiché azure.contoso.com ha un collegamento di rete virtuale alla rete virtuale hub, tutte le risorse nell'hub possono risolvere azure.contoso.com, incluso l'endpoint in ingresso (10.10.0.4). Pertanto, lo spoke usa l'endpoint in ingresso dell'hub per risolvere la zona privata. Altri nomi DNS vengono risolti per la rete virtuale spoke in base alle regole di cui è stato effettuato il provisioning in un set di regole di inoltro, se presenti.

Nota

Nello scenario di architettura DNS centralizzata, sia l'hub che le reti virtuali spoke possono usare il set di regole facoltativo collegato all'hub durante la risoluzione dei nomi DNS. Ciò avviene perché tutto il traffico DNS dalla rete virtuale spoke viene inviato all'hub grazie all'impostazione DNS personalizzata della rete virtuale. La rete virtuale hub non richiede un endpoint o un set di regole in uscita, ma se ne viene effettuato il provisioning e il collegamento all'hub (come illustrato nella figura 2), le reti virtuali hub e spoke useranno le regole di inoltro. Come accennato in precedenza, è importante che una regola di inoltro per la zona privata non sia presente nel set di regole perché questa configurazione può causare un ciclo di risoluzione DNS.

Passaggi successivi

• Esaminare i componenti, i vantaggi e i requisiti per il Resolver privato DNS di Azure.
• Informazioni su come creare un servizio Resolver privato DNS di Azure usando Azure PowerShell o il portale di Azure.
• Informazioni su come Risolvere i domini di Azure e locali usando il servizio Resolver privato DNS di Azure.
• Informazioni su Endpoint e set di regole del servizio Resolver privato DNS di Azure.
• Informazioni su come Configurare il failover DNS usando i resolver privati
• Informazioni su alcune altre funzionalità di rete chiave di Azure.
• Modulo di Learn: Introduzione a DNS di Azure.