Integrazione DNS del data center dell'hub di Azure Stack
Per poter accedere agli endpoint dell'hub di Azure Stack, ad esempio il portale, l'amministratore, la gestione e l'amministrazione dall'esterno dell'hub di Azure Stack, è necessario integrare i servizi DNS dell'hub di Azure Stack con i server DNS che ospitano le zone DNS che si desidera usare nell'hub di Azure Stack.
Spazio dei nomi DNS dell'hub di Azure Stack
Quando si distribuisce l'hub di Azure Stack è necessario specificare alcune informazioni importanti relative al DNS.
| Campo | Descrizione | Esempio |
|---|---|---|
| Region | Posizione geografica della distribuzione dell'hub di Azure Stack. | east |
| Nome di dominio esterno | Nome della zona da usare per la distribuzione dell'hub di Azure Stack. | cloud.fabrikam.com |
| Nome di dominio interno | Nome della zona interna usata per i servizi di infrastruttura nell'hub di Azure Stack. È privato e integrato nel servizio directory (non raggiungibile dall'esterno della distribuzione dell'hub di Azure Stack). | azurestack.local |
| Server d'inoltro DNS | Server DNS usati per inoltrare query DNS, zone DNS e record ospitati all'esterno dell'hub di Azure Stack, nella intranet aziendale o nella rete Internet pubblica. È possibile modificare il valore del server di inoltro DNS con il cmdlet Set-AzSDnsForwarder dopo la distribuzione. | |
| Prefisso di denominazione (facoltativo) | Prefisso di denominazione da usare per i nomi dei computer di istanza del ruolo nell'infrastruttura dell'hub di Azure Stack. Se non è specificato, il valore predefinito è azs. |
azs |
Il nome di dominio completo (FQDN) della distribuzione e degli endpoint dell'hub di Azure Stack è il risultato della combinazione del parametro Area e del parametro Nome di dominio esterno. Se si usano i valori degli esempi riportati nella tabella precedente, il nome di dominio completo per questa distribuzione dell'hub di Azure Stack sarà il seguente:
east.cloud.fabrikam.com
Di conseguenza, alcuni degli endpoint per questa distribuzione saranno simili agli URL seguenti:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
Per usare questo spazio dei nomi DNS di esempio per una distribuzione dell'hub di Azure Stack, devono essere soddisfatte le condizioni seguenti:
- La zona
fabrikam.comviene registrata con un registrar di dominio, un server DNS aziendale interno o entrambi, a seconda dei requisiti di risoluzione dei nomi. - Il dominio
cloud.fabrikam.comfiglio esiste sotto la zonafabrikam.com. - I server DNS che ospitano le zone
fabrikam.comecloud.fabrikam.compossono essere raggiunti dalla distribuzione dell'hub di Azure Stack.
Per risolvere i nomi DNS per gli endpoint e le istanze dell'hub di Azure Stack dall'esterno di tale hub, è necessario integrare i server DNS che ospitano la zona DNS esterna per l'hub di Azure Stack con i server DNS che ospitano la zona padre da usare.
Etichette dei nomi DNS
L'hub di Azure Stack supporta l'aggiunta di un'etichetta di nome DNS a un indirizzo IP pubblico per consentire la risoluzione dei nomi per gli indirizzi IP pubblici. Le etichette DNS sono un modo pratico per consentire agli utenti di raggiungere app e servizi ospitati nell'hub di Azure Stack in base al nome. L'etichetta del nome DNS usa uno spazio dei nomi leggermente diverso rispetto agli endpoint dell'infrastruttura. In base all'esempio precedente, lo spazio dei nomi per le etichette dei nomi DNS avrà l'aspetto seguente:
*.east.cloudapp.cloud.fabrikam.com
Pertanto, se un tenant indica un valore Myapp nel campo dell'etichetta del nome DNS di una risorsa indirizzo IP pubblico, viene creato un record A per myapp nella zona east.cloudapp.cloud.fabrikam.com nel server DNS esterno dell'hub di Azure Stack. Il nome di dominio completo risultante avrà l'aspetto seguente:
myapp.east.cloudapp.cloud.fabrikam.com
Se si vuole usare questa funzionalità e spazio dei nomi, è necessario integrare i server DNS che ospitano la zona DNS esterna per l'hub di Azure Stack con i server DNS che ospitano la zona padre da usare. Questo spazio dei nomi è diverso dallo spazio dei nomi per gli endpoint del servizio hub di Azure Stack, quindi è necessario creare un'altra delega o una regola di inoltro condizionale.
Per altre informazioni sul funzionamento dell'etichetta nome DNS, vedere Uso di DNS nell'hub di Azure Stack.
Risoluzione e delega
Esistono due tipi di server DNS:
- Un server DNS autorevole ospita le zone DNS. e risponde alle query DNS solo per i record presenti in tali zone.
- Un server DNS ricorsivo non ospita le zone DNS. ma risponde a tutte le query DNS, chiamando i server DNS autorevoli per raccogliere tutti i dati necessari.
L'hub di Azure Stack include server DNS autorevoli e ricorsivi. I server ricorsivi vengono usati per risolvere qualsiasi nome, ad eccezione di quelli della zona privata interna e della zona DNS pubblica esterna per la distribuzione dell'hub di Azure Stack.
Risoluzione dei nomi DNS esterni dall'hub di Azure Stack
Per risolvere i nomi DNS per gli endpoint esterni all'hub di Azure Stack(ad esempio: www.bing.com), è necessario fornire server DNS che l'hub di Azure Stack può usare per inoltrare richieste DNS per cui l'hub di Azure Stack non è autorevole. Per la distribuzione, i server DNS a cui l'hub di Azure Stack inoltra le richieste sono necessarie nel foglio di lavoro di distribuzione (nel campo Inoltro DNS ). Specificare almeno due server in questo campo per assicurare la tolleranza di errore. Senza questi valori, la distribuzione dell'hub di Azure Stack non riesce. È possibile modificare i valori di inoltro DNS con il cmdlet dopo la Set-AzSDnsForwarder distribuzione.
Se i server di inoltro DNS esterni non sono in grado di risolvere una richiesta DNS inoltrata dall'hub di Azure Stack, per impostazione predefinita il servizio di risoluzione ricorsiva DNS interno tenta di contattare i server di hint radice DNS. Questo comportamento di fallback è coerente con gli standard di risoluzione dei nomi del server DNS. I server di hint radice Internet vengono usati per risolvere le informazioni sull'indirizzo DNS quando i server di inoltro DNS non sono in grado di risolvere la query localmente da una zona ospitata o dalla cache del server DNS.
Per gestire l'impostazione degli hint radice DNS per il servizio di risoluzione dei nomi DNS interno all'interno dell'hub di Azure Stack, usare il Get-AzSDnsServerSettings cmdlet per visualizzare la configurazione corrente. L'impostazione predefinita è abilitata. Il Set-AzSDnsServerSettings cmdlet abilita o disabilita la configurazione -UseRootHint dei server DNS interni.
Nota
Per gli scenari in cui l'hub di Azure Stack non è in grado di contattare i server di hint radice DNS Internet, ad esempio la porta UDP 53 (DNS), in cui l'accesso alla rete è bloccato definitivamente o completamente disconnesso/air-gapped, è consigliabile disabilitare l'impostazione -UseRootHint per impedire timeout estesi nella risoluzione dei nomi DNS. Usare il Set-AzSDnsServerSettings cmdlet per controllare questa impostazione.
Configurare l'inoltro DNS condizionale
Importante
Questo vale solo per una distribuzione di AD FS.
Per abilitare la risoluzione dei nomi con l'infrastruttura DNS esistente, configurare l'inoltro condizionale.
Per aggiungere un server d'inoltro condizionale, è necessario usare l'endpoint con privilegi.
Per questa procedura usare un computer nella rete del data center in grado di comunicare con l'endpoint con privilegi nell'hub di Azure Stack.
Aprire una sessione di Windows PowerShell con privilegi elevati (eseguita come amministratore) e connettersi all'indirizzo IP dell'endpoint con privilegi. Usare le credenziali per l'autenticazione CloudAdmin.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credDopo aver eseguito la connessione all'endpoint con privilegi, eseguire il comando di PowerShell seguente. Sostituire i valori di esempio specificati con il nome di dominio e gli indirizzi IP dei server DNS da usare.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Risoluzione dei nomi DNS dell'hub di Azure Stack dall'esterno dell'hub di Azure Stack
I server autorevoli sono quelli che contengono le informazioni sulla zona DNS esterna e tutte le zone create dall'utente. Eseguire l'integrazione con questi server per abilitare la delega della zona o l'inoltro condizionale in modo da risolvere i nomi DNS dell'hub di Azure Stack dall'esterno dell'hub di Azure Stack.
Ottenere informazioni sull'endpoint esterno del server DNS
Per integrare la distribuzione dell'hub di Azure Stack con l'infrastruttura DNS, sono necessarie le informazioni seguenti:
- FQDN del server DNS
- Indirizzi IP del server DNS
I nomi di dominio completi per i server DNS dell'hub di Azure Stack hanno il formato seguente:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
Se si usano i valori di esempio, gli FQDN per i server DNS sono:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Queste informazioni vengono create anche alla fine di tutte le distribuzioni dell'hub di Azure Stack in un file denominato AzureStackStampInformation.json, che si trova nella cartella C:\CloudDeployment\logs della macchina virtuale di distribuzione. Se non si è certi dei valori usati per la distribuzione dell'hub di Azure Stack, è possibile ottenerli da tale file.
Se la macchina virtuale di distribuzione non è più disponibile o non è accessibile, è possibile ottenere i valori connettendosi all'endpoint con privilegi ed eseguendo il Get-AzureStackStampInformation cmdlet di PowerShell. Per altre informazioni, vedere endpoint con privilegi.
Configurazione dell'inoltro condizionale all'hub di Azure Stack
Il modo più semplice e sicuro per integrare l'hub di Azure Stack con l'infrastruttura DNS consiste nell'eseguire l'inoltro condizionale della zona dal server che ospita la zona padre. Questo approccio è consigliato se si ha il controllo diretto sui server DNS che ospitano la zona padre per lo spazio dei nomi DNS esterno dell'hub di Azure Stack.
Se non si ha familiarità con l'inoltro condizionale con DNS, vedere l'articolo TechNet seguente: Assegnare un forwarder condizionale per un nome di dominio o la documentazione specifica per la soluzione DNS.
Negli scenari in cui è stata specificata la zona DNS dell'hub di Azure Stack esterna per essere simile a un dominio figlio del nome di dominio aziendale, l'inoltro condizionale non può essere usato. La delega DNS deve essere configurata.
Esempio:
- Nome di dominio DNS aziendale:
contoso.com - Nome di dominio DNS esterno dell'hub di Azure Stack:
azurestack.contoso.com
Modifica degli indirizzi IP del server di inoltro DNS
Gli indirizzi IP del server di inoltro DNS vengono impostati durante la distribuzione dell'hub di Azure Stack. Tuttavia, se gli INDIRIZZI IP del server di inoltro devono essere aggiornati per qualsiasi motivo, è possibile modificare i valori connettendosi all'endpoint con privilegi ed eseguendo i Get-AzSDnsForwarder cmdlet e Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell. Per altre informazioni, vedere endpoint con privilegi.
Delega della zona DNS esterna all'hub di Azure Stack
Per risolvere i nomi DNS dall'esterno di una distribuzione dell'hub di Azure Stack, è necessario configurare la delega DNS.
Ogni registrar prevede i propri strumenti di gestione DNS per modificare i record del server dei nomi per un dominio. Nella pagina di gestione DNS del registrar modificare i record NS e sostituire i record NS per la zona con quelli nell'hub di Azure Stack.
La maggior parte dei registrar DNS richiede di fornire almeno due server DNS per completare la delega.