Azure とオンプレミスのドメインを解決する

ハイブリッド DNS 解決

この記事では、Azure DNS Private Resolver と DNS 転送ルールセットを使用してハイブリッド DNS 解決を構成する方法について説明します。 このシナリオでは、Azure DNS リソースは、VPN または ExpressRoute 接続を使用してオンプレミス ネットワークに接続されます。

ここでは、ハイブリッド DNS 解決を、Azure リソースでオンプレミス ドメインを解決できるようにし、オンプレミス DNS で Azure プライベート DNS ゾーンを解決できるようにすることとして定義します。

Azure DNS Private Resolver

Azure DNS Private Resolver は、Azure DNS プライベート ゾーンのオンプレミス DNS クエリを解決できるようにするサービスです。 以前は、VM ベースのカスタム DNS リゾルバーをデプロイするか、Microsoft 以外の DNS、DHCP、IPAM (DDI) ソリューションを使用してこの機能を実行する必要がありました。

VM ベースのリゾルバーや DDI ソリューションではなく、Azure DNS Private Resolver サービスを使用することには、以下のような利点があります。

• メンテナンスの必要なし: VM またはハードウェア ベースのソリューションとは異なり、このプライベート リゾルバーでは、ソフトウェア更新プログラム、脆弱性スキャン、セキュリティ修正プログラムの適用が必要ありません。 プライベート リゾルバー サービスはフル マネージドのサービスです。
• コスト削減: Azure DNS Private Resolver はマルチテナント サービスであり、複数の VM ベースの DNS リゾルバーを使用し、ライセンスを取得するのにかかる費用の何分の 1 かで済みます。
• 高可用性: Azure DNS Private Resolver サービスには、組み込みの高可用性機能があります。 このサービスは可用性ゾーンに対応しているため、DNS ソリューションの高可用性と冗長性をはるかに少ない労力で実現できます。 プライベート リゾルバー サービスを使用して DNS フェールオーバーを構成する方法の詳細については、「チュートリアル: プライベート リゾルバーを使用して DNS フェールオーバーを設定する」を参照してください。
• DevOps フレンドリー: 従来の DNS ソリューションは DevOps ワークフローと統合するのが容易ではありません。多くの場合、DNS の変更ごとに手動で構成する必要があります。 Azure DNS Private Resolver は、DevOps ワークフローと簡単に統合できる、完全に機能する ARM インターフェイスを提供します。

DNS 転送ルールセット

DNS 転送ルールセットは、特定の DNS 名前空間のクエリに応答する 1 つ以上のカスタム DNS サーバーを指定する一連のルールです。 詳細については、「Azure DNS Private Resolver エンドポイントとルールセット」を参照してください。

手順

この記事の以下の手順は、ハイブリッド DNS を有効にしてテストするために使用されます。

• Azure DNS プライベート ゾーンを作成する
• Azure DNS Private Resolver を作成する
• Azure DNS 転送ルールセットを構成する
• オンプレミスの DNS 条件付きフォワーダーを構成する
• ハイブリッド DNS のデモンストレーションを行う

Azure DNS プライベート ゾーンを作成する

テストに使用するリソース レコードを少なくとも 1 つ含むプライベート ゾーンを作成します。 プライベート ゾーンの作成に役立つ次のクイックスタートを使用できます。

• プライベート ゾーンを作成する - ポータル
• プライベート ゾーンを作成する - PowerShell
• プライベート ゾーンを作成する - CLI

この記事では、プライベート ゾーン azure.contoso.com とリソース レコード テストを使用します。 現在のデモンストレーションでは、自動登録は必要ありません。

重要

この例では、再帰サーバーを使用してオンプレミスから Azure にクエリを転送します。 親ゾーン (contoso.com) に対してサーバーが権限を持つ場合、azure.contoso.com の委任を最初に作成しない限り、転送はできません。

要件: Azure DNS Private Resolver をデプロイする仮想ネットワークへの仮想ネットワーク リンクをゾーンに作成する必要があります。 次の例では、このプライベート ゾーンは 2 つの仮想ネットワーク (myeastvnet と mywestvnet) にリンクされています。 少なくとも 1 つのリンクが必要です。

Azure DNS Private Resolver を作成する

プライベートリゾルバーの作成に役立つ次のクイックスタートを使用できます。 これらのクイックスタートでは、リソース グループ、仮想ネットワーク、Azure DNS Private Resolver の作成について順を追って説明します。 受信エンドポイント、送信エンドポイント、DNS 転送ルールセットを構成する手順は、次のとおりです。

• プライベート リゾルバーを作成する - ポータル
• プライベート リゾルバーを作成する - PowerShell

完了したら、Azure DNS Private Resolver の受信エンドポイントの IP アドレスを書き留めます。 この例の IP アドレスは 10.10.0.4 です。 この IP アドレスは、後でオンプレミスの DNS 条件付きフォワーダーを構成するために使用されます。

Azure DNS 転送ルールセットを構成する

プライベート リゾルバーと同じリージョンに転送ルールセットを作成します。 2 つのルールセットを次の例に示します。 このハイブリッド DNS のデモンストレーションには、米国東部リージョンのルールセットが使用されます。

要件: プライベート リゾルバーがデプロイされている仮想ネットワークへの仮想ネットワーク リンクを作成する必要があります。 次の例では、2 つの仮想ネットワーク リンクが存在しています。 myeastvnet-link リンクは、プライベート リゾルバーがプロビジョニングされているハブ仮想ネットワークに作成されます。 また、独自のプライベート リゾルバーを持たないスポーク仮想ネットワークでハイブリッド DNS 解決を提供する仮想ネットワーク myeastspoke-link リンクもあります。 スポーク ネットワークはハブ ネットワークとピアリングするため、プライベート リゾルバーを使用できます。 現在のデモンストレーションでは、スポーク仮想ネットワーク リンクは必要ありません。

次に、オンプレミス ドメイン用のルールセットにルールを作成します。 この例では、contoso.com を使用します。 ルールの宛先 IP アドレスをオンプレミスの DNS サーバーの IP アドレスに設定します。 この例では、オンプレミスの DNS サーバーは 10.100.0.2 です。 ルールが [有効] になっていることを確認します。

注意

受信エンドポイント IP アドレスを使用するように仮想ネットワークの DNS 設定を変更しないでください。 既定の DNS 設定のままにします

オンプレミスの DNS 条件付きフォワーダーを構成する

オンプレミス DNS を構成する手順は、使用している DNS サーバーの種類によって異なります。 次の例では、10.100.0.2 の Windows DNS サーバーが、プライベート DNS ゾーン azure.contoso.com の条件付きフォワーダーで構成されています。 条件付きフォワーダーは、Azure DNS Private Resolver の受信エンドポイント IP アドレスである 10.10.0.4 にクエリを転送するように設定されています。 DNS フェールオーバーを有効にするために、ここに別の IP アドレスも構成されています。 フェールオーバーの有効化の詳細については、「チュートリアル: プライベート リゾルバーを使用して DNS フェールオーバーを設定する」を参照してください。 このデモンストレーションでは、10.10.0.4 受信エンドポイントのみが必要です。

ハイブリッド DNS のデモンストレーションを行う

Azure DNS Private Resolver がプロビジョニングされている仮想ネットワーク内にある VM を使用して、オンプレミス ドメイン内のリソース レコードに対して DNS クエリを発行します。 この例では、レコード testdns.contoso.com に対してクエリが実行されます。

クエリのパスは、Azure DNS > 受信エンドポイント > 送信エンドポイント > contoso.com 用のルールセットのルール > オンプレミス DNS (10.100.0.2) です。 10.100.0.2 の DNS サーバーはオンプレミスの DNS リゾルバーですが、権限のある DNS サーバーになる場合もあります。

オンプレミスの VM またはデバイスを使用して、Azure プライベート DNS ゾーン内のリソース レコードに対して DNS クエリを発行します。 この例では、レコード test.azure.contoso.com に対してクエリが実行されます。

このクエリのパスは、クライアントの既定の DNS リゾルバー (10.100.0.2) > azure.contoso.com のオンプレミス条件付きフォワーダー ルール > 受信エンドポイント (10.10.0.4) です。

次のステップ

• Azure DNS Private Resolver のコンポーネント、利点、要件を確認します。
• Azure PowerShell または Azure portal を使用して Azure DNS Private Resolver を作成する方法を確認します。
• Azure DNS Private Resolver を使用して Azure ドメインとオンプレミス ドメインを解決する方法について学習します。
• Azure DNS Private Resolver のエンドポイントとルールセットについて学習します。
• プライベート リゾルバーを使用して DNS フェールオーバーを設定する方法について学習します。
• Azure のその他の重要なネットワーク機能について参照してください。
• Learn モジュール: Azure DNS の概要。