Azure Firewall DNS プロキシの詳細
Azure Firewall が DNS プロキシとして機能するように構成できます。 DNS プロキシは、クライアント仮想マシンから DNS サーバーへの DNS 要求の仲介役です。
次の情報では、Azure Firewall DNS プロキシの実装の詳細について説明します。
複数の A レコードを持つ FQDN
Azure Firewall は標準 DNS クライアントとして機能します。 複数の A レコードが応答内にある場合、ファイアウォールはすべてのレコードをキャッシュに格納し、応答としてクライアントに提供します。 応答ごとに 1 つのレコードがある場合、ファイアウォールは 1 つのレコードのみを格納します。 クライアントが応答で 1 つ以上の A レコードを期待する必要がある場合、クライアントが前もって知る方法はありません。
FQDN の有効期間 (TTL)
FQDN TTL (有効期間) の有効期限が近い場合、レコードはキャッシュされ、その TTL に従って期限切れになります。 プリフェッチは使用されません。そのため、TTL の有効期限の前に、レコードを更新するためにファイアウォールで検索を実行することはありません。
ファイアウォール DNS プロキシを使用するように構成されていないクライアント
ファイアウォール DNS プロキシではない DNS サーバーを使用するようにクライアント コンピューターが構成されている場合、結果は予測できない可能性があります。
たとえば、クライアント ワークロードが米国東部であり、米国東部でホストされているプライマリ DNS サーバーを使用するとします。 Azure Firewall DNS サーバーの設定は、米国西部でホストされているセカンダリ DNS サーバーに対して構成されます。 米国西部でホストされているファイアウォールの DNS サーバーは、米国東部のクライアントとは異なる応答になります。
これは一般的なシナリオであり、クライアントがファイアウォールの DNS プロキシ機能を使用しなければならない理由です。 ネットワーク規則で FQDN を使う場合、クライアントはファイアウォールをリゾルバーとして使う必要があります。 クライアントとファイアウォール自体によって、IP アドレス解決の一貫性を確保できます。
この例では、FQDN がネットワーク規則で構成されている場合、ファイアウォールは FQDN を IP1 (IP アドレス 1) に解決し、IP1 へのアクセスを許可するようにネットワーク規則を更新します。 DNS 応答の違いにより、クライアントが同じ FQDN を IP2 に解決した場合、その接続試行はファイアウォールの規則と一致しないので、拒否されます。
アプリケーション規則の HTTP/S FQDN の場合、ファイアウォールはホストまたは SNI ヘッダーから FQDN を解析して解決し、その IP アドレスに接続します。 クライアントが接続しようとしていた宛先 IP アドレスは無視されます。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示