Azure Stack Hub データセンターの DNS の統合
Azure Stack Hub の外部から、portal、adminportal、management、adminmanagement などの Azure Stack Hub エンドポイントにアクセスできるようにするには、Azure Stack Hub DNS サービスを、Azure Stack Hub で使用したい DNS ゾーンをホストする DNS サーバーと統合する必要があります。
Azure Stack Hub の DNS 名前空間
Azure Stack Hub をデプロイするときに、DNS に関するいくつかの重要な情報を指定する必要があります。
フィールド | 説明 | 例 |
---|---|---|
リージョン | Azure Stack Hub のデプロイの地理的な場所。 | east |
外部ドメイン名 | Azure Stack Hub のデプロイに使用したいゾーンの名前。 | cloud.fabrikam.com |
内部ドメイン名 | Azure Stack Hub でのインフラストラクチャ サービスに使用される内部ゾーンの名前。 ディレクトリ サービスと統合されており、プライベートになっています (Azure Stack Hub デプロイの外部からは到達できません)。 | azurestack.local |
DNS フォワーダー | Azure Stack Hub の外部 (企業イントラネットまたはパブリック インターネット上のどちらか) でホストされている DNS クエリ、DNS ゾーンおよびレコードを転送するために使用される DNS サーバー。 デプロイ後に Set-AzSDnsForwarder コマンドレット を使用して、DNS フォワーダーの値を編集できます。 | |
名前付けのプレフィックス (省略可能) | Azure Stack Hub インフラストラクチャ ロール インスタンス マシン名に使用する、名前付けのプレフィックス。 指定されていない場合、既定値はazs です。 |
azs |
Azure Stack Hub のデプロイの完全修飾ドメイン名 (FQDN) とエンドポイントは、リージョン パラメーターと外部ドメイン名パラメーターの組み合わせです。 前の表に示した例の値を使用すると、この Azure Stack Hub のデプロイの FQDN は次の名前のようになります。
east.cloud.fabrikam.com
同様に、このデプロイのエンドポイントは次の URL のようになります。
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
この例の DNS 名前空間を Azure Stack Hub のデプロイに使用するには、次の条件が必要です。
- 使用している名前解決の要件に応じて、ゾーン
fabrikam.com
がドメイン レジストラーまたは社内の DNS サーバー (あるいはその両方) に登録されている。 - 子ドメイン
cloud.fabrikam.com
がゾーンfabrikam.com
の下に存在する。 - ゾーン
fabrikam.com
およびcloud.fabrikam.com
をホストする DNS サーバーに、Azure Stack Hub のデプロイから到達できる。
Azure Stack Hub の外部から Azure Stack Hub エンドポイントおよびインスタンスの DNS 名を解決できるようにするには、Azure Stack Hub の外部 DNS ゾーンをホストする DNS サーバーと、使用したい親ゾーンをホストする DNS サーバーを統合する必要があります。
DNS 名ラベル
Azure Stack Hub では、パブリック IP アドレスへの DNS 名ラベルの追加がサポートされており、パブリック IP アドレスの名前解決が可能です。 DNS ラベルは、Azure Stack Hub でホストされているアプリとサービスにユーザーが名前でアクセスできる便利な方法です。 DNS 名ラベルでは、インフラストラクチャ エンドポイントとはわずかに異なる名前空間が使用されます。 前のサンプル名前空間に続いて、DNS 名ラベルの名前空間が次のように表示されます。
*.east.cloudapp.cloud.fabrikam.com
そのため、テナントがパブリック IP アドレス リソースの DNS 名ラベル フィールドで値 Myapp を示す場合、Azure Stack Hub の外部 DNS サーバー上にあるゾーン east.cloudapp.cloud.fabrikam.com で myapp の A レコードが作成されます。 結果として得られる完全修飾ドメイン名は次のようになります。
myapp.east.cloudapp.cloud.fabrikam.com
この機能と名前空間を使用する場合は、Azure Stack Hub の外部 DNS ゾーンをホストする DNS サーバーを、使用する親ゾーンをホストする DNS サーバーと統合する必要があります。 この名前空間は Azure Stack Hub サービス エンドポイントの名前空間とは異なるため、別の委任または条件付き転送規則を作成する必要があります。
DNS 名ラベルのしくみの詳細については、「Azure Stack Hub での DNS の使用」を参照してください。
解決と委任
DNS サーバーには次の 2 種類があります。
- 権限のある DNS サーバーは、DNS ゾーンをホストします。 このサーバーは、これらのゾーン内のレコードに対する DNS クエリのみに応答します。
- 再帰 DNS サーバーでは、DNS ゾーンはホストされません。 このサーバーは、権限のある DNS サーバーを呼び出して必要なデータを収集することで、すべての DNS クエリに応答します。
Azure Stack Hub には、権限のある DNS サーバーと再帰 DNS サーバーの両方が含まれます。 再帰サーバーは、その Azure Stack Hub のデプロイの内部プライベート ゾーンと外部パブリック DNS ゾーンを除くすべての名前の解決に使用されます。
Azure Stack Hub からの外部 DNS 名の解決
Azure Stack Hub の外部にあるエンドポイントの DNS 名 ( 例: www.bing.com) を解決するには、Azure Stack Hub が権限のない DNS 要求を転送するために Azure Stack Hub で使用できる DNS サーバーを提供する必要があります。 デプロイの場合、Azure Stack Hub が要求を転送する DNS サーバーは、デプロイ ワークシート ([ DNS フォワーダー ] フィールド) で必要です。 フォールト トレランスのために、このフィールドには 2 つ以上のサーバーを入力します。 これらの値がない場合、Azure Stack Hub のデプロイは失敗します。 デプロイ後に コマンドレットを使用して、DNS フォワーダーの値を Set-AzSDnsForwarder
編集できます。
外部 DNS フォワーダー サーバーが Azure Stack Hub から転送された DNS 要求を解決できない場合、既定では、内部 DNS 再帰リゾルバー サービスは DNS ルート ヒント サーバーへの接続を試みます。 このフォールバック動作は、DNS サーバーの名前解決標準と一致します。 インターネット ルート ヒント サーバーは、DNS フォワーダー サーバーがホストゾーンまたは DNS サーバー キャッシュからローカルでクエリを解決できない場合に、DNS アドレス情報を解決するために使用されます。
Azure Stack Hub 内の内部 DNS 名前解決サービスの DNS ルート ヒント 設定を管理するには、 コマンドレットを Get-AzSDnsServerSettings
使用して現在の構成を表示します。既定の設定は有効です。 コマンドレットは Set-AzSDnsServerSettings
、内部 DNS サーバーの -UseRootHint 構成を有効または無効にします。
Note
ネットワーク アクセスが完全にブロックされている、または完全に切断またはエアギャップされている UDP ポート 53 (DNS) などのインターネット DNS ルート ヒント サーバーに Azure Stack Hub が接続できないシナリオでは、DNS 名前解決の延長タイムアウトを防ぐために、この設定を無効 -UseRootHint
にすることをお勧めします。 コマンドレットを Set-AzSDnsServerSettings
使用して、この設定を制御します。
条件付き DNS フォワーダーの構成
重要
この要件が該当するのは AD FS デプロイのみです。
既存の DNS インフラストラクチャ を使用して名前解決を有効にするには、条件付きフォワーダーを構成します。
条件付きフォワーダーを追加するには、特権エンドポイントを使用する必要が あります。
この手順では、データセンター ネットワーク内の、Azure Stack Hub の特権エンドポイントと通信できるコンピューターを使用します。
管理者特権での Windows PowerShell セッション (管理者として実行) を開き、特権エンドポイントの IP アドレスに接続します。 CloudAdmin 認証の資格情報を使用します。
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred
特権エンドポイントに接続したら、次の PowerShell コマンドを実行します。 サンプルの値を、使用する DNS サーバーのドメイン名とアドレスで置き換えてください。
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Azure Stack Hub の外部からの DNS 名の解決
権限のあるサーバーは、外部の DNS ゾーンとユーザーが作成したゾーンの情報を保持しています。 これらのサーバーと統合することで、ゾーンの委任または条件付き転送で、Azure Stack Hub の外部から Azure Stack Hub DNS 名を解決できるようになります。
DNS サーバーの外部エンドポイント情報の取得
Azure Stack Hub のデプロイを DNS インフラストラクチャと統合するには、次の情報が必要です。
- DNS サーバーの FQDN
- DNS サーバーの IP アドレス
Azure Stack Hub DNS サーバーの FQDN は、次の形式になります。
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
サンプル値を使用する場合、DNS サーバーの FQDN は次のようになります。
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
この情報は、すべての Azure Stack Hub のデプロイの最後に AzureStackStampInformation.json
という名前のファイルにも作成されます。 このファイルは、デプロイ仮想マシンの C:\CloudDeployment\logs
フォルダー内にあります。 Azure Stack Hub のデプロイに使用された値がわからない場合は、ここからその値を取得できます。
デプロイ仮想マシンが使用不可またはアクセス不可になっている場合は、特権エンドポイントに接続して Get-AzureStackStampInformation
PowerShell コマンドレットを実行することで値を取得できます。 詳細については、特権エンドポイントに関するページを参照してください。
Azure Stack Hub への条件付き転送の設定
Azure Stack Hub と DNS インフラストラクチャを統合する最も簡単で安全な方法は、親ゾーンをホストするサーバーから、ゾーンの条件付き転送を行うことです。 Azure Stack Hub の外部 DNS 名前空間の親ゾーンをホストする DNS サーバーを直接制御できる場合は、この方法をお勧めします。
DNS で条件付き転送を行う方法がわからない場合は、TechNet の記事「Assign a Conditional Forwarder for a Domain Name (ドメイン名の条件付きフォワーダを割り当てる)」またはお使いの DNS ソリューションに固有のドキュメントをご覧ください。
会社のドメイン名の子ドメインのように見える Azure Stack Hub の外部 DNS ゾーンを指定しているシナリオでは、条件付き転送は使用できません。 DNS 委任を構成する必要があります。
例:
- 会社の DNS ドメイン名:
contoso.com
- Azure Stack Hub の外部 DNS ドメイン名:
azurestack.contoso.com
DNS フォワーダー IP の編集
DNS フォワーダー IP は、Azure Stack Hub のデプロイ中に設定されます。 ただし、何らかの理由でフォワーダー IP を更新する必要がある場合は、特権エンドポイントに接続し、 コマンドレットと Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>]
PowerShell コマンドレットを実行することで、値をGet-AzSDnsForwarder
編集できます。 詳細については、特権エンドポイントに関するページを参照してください。
Azure Stack Hub への外部 DNS ゾーンの委任
DNS 名を Azure Stack Hub デプロイの外部から解決できるようにするには、DNS 委任を設定する必要があります。
各レジストラーは独自の DNS 管理ツールを所有していて、ドメインのネーム サーバー レコードを変更します。 レジストラーの DNS 管理ページで、NS レコードを編集し、ゾーンの NS レコードを、Azure Stack Hub のものに置き換えます。
ほとんどの DNS レジストラーでは、委任を実行するために 2 つ以上の DNS サーバーを指定する必要があります。