オンプレミスおよび Azure リソース用の DNS

  • [アーティクル]

ドメイン ネーム システム (DNS) は、ランディング ゾーンのアーキテクチャ全体における重要な設計トピックです。 DNS への既存の投資を使用することを望む組織があります。 または、クラウドの導入を、内部 DNS インフラストラクチャを最新化し、Azure のネイティブ機能を使用する機会と考える組織もあります。

設計上の考慮事項:

  • Azure DNS Private Resolver サービスを Azure プライベート DNS ゾーンと組み合わせて使用し、クロスプレミスの名前解決を実現できます。

  • お客様は、オンプレミスと Azure の間で既存の DNS ソリューションの使用を必須とすることもできます。

  • 自動登録が有効な状態で 1 つの仮想ネットワークをリンクできるプライベート DNS ゾーンの最大数は、1 つです。

  • Azure プライベート DNS ゾーンの制限について理解を深めます。

設計上の推奨事項:

  • Azure での名前解決だけが必要な環境の場合は、解決のための Azure プライベート DNS ゾーンを使用します。 名前解決用にデリゲートされたゾーンを作成します (azure.contoso.com など)。 仮想ネットワーク内にデプロイされている仮想マシンの DNS レコードのライフサイクルを自動的に管理するには、Azure プライベート DNS ゾーンに対する自動登録を有効にします。

  • Azure とオンプレミスの間で名前解決が必要な環境では、DNS Private Resolver サービスを Azure プライベート DNS ゾーンと共に使用することをお勧めします。 コスト削減、組み込みの高可用性、スケーラビリティ、柔軟性など、仮想マシンベースの DNS ソリューションよりも多くの利点が備わっています。

    既存の DNS インフラストラクチャ (Active Directory 統合 DNS など) を使用する必要がある場合は、DNS サーバーの役割が少なくとも 2 つの VM にデプロイされていることを確認し、それらのカスタム DNS サーバーを使用するように仮想ネットワークで DNS 設定を構成します。

  • Azure Firewall が装備されている環境の場合、これを DNS プロキシとして使用することを検討してください。

  • Azure プライベート DNS ゾーンを仮想ネットワークにリンクし、仮想ネットワークに関連付けられた DNS 転送ルール セットを使って DNS Private Resolver サービスを使用することができます。

    • corporate.contoso.com など、オンプレミスの DNS 名を解決するために Azure 仮想ネットワークで生成された DNS クエリの場合、DNS クエリは、ルール セットで指定されたオンプレミスの DNS サーバーの IP アドレスに転送されます。
    • Azure プライベート DNS ゾーンの DNS レコードを解決するためにオンプレミスのネットワークで生成された DNS クエリの場合、Azure の DNS Private Resolver サービスの受信エンドポイント IP アドレスを指す条件付きフォワーダーを使用してオンプレミスの DNS サーバーを構成し、Azure プライベート DNS ゾーンに要求を転送できます (例: azure.contoso.com)。

  • 独自の DNS (Red Hat OpenShift など) をデプロイする必要がある特殊なワークロードでは、優先 DNS 解決を使用する必要があります。

  • グローバル接続サブスクリプション内に Azure プライベート DNS ゾーンを作成します。 作成する必要のある Azure プライベート DNS ゾーンには、プライベート エンドポイント (privatelink.database.windows.netprivatelink.blob.core.windows.net など) を介して Azure PaaS サービスにアクセスするために必要なゾーンが含まれます。