Архитектура частного сопоставителя

В этой статье рассматриваются два варианта архитектуры, доступные для разрешения имен DNS, включая частные зоны DNS в сети Azure с помощью частного сопоставителя Azure DNS. Примеры конфигураций предоставляются с рекомендациями по проектированию для централизованного разрешения и распределенного разрешения DNS в концентраторе и периферийной топологии виртуальной сети.

• Обзор частного сопоставителя Azure DNS см. в статье "Что такое частный сопоставитель Azure DNS".
• Дополнительные сведения о компонентах частного сопоставителя см. в разделе конечные точки и наборы правил Azure DNS Private Resolver.

Распределенная архитектура DNS

Рассмотрим следующую топологию концентратора и периферийной виртуальной сети в Azure с частным сопоставительом, расположенным в концентраторе, и ссылкой набора правил на периферийную виртуальную сеть. Как концентратор, так и периферийный сервер используют DNS, предоставленный Azure, в параметрах виртуальной сети:

Рис. 1. Распределенная архитектура DNS с помощью ссылок набора правил

• Виртуальная сеть концентратора настроена с адресным пространством 10.10.0.0/16.
• Периферийная виртуальная сеть настроена с адресным пространством 10.11.0.0/16.
• Частная зона DNS azure.contoso.com связана с виртуальной сетью концентратора.
• Частный сопоставитель подготавливается в виртуальной сети концентратора.
  • Частный сопоставитель имеет одну конечную точку входящего трафика с IP-адресом 10.10.0.4.
  • Частный сопоставитель имеет одну исходящую конечную точку и связанный набор правил пересылки DNS.
    • Набор правил пересылки DNS связан с периферийной виртуальной сетью.
    • Правило набора правил настроено для пересылки запросов частной зоны в конечную точку входящего трафика.

Разрешение DNS в виртуальной сети концентратора: ссылка виртуальной сети из частной зоны на виртуальную сеть концентратора позволяет ресурсам в центральной виртуальной сети автоматически разрешать записи DNS в azure.contoso.com с помощью DNS, предоставленной Azure (168.63.129.16). Все остальные пространства имен также разрешаются с помощью DNS, предоставленного Azure. Виртуальная сеть концентратора не использует правила набора правил для разрешения имен DNS, так как она не связана с набором правил. Чтобы использовать правила пересылки в виртуальной сети концентратора, создайте и свяжите другой набор правил с виртуальной сетью Концентратора.

Разрешение DNS в периферийной виртуальной сети: связь виртуальной сети из набора правил к периферийной виртуальной сети позволяет периферийной виртуальной сети разрешать azure.contoso.com с помощью настроенного правила пересылки. Ссылка из частной зоны на периферийную виртуальную сеть не требуется. Периферийная виртуальная сеть отправляет запросы для azure.contoso.com в конечную точку входящего трафика концентратора через DNS, предоставленной Azure, так как в связанном наборе правил есть правило, соответствующее этому домену. Запросы к другим пространствам имен также можно перенаправить, настроив дополнительные правила. DNS-запросы, которые не соответствуют правилу набора правил, не перенаправляются и разрешаются с помощью DNS, предоставленного Azure.

Важно!

В этом примере конфигурации виртуальная сеть концентратора должна быть связана с частной зоной, но не должна быть связана с набором правил пересылки с правилом пересылки входящей конечной точки. Связывание набора правил пересылки, содержащего правило с входящей конечной точкой в качестве назначения, с той же виртуальной сетью, в которой подготовлена конечная точка для входящего трафика, может вызвать циклы разрешения DNS.

Централизованная архитектура DNS

Рассмотрим следующую топологию концентратора и периферийной виртуальной сети с входящей конечной точкой, подготовленной в качестве настраиваемой DNS в периферийной виртуальной сети. В периферийной виртуальной сети используется настраиваемый параметр DNS 10.10.0.4, соответствующий частной конечной точке входящего сопоставителя Концентратора:

Рис. 2. Централизованная архитектура DNS с помощью пользовательского DNS

• Виртуальная сеть концентратора настроена с адресным пространством 10.10.0.0/16.
• Периферийная виртуальная сеть настроена с адресным пространством 10.11.0.0/16.
• Частная зона DNS azure.contoso.com связана с виртуальной сетью концентратора.
• Частный сопоставитель находится в виртуальной сети концентратора.
  • Частный сопоставитель имеет одну конечную точку входящего трафика с IP-адресом 10.10.0.4.
  • Частный сопоставитель имеет одну (необязательную) конечную точку исходящего трафика и связанный набор правил пересылки DNS.
    • Набор правил пересылки DNS связан с виртуальной сетью концентратора.
    • Правило набора правил не настроено для пересылки запросов для частной зоны в конечную точку входящего трафика.

Разрешение DNS в виртуальной сети концентратора: ссылка виртуальной сети из частной зоны на виртуальную сеть концентратора позволяет ресурсам в центральной виртуальной сети автоматически разрешать записи DNS в azure.contoso.com с помощью DNS, предоставленной Azure (168.63.129.16). Если настроено, правила набора правил определяют, как перенаправляются и разрешаются DNS-имена. Пространства имен, которые не соответствуют правилу набора правил, разрешаются без переадресации с помощью DNS, предоставленной Azure.

Разрешение DNS в периферийной виртуальной сети: в этом примере периферийная виртуальная сеть отправляет весь его DNS-трафик в конечную точку входящего трафика в виртуальной сети Концентратора. Так как azure.contoso.com имеет связь виртуальной сети с виртуальной сетью Концентратора, все ресурсы в Концентраторе могут разрешать azure.contoso.com, включая конечную точку входящего трафика (10.10.0.4). Таким образом, в периферийных устройствах используется конечная точка входящего трафика концентратора для разрешения частной зоны. Другие DNS-имена разрешаются для периферийной виртуальной сети в соответствии с правилами, подготовленными в наборе правил пересылки, если они существуют.

Примечание.

В сценарии централизованной архитектуры DNS концентратор и периферийные виртуальные сети могут использовать необязательный набор правил, связанный с концентратором, при разрешении DNS-имен. Это связано с тем, что весь ТРАФИК DNS из периферийной виртуальной сети отправляется в концентратор из-за настраиваемого параметра DNS виртуальной сети. Для виртуальной сети концентратора не требуется исходящая конечная точка или набор правил, но если он подготовлен и связан с концентратором (как показано на рис. 2), оба концентратора и периферийные виртуальные сети будут использовать правила пересылки. Как упоминание ранее, важно, чтобы правило пересылки для частной зоны не присутствовало в наборе правил, так как эта конфигурация может привести к циклу разрешения DNS.

Следующие шаги

• Ознакомьтесь с компонентами, преимуществами и требованиями для Частного сопоставителя DNS Azure.
• Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
• Узнайте, как разрешить домены Azure и локальные домены с помощью Частного сопоставителя DNS Azure.
• Ознакомьтесь со сведениями в разделе Конечные точки и наборы правил Частного сопоставителя Azure DNS.
• Узнайте, как настроить отработку отказа DNS с помощью частных сопоставителей.
• Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
• Модуль Learn "Общие сведения об Azure DNS"