Руководство. Настройка отработки отказа DNS с помощью частных сопоставителей

В этой статье описано, как устранить единую точку отказа в локальных службах DNS с использованием двух или более частных сопоставителей DNS Azure, развернутых в разных регионах. Отработка отказа DNS включается путем назначения локального сопоставителя в качестве основного DNS и сопоставителя в соседнем регионе в качестве дополнительного DNS. Если основной DNS-сервер не отвечает, DNS-клиенты автоматически повторяют попытку с помощью дополнительного DNS-сервера.

Из этого руководства вы узнаете, как выполнять следующие задачи:

• Разрешать Частные зоны DNS Azure с помощью локальных серверов условной пересылки и частных сопоставителей DNS Azure.
• Включить локальную отработку отказа DNS для Частных зон DNS Azure.

На следующей схеме показан сценарий отработки отказа, описанный в этой статье.

В этом сценарии у вас есть подключения из двух локальных расположений к двум виртуальным сетям концентратора Azure.

• В восточном регионе основной путь направлен к восточному концентратору виртуальной сети. У вас есть дополнительное подключение к западному концентратору. Западный регион настраивается в обратном направлении.
• Из-за проблемы с подключением к Интернету подключение к одной виртуальной сети (западной) временно нарушено.
• Доступ к службе сохраняется в обоих регионах благодаря архитектуре с поддержкой избыточности.

Путь разрешения DNS таков:

1. Избыточные локальные серверы условной пересылки DNS отправляют запросы DNS во входящие конечные точки.
2. Входящие конечные точки получают запросы DNS из локальной среды.
3. Исходящие конечные точки и наборы правил пересылки DNS обрабатывают запросы DNS и возвращают ответы на локальные ресурсы.

Исходящие конечные точки и наборы правил пересылки DNS не требуются для сценария отработки отказа, но включены в настоящую статью для полноты описания. Наборы правил можно использовать для разрешения локальных доменов из Azure. Дополнительные сведения см. в разделах Конечные точки и наборы правил Частного сопоставителя DNS Azure и Разрешение доменов Azure и локальных доменов.

Предварительные требования

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
• Две виртуальные сети Azure в двух регионах.
• Подключение VPN или ExpressRoute из локальной среды к каждой виртуальной сети.
• Частный сопоставитель DNS Azure в каждой виртуальной сети.
• Частная зона DNS Azure, связанная с каждой виртуальной сетью.
• Локальный DNS-сервер.

Примечание

В этом руководстве используется частная зона DNS Azure azure.contoso.com. Измените azure.contoso.com на имя вашей частной зоны DNS.

Вход в Azure

Войдите на портал Azure.

Определение IP-адресов входящей конечной точки

Запишите IP-адреса, назначенные входящим конечным точкам частных сопоставителей DNS. Эти IP-адреса будут использоваться для настройки локальных серверов пересылки DNS.

В этом примере существует имеются две виртуальные сети в двух регионах:

• myeastvnet находится в регионе "Восточная часть США", ей назначено адресное пространство 10.10.0.0/16
• mywestvnet находится в регионе "Центрально-западная часть США", ей назначено адресное пространство 10.20.0.0/16

1. Выполните поиск по запросу Частные сопоставители DNS и выберите частный сопоставитель из первого региона. Например, myeastresolver.

2. В разделе Параметры выберите Входящие конечные точки и запишите параметр IP-адрес. Например, 10.10.0.4.

   

3. Вернитесь в список Частных сопоставителей DNS и выберите сопоставитель из другого региона. Например, mywestresolver.

4. В разделе Параметры выберите Входящие конечные точки и запишите IP-адрес этого сопоставителя. Например, 10.20.0.4.

Проверка связей между частными зонами

Чтобы разрешить записи DNS в частной зоне DNS Azure, необходимо связать зону с виртуальной сетью. В этом примере зона azure.contoso.com связана с виртуальными сетями myeastvnet и mywestvnet. Зона также может быть связана с другими виртуальными сетями.

1. Выполните поиск по запросу Частные зоны DNS и выберите свою частную зону. Например, azure.contoso.com.

2. В разделе Параметры выберите Связи виртуальной сети и убедитесь, что виртуальные сети, используемые для входящих конечных точек в предыдущей процедуре, также перечислены в разделе "Виртуальная сеть". Например, myeastvnet and mywestvnet.

   

3. Если одна или несколько виртуальных сетей еще не связаны, их можно указать здесь. Для этого нажмите кнопку Добавить, укажите Имя связи, выберите свою Подписку и выберите Виртуальную сеть.

Совет

Для разрешения записей в частных зонах DNS также можно использовать пиринг. Дополнительные сведения см. в разделе Конечные точки и наборы правил Частного сопоставителя DNS Azure.

Проверка разрешения записей для Azure DNS

Убедитесь, что для параметров DNS виртуальных сетей задано значение "По умолчанию (предоставляется Azure)".

1. Выполните поиск по запросу Виртуальные сети и выберите первую виртуальную сеть. Например, myeastvnet.

2. В разделе Параметры выберите DNS-серверы и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

3. Выберите следующую виртуальную сеть (например, mywestvnet) и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

   Примечание

   Также можно настроить пользовательские параметры DNS, но это не относится к текущему сценарию.

4. Выполните поиск по запросу Частные зоны DNS и выберите имя своей частной зоны. Например, azure.contoso.com.

5. Создайте тестовую запись в зоне, выбрав + Набор записей и добавив новую запись A. Например, test.

   

6. Откройте командную строку на локальном клиенте и выполните команду nslookup для поиска тестовой записи с использованием IP-адреса первого записанного частного сопоставителя (например, 10.10.0.4). См. следующий пример.

   nslookup test.azure.contoso.com 10.10.0.4
   

   Запрос должен возвратить IP-адрес, назначенный тестовой записи.

7. Повторите этот запрос nslookup, используя IP-адрес второго частного сопоставителя (например, 10.20.0.4).

   

   Примечание

   Если разрешение DNS для частной зоны не работает, убедитесь, что локальные ссылки на виртуальные сети Azure работают.

Настройка локальной пересылки DNS

Теперь, когда разрешение записей DNS работает из локальной среды в Azure с использованием двух разных частных сопоставителей DNS Azure, мы можем настроить пересылку так, чтобы она использовала оба эти адреса. Это позволит обеспечить избыточность в случае, если одно из подключений к Azure будет прервано. Процедура настройки серверов пересылки будет зависеть от типа используемого DNS-сервера. В следующем примере используется сервер Windows Server с IP-адресом 10.100.0.2, на котором запущена служба ролей DNS-сервера.

Примечание

DNS-сервер, используемый для настройки пересылки, должен быть сервером, который клиентские устройства в вашей сети будут использовать для разрешения записей DNS. Если настраиваемый сервер не используется по умолчанию, то после настройки пересылки потребуется запросить его IP-адрес напрямую (например, выполнив команду nslookup test.azure.contoso.com 10.100.0.2).

1. Откройте командную строку Windows PowerShell с повышенными привилегиями и выполните следующую команду. Замените azure.contoso.com именем частной зоны, а IP-адреса, указанные ниже, — IP-адресами частных сопоставителей.

   Add-DnsServerConditionalForwarderZone -Name "azure.contoso.com" -MasterServers 10.20.0.4,10.10.0.4
   

2. При желании вы также можете использовать консоль DNS для указания серверов условной пересылки. См. следующий пример.

   

3. Теперь, когда пересылка выполняется, выполните тот же запрос DNS, который использовался в предыдущей процедуре. Однако на этот раз не указывайте IP-адрес назначения для запроса. Запрос будет использовать DNS-сервер клиента по умолчанию.

   

Демонстрация устойчивости (необязательно)

Теперь вы можете продемонстрировать, что разрешение записей DNS работает, когда одно из подключений разорвано.

1. Разорвите подключение из локальной среды к одной из виртуальных сетей путем отключения интерфейса или сетевого кабеля. Убедитесь, что автоматическое повторное подключение по запросу не выполняется.

2. Выполните запрос nslookup с использованием частного сопоставителя из виртуальной сети, которая больше не подключена, и убедитесь, что этот запрос завершается сбоем (см. ниже).

3. Запустите запрос nslookup с помощью DNS-сервера по умолчанию (для которого настроены сервера пересылки) и убедитесь, что он по-прежнему выполняется благодаря настроенной вами избыточности.

   

Дальнейшие действия

• Ознакомьтесь с компонентами, преимуществами и требованиями для Частного сопоставителя DNS Azure.
• Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
• Узнайте, как разрешить домены Azure и локальные домены с помощью Частного сопоставителя DNS Azure.
• Ознакомьтесь со сведениями в разделе Конечные точки и наборы правил Частного сопоставителя Azure DNS.
• Узнайте, как настроить гибридный DNS с помощью частных сопоставителей.
• Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
• Модуль Learn "Общие сведения об Azure DNS"