Wat is Azure DNS Private Resolver?
Azure DNS Private Resolver is een nieuwe service waarmee u query's kunt uitvoeren op privézones van Azure DNS vanuit een on-premises-omgeving en vice versa zonder op VM's gebaseerde DNS-servers te implementeren.
Hoe werkt het?
Voor een privé-resolver van Azure DNS is een virtueel Azure-netwerk vereist. Wanneer u een privé-resolver van Azure DNS maakt in een virtueel netwerk, worden een of meer binnenkomende eindpunten tot stand gebracht die kunnen worden gebruikt als doel voor DNS-query's. Het uitgaande eindpunt van de resolver verwerkt DNS-query's op basis van een dns-regelset die u configureert. DNS-query's die worden geïnitieerd in netwerken die zijn gekoppeld aan een regelset, kunnen worden verzonden naar andere DNS-servers.
U hoeft geen DNS-clientinstellingen te wijzigen op uw virtuele machines (VM's) om de privé-resolver van Azure DNS te gebruiken.
Het DNS-queryproces bij het gebruik van een privé-resolver van Azure DNS wordt hieronder samengevat:
- Een client in een virtueel netwerk geeft een DNS-query uit.
- Als de DNS-servers voor dit virtuele netwerk zijn opgegeven als aangepast, wordt de query doorgestuurd naar de opgegeven IP-adressen.
- Als standaard-DNS-servers (door Azure geleverde) zijn geconfigureerd in het virtuele netwerk en er Privé-DNS zones zijn gekoppeld aan hetzelfde virtuele netwerk, worden deze zones geraadpleegd.
- Als de query niet overeenkomt met een Privé-DNS zone die is gekoppeld aan het virtuele netwerk, worden koppelingen naar virtuele netwerken voor regelsets voor DNS-doorstuurregels geraadpleegd.
- Als er geen regelsetkoppelingen aanwezig zijn, wordt Azure DNS gebruikt om de query op te lossen.
- Als er regelsetkoppelingen aanwezig zijn, worden de DNS-doorstuurregels geëvalueerd.
- Als er een overeenkomst met achtervoegsel wordt gevonden, wordt de query doorgestuurd naar het opgegeven adres.
- Als er meerdere overeenkomsten aanwezig zijn, wordt het langste achtervoegsel gebruikt.
- Als er geen overeenkomst wordt gevonden, vindt er geen DNS-doorstuurbewerking plaats en wordt Azure DNS gebruikt om de query op te lossen.
De architectuur voor Azure DNS Private Resolver wordt samengevat in de volgende afbeelding. Voor DNS-omzetting tussen virtuele Azure-netwerken en on-premises netwerken is Azure ExpressRoute of een VPN vereist.
Afbeelding 1: Azure DNS Private Resolver-architectuur
Zie voor meer informatie over het maken van een privé-DNS-resolver:
- Quickstart: Een privé-resolver voor Azure DNS maken met behulp van Azure Portal
- Quickstart: Een privé-resolver voor Azure DNS maken met behulp van Azure PowerShell
Voordelen van privé-resolver voor Azure DNS
Azure DNS Private Resolver biedt de volgende voordelen:
- Volledig beheerd: ingebouwde hoge beschikbaarheid, zoneredundantie.
- Kostenreductie: verlaag de operationele kosten en voer uit tegen een fractie van de prijs van traditionele IaaS-oplossingen.
- Privétoegang tot uw Privé-DNS zones: voorwaardelijk doorsturen naar en van on-premises.
- Schaalbaarheid: Hoge prestaties per eindpunt.
- DevOps Friendly: Bouw uw pijplijnen met Terraform, ARM of Bicep.
Regionale beschikbaarheid
Zie Azure-producten per regio - Azure DNS.
Gegevensresidentie
Privé-resolver van Azure DNS verplaatst of slaat geen klantgegevens op uit de regio waar de resolver wordt geïmplementeerd.
DNS-resolver-eindpunten en -regelsets
In dit artikel vindt u een overzicht van de eindpunten en regelsets van de resolver. Zie Azure DNS Private Resolver-eindpunten en -regelsets voor gedetailleerde informatie over eindpunten en regelsets van Azure DNS.
Binnenkomende eindpunten
Een binnenkomend eindpunt maakt naamomzetting mogelijk vanaf on-premises of andere privélocaties via een IP-adres dat deel uitmaakt van uw privé-netwerkadresruimte. Als u uw privé-DNS-zone van Azure vanaf on-premises wilt omzetten, voert u het IP-adres van het binnenkomende eindpunt in uw on-premises DNS-voorwaardelijke doorstuurserver in. De on-premises DNS-voorwaardelijke doorstuurserver moet een netwerkverbinding met het virtuele netwerk hebben.
Het binnenkomende eindpunt vereist een subnet in het VNet waar het is ingericht. Het subnet kan alleen worden gedelegeerd aan Microsoft.Network/dnsResolvers en kan niet worden gebruikt voor andere services. DNS-query's die zijn ontvangen door het binnenkomende eindpuntingress naar Azure. U kunt namen oplossen in scenario's waarin u Privé-DNS zones hebt, waaronder VM's die gebruikmaken van automatische registratie of services waarvoor Private Link is ingeschakeld.
Notitie
Het IP-adres dat aan een binnenkomend eindpunt is toegewezen, kan worden opgegeven als statisch of dynamisch. Zie ip-adressen voor statische en dynamische eindpunten voor meer informatie.
Uitgaande eindpunten
Met een uitgaand eindpunt kan naamomzetting voor voorwaardelijke doorsturen van Azure naar on-premises, andere cloudproviders of externe DNS-servers worden ingeschakeld. Dit eindpunt vereist een toegewezen subnet in het VNet waarin het is ingericht, zonder dat er een andere service wordt uitgevoerd in het subnet en alleen kan worden gedelegeerd aan Microsoft.Network/dnsResolvers. DNS-query's die naar het uitgaande eindpunt worden verzonden, gaan van Azure af.
Links naar virtuele netwerken
Virtuele netwerkkoppelingen maken naamomzetting mogelijk voor virtuele netwerken die zijn gekoppeld aan een uitgaand eindpunt met een dns-regelset voor doorsturen. Dit is een 1-op-1-relatie.
Regelsets voor DNS-doorsturen
Een dns-regelset voor doorsturen is een groep DNS-doorstuurregels (maximaal 1000) die kunnen worden toegepast op een of meer uitgaande eindpunten, of gekoppeld aan een of meer virtuele netwerken. Dit is een 1:N-relatie. Regelsets zijn gekoppeld aan een specifiek uitgaand eindpunt. Zie regelsets voor DNS-doorstuurservers voor meer informatie.
Regels voor dns-doorsturen
Een dns-doorstuurregel bevat een of meer doel-DNS-servers die worden gebruikt voor voorwaardelijk doorsturen en worden vertegenwoordigd door:
- Een domeinnaam
- Een doel-IP-adres
- Een doelpoort en -protocol (UDP of TCP)
Beperkingen
De volgende limieten zijn momenteel van toepassing op azure DNS Private Resolver:
Privé-DNS-resolver1
Bron | Limiet |
---|---|
Privé-DNS-resolvers per abonnement | 15 |
Binnenkomende eindpunten per privé-DNS-resolver | 5 |
Uitgaande eindpunten per privé-DNS-resolver | 5 |
Regels voor doorsturen per dns-regelset | 1000 |
Virtuele netwerkkoppelingen per regelset voor dns-doorsturen | 500 |
Uitgaande eindpunten per regelset voor dns-doorsturen | 2 |
Regelsets voor dns-doorsturen per uitgaand eindpunt | 2 |
Dns-doelservers per doorstuurregel | 6 |
QPS per eindpunt | 10,000 |
1Verschillende limieten kunnen worden afgedwongen door Azure Portal totdat de portal is bijgewerkt. Gebruik PowerShell om elementen in te richten tot de meest recente limieten.
Beperkingen voor virtuele netwerken
De volgende beperkingen gelden voor virtuele netwerken:
- VNets waarvoor versleuteling is ingeschakeld, bieden geen ondersteuning voor privé-resolver van Azure DNS.
- Een DNS-omzetter kan alleen verwijzen naar een virtueel netwerk in dezelfde regio als de DNS-omzetter.
- Een virtueel netwerk kan niet worden gedeeld tussen meerdere DNS-omzetter. Er kan slechts naar één virtueel netwerk worden verwezen door één DNS-omzetter.
Subnetbeperkingen
Subnetten die worden gebruikt voor DNS-resolver hebben de volgende beperkingen:
- Een subnet moet minimaal /28 adresruimte of maximaal /24 adresruimte hebben. Een /28-subnet is voldoende voor de huidige eindpuntlimieten. Een subnetgrootte van /27 tot /24 kan flexibiliteit bieden als deze limieten veranderen.
- Een subnet kan niet worden gedeeld tussen meerdere DNS-resolver-eindpunten. Eén subnet kan slechts worden gebruikt door één DNS-resolver-eindpunt.
- Alle IP-configuraties voor een binnenkomende DNS-resolver-eindpunt moeten verwijzen naar hetzelfde subnet. Meerdere subnetten in de IP-configuratie voor één binnenkomende DNS-resolver-eindpunt zijn niet toegestaan.
- Het subnet dat wordt gebruikt voor een binnenkomende DNS-resolver-eindpunt, moet zich binnen het virtuele netwerk bevinden waarnaar wordt verwezen door de bovenliggende DNS-resolver.
- Het subnet kan alleen worden gedelegeerd aan Microsoft.Network/dnsResolvers en kan niet worden gebruikt voor andere services.
Beperkingen voor uitgaand eindpunt
Uitgaande eindpunten hebben de volgende beperkingen:
- Een uitgaand eindpunt kan niet worden verwijderd, tenzij de DNS-doorstuurregelset en de virtuelenetwerkkoppelingen eronder worden verwijderd.
Beperkingen voor regelset
- Regelsets kunnen maximaal 1000 regels bevatten.
- Koppeling tussen tenants van regelsets wordt niet ondersteund.
Andere beperkingen
- Subnetten waarvoor IPv6 is ingeschakeld, worden niet ondersteund.
- Persoonlijke DNS-resolver biedt geen ondersteuning voor Azure ExpressRoute FastPath.
- Privé-DNS-resolver is niet compatibel met Azure Lighthouse.
- Als u wilt zien of Azure Lighthouse wordt gebruikt, zoekt u naar serviceproviders in de Azure-portal en selecteert u aanbiedingen van serviceproviders.
Volgende stappen
- Meer informatie over het maken van een privé-resolver van Azure DNS met behulp van Azure PowerShell of Azure Portal.
- Meer informatie over het oplossen van Azure- en on-premises domeinen met behulp van de privé-resolver van Azure DNS.
- Meer informatie over azure DNS Private Resolver-eindpunten en -regelsets.
- Meer informatie over het instellen van DNS-failover met behulp van privé-resolvers
- Meer informatie over het configureren van hybride DNS met behulp van privé-resolvers.
- Informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure.
- Learn-module: Inleiding tot Azure DNS.