Azure DNS Private Resolver (privé-resolver voor DNS)

Azure DNS

Azure ExpressRoute

Azure Firewall

Azure Virtual Network

Azure VPN-gateway

In dit artikel wordt een oplossing beschreven voor het gebruik van azure DNS Private Resolver om hybride recursieve DNS-omzetting (Domain Name System) te vereenvoudigen. U kunt dns Private Resolver gebruiken voor on-premises workloads en Azure-workloads. Dns Private Resolver vereenvoudigt de privé-DNS-omzetting van on-premises naar privé-DNS van Azure en van privé-DNS van Azure naar on-premises.

Architectuur

In de volgende secties worden alternatieven beschreven voor hybride recursieve DNS-omzetting. In de eerste sectie wordt een oplossing beschreven die gebruikmaakt van een virtuele machine (VM) van een DNS-forwarder. In volgende secties wordt beschreven hoe u DNS Private Resolver gebruikt.

Een VIRTUELE DNS-doorstuurserver gebruiken

Voordat de DNS Private Resolver beschikbaar was, is er een DNS-doorstuurserver-VM geïmplementeerd, zodat een on-premises server aanvragen voor privé-DNS van Azure kon oplossen. In het volgende diagram ziet u de details van deze naamomzetting. Een voorwaardelijke doorstuurserver op de on-premises DNS-server stuurt aanvragen door naar Azure en een privé-DNS-zone is gekoppeld aan een virtueel netwerk. Verzoeken aan de Azure-dienst resulteren in het juiste privé-IP-adres.

In deze oplossing kunt u openbare DNS van Azure niet gebruiken om on-premises domeinnamen op te lossen.

In de afbeelding toont een kaartsleutel DNS-verkeer en privéverbindingen. Een sectie over een on-premises virtueel netwerk bevat de interne DNS en de client-VM. De pijlen van DNS-verkeer wijzen heen en weer tussen hen. Een pijl wijst van interne DNS naar een IP-adressectie via een DNS-verkeerspijl met het label voorwaardelijke doorstuurserver. Naast deze sectie bevindt zich een DNS-sectie die vmdns, de voorwaartse en achterwaartse opzoekzones, vertrouwenspunten en voorwaardelijke doorstuurservers bevat. DNS-verkeerspijlen verbinden de sectie on-premises netwerk en de sectie VNet-hub-001. Het snet-consumersubnet in deze sectie bevat de DNS-doorstuurserver en het Azure Private Link-eindpunt. Een privéverbindingspijl wijst naar het Private Link-eindpunt van de client-VM en van het Private Link-eindpunt naar de SQL-database. In de aangrenzende sectie wordt DNS weergegeven die door Azure wordt geleverd. DNS-pijlen wijzen van deze sectie naar de privé-DNS-zone en naar recursieve resolvers van Azure. Een koppeling naar een virtueel netwerk verbindt de sectie VNet-hub-001 met de privé-DNS-zone.

Download een PowerPoint-bestand van deze architectuur.

Werkproces

De volgende werkstroom komt overeen met het vorige diagram:

1. Een client-VM verzendt een naamomzettingsaanvraag voor azsql1.database.windows.net naar een interne DNS-server op locatie.

2. Er wordt een voorwaardelijke doorstuurserver ingesteld op de interne DNS-server. De DNS-query voor database.windows.net wordt doorgestuurd naar 10.5.0.254, het IP-adres van een VM van een DNS-doorstuurder.

3. De VM van de DNS-doorstuurserver verzendt de aanvraag naar 168.63.129.16, het IP-adres van de interne DNS-server van Azure.

4. De Azure DNS-server verzendt een naamomzettingsaanvraag voor azsql1.database.windows.net naar de recursieve resolvers van Azure. De resolvers retourneren de canonieke naam (CNAME). azsql1.privatelink.database.windows.net

5. De Azure DNS-server verzendt een naamomzettingsaanvraag voor azsql1.privatelink.database.windows.net naar de privé-DNS-zone privatelink.database.windows.net. De privé-DNS-zone retourneert het privé-IP-adres 10.5.0.5.

6. Het antwoord dat de CNAME azsql1.privatelink.database.windows.net aan de record 10.5.0.5 koppelt, komt aan bij de DNS-doorstuurder.

7. Het antwoord arriveert op de on-premises interne DNS-server.

8. Het antwoord arriveert op de client-VM.

9. De client-VM brengt een privéverbinding tot stand met het privé-eindpunt dat gebruikmaakt van het IP-adres 10.5.0.5. Het privé-eindpunt biedt de client-VM een veiligere verbinding met een Azure-database.

Zie DNS-configuratie voor privé-eindpunten in Azure voor meer informatie.

Dns Private Resolver gebruiken

Wanneer u DNS Private Resolver gebruikt, hebt u geen VM voor DNS-doorstuurserver nodig en kan Azure DNS on-premises domeinnamen rechtstreeks omzetten.

De volgende oplossing maakt gebruik van DNS Private Resolver in een hub-spoke-netwerktopologie. Het ontwerppatroon van de Azure-landingszone raadt u aan dit type topologie te gebruiken. De oplossing brengt een hybride netwerkverbinding tot stand met behulp van Azure ExpressRoute en Azure Firewall. Deze installatie biedt een beveiligd hybride netwerk. Dns Private Resolver bevindt zich in het hubnetwerk.

De afbeelding heeft drie primaire secties. Het grootste gedeelte is een Azure hub-and-spoke-netwerk. Deze sectie bevat Azure DNS, privé-DNS van Azure en dns-privéomzetting. Het bevat ook een site-naar-site- of ExpressRoute-gateway, een binnenkomend eindpunt en een uitgaand eindpunt. Het uitgaande eindpunt maakt via een stippellijn verbinding met de set DNS-doorstuurregels. Deze regelset maakt verbinding via een stippellijn met spoke 1 in de Azure-sectie. ExpressRoute verbindt de site-naar-site- of ExpressRoute-gateway met het on-premises gedeelte. Deze sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en lokale DNS-servers met hun IP-adressen.

Componenten van de oplossing DNS Private Resolver

De oplossing die gebruikmaakt van DNS Private Resolver bevat de volgende onderdelen:

• Een on-premises netwerk. Dit netwerk van datacenters van klanten maakt verbinding met Azure via ExpressRoute of een site-naar-site Azure VPN Gateway-verbinding. Netwerkonderdelen omvatten twee lokale DNS-servers. De ene server gebruikt het IP-adres 192.168.0.1. De andere server gebruikt 192.168.0.2. Beide servers fungeren als resolvers of doorstuurservers voor alle computers in het on-premises netwerk.

  Een beheerder maakt alle lokale DNS-records en Azure-eindpunt-doorstuuraders op deze servers. De beheerder stelt voorwaardelijke doorstuurservers in op deze servers voor Azure Blob Storage en Azure API Management. Deze forwarders sturen aanvragen naar de DNS Private Resolver-inkomende verbinding. Het binnenkomende eindpunt maakt gebruik van het IP-adres 10.0.0.8 en wordt gehost binnen het virtuele netwerk van de hub.

  De volgende tabel bevat de records op de lokale servers.

  Domeinnaam	IP-adres	Recordtype
  App1.onpremises.company.com	192.168.0.8	Adrestoewijzing
  App2.onpremises.company.com	192.168.0.9	Adrestoewijzing
  blob.core.windows.net	10.0.0.8	DNS-doorstuurfunctie
  azure-api.net	10.0.0.8	DNS-doorstuurfunctie

• Een hubnetwerk.

  • VPN Gateway of ExpressRoute biedt de hybride verbinding met Azure.

  • Azure Firewall biedt een beheerde firewall. Het firewall-exemplaar bevindt zich in zijn eigen subnet.

  • De volgende tabel bevat de parameters die zijn ingesteld voor DNS Private Resolver. De dns-regelset voor doorsturen is geconfigureerd voor DNS-namen van App 1 en App 2.

    Kenmerk	IP-adres
    Virtueel netwerk	10.0.0.0/24
    Subnet voor binnenkomende verbindingen	10.0.0.0/28
    Ip-adres van inkomend eindpunt	10.0.0.8
    Uitgaand eindpuntsubnet	10.0.0.16/28
    IP-adres van uitgaand eindpunt	10.0.0.19

  • Het virtuele hubnetwerk is gekoppeld aan de privé-DNS-zones voor Blob Storage en API Management.

• Spoke-netwerken.

  • VM's worden gehost in alle spoke-netwerken voor het testen en valideren van DNS-resolutie.

  • Alle virtuele Azure-spoke-netwerken gebruiken de standaard Azure DNS-server op het IP-adres 168.63.129.16. Alle virtuele spoke-netwerken maken verbinding met het virtuele hubnetwerk. Het netwerk routeert al het verkeer via de hub, inclusief verkeer van en naar DNS Private Resolver.

  • De virtuele spoke-netwerken zijn gekoppeld aan privé-DNS-zones. Met deze configuratie kunnen ze de namen van privé-eindpuntkoppelingsservices, zoals privatelink.blob.core.windows.net.

Verkeersstroom voor een on-premises DNS-query

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer een on-premises server een DNS-aanvraag uitgeeft.

De afbeelding heeft twee hoofdsecties waarmee ExpressRoute verbinding maakt. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3, de DNS-query en servers. De Azure-sectie bevat een site-naar-site- of ExpressRoute-gateway, de binnenkomende en uitgaande eindpunten, Azure DNS, privé-DNS van Azure, privé-DNS-resolver en twee door Azure ingerichte DNS-secties die elk een spoke en een virtuele machine bevatten.

1. Een on-premises server voert een query uit op een privé-DNS-servicerecord van Azure, zoals blob.core.windows.net. De on-premises server verzendt de aanvraag naar de lokale DNS-server op het IP-adres 192.168.0.1 of 192.168.0.2. Alle on-premises computers verwijzen naar de lokale DNS-server.

2. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net stuurt de aanvraag door naar de DNS-resolver op het IP-adres 10.0.0.8.

3. De DNS-resolver voert een query uit op Azure DNS en ontvangt informatie over een privé-DNS-netwerkkoppeling van Azure.

4. Met privé-DNS in Azure worden DNS-query's omgezet die door azure openbare DNS worden verzonden naar het binnenkomende EINDPUNT van de DNS-resolver.

Verkeersstroom voor een DNS-query voor een VM (gedecentraliseerd)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 een DNS-aanvraag uitgeeft. In dit scenario probeert het virtuele spoke 1-netwerk de aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten binnen de gateway-sectie, Azure DNS, Azure privé-DNS, DNS Private Resolver, en twee door Azure geprovisioneerde DNS-secties die elk een spoke en een virtuele machine bevatten. Spoke 1 maakt verbinding via een DNS-doorstuurvirtueelnetwerkkoppeling naar de DNS-doorstuurregelset. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn ingesteld voor het gebruik van de naamsoplossing die Azure biedt. Azure DNS lost als gevolg hiervan de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt Azure DNS contact op met privé-DNS van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk, maakt Azure DNS verbinding met de privé-resolver van DNS. Het virtuele spoke 1-netwerk heeft een koppeling naar een virtueel netwerk. DNS Private Resolver controleert op een DNS-doorstuurregelset die is gekoppeld aan het virtuele netwerk van spoke 1.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

   In dit scenario heeft VM 2 geen DNS-doorstuurvirtuele-netwerkkoppeling die is gekoppeld aan de set met DNS-doorstuurregels. Als gevolg hiervan kan VM 2 on-premises DNS-query's, zoals App1.onpremises.company.com, niet oplossen.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeersstroom voor een VM DNS-query via DNS Private Resolver (gecentraliseerd)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag uitgeeft via een binnenkomende DNS-resolver-eindpunt. In dit scenario proberen spoke-VM's de DNS-aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, de DNS Privé-omzetter, en twee DNS-serversecties die elk een spoke en een VM bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn zo ingesteld dat ze 10.0.0.8 gebruiken als DNS-server voor naamomzetting. Als gevolg hiervan lost de DNS Private Resolver de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt DNS Private Resolver contact op met de privé-DNS van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk van de resolver, controleert DNS Private Resolver op een dns-doorstuurregelset die is gekoppeld aan het virtuele netwerk van de resolver.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeer voor een DNS-query van een virtuele machine via een on-premises DNS-server

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag via een on-premises DNS-server uitgeeft. In dit scenario proberen spoke-VM's de DNS-aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt de on-premises sectie met de site-naar-site- of ExpressRoute-gatewaysectie in de Azure-sectie. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, de DNS Privé-omzetter, en twee DNS-serversecties die elk een spoke en een VM bevatten. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een pijl toont de stroom van bewerkingen.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De spoke-virtuele netwerken gebruiken 192.168.0.1/2 als DNS-server voor naamomzetting. Als gevolg hiervan wordt de DNS-query door een op locatie DNS-server opgelost. De VM verzendt de aanvraag naar de lokale DNS-server op ip-adres 192.168.0.1 of 192.168.0.2.

2. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net stuurt de aanvraag door naar de DNS-resolver op het IP-adres 10.0.0.8.

3. De DNS-resolver voert query's uit op Azure DNS en ontvangt informatie over een virtuele netwerkkoppeling van een azure-privé-DNS-service.

4. Met privé-DNS van Azure worden DNS-query's omgezet die door openbare DNS worden verzonden naar het binnenkomende DNS-eindpunt van de DNS-privé-resolver.

Verkeerstraject voor een VM DNS-query via DNS Private Resolver (geneste DNS-resolver)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag uitgeeft via een binnenkomende DNS-hub-eindpunt voor privé-resolver. In dit scenario proberen spoke-VM's de aanvraag op te lossen naar de geneste DNS-resolver.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, DNS Private Resolver 1, DNS Private Resolver 2 en twee secties van DNS-servers die elk een spoke en een virtuele machine bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn geconfigureerd om 10.0.0.8 te gebruiken als DNS-server voor naamomzetting. Als gevolg hiervan lost de hub DNS Private Resolver de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt de hub-resolver contact op met de gekoppelde privé-DNS-service van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk van de hub-resolver, controleert DNS Private Resolver op een doorstuurregelset die is gekoppeld aan het virtuele netwerk van de resolver.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

   Omdat de hub-resolver in dit scenario geen koppeling privatelink.vaultcore.azure.netnaar een virtueel netwerk heeft, worden query's voor xyz.privatelink.vaultcore.azure.net (4.a) door de DNS-doorstuurregel doorgestuurd naar de geneste DNS-resolver zoals bedoeld.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

In het volgende scenario, als er een privé-DNS-zone bestaat in beide instanties van de privé DNS-resolver (zoals privatelink.blob.core.windows.net), heeft de hub-resolver deze zone al aan het virtuele netwerk gekoppeld. Omdat deze koppeling is ingesteld, wordt de dns-regelset voor het doorsturen van query's voor privatelink.blob.core.windows.net (4.a) naar de geneste DNS-resolver niet van kracht. Dit gedrag is opzettelijk ontworpen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De sectie Azure bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, DNS Private Resolver 1, DNS Private Resolver 2 en DNS-serversecties die een spoke en een VM bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

Onderdelen

• VPN Gateway is een virtuele netwerkgateway die versleuteld verkeer verzendt tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. In deze architectuur is VPN Gateway een alternatief voor ExpressRoute. Het biedt hybride connectiviteit tussen Azure- en on-premises omgevingen voor DNS-verkeer voor voorwaardelijke doorstuurservers.

• ExpressRoute is een netwerkservice die on-premises netwerken uitbreidt naar de Microsoft-cloud. Het brengt privéverbindingen tot stand met cloudcomponenten zoals Azure-services en Microsoft 365 via een connectiviteitsprovider. In deze architectuur ondersteunt ExpressRoute hybride connectiviteit tussen Azure- en on-premises omgevingen, met name voor voorwaardelijke DNS-doorschakeling.

• Azure Virtual Network is een netwerkservice en de fundamentele bouwsteen voor privénetwerken in Azure. Azure-resources zoals VM's gebruiken virtuele netwerken om veilig met elkaar, internet en on-premises netwerken te communiceren. In deze architectuur hosten de virtuele netwerken DNS Private Resolver en Azure Virtual Machines. Ze faciliteren communicatie en integratie tussen verschillende Azure-services en on-premises resources.

• Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die toepassings- en netwerkconnectiviteitsbeleid afdwingt. Het beheert centraal beleid over meerdere virtuele netwerken en abonnementen. In deze architectuur kunt u Azure Firewall implementeren om de beveiliging voor netwerkverkeer te verbeteren. Het biedt geavanceerde bescherming tegen bedreigingen, filtering van netwerkverkeer en logmogelijkheden om alleen geautoriseerd verkeer toe te staan en potentiële bedreigingen te blokkeren.

• DNS Private Resolver is een service die een on-premises DNS overbrugt met Azure DNS. In deze architectuur worden DNS-query's tussen privézones van Azure DNS en een on-premises omgeving gefaciliteerd. Deze aanpak elimineert de noodzaak voor OP VM's gebaseerde DNS-servers in Azure. Deze installatie zorgt voor een efficiënte DNS-omzetting in hybride omgevingen, zodat Azure- en on-premises resources effectief kunnen communiceren met DNS-resoluties.

• Azure DNS is een hostingservice voor DNS-domeinen die gebruikmaken van de Azure-infrastructuur voor naamomzetting. In deze architectuur beheert het DNS-omzettingsverkeer.

• Privé-DNS van Azure is een beheerde DNS-service waarmee domeinnamen in een virtueel netwerk en verbonden virtuele netwerken worden omgezet. Het elimineert de noodzaak van aangepaste DNS-configuratie. Met privé-DNS-zones kunt u aangepaste domeinnamen toewijzen in plaats van de standaardnamen te gebruiken die Azure tijdens de implementatie biedt. In deze architectuur host Privé-DNS van Azure de DNS-zones voor privé-eindpunten en retourneert privé-IP-adresrecords voor Azure-services.

• Een on-premises DNS-voorwaardelijke doorstuurserver is een DNS-server die DNS-query's die hij niet lokaal kan oplossen doorsluist naar een andere DNS-server, zoals een DNS-doorstuur-VM in Azure of het binnenkomende eindpunt van de DNS Private Resolver. On-premises workloads gebruiken deze benadering om FQDN's (Fully Qualified Domain Names) van Azure-privé-eindpunten nauwkeurig op te lossen met hun bijbehorende privé-IP-adressen. Het zorgt er ook voor dat hybride connectiviteit wordt beveiligd zonder gebruik te maken van openbare DNS-omzetting. In deze architectuur routeren voorwaardelijke doorstuurders op on-premises DNS-servers Azure-specifieke DNS-query's naar het binnenkomende eindpunt van de DNS-privé-resolver in het hubnetwerk.

Scenario details

Azure biedt verschillende DNS-oplossingen, waaronder Azure Traffic Manager. Traffic Manager fungeert als een op DNS gebaseerde taakverdelingsservice. Het biedt een manier om verkeer over Azure-regio's te distribueren naar openbare toepassingen.

Voordat dns Private Resolver beschikbaar was, hebben aangepaste DNS-servers namen omgezet van on-premises systemen naar Azure en van Azure naar on-premises systemen. Aangepaste DNS-oplossingen hebben veel nadelen:

• Meerdere aangepaste DNS-servers in meerdere virtuele netwerken maken hoge infrastructuur- en licentiekosten.

• Installatie, configuratie en onderhoud van DNS-servers zijn de verantwoordelijkheid van de operator.

• Overheadtaken zoals het bewaken en patchen van de servers introduceren complexiteit en frequente storingspunten.

• Gebrek aan DevOps-ondersteuning beperkt automatisering voor DNS-records en doorstuurregels.

• Schaalbare DNS-serveroplossingen zijn kostbaar om te implementeren.

DNS Private Resolver pakt deze obstakels aan door de volgende functies en belangrijke voordelen te bieden:

• Een volledig beheerde Microsoft-service met ingebouwde hoge beschikbaarheid en zoneredundantie.

• Een schaalbare oplossing die is geoptimaliseerd voor integratie met DevOps.

• Kostenbesparingen in vergelijking met aangepaste oplossingen op basis van traditionele iaaS (Infrastructure as a Service).

• Voorwaardelijk doorsturen voor Azure DNS naar on-premises servers. Het uitgaande eindpunt biedt deze mogelijkheid, die voorheen niet beschikbaar was. Voor workloads in Azure zijn geen directe verbindingen meer nodig met on-premises DNS-servers. Azure-workloads maken in plaats daarvan verbinding met het uitgaande IP-adres van dns-privé-resolver.

Potentiële gebruikscases

Deze oplossing vereenvoudigt de privé-DNS-resolutie in hybride netwerken. Het is van toepassing op de volgende scenario's:

• Overgangsstrategieën tijdens langetermijnmigratie naar volledig cloudeigen oplossingen

• Oplossingen voor herstel na noodgevallen en fouttolerantie die gegevens en services tussen on-premises en cloudomgevingen repliceren

• Oplossingen die onderdelen hosten in Azure om de latentie tussen on-premises datacenters en externe locaties te verminderen

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie de controlelijst ontwerpbeoordeling voor betrouwbaarheid voor meer informatie.

DNS Private Resolver is een cloudeigen service die hoge beschikbaarheid biedt en integreert met DevOps-procedures, zodat het ondersteuning biedt voor samenwerking en geautomatiseerde werkstromen. Het biedt een betrouwbare en veilige DNS-oplossing en vereist geen doorlopend gebruikersonderhoud.

Implementeer DNS Private Resolver niet in een virtueel netwerk dat een virtuele netwerkgateway van ExpressRoute bevat en regels voor jokertekens gebruikt om alle naamomzetting naar een specifieke DNS-server te sturen. Dit type configuratie kan problemen met de beheerconnectiviteit veroorzaken. Zie DNS Private Resolver met jokertekenregels op een ExpressRoute-gateway voor meer informatie.

Regionale beschikbaarheid

Zie Regionale beschikbaarheid voor een lijst met regio's waar DNS Private Resolver beschikbaar is.

Een DNS-resolver kan alleen verwijzen naar een virtueel netwerk dat zich in dezelfde regio bevindt als de DNS-resolver.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie de controlelijst ontwerpbeoordeling voor beveiliging voor meer informatie.

Azure DNS ondersteunt DNS-beveiligingsextensies.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

• DNS Private Resolver is een rendabele oplossing omdat deze volledig beheerd en maximaal beschikbaar is. Het beheerde ontwerp elimineert de noodzaak om toegewezen DNS-servers te implementeren en te onderhouden.

• Gebruik de Azure-prijscalculator om de kosten van dns Private Resolver te berekenen. Zie Azure DNS-prijzen voor prijsmodellen voor privé-resolvers voor DNS.

• Prijzen omvatten ook functies voor beschikbaarheid en schaalbaarheid.

• ExpressRoute ondersteunt twee factureringsmodellen:

  • Gemeten data, waarvoor u per gigabyte (GB) kosten betaalt voor uitgaande gegevensoverdracht.

  • Onbeperkte gegevens, die u een vaste maandelijkse poortkosten in rekening brengen die alle binnenkomende en uitgaande gegevensoverdrachten dekken

  Zie prijzen voor ExpressRoute voor meer informatie.

• Als u VPN Gateway gebruikt in plaats van ExpressRoute, worden de prijzen gebaseerd op de VPN Gateway-SKU en worden ze per uur gefactureerd. Zie prijzen voor VPN Gateway voor meer informatie.

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.

DNS Private Resolver is een volledig beheerde, maximaal beschikbare service die metrische gegevens over query's per seconde (QPS) beschikbaar maakt voor bewaking. Het Azure-platform beheert automatisch de capaciteit en prestaties. Implementeer elk binnenkomend of uitgaand eindpunt in een toegewezen subnet met een /28 of groter CIDR-blok (Classless Inter-Domain Routing) om voldoende IP-adressen te bieden voor schaalaanpassing. Zie Subnetbeperkingen voor meer informatie.

Netwerken

De volgende bronnen bevatten informatie over het maken van een privé-DNS-resolver:

• Een privé-DNS-resolver maken met behulp van Azure Portal
• Een privé-DNS-resolver maken met behulp van Azure PowerShell

Omgekeerde DNS-ondersteuning

Omgekeerde DNS is het proces van het omzetten van een IP-adres naar de bijbehorende hostnaam. Dns Private Resolver ondersteunt omgekeerde DNS-omzetting wanneer u de juiste zones voor reverse lookup instelt binnen privé-DNS-zones van Azure. Dns-records wijzen traditioneel een DNS-naam toe aan een IP-adres. Wordt www.contoso.com bijvoorbeeld omgezet in 42.3.10.170. Omgekeerde DNS behandelt inverse opzoekingen en koppelt een IP-adres terug naar een DNS-naam. Het IP-adres 42.3.10.170 wordt bijvoorbeeld omgezet in www.contoso.com.

Zie Overzicht van omgekeerde DNS en ondersteuning in Azure voor meer informatie.

Beperkingen

Dns Private Resolver heeft de volgende beperkingen:

• U kunt dns Private Resolver-regelsets alleen koppelen aan virtuele netwerken die zich binnen dezelfde geografische regio bevinden als de resolver.

• Een virtueel netwerk mag niet meer dan één privé-DNS-resolver bevatten.

• U moet een toegewezen subnet toewijzen aan elk binnenkomend en uitgaand eindpunt.

Zie Beperkingen voor virtuele netwerken voor meer informatie.

Bijdragers

Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.

Hoofdauteur:

• Moorthy Annadurai | Senior Technisch Specialist

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Virtuele netwerkkoppeling
• Azure DNS
• Privé-DNS van Azure
• DNS-privéresolver
• Veelgestelde vragen over Azure DNS
• Overzicht van omgekeerde DNS en ondersteuning in Azure

Verwante bronnen

• Azure Files on-premises en beveiligd door Active Directory Domain Services
• Een hybride DNS-oplossing ontwerpen met behulp van Azure
• Azure Enterprise-cloudbestandsdeling

In dit artikel wordt een oplossing beschreven voor het gebruik van azure DNS Private Resolver om hybride recursieve DNS-omzetting (Domain Name System) te vereenvoudigen. U kunt dns Private Resolver gebruiken voor on-premises workloads en Azure-workloads. Dns Private Resolver vereenvoudigt de privé-DNS-omzetting van on-premises naar privé-DNS van Azure en van privé-DNS van Azure naar on-premises.

Architectuur

In de volgende secties worden alternatieven beschreven voor hybride recursieve DNS-omzetting. In de eerste sectie wordt een oplossing beschreven die gebruikmaakt van een virtuele machine (VM) van een DNS-forwarder. In volgende secties wordt beschreven hoe u DNS Private Resolver gebruikt.

Een VIRTUELE DNS-doorstuurserver gebruiken

Voordat de DNS Private Resolver beschikbaar was, is er een DNS-doorstuurserver-VM geïmplementeerd, zodat een on-premises server aanvragen voor privé-DNS van Azure kon oplossen. In het volgende diagram ziet u de details van deze naamomzetting. Een voorwaardelijke doorstuurserver op de on-premises DNS-server stuurt aanvragen door naar Azure en een privé-DNS-zone is gekoppeld aan een virtueel netwerk. Verzoeken aan de Azure-dienst resulteren in het juiste privé-IP-adres.

In deze oplossing kunt u openbare DNS van Azure niet gebruiken om on-premises domeinnamen op te lossen.

In de afbeelding toont een kaartsleutel DNS-verkeer en privéverbindingen. Een sectie over een on-premises virtueel netwerk bevat de interne DNS en de client-VM. De pijlen van DNS-verkeer wijzen heen en weer tussen hen. Een pijl wijst van interne DNS naar een IP-adressectie via een DNS-verkeerspijl met het label voorwaardelijke doorstuurserver. Naast deze sectie bevindt zich een DNS-sectie die vmdns, de voorwaartse en achterwaartse opzoekzones, vertrouwenspunten en voorwaardelijke doorstuurservers bevat. DNS-verkeerspijlen verbinden de sectie on-premises netwerk en de sectie VNet-hub-001. Het snet-consumersubnet in deze sectie bevat de DNS-doorstuurserver en het Azure Private Link-eindpunt. Een privéverbindingspijl wijst naar het Private Link-eindpunt van de client-VM en van het Private Link-eindpunt naar de SQL-database. In de aangrenzende sectie wordt DNS weergegeven die door Azure wordt geleverd. DNS-pijlen wijzen van deze sectie naar de privé-DNS-zone en naar recursieve resolvers van Azure. Een koppeling naar een virtueel netwerk verbindt de sectie VNet-hub-001 met de privé-DNS-zone.

Download een PowerPoint-bestand van deze architectuur.

Werkproces

De volgende werkstroom komt overeen met het vorige diagram:

1. Een client-VM verzendt een naamomzettingsaanvraag voor azsql1.database.windows.net naar een interne DNS-server op locatie.

2. Er wordt een voorwaardelijke doorstuurserver ingesteld op de interne DNS-server. De DNS-query voor database.windows.net wordt doorgestuurd naar 10.5.0.254, het IP-adres van een VM van een DNS-doorstuurder.

3. De VM van de DNS-doorstuurserver verzendt de aanvraag naar 168.63.129.16, het IP-adres van de interne DNS-server van Azure.

4. De Azure DNS-server verzendt een naamomzettingsaanvraag voor azsql1.database.windows.net naar de recursieve resolvers van Azure. De resolvers retourneren de canonieke naam (CNAME). azsql1.privatelink.database.windows.net

5. De Azure DNS-server verzendt een naamomzettingsaanvraag voor azsql1.privatelink.database.windows.net naar de privé-DNS-zone privatelink.database.windows.net. De privé-DNS-zone retourneert het privé-IP-adres 10.5.0.5.

6. Het antwoord dat de CNAME azsql1.privatelink.database.windows.net aan de record 10.5.0.5 koppelt, komt aan bij de DNS-doorstuurder.

7. Het antwoord arriveert op de on-premises interne DNS-server.

8. Het antwoord arriveert op de client-VM.

9. De client-VM brengt een privéverbinding tot stand met het privé-eindpunt dat gebruikmaakt van het IP-adres 10.5.0.5. Het privé-eindpunt biedt de client-VM een veiligere verbinding met een Azure-database.

Zie DNS-configuratie voor privé-eindpunten in Azure voor meer informatie.

Dns Private Resolver gebruiken

Wanneer u DNS Private Resolver gebruikt, hebt u geen VM voor DNS-doorstuurserver nodig en kan Azure DNS on-premises domeinnamen rechtstreeks omzetten.

De volgende oplossing maakt gebruik van DNS Private Resolver in een hub-spoke-netwerktopologie. Het ontwerppatroon van de Azure-landingszone raadt u aan dit type topologie te gebruiken. De oplossing brengt een hybride netwerkverbinding tot stand met behulp van Azure ExpressRoute en Azure Firewall. Deze installatie biedt een beveiligd hybride netwerk. Dns Private Resolver bevindt zich in het hubnetwerk.

De afbeelding heeft drie primaire secties. Het grootste gedeelte is een Azure hub-and-spoke-netwerk. Deze sectie bevat Azure DNS, privé-DNS van Azure en dns-privéomzetting. Het bevat ook een site-naar-site- of ExpressRoute-gateway, een binnenkomend eindpunt en een uitgaand eindpunt. Het uitgaande eindpunt maakt via een stippellijn verbinding met de set DNS-doorstuurregels. Deze regelset maakt verbinding via een stippellijn met spoke 1 in de Azure-sectie. ExpressRoute verbindt de site-naar-site- of ExpressRoute-gateway met het on-premises gedeelte. Deze sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en lokale DNS-servers met hun IP-adressen.

Componenten van de oplossing DNS Private Resolver

De oplossing die gebruikmaakt van DNS Private Resolver bevat de volgende onderdelen:

• Een on-premises netwerk. Dit netwerk van datacenters van klanten maakt verbinding met Azure via ExpressRoute of een site-naar-site Azure VPN Gateway-verbinding. Netwerkonderdelen omvatten twee lokale DNS-servers. De ene server gebruikt het IP-adres 192.168.0.1. De andere server gebruikt 192.168.0.2. Beide servers fungeren als resolvers of doorstuurservers voor alle computers in het on-premises netwerk.

  Een beheerder maakt alle lokale DNS-records en Azure-eindpunt-doorstuuraders op deze servers. De beheerder stelt voorwaardelijke doorstuurservers in op deze servers voor Azure Blob Storage en Azure API Management. Deze forwarders sturen aanvragen naar de DNS Private Resolver-inkomende verbinding. Het binnenkomende eindpunt maakt gebruik van het IP-adres 10.0.0.8 en wordt gehost binnen het virtuele netwerk van de hub.

  De volgende tabel bevat de records op de lokale servers.

  Domeinnaam	IP-adres	Recordtype
  App1.onpremises.company.com	192.168.0.8	Adrestoewijzing
  App2.onpremises.company.com	192.168.0.9	Adrestoewijzing
  blob.core.windows.net	10.0.0.8	DNS-doorstuurfunctie
  azure-api.net	10.0.0.8	DNS-doorstuurfunctie

• Een hubnetwerk.

  • VPN Gateway of ExpressRoute biedt de hybride verbinding met Azure.

  • Azure Firewall biedt een beheerde firewall. Het firewall-exemplaar bevindt zich in zijn eigen subnet.

  • De volgende tabel bevat de parameters die zijn ingesteld voor DNS Private Resolver. De dns-regelset voor doorsturen is geconfigureerd voor DNS-namen van App 1 en App 2.

    Kenmerk	IP-adres
    Virtueel netwerk	10.0.0.0/24
    Subnet voor binnenkomende verbindingen	10.0.0.0/28
    Ip-adres van inkomend eindpunt	10.0.0.8
    Uitgaand eindpuntsubnet	10.0.0.16/28
    IP-adres van uitgaand eindpunt	10.0.0.19

  • Het virtuele hubnetwerk is gekoppeld aan de privé-DNS-zones voor Blob Storage en API Management.

• Spoke-netwerken.

  • VM's worden gehost in alle spoke-netwerken voor het testen en valideren van DNS-resolutie.

  • Alle virtuele Azure-spoke-netwerken gebruiken de standaard Azure DNS-server op het IP-adres 168.63.129.16. Alle virtuele spoke-netwerken maken verbinding met het virtuele hubnetwerk. Het netwerk routeert al het verkeer via de hub, inclusief verkeer van en naar DNS Private Resolver.

  • De virtuele spoke-netwerken zijn gekoppeld aan privé-DNS-zones. Met deze configuratie kunnen ze de namen van privé-eindpuntkoppelingsservices, zoals privatelink.blob.core.windows.net.

Verkeersstroom voor een on-premises DNS-query

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer een on-premises server een DNS-aanvraag uitgeeft.

De afbeelding heeft twee hoofdsecties waarmee ExpressRoute verbinding maakt. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3, de DNS-query en servers. De Azure-sectie bevat een site-naar-site- of ExpressRoute-gateway, de binnenkomende en uitgaande eindpunten, Azure DNS, privé-DNS van Azure, privé-DNS-resolver en twee door Azure ingerichte DNS-secties die elk een spoke en een virtuele machine bevatten.

1. Een on-premises server voert een query uit op een privé-DNS-servicerecord van Azure, zoals blob.core.windows.net. De on-premises server verzendt de aanvraag naar de lokale DNS-server op het IP-adres 192.168.0.1 of 192.168.0.2. Alle on-premises computers verwijzen naar de lokale DNS-server.

2. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net stuurt de aanvraag door naar de DNS-resolver op het IP-adres 10.0.0.8.

3. De DNS-resolver voert een query uit op Azure DNS en ontvangt informatie over een privé-DNS-netwerkkoppeling van Azure.

4. Met privé-DNS in Azure worden DNS-query's omgezet die door azure openbare DNS worden verzonden naar het binnenkomende EINDPUNT van de DNS-resolver.

Verkeersstroom voor een DNS-query voor een VM (gedecentraliseerd)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 een DNS-aanvraag uitgeeft. In dit scenario probeert het virtuele spoke 1-netwerk de aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten binnen de gateway-sectie, Azure DNS, Azure privé-DNS, DNS Private Resolver, en twee door Azure geprovisioneerde DNS-secties die elk een spoke en een virtuele machine bevatten. Spoke 1 maakt verbinding via een DNS-doorstuurvirtueelnetwerkkoppeling naar de DNS-doorstuurregelset. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn ingesteld voor het gebruik van de naamsoplossing die Azure biedt. Azure DNS lost als gevolg hiervan de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt Azure DNS contact op met privé-DNS van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk, maakt Azure DNS verbinding met de privé-resolver van DNS. Het virtuele spoke 1-netwerk heeft een koppeling naar een virtueel netwerk. DNS Private Resolver controleert op een DNS-doorstuurregelset die is gekoppeld aan het virtuele netwerk van spoke 1.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

   In dit scenario heeft VM 2 geen DNS-doorstuurvirtuele-netwerkkoppeling die is gekoppeld aan de set met DNS-doorstuurregels. Als gevolg hiervan kan VM 2 on-premises DNS-query's, zoals App1.onpremises.company.com, niet oplossen.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeersstroom voor een VM DNS-query via DNS Private Resolver (gecentraliseerd)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag uitgeeft via een binnenkomende DNS-resolver-eindpunt. In dit scenario proberen spoke-VM's de DNS-aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, de DNS Privé-omzetter, en twee DNS-serversecties die elk een spoke en een VM bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn zo ingesteld dat ze 10.0.0.8 gebruiken als DNS-server voor naamomzetting. Als gevolg hiervan lost de DNS Private Resolver de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt DNS Private Resolver contact op met de privé-DNS van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk van de resolver, controleert DNS Private Resolver op een dns-doorstuurregelset die is gekoppeld aan het virtuele netwerk van de resolver.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeer voor een DNS-query van een virtuele machine via een on-premises DNS-server

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag via een on-premises DNS-server uitgeeft. In dit scenario proberen spoke-VM's de DNS-aanvraag op te lossen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt de on-premises sectie met de site-naar-site- of ExpressRoute-gatewaysectie in de Azure-sectie. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, de DNS Privé-omzetter, en twee DNS-serversecties die elk een spoke en een VM bevatten. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een pijl toont de stroom van bewerkingen.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De spoke-virtuele netwerken gebruiken 192.168.0.1/2 als DNS-server voor naamomzetting. Als gevolg hiervan wordt de DNS-query door een op locatie DNS-server opgelost. De VM verzendt de aanvraag naar de lokale DNS-server op ip-adres 192.168.0.1 of 192.168.0.2.

2. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net stuurt de aanvraag door naar de DNS-resolver op het IP-adres 10.0.0.8.

3. De DNS-resolver voert query's uit op Azure DNS en ontvangt informatie over een virtuele netwerkkoppeling van een azure-privé-DNS-service.

4. Met privé-DNS van Azure worden DNS-query's omgezet die door openbare DNS worden verzonden naar het binnenkomende DNS-eindpunt van de DNS-privé-resolver.

Verkeerstraject voor een VM DNS-query via DNS Private Resolver (geneste DNS-resolver)

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 of VM 2 een DNS-aanvraag uitgeeft via een binnenkomende DNS-hub-eindpunt voor privé-resolver. In dit scenario proberen spoke-VM's de aanvraag op te lossen naar de geneste DNS-resolver.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De Azure-sectie bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, DNS Private Resolver 1, DNS Private Resolver 2 en twee secties van DNS-servers die elk een spoke en een virtuele machine bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

1. VM 1 of VM 2 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn geconfigureerd om 10.0.0.8 te gebruiken als DNS-server voor naamomzetting. Als gevolg hiervan lost de hub DNS Private Resolver de DNS-query op.

2. Als de query een privénaam probeert op te lossen, neemt de hub-resolver contact op met de gekoppelde privé-DNS-service van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk van de hub-resolver, controleert DNS Private Resolver op een doorstuurregelset die is gekoppeld aan het virtuele netwerk van de resolver.

4. Als DNS Private Resolver een overeenkomst vindt in de regelset voor DNS-doorsturen, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

   Omdat de hub-resolver in dit scenario geen koppeling privatelink.vaultcore.azure.netnaar een virtueel netwerk heeft, worden query's voor xyz.privatelink.vaultcore.azure.net (4.a) door de DNS-doorstuurregel doorgestuurd naar de geneste DNS-resolver zoals bedoeld.

5. Als privé-DNS (2) en DNS Private Resolver (3) geen overeenkomende record kunnen vinden, wordt de query door Azure DNS (5) omgezet.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

In het volgende scenario, als er een privé-DNS-zone bestaat in beide instanties van de privé DNS-resolver (zoals privatelink.blob.core.windows.net), heeft de hub-resolver deze zone al aan het virtuele netwerk gekoppeld. Omdat deze koppeling is ingesteld, wordt de dns-regelset voor het doorsturen van query's voor privatelink.blob.core.windows.net (4.a) naar de geneste DNS-resolver niet van kracht. Dit gedrag is opzettelijk ontworpen.

De afbeelding bevat twee hoofdsecties. De on-premises sectie bevat de on-premises server, Windows-bureaubladen, App 1, App 2, App 3 en servers en hun IP-adressen. ExpressRoute verbindt het on-premisesgedeelte met de site-naar-site- of ExpressRoute-gateway in het Azure-gedeelte. De sectie Azure bevat de binnenkomende en uitgaande eindpunten, Azure DNS, Azure privé-DNS, DNS Private Resolver 1, DNS Private Resolver 2 en DNS-serversecties die een spoke en een VM bevatten. Een pijl geeft de stroom aan tussen de secties van de DNS-server, het binnenkomende eindpunt, Azure DNS en privé-DNS van Azure. De DNS-serversecties maken ook verbinding via de virtuele netwerkkoppeling voor DNS-doorsturen naar de regelset voor DNS-doorsturen. Een stippellijn verbindt deze sectie met het uitgaande eindpunt.

Onderdelen

• VPN Gateway is een virtuele netwerkgateway die versleuteld verkeer verzendt tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. In deze architectuur is VPN Gateway een alternatief voor ExpressRoute. Het biedt hybride connectiviteit tussen Azure- en on-premises omgevingen voor DNS-verkeer voor voorwaardelijke doorstuurservers.

• ExpressRoute is een netwerkservice die on-premises netwerken uitbreidt naar de Microsoft-cloud. Het brengt privéverbindingen tot stand met cloudcomponenten zoals Azure-services en Microsoft 365 via een connectiviteitsprovider. In deze architectuur ondersteunt ExpressRoute hybride connectiviteit tussen Azure- en on-premises omgevingen, met name voor voorwaardelijke DNS-doorschakeling.

• Azure Virtual Network is een netwerkservice en de fundamentele bouwsteen voor privénetwerken in Azure. Azure-resources zoals VM's gebruiken virtuele netwerken om veilig met elkaar, internet en on-premises netwerken te communiceren. In deze architectuur hosten de virtuele netwerken DNS Private Resolver en Azure Virtual Machines. Ze faciliteren communicatie en integratie tussen verschillende Azure-services en on-premises resources.

• Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die toepassings- en netwerkconnectiviteitsbeleid afdwingt. Het beheert centraal beleid over meerdere virtuele netwerken en abonnementen. In deze architectuur kunt u Azure Firewall implementeren om de beveiliging voor netwerkverkeer te verbeteren. Het biedt geavanceerde bescherming tegen bedreigingen, filtering van netwerkverkeer en logmogelijkheden om alleen geautoriseerd verkeer toe te staan en potentiële bedreigingen te blokkeren.

• DNS Private Resolver is een service die een on-premises DNS overbrugt met Azure DNS. In deze architectuur worden DNS-query's tussen privézones van Azure DNS en een on-premises omgeving gefaciliteerd. Deze aanpak elimineert de noodzaak voor OP VM's gebaseerde DNS-servers in Azure. Deze installatie zorgt voor een efficiënte DNS-omzetting in hybride omgevingen, zodat Azure- en on-premises resources effectief kunnen communiceren met DNS-resoluties.

• Azure DNS is een hostingservice voor DNS-domeinen die gebruikmaken van de Azure-infrastructuur voor naamomzetting. In deze architectuur beheert het DNS-omzettingsverkeer.

• Privé-DNS van Azure is een beheerde DNS-service waarmee domeinnamen in een virtueel netwerk en verbonden virtuele netwerken worden omgezet. Het elimineert de noodzaak van aangepaste DNS-configuratie. Met privé-DNS-zones kunt u aangepaste domeinnamen toewijzen in plaats van de standaardnamen te gebruiken die Azure tijdens de implementatie biedt. In deze architectuur host Privé-DNS van Azure de DNS-zones voor privé-eindpunten en retourneert privé-IP-adresrecords voor Azure-services.

• Een on-premises DNS-voorwaardelijke doorstuurserver is een DNS-server die DNS-query's die hij niet lokaal kan oplossen doorsluist naar een andere DNS-server, zoals een DNS-doorstuur-VM in Azure of het binnenkomende eindpunt van de DNS Private Resolver. On-premises workloads gebruiken deze benadering om FQDN's (Fully Qualified Domain Names) van Azure-privé-eindpunten nauwkeurig op te lossen met hun bijbehorende privé-IP-adressen. Het zorgt er ook voor dat hybride connectiviteit wordt beveiligd zonder gebruik te maken van openbare DNS-omzetting. In deze architectuur routeren voorwaardelijke doorstuurders op on-premises DNS-servers Azure-specifieke DNS-query's naar het binnenkomende eindpunt van de DNS-privé-resolver in het hubnetwerk.

Scenario details

Azure biedt verschillende DNS-oplossingen, waaronder Azure Traffic Manager. Traffic Manager fungeert als een op DNS gebaseerde taakverdelingsservice. Het biedt een manier om verkeer over Azure-regio's te distribueren naar openbare toepassingen.

Voordat dns Private Resolver beschikbaar was, hebben aangepaste DNS-servers namen omgezet van on-premises systemen naar Azure en van Azure naar on-premises systemen. Aangepaste DNS-oplossingen hebben veel nadelen:

• Meerdere aangepaste DNS-servers in meerdere virtuele netwerken maken hoge infrastructuur- en licentiekosten.

• Installatie, configuratie en onderhoud van DNS-servers zijn de verantwoordelijkheid van de operator.

• Overheadtaken zoals het bewaken en patchen van de servers introduceren complexiteit en frequente storingspunten.

• Gebrek aan DevOps-ondersteuning beperkt automatisering voor DNS-records en doorstuurregels.

• Schaalbare DNS-serveroplossingen zijn kostbaar om te implementeren.

DNS Private Resolver pakt deze obstakels aan door de volgende functies en belangrijke voordelen te bieden:

• Een volledig beheerde Microsoft-service met ingebouwde hoge beschikbaarheid en zoneredundantie.

• Een schaalbare oplossing die is geoptimaliseerd voor integratie met DevOps.

• Kostenbesparingen in vergelijking met aangepaste oplossingen op basis van traditionele iaaS (Infrastructure as a Service).

• Voorwaardelijk doorsturen voor Azure DNS naar on-premises servers. Het uitgaande eindpunt biedt deze mogelijkheid, die voorheen niet beschikbaar was. Voor workloads in Azure zijn geen directe verbindingen meer nodig met on-premises DNS-servers. Azure-workloads maken in plaats daarvan verbinding met het uitgaande IP-adres van dns-privé-resolver.

Potentiële gebruikscases

Deze oplossing vereenvoudigt de privé-DNS-resolutie in hybride netwerken. Het is van toepassing op de volgende scenario's:

• Overgangsstrategieën tijdens langetermijnmigratie naar volledig cloudeigen oplossingen

• Oplossingen voor herstel na noodgevallen en fouttolerantie die gegevens en services tussen on-premises en cloudomgevingen repliceren

• Oplossingen die onderdelen hosten in Azure om de latentie tussen on-premises datacenters en externe locaties te verminderen

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie de controlelijst ontwerpbeoordeling voor betrouwbaarheid voor meer informatie.

DNS Private Resolver is een cloudeigen service die hoge beschikbaarheid biedt en integreert met DevOps-procedures, zodat het ondersteuning biedt voor samenwerking en geautomatiseerde werkstromen. Het biedt een betrouwbare en veilige DNS-oplossing en vereist geen doorlopend gebruikersonderhoud.

Implementeer DNS Private Resolver niet in een virtueel netwerk dat een virtuele netwerkgateway van ExpressRoute bevat en regels voor jokertekens gebruikt om alle naamomzetting naar een specifieke DNS-server te sturen. Dit type configuratie kan problemen met de beheerconnectiviteit veroorzaken. Zie DNS Private Resolver met jokertekenregels op een ExpressRoute-gateway voor meer informatie.

Regionale beschikbaarheid

Zie Regionale beschikbaarheid voor een lijst met regio's waar DNS Private Resolver beschikbaar is.

Een DNS-resolver kan alleen verwijzen naar een virtueel netwerk dat zich in dezelfde regio bevindt als de DNS-resolver.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie de controlelijst ontwerpbeoordeling voor beveiliging voor meer informatie.

Azure DNS ondersteunt DNS-beveiligingsextensies.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

• DNS Private Resolver is een rendabele oplossing omdat deze volledig beheerd en maximaal beschikbaar is. Het beheerde ontwerp elimineert de noodzaak om toegewezen DNS-servers te implementeren en te onderhouden.

• Gebruik de Azure-prijscalculator om de kosten van dns Private Resolver te berekenen. Zie Azure DNS-prijzen voor prijsmodellen voor privé-resolvers voor DNS.

• Prijzen omvatten ook functies voor beschikbaarheid en schaalbaarheid.

• ExpressRoute ondersteunt twee factureringsmodellen:

  • Gemeten data, waarvoor u per gigabyte (GB) kosten betaalt voor uitgaande gegevensoverdracht.

  • Onbeperkte gegevens, die u een vaste maandelijkse poortkosten in rekening brengen die alle binnenkomende en uitgaande gegevensoverdrachten dekken

  Zie prijzen voor ExpressRoute voor meer informatie.

• Als u VPN Gateway gebruikt in plaats van ExpressRoute, worden de prijzen gebaseerd op de VPN Gateway-SKU en worden ze per uur gefactureerd. Zie prijzen voor VPN Gateway voor meer informatie.

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.

DNS Private Resolver is een volledig beheerde, maximaal beschikbare service die metrische gegevens over query's per seconde (QPS) beschikbaar maakt voor bewaking. Het Azure-platform beheert automatisch de capaciteit en prestaties. Implementeer elk binnenkomend of uitgaand eindpunt in een toegewezen subnet met een /28 of groter CIDR-blok (Classless Inter-Domain Routing) om voldoende IP-adressen te bieden voor schaalaanpassing. Zie Subnetbeperkingen voor meer informatie.

Netwerken

De volgende bronnen bevatten informatie over het maken van een privé-DNS-resolver:

• Een privé-DNS-resolver maken met behulp van Azure Portal
• Een privé-DNS-resolver maken met behulp van Azure PowerShell

Omgekeerde DNS-ondersteuning

Omgekeerde DNS is het proces van het omzetten van een IP-adres naar de bijbehorende hostnaam. Dns Private Resolver ondersteunt omgekeerde DNS-omzetting wanneer u de juiste zones voor reverse lookup instelt binnen privé-DNS-zones van Azure. Dns-records wijzen traditioneel een DNS-naam toe aan een IP-adres. Wordt www.contoso.com bijvoorbeeld omgezet in 42.3.10.170. Omgekeerde DNS behandelt inverse opzoekingen en koppelt een IP-adres terug naar een DNS-naam. Het IP-adres 42.3.10.170 wordt bijvoorbeeld omgezet in www.contoso.com.

Zie Overzicht van omgekeerde DNS en ondersteuning in Azure voor meer informatie.

Beperkingen

Dns Private Resolver heeft de volgende beperkingen:

• U kunt dns Private Resolver-regelsets alleen koppelen aan virtuele netwerken die zich binnen dezelfde geografische regio bevinden als de resolver.

• Een virtueel netwerk mag niet meer dan één privé-DNS-resolver bevatten.

• U moet een toegewezen subnet toewijzen aan elk binnenkomend en uitgaand eindpunt.

Zie Beperkingen voor virtuele netwerken voor meer informatie.

Bijdragers

Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.

Hoofdauteur:

• Moorthy Annadurai | Senior Technisch Specialist

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Virtuele netwerkkoppeling
• Azure DNS
• Privé-DNS van Azure
• DNS-privéresolver
• Veelgestelde vragen over Azure DNS
• Overzicht van omgekeerde DNS en ondersteuning in Azure

Verwante bronnen

• Azure Files on-premises en beveiligd door Active Directory Domain Services
• Een hybride DNS-oplossing ontwerpen met behulp van Azure
• Azure Enterprise-cloudbestandsdeling