Architectuur van privé-resolver

  • Artikel

In dit artikel worden twee architectuurontwerpopties besproken die beschikbaar zijn om DNS-namen om te zetten, inclusief privé-DNS-zones in uw Azure-netwerk met behulp van een privé-resolver van Azure DNS. Voorbeeldconfiguraties worden geleverd met ontwerpaanvelingen voor gecentraliseerde versus gedistribueerde DNS-omzetting in een hub- en spoke-VNet-topologie.

Gedistribueerde DNS-architectuur

Overweeg de volgende hub- en spoke-VNet-topologie in Azure met een privé-resolver in de hub en een regelsetkoppeling naar het spoke-VNet. Zowel de hub als de spoke maken gebruik van door Azure geleverde DNS in hun VNet-instellingen:

Hub and spoke with ruleset diagram.

Afbeelding 1: Gedistribueerde DNS-architectuur met behulp van regelsetkoppelingen

  • Een hub-VNet is geconfigureerd met adresruimte 10.10.0.0/16.
  • Een spoke-VNet is geconfigureerd met adresruimte 10.11.0.0/16.
  • Een privé-DNS-zone azure.contoso.com is gekoppeld aan het hub-VNet.
  • Een privé-resolver wordt ingericht in het hub-VNet.
    • De privé-resolver heeft één binnenkomend eindpunt met een IP-adres van 10.10.0.4.
    • De privé-resolver heeft één uitgaand eindpunt en een gekoppelde regelset voor dns-doorsturen.
      • De regelset voor dns-doorstuur is gekoppeld aan het spoke-VNet.
      • Een regelsetregel is geconfigureerd om query's voor de privézone door te sturen naar het binnenkomende eindpunt.

DNS-omzetting in het hub-VNet: met de koppeling van het virtuele netwerk van de privézone naar het hub-VNet kunnen resources in het hub-VNet automatisch DNS-records omzetten in azure.contoso.com met behulp van door Azure geleverde DNS (168.63.129.16). Alle andere naamruimten worden ook omgezet met behulp van door Azure geleverde DNS. Het hub-VNet gebruikt geen regelsetregels om DNS-namen om te zetten, omdat het niet is gekoppeld aan de regelset. Als u doorstuurregels in het hub-VNet wilt gebruiken, maakt en koppelt u een andere regelset aan het Hub-VNet.

DNS-omzetting in het spoke-VNet: met de koppeling van het virtuele netwerk van de regelset naar het spoke-VNet kan het spoke-VNet azure.contoso.com omzetten met behulp van de geconfigureerde doorstuurregel. Hier is geen koppeling van de privézone naar het spoke-VNet vereist. Het spoke-VNet verzendt query's voor azure.contoso.com naar het binnenkomende eindpunt van de hub via door Azure geleverde DNS, omdat er een regel is die overeenkomt met deze domeinnaam in de gekoppelde regelset. Query's voor andere naamruimten kunnen ook worden doorgestuurd door aanvullende regels te configureren. DNS-query's die niet overeenkomen met een regelsetregel worden niet doorgestuurd en worden omgezet met behulp van door Azure geleverde DNS.

Belangrijk

In deze voorbeeldconfiguratie moet het hub-VNet worden gekoppeld aan de privézone, maar mag niet worden gekoppeld aan een doorstuurregelset met een regel voor het doorsturen van binnenkomende eindpunten. Door een doorstuurregelset te koppelen die een regel bevat met het binnenkomende eindpunt als bestemming naar hetzelfde VNet waar het binnenkomende eindpunt is ingericht, kunnen DNS-omzettingslussen veroorzaken.

Gecentraliseerde DNS-architectuur

Overweeg de volgende hub- en spoke-VNet-topologie met een binnenkomend eindpunt dat is ingericht als aangepaste DNS in het spoke-VNet. Het spoke-VNet maakt gebruik van een aangepaste DNS-instelling van 10.10.0.4, die overeenkomt met het binnenkomende eindpunt van de privé-resolver van de hub:

Hub and spoke with custom DNS diagram.

Afbeelding 2: Gecentraliseerde DNS-architectuur met behulp van aangepaste DNS

  • Een hub-VNet is geconfigureerd met adresruimte 10.10.0.0/16.
  • Een spoke-VNet is geconfigureerd met adresruimte 10.11.0.0/16.
  • Een privé-DNS-zone azure.contoso.com is gekoppeld aan het hub-VNet.
  • Een privé-resolver bevindt zich in het hub-VNet.
    • De privé-resolver heeft één binnenkomend eindpunt met een IP-adres van 10.10.0.4.
    • De privé-resolver heeft één (optioneel) uitgaand eindpunt en een gekoppelde regelset voor DNS-doorsturen.
      • De regelset voor DNS-doorstuur is gekoppeld aan het hub-VNet.
      • Een regelsetregel is niet geconfigureerd om query's voor de privézone door te sturen naar het binnenkomende eindpunt.

DNS-omzetting in het hub-VNet: met de koppeling van het virtuele netwerk van de privézone naar het hub-VNet kunnen resources in het hub-VNet automatisch DNS-records omzetten in azure.contoso.com met behulp van door Azure geleverde DNS (168.63.129.16). Indien geconfigureerd, bepalen regels voor regelset hoe DNS-namen worden doorgestuurd en omgezet. Naamruimten die niet overeenkomen met een regel voor de regelset, worden omgezet zonder doorsturen met behulp van door Azure geleverde DNS.

DNS-omzetting in het spoke-VNet: in dit voorbeeld verzendt het spoke-VNet al het DNS-verkeer naar het binnenkomende eindpunt in het Hub-VNet. Omdat azure.contoso.com een koppeling naar het hub-VNet heeft, kunnen alle resources in de hub azure.contoso.com omzetten, inclusief het binnenkomende eindpunt (10.10.0.4). De spoke maakt dus gebruik van het binnenkomende eindpunt van de hub om de privézone op te lossen. Andere DNS-namen worden omgezet voor het spoke-VNet volgens regels die zijn ingericht in een doorstuurregelset, als deze bestaan.

Notitie

In het scenario voor gecentraliseerde DNS-architectuur kunnen zowel de hub als de spoke-VNets de optionele hub-gekoppelde regelset gebruiken bij het omzetten van DNS-namen. Dit komt doordat al het DNS-verkeer van het spoke-VNet wordt verzonden naar de hub vanwege de aangepaste DNS-instelling van het VNet. Voor het hub-VNet is hier geen uitgaand eindpunt of regelset vereist, maar als er een is ingericht en gekoppeld aan de hub (zoals wordt weergegeven in afbeelding 2), gebruiken zowel de hub- als spoke-VNets de regels voor doorsturen. Zoals eerder vermeld, is het belangrijk dat een doorstuurregel voor de privézone niet aanwezig is in de regelset, omdat deze configuratie een DNS-omzettingslus kan veroorzaken.

Volgende stappen