Azure DNS Private Resolver-eindpunten en -regelsets
In dit artikel krijgt u informatie over onderdelen van de privé-resolver van Azure DNS. Inkomende eindpunten, uitgaande eindpunten en regelsets voor dns-doorsturen worden besproken. Eigenschappen en instellingen van deze onderdelen worden beschreven en er worden voorbeelden gegeven voor het gebruik ervan.
De architectuur voor Azure DNS Private Resolver wordt samengevat in de volgende afbeelding. In dit voorbeeldnetwerk wordt een DNS-resolver geïmplementeerd in een hub-VNet dat is gekoppeld aan een spoke-VNet.
Afbeelding 1: Voorbeeld van hub- en spoke-netwerk met DNS-resolver
- Regelsetkoppelingen worden ingericht in de dns-regelset voor zowel de hub- als spoke-VNets, waardoor resources in beide VNets aangepaste DNS-naamruimten kunnen omzetten met behulp van DNS-doorstuurregels.
- Er wordt ook een privé-DNS-zone geïmplementeerd en gekoppeld aan het hub-VNet, waardoor resources in het hub-VNet records in de zone kunnen omzetten.
- Het spoke-VNet zet records in de privézone om met behulp van een DNS-doorstuurregel waarmee query's voor privézones worden doorgestuurd naar het VIP van het binnenkomende eindpunt in het hub-VNet.
- Een on-premises netwerk dat is verbonden met ExpressRoute, wordt ook weergegeven in de afbeelding, waarbij DNS-servers zijn geconfigureerd voor het doorsturen van query's voor de privézone van Azure naar het VIP van het binnenkomende eindpunt. Zie Azure- en on-premises domeinen omzetten voor meer informatie over het inschakelen van hybride DNS-omzetting met behulp van de privé-resolver van Azure DNS.
Notitie
De peeringverbinding die in het diagram wordt weergegeven, is niet vereist voor naamomzetting. VNets die zijn gekoppeld vanuit een regelset voor DNS-doorstuur gebruiken de regelset bij het uitvoeren van naamomzetting, ongeacht of de gekoppelde VNet-peers met het regelset-VNet.
Binnenkomende eindpunten
Zoals de naam al aangeeft, binnenkomend eindpunten inkomend naar Azure. Binnenkomende eindpunten bieden een IP-adres voor het doorsturen van DNS-query's vanaf on-premises en andere locaties buiten uw virtuele netwerk. DNS-query's die naar het binnenkomende eindpunt worden verzonden, worden omgezet met behulp van Azure DNS. Privé-DNS zones die zijn gekoppeld aan het virtuele netwerk waarin het binnenkomende eindpunt is ingericht, worden opgelost door het binnenkomende eindpunt.
Het IP-adres dat is gekoppeld aan een binnenkomend eindpunt maakt altijd deel uit van de privéadresruimte van het virtuele netwerk waar de privé-resolver wordt geïmplementeerd. Er kunnen geen andere resources bestaan in hetzelfde subnet met het binnenkomende eindpunt.
IP-adressen van statische en dynamische eindpunten
Het IP-adres dat is toegewezen aan een binnenkomend eindpunt kan statisch of dynamisch zijn. Als u statisch selecteert, kunt u geen gereserveerd IP-adres in het subnet kiezen. Als u een dynamisch IP-adres kiest, wordt het vijfde beschikbare IP-adres in het subnet toegewezen. 10.10.0.4 is bijvoorbeeld het vijfde IP-adres in het subnet 10.10.0.0/28 (.0, .1, .2, .3, .4). Als het binnenkomende eindpunt opnieuw wordt ingerichte, kan dit IP-adres veranderen, maar normaal gesproken wordt het 5e IP-adres in het subnet opnieuw gebruikt. Het dynamische IP-adres wordt niet gewijzigd, tenzij het binnenkomende eindpunt opnieuw wordt geïmplementeerd. In het volgende voorbeeld wordt een statisch IP-adres opgegeven:
In het volgende voorbeeld ziet u het inrichten van een binnenkomend eindpunt met een virtueel IP-adres (VIP) van 10.10.0.4 in het subnet snet-E-inbound binnen een virtueel netwerk met adresruimte 10.10.0.0/16.
Uitgaande eindpunten
Uitgaande eindpunten van Azure en kunnen worden gekoppeld aan dns-regelsets voor doorsturen.
Uitgaande eindpunten maken ook deel uit van de adresruimte van het particuliere virtuele netwerk waar de privé-resolver wordt geïmplementeerd. Een uitgaand eindpunt is gekoppeld aan een subnet, maar is niet ingericht met een IP-adres, zoals het binnenkomende eindpunt. Er kunnen geen andere resources bestaan in hetzelfde subnet met het uitgaande eindpunt. In de volgende schermopname ziet u een uitgaand eindpunt in het subnet snet-E-outbound.
Regelsets voor DNS-doorsturen
Met regelsets voor dns-doorsturen kunt u een of meer aangepaste DNS-servers opgeven om query's te beantwoorden voor specifieke DNS-naamruimten. De afzonderlijke regels in een regelset bepalen hoe deze DNS-namen worden omgezet. Regelsets kunnen ook worden gekoppeld aan een of meer virtuele netwerken, waardoor resources in de VNets de doorstuurregels kunnen gebruiken die u configureert.
Regelsets hebben de volgende koppelingen:
- Eén regelset kan worden gekoppeld aan maximaal 2 uitgaande eindpunten die behoren tot hetzelfde exemplaar van dns-privé-resolver. Het kan niet worden gekoppeld aan twee uitgaande eindpunten in twee verschillende instanties van dns-privé-resolver.
- Een regelset kan maximaal 1000 DNS-doorstuurregels bevatten.
- Een regelset kan worden gekoppeld aan maximaal 500 virtuele netwerken in dezelfde regio.
Een regelset kan niet worden gekoppeld aan een virtueel netwerk in een andere regio. Zie Wat zijn de gebruikslimieten voor Azure DNS voor meer informatie over regelset en andere limieten voor privé-resolvers.
Regelsetkoppelingen
Wanneer u een regelset koppelt aan een virtueel netwerk, gebruiken resources binnen dat virtuele netwerk de regels voor dns-doorsturen die zijn ingeschakeld in de regelset. De gekoppelde virtuele netwerken zijn niet vereist om te peeren met het virtuele netwerk waar het uitgaande eindpunt bestaat, maar deze netwerken kunnen worden geconfigureerd als peers. Deze configuratie is gebruikelijk in een hub- en spoke-ontwerp. In dit hub- en spoke-scenario hoeft het spoke-vnet niet te worden gekoppeld aan de privé-DNS-zone om resourcerecords in de zone op te lossen. In dit geval verzendt de regel voor het doorsturen van regelset voor de privézone query's naar het binnenkomende eindpunt van het hub-vnet. Bijvoorbeeld: azure.contoso.com tot 10.10.0.4.
In de volgende schermopname ziet u een dns-regelset voor doorsturen die is gekoppeld aan het virtuele spoke-netwerk: myeastspoke.
Met virtuele netwerkkoppelingen voor regelsets voor DNS-doorstuurregels kunnen resources in andere VNets doorsturen regels gebruiken bij het omzetten van DNS-namen. Het VNet met de privé-resolver moet ook worden gekoppeld vanuit privé-DNS-zones waarvoor regelsetregels zijn.
Resources in het vnet myeastspoke kunnen bijvoorbeeld records in de privé-DNS-zone azure.contoso.com omzetten als:
- De regelset die
myeastvnetis ingericht, is gekoppeld aanmyeastspoke - Een regel voor regelset is geconfigureerd en ingeschakeld in de gekoppelde regelset om op te lossen
azure.contoso.commet behulp van het binnenkomende eindpunt inmyeastvnet
Notitie
U kunt ook een regelset koppelen aan een virtueel netwerk in een ander Azure-abonnement. De opgegeven resourcegroep moet zich echter in dezelfde regio bevinden als de privé-resolver.
Regels
Regels voor dns-doorsturen (regelsetregels) hebben de volgende eigenschappen:
| Eigenschappen | Beschrijving |
|---|---|
| Naam van de regel | De naam van de regel. De naam moet beginnen met een letter en mag alleen letters, cijfers, onderstrepingstekens en streepjes bevatten. |
| Domeinnaam | De door punt beëindigde DNS-naamruimte waar uw regel van toepassing is. De naamruimte moet nul labels (voor jokertekens) of tussen 1 en 34 labels hebben. Heeft bijvoorbeeld contoso.com. twee labels.1 |
| Doel-IP:Poort | De doorstuurbestemming. Een of meer IP-adressen en poorten van DNS-servers die worden gebruikt voor het omzetten van DNS-query's in de opgegeven naamruimte. |
| Regelstatus | De regelstatus: Ingeschakeld of uitgeschakeld. Als een regel is uitgeschakeld, wordt deze genegeerd. |
1domeinnamen met één label worden ondersteund.
Als er meerdere regels overeenkomen, wordt de langste voorvoegselovereenkomst gebruikt.
Als u bijvoorbeeld de volgende regels hebt:
| Naam van de regel | Domeinnaam | Doel-IP:Poort | Regelstatus |
|---|---|---|---|
| Contoso | contoso.com. | 10.100.0.2:53 | Ingeschakeld |
| AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Ingeschakeld |
| Jokerteken | . | 10.100.0.2:53 | Ingeschakeld |
Een query voor secure.store.azure.contoso.com komt overeen met de AzurePrivate-regel voor en ook de Contoso-regel voor azure.contoso.comcontoso.com, maar de AzurePrivate-regel heeft voorrang omdat het voorvoegsel azure.contoso langer is dan contoso.
Belangrijk
Als een regel aanwezig is in de regelset die als bestemming een binnenkomende privé-resolver-eindpunt heeft, koppelt u de regelset niet aan het VNet waarin het binnenkomende eindpunt is ingericht. Deze configuratie kan DNS-omzettingslussen veroorzaken. Bijvoorbeeld: In het vorige scenario moet er geen regelsetkoppeling worden toegevoegd myeastvnet omdat het binnenkomende eindpunt 10.10.0.4 is ingericht en myeastvnet er een regel aanwezig is die wordt omgezet azure.contoso.com met behulp van het binnenkomende eindpunt.
De regels die in dit artikel worden weergegeven, zijn voorbeelden van regels die u voor specifieke scenario's kunt gebruiken. De gebruikte voorbeelden zijn niet vereist. Wees voorzichtig met het testen van uw doorstuurregels.
Als u een jokertekenregel opneemt in uw regelset, moet u ervoor zorgen dat de doel-DNS-service openbare DNS-namen kan omzetten. Sommige Azure-services hebben afhankelijkheden van openbare naamomzetting.
Regelverwerking
- Als er meerdere DNS-servers worden ingevoerd als de bestemming voor een regel, wordt het eerste IP-adres gebruikt dat wordt ingevoerd, tenzij deze niet reageert. Er wordt een exponentieel uitstel-algoritme gebruikt om te bepalen of een doel-IP-adres al dan niet reageert.
- Bepaalde domeinen worden genegeerd wanneer u een jokertekenregel gebruikt voor DNS-omzetting, omdat deze zijn gereserveerd voor Azure-services. Zie de DNS-zoneconfiguratie van Azure-services voor een lijst met domeinen die zijn gereserveerd. De twee label-DNS-namen die in dit artikel worden vermeld (bijvoorbeeld: windows.net, azure.com, azure.net, windowsazure.us) zijn gereserveerd voor Azure-services.
Belangrijk
- U kunt het IP-adres van Azure DNS 168.63.129.16 niet invoeren als het doel-IP-adres voor een regel. Als u dit IP-adres probeert toe te voegen, wordt de fout weergegeven: Uitzondering bij het maken van een aanvraag voor een regel voor toevoegen.
- Gebruik het IP-adres van het inkomende eindpunt van de privé-omzetter niet als doorstuurbestemming voor zones die niet zijn gekoppeld aan het virtuele netwerk waar de privé-omzetter is ingericht.
Ontwerpopties
Hoe u regelsets voor doorsturen en binnenkomende eindpunten in een hub- en spoke-architectuur implementeert, is idealiter afhankelijk van uw netwerkontwerp. In de volgende secties worden twee configuratieopties kort besproken. Zie de architectuur van een privé-resolver voor een gedetailleerdere bespreking met configuratievoorbeelden.
Koppelingen voor doorstuurregelset
Door een doorstuurregelset te koppelen aan een VNet kunnen DNS-doorstuurmogelijkheden in dat VNet worden ingeschakeld. Als een regelset bijvoorbeeld een regel bevat voor het doorsturen van query's naar het binnenkomende eindpunt van een privé-resolver, kan dit type regel worden gebruikt om de oplossing van privézones in te schakelen die zijn gekoppeld aan het VNet van het binnenkomende eindpunt. Deze configuratie kan worden gebruikt wanneer een hub-VNet is gekoppeld aan een privézone en u wilt inschakelen dat de privézone kan worden omgezet in spoke-VNets die niet zijn gekoppeld aan de privézone. In dit scenario wordt DNS-omzetting van de privézone uitgevoerd door het binnenkomende eindpunt in het hub-VNet.
Het ontwerpscenario voor regelsetkoppelingen is het meest geschikt voor een gedistribueerde DNS-architectuur waarbij netwerkverkeer wordt verspreid over uw Azure-netwerk en mogelijk uniek is op sommige locaties. Met dit ontwerp kunt u DNS-omzetting beheren in alle VNets die zijn gekoppeld aan de regelset door één regelset te wijzigen.
Notitie
Als u de koppelingsoptie regelset gebruikt en er een doorstuurregel is met het binnenkomende eindpunt als bestemming, koppelt u de doorstuurregelset niet aan het Hub-VNet. Als u dit type regelset koppelt aan hetzelfde VNet waar het binnenkomende eindpunt wordt ingericht, kan dit leiden tot een DNS-omzettingslus.
Binnenkomende eindpunten als aangepaste DNS
Binnenkomende eindpunten kunnen binnenkomende DNS-query's verwerken en kunnen worden geconfigureerd als aangepaste DNS voor een VNet. Deze configuratie kan exemplaren vervangen waarbij u uw eigen DNS-server gebruikt als aangepaste DNS in een VNet.
Het aangepaste DNS-ontwerpscenario is het meest geschikt voor een gecentraliseerde DNS-architectuur waarbij de DNS-resolutie en netwerkverkeersstroom voornamelijk naar een hub-VNet worden geleid en wordt beheerd vanaf een centrale locatie.
Als u een privé-DNS-zone wilt omzetten vanuit een spoke-VNet met behulp van deze methode, moet het VNet waar het binnenkomende eindpunt bestaat, worden gekoppeld aan de privézone. Het Hub-VNet kan (optioneel) worden gekoppeld aan een doorstuurregelset. Als een regelset is gekoppeld aan de hub, wordt al het DNS-verkeer dat naar het binnenkomende eindpunt wordt verzonden, verwerkt door de regelset.
Volgende stappen
- Bekijk onderdelen, voordelen en vereisten voor Azure DNS Private Resolver.
- Meer informatie over het maken van een privé-resolver van Azure DNS met behulp van Azure PowerShell of Azure Portal.
- Meer informatie over het oplossen van Azure- en on-premises domeinen met behulp van de privé-resolver van Azure DNS.
- Meer informatie over het instellen van DNS-failover met behulp van privé-resolvers.
- Meer informatie over het configureren van hybride DNS met behulp van privé-resolvers.
- Informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure.
- Learn-module: Inleiding tot Azure DNS.