Azure- en on-premises domeinen oplossen

  • Artikel

Hybride DNS-omzetting

Dit artikel bevat richtlijnen voor het configureren van hybride DNS-omzetting met behulp van een privé-resolver van Azure DNS met een dns-regelset voor doorsturen. In dit scenario zijn uw Azure DNS-resources verbonden met een on-premises netwerk met behulp van een VPN- of ExpressRoute-verbinding.

Hybride DNS-omzetting wordt hier gedefinieerd als het inschakelen van Azure-resources om uw on-premises domeinen en on-premises DNS om uw privé-DNS-zones van Azure op te lossen.

Azure DNS Private Resolver

De privé-resolver van Azure DNS is een service waarmee on-premises DNS-query's voor privézones van Azure DNS kunnen worden omgezet. Voorheen was het nodig om een aangepaste DNS-resolver op basis van een VM te implementeren of om niet-Microsoft DNS-, DHCP- en IPAM-oplossingen (DDI) te gebruiken om deze functie uit te voeren.

Voordelen van het gebruik van de Azure DNS Private Resolver-service versus vm-gebaseerde resolvers of DDI-oplossingen zijn:

  • Geen onderhoud: in tegenstelling tot oplossingen op basis van VM's of hardware, vereist de privé-resolver geen software-updates, beveiligingsscans of beveiligingspatching. De privé-resolverservice wordt volledig beheerd.
  • Kostenreductie: Azure DNS Private Resolver is een multitenant-service en kan een fractie van de kosten kosten die nodig zijn voor het gebruik en de licentie voor meerdere DNS-resolvers op basis van vm's.
  • Hoge beschikbaarheid: de Azure DNS Private Resolver-service heeft ingebouwde functies voor hoge beschikbaarheid. De service is op de hoogte van de beschikbaarheidszone , waardoor hoge beschikbaarheid en redundantie van uw DNS-oplossing met veel minder inspanning kunnen worden bereikt. Zie de zelfstudie: DNS-failover instellen met behulp van privé-resolvers voor meer informatie over het configureren van DNS-failover met behulp van de privé-resolverservice.
  • DevOps-vriendelijk: traditionele DNS-oplossingen zijn moeilijk te integreren met DevOps-werkstromen, omdat deze vaak handmatige configuratie vereisen voor elke DNS-wijziging. Privé-resolver van Azure DNS biedt een volledig functionele ARM-interface die eenvoudig kan worden geïntegreerd met DevOps-werkstromen.

Regelset voor DNS-doorsturen

Een regelset voor dns-doorsturen is een groep regels waarmee een of meer aangepaste DNS-servers worden opgegeven om query's te beantwoorden voor specifieke DNS-naamruimten. Zie Azure DNS Private Resolver-eindpunten en -regelsets voor meer informatie.

Procedures

De volgende procedures in dit artikel worden gebruikt om hybride DNS in te schakelen en te testen:

Een privézone voor Azure DNS maken

Maak een privézone met ten minste één resourcerecord die moet worden gebruikt voor testen. De volgende quickstarts zijn beschikbaar om u te helpen bij het maken van een privézone:

In dit artikel worden de privézone azure.contoso.com en de resourcerecordtest gebruikt. Automatische registratie is niet vereist voor de huidige demonstratie.

Belangrijk

In dit voorbeeld wordt een recursieve server gebruikt om query's van on-premises naar Azure door te sturen. Als de server gezaghebbend is voor de bovenliggende zone (contoso.com), is doorsturen niet mogelijk, tenzij u eerst een delegatie voor azure.contoso.com maakt.

Resourcerecords weergeven

Vereiste: U moet een koppeling naar een virtueel netwerk in de zone maken naar het virtuele netwerk waar u uw Privé-resolver van Azure DNS implementeert. In het volgende voorbeeld is de privézone gekoppeld aan twee VNets: myeastvnet en mywestvnet. Er is ten minste één koppeling vereist.

Zonekoppelingen weergeven

Een privé-resolver voor Azure DNS maken

De volgende quickstarts zijn beschikbaar om u te helpen bij het maken van een privé-resolver. Deze quickstarts helpen u bij het maken van een resourcegroep, een virtueel netwerk en azure DNS Private Resolver. De stappen voor het configureren van een binnenkomend eindpunt, een uitgaand eindpunt en een regelset voor dns-doorsturen zijn beschikbaar:

Wanneer u klaar bent, schrijft u het IP-adres van het binnenkomende eindpunt voor de privé-resolver van Azure DNS op. In dit voorbeeld is het IP-adres 10.10.0.4. Dit IP-adres wordt later gebruikt voor het configureren van on-premises DNS-voorwaardelijke doorstuurservers.

IP-adres van eindpunt weergeven

Een azure DNS-regelset voor doorsturen configureren

Maak een doorstuurregelset in dezelfde regio als uw privé-resolver. In het volgende voorbeeld ziet u twee regelsets. De regioregelset VS - oost wordt gebruikt voor de hybride DNS-demonstratie.

Gebied voor regelset weergeven

Vereiste: U moet een virtuele netwerkkoppeling maken naar het vnet waar uw privé-resolver wordt geïmplementeerd. In het volgende voorbeeld zijn er twee virtuele netwerkkoppelingen aanwezig. De koppeling myeastvnet-link wordt gemaakt naar een hub-vnet waar de privé-resolver is ingericht. Er is ook een virtuele netwerkkoppeling myeastspoke-link die hybride DNS-omzetting biedt in een spoke-vnet dat geen eigen privé-resolver heeft. Het spoke-netwerk kan de privé-resolver gebruiken omdat het peert met het hubnetwerk. De spoke-vnet-koppeling is niet vereist voor de huidige demonstratie.

Koppelingen voor regelset weergeven

Maak vervolgens een regel in uw regelset voor uw on-premises domein. In dit voorbeeld gebruiken we contoso.com. Stel het doel-IP-adres voor uw regel in als het IP-adres van uw on-premises DNS-server. In dit voorbeeld bevindt de on-premises DNS-server zich op 10.100.0.2. Controleer of de regel is ingeschakeld.

Regels weergeven

Notitie

Wijzig de DNS-instellingen voor uw virtuele netwerk niet om het IP-adres van het binnenkomende eindpunt te gebruiken. Laat de standaard-DNS-instellingen staan.

On-premises DNS-voorwaardelijke doorstuurservers configureren

De procedure voor het configureren van on-premises DNS is afhankelijk van het type DNS-server dat u gebruikt. In het volgende voorbeeld wordt een Windows DNS-server op 10.100.0.2 geconfigureerd met een voorwaardelijke doorstuurserver voor de privé-DNS-zone azure.contoso.com. De voorwaardelijke doorstuurserver is ingesteld om query's door te sturen naar 10.10.0.4. Dit is het IP-adres van het binnenkomende eindpunt voor uw Privé-resolver van Azure DNS. Er is hier ook een ander IP-adres geconfigureerd om DNS-failover in te schakelen. Zie zelfstudie: DNS-failover instellen met behulp van privé-resolvers voor meer informatie over het inschakelen van failover. Voor deze demonstratie is alleen het binnenkomende eindpunt 10.10.0.4 vereist.

On-premises doorsturen weergeven

Hybride DNS demonstreren

Gebruik een VIRTUELE machine die zich in het virtuele netwerk bevindt waarin de privé-resolver van Azure DNS is ingericht, en geef een DNS-query voor een resourcerecord in uw on-premises domein. In dit voorbeeld wordt een query uitgevoerd voor de record testdns.contoso.com:

Azure naar on-premises verifiëren

Het pad voor de query is: regel voor regelset voor uitgaande eindpunten van Azure DNS >> voor uitgaande eindpunten > voor contoso.com > on-premises DNS (10.100.0.2). De DNS-server op 10.100.0.2 is een on-premises DNS-resolver, maar het kan ook een gezaghebbende DNS-server zijn.

Gebruik een on-premises VM of apparaat om een DNS-query uit te voeren voor een resourcerecord in uw privé-DNS-zone van Azure. In dit voorbeeld wordt een query uitgevoerd voor de record test.azure.contoso.com:

On-premises naar Azure verifiëren

Het pad voor deze query is: de standaard-DNS-resolver van de client (10.100.0.2) > on-premises regel voor voorwaardelijke doorstuurserver voor azure.contoso.com > binnenkomend eindpunt (10.10.0.4)

Volgende stappen