Szybki start: tworzenie prywatnego rozpoznawania nazw usługi Azure DNS przy użyciu witryny Azure Portal

Ten przewodnik Szybki start przeprowadzi Cię przez kroki tworzenia prywatnego rozpoznawania nazw usługi Azure DNS przy użyciu witryny Azure Portal. Jeśli wolisz, możesz wykonać ten przewodnik Szybki start przy użyciu programu Azure PowerShell.

Usługa Azure DNS Private Resolver umożliwia odpytywanie prywatnych stref Azure DNS ze środowiska lokalnego i odwrotnie, bez konieczności wdrażania serwerów DNS opartych na maszynach wirtualnych. Nie musisz już udostępniać rozwiązań opartych na IaaS w swoich sieciach wirtualnych, aby rozpoznawać nazwy zarejestrowane w prywatnych strefach DNS platformy Azure. Możesz skonfigurować warunkowe przekierowanie domen z powrotem do lokalnych, wielochmurowych i publicznych serwerów DNS. Aby uzyskać więcej informacji, w tym korzyści, możliwości i dostępności regionalnej, zobacz Co to jest prywatny program rozpoznawania nazw usługi Azure DNS.

W tym artykule:

• Tworzone są dwie sieci wirtualne: myvnet i myvnet2.
• Prywatny program rozpoznawania nazw DNS platformy Azure jest tworzony w pierwszej sieci wirtualnej z przychodzącym punktem końcowym o godzinie 10.10.0.4.
• Dla prywatnego rozpoznawania nazw jest tworzony zestaw reguł przesyłania dalej DNS.
• Zestaw reguł przesyłania dalej DNS jest połączony z drugą siecią wirtualną.
• Przykładowe reguły są dodawane do zestawu reguł przesyłania dalej DNS.

W tym artykule nie pokazano przekazywania DNS do sieci lokalnej. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z platformą Azure i domenami lokalnymi.

Na poniższej ilustracji przedstawiono podsumowanie konfiguracji użytej w tym artykule:

Wymagania wstępne

Wymagana jest subskrypcja platformy Azure.

• Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz utworzyć bezpłatne konto.

Rejestrowanie przestrzeni nazw dostawcy Microsoft.Network

Aby móc korzystać z usług Microsoft.Network w ramach subskrypcji platformy Azure, musisz zarejestrować przestrzeń nazw Microsoft.Network :

1. Wybierz blok Subskrypcja w witrynie Azure Portal, a następnie wybierz swoją subskrypcję.
2. W obszarze Ustawienia wybierz pozycję Dostawcy zasobów.
3. Wybierz pozycję Microsoft.Network , a następnie wybierz pozycję Zarejestruj.

Tworzenie grupy zasobów

Najpierw utwórz lub wybierz istniejącą grupę zasobów do hostowania zasobów dla rozpoznawania nazw DNS. Grupa zasobów musi znajdować się w obsługiwanym regionie. W tym przykładzie lokalizacja to Zachodnio-środkowe stany USA. Aby utworzyć nową grupę zasobów:

1. Wybierz pozycję Utwórz grupę zasobów.

2. Wybierz nazwę subskrypcji, wprowadź nazwę grupy zasobów i wybierz obsługiwany region.

3. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   

Tworzenie sieci wirtualnej

Następnie dodaj sieć wirtualną do utworzonej grupy zasobów i skonfiguruj podsieci.

1. Wybierz utworzoną grupę zasobów, wybierz pozycję Utwórz, wybierz pozycję Sieć z listy kategorii, a następnie obok pozycji Sieć wirtualna wybierz pozycję Utwórz.

2. Na karcie Podstawy wprowadź nazwę nowej sieci wirtualnej i wybierz region, który jest taki sam jak grupa zasobów.

3. Na karcie Adresy IP zmodyfikuj przestrzeń adresową IPv4 na 10.0.0.0/8.

4. Wybierz pozycję Dodaj podsieć i wprowadź nazwę podsieci i zakres adresów:

   • Nazwa podsieci: snet-inbound
   • Zakres adresów podsieci: 10.0.0.0/28
   • Wybierz pozycję Dodaj , aby dodać nową podsieć.

5. Wybierz pozycję Dodaj podsieć i skonfiguruj podsieć wychodzącego punktu końcowego:

   • Nazwa podsieci: snet-outbound
   • Zakres adresów podsieci: 10.1.1.0/28
   • Wybierz pozycję Dodaj , aby dodać tę podsieć.

6. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

   

Tworzenie rozpoznawania nazw DNS w sieci wirtualnej

1. Otwórz witrynę Azure Portal i wyszukaj prywatne narzędzia rozpoznawania nazw DNS.

2. Wybierz pozycję Prywatne narzędzia rozpoznawania nazw DNS, wybierz pozycję Utwórz, a następnie na karcie Podstawy w obszarze Tworzenie prywatnego rozpoznawania nazw DNS wprowadź następujące polecenie:

   • Subskrypcja: wybierz używaną nazwę subskrypcji.
   • Grupa zasobów: wybierz nazwę utworzonej grupy zasobów.
   • Nazwa: wprowadź nazwę rozpoznawania nazw DNS (np. mydnsresolver).
   • Region: wybierz region używany dla sieci wirtualnej.
   • Sieć wirtualna: wybierz utworzoną sieć wirtualną.

   Nie twórz jeszcze programu rozpoznawania nazw DNS.

   

3. Wybierz kartę Przychodzące punkty końcowe , wybierz pozycję Dodaj punkt końcowy, a następnie wprowadź nazwę obok pozycji Nazwa punktu końcowego (np. myinboundendpoint).

4. Obok pozycji Podsieć wybierz utworzoną podsieć punktu końcowego ruchu przychodzącego (np. snet-inbound, 10.0.0.0/28), a następnie wybierz pozycję Zapisz.

5. Wybierz kartę Wychodzące punkty końcowe, wybierz pozycję Dodaj punkt końcowy, a następnie wprowadź nazwę obok pozycji Nazwa punktu końcowego (np. myoutboundendpoint).

6. Obok pozycji Podsieć wybierz utworzoną podsieć punktu końcowego ruchu wychodzącego (np. snet-outbound, 10.1.1.0/28), a następnie wybierz pozycję Zapisz.

7. Wybierz kartę Zestaw reguł , wybierz pozycję Dodaj zestaw reguł i wprowadź następujące polecenie:

   • Nazwa zestawu reguł: wprowadź nazwę zestawu reguł (np. myruleset).
   • Punkty końcowe: wybierz utworzony punkt końcowy ruchu wychodzącego (np. myoutboundendpoint).

8. W obszarze Reguły wybierz pozycję Dodaj i wprowadź reguły przekazywania warunkowego DNS. Na przykład:

   • Nazwa reguły: wprowadź nazwę reguły (np. contosocom).
   • Nazwa domeny: wprowadź nazwę domeny z kropką końcową (np. contoso.com).
   • Stan reguły: wybierz pozycję Włączone lub Wyłączone. Wartość domyślna jest włączona.
   • Wybierz pozycję Dodaj miejsce docelowe i wprowadź żądany docelowy adres IPv4 (np. 11.0.1.4).
   • W razie potrzeby ponownie wybierz pozycję Dodaj miejsce docelowe, aby dodać kolejny docelowy adres IPv4 (np. 11.0.1.5).
   • Po zakończeniu dodawania docelowych adresów IP wybierz pozycję Dodaj.

9. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   

   Ten przykład ma tylko jedną regułę przekazywania warunkowego, ale można utworzyć wiele. Edytuj reguły, aby je włączyć lub wyłączyć zgodnie z potrzebami.

   

   Po wybraniu pozycji Utwórz nowy program rozpoznawania nazw DNS rozpocznie wdrażanie. Ten proces może potrwać minutę lub dwie. Stan każdego składnika jest wyświetlany podczas wdrażania.

   

Tworzenie drugiej sieci wirtualnej

Utwórz drugą sieć wirtualną, aby symulować środowisko lokalne lub inne. Aby utworzyć drugą sieć wirtualną:

1. Wybierz pozycję Sieci wirtualne z listy usług platformy Azure lub wyszukaj pozycję Sieci wirtualne, a następnie wybierz pozycję Sieci wirtualne.

2. Wybierz pozycję Utwórz, a następnie na karcie Podstawy wybierz subskrypcję i wybierz tę samą grupę zasobów, której używasz w tym przewodniku (np. myresourcegroup).

3. Obok pozycji Nazwa wprowadź nazwę nowej sieci wirtualnej (np. myvnet2).

4. Sprawdź, czy wybrany region jest tym samym regionem, który był wcześniej używany w tym przewodniku (np. Zachodnio-środkowe stany USA).

5. Wybierz kartę Adresy IP i edytuj domyślną przestrzeń adresów IP. Zastąp przestrzeń adresową symulowaną lokalną przestrzenią adresową (np. 12.0.0.0/8).

6. Wybierz pozycję Dodaj podsieć i wprowadź następujące informacje:

   • Nazwa podsieci: backendsubnet
   • Zakres adresów podsieci: 12.2.0.0/24

7. Wybierz pozycję Dodaj, wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   

Łączenie zestawu reguł przesyłania dalej z drugą siecią wirtualną

Aby zastosować zestaw reguł przesyłania dalej do drugiej sieci wirtualnej, należy utworzyć link wirtualny.

1. Wyszukaj zestawy reguł przesyłania dalej DNS na liście usług platformy Azure i wybierz swój zestaw reguł (np. myruleset).

2. Wybierz pozycję Łącza sieci wirtualnej, wybierz pozycję Dodaj, wybierz pozycję myvnet2 i użyj domyślnej nazwy łącza myvnet2-link.

3. Wybierz pozycję Dodaj i sprawdź, czy link został dodany pomyślnie. Może być konieczne odświeżenie strony.

   

Usuwanie łącza sieci wirtualnej

W dalszej części tego artykułu reguła jest tworzona przy użyciu prywatnego punktu końcowego przychodzącego rozpoznawania nazw jako miejsca docelowego. Ta konfiguracja może spowodować pętlę rozpoznawania nazw DNS, jeśli sieć wirtualna, w której jest aprowizowany program rozpoznawania nazw, jest również połączona z zestawem reguł. Aby rozwiązać ten problem, usuń link do sieci myvnet.

1. Wyszukaj zestawy reguł przesyłania dalej DNS na liście usług platformy Azure i wybierz swój zestaw reguł (np. myruleset).

2. Wybierz pozycję Łącza sieci wirtualnej, wybierz pozycję myvnet-link, wybierz pozycję Usuń i wybierz przycisk OK.

   

Konfigurowanie zestawu reguł przesyłania dalej DNS

Dodaj lub usuń określone reguły zestawu reguł przesyłania dalej DNS zgodnie z potrzebami, takie jak:

• Reguła rozpoznawania strefy usługi Azure Prywatna strefa DNS połączona z siecią wirtualną: azure.contoso.com.
• Reguła rozpoznawania strefy lokalnej: internal.contoso.com.
• Reguła z symbolami wieloznacznymi służącą do przekazywania niedopasowanych zapytań DNS do ochronnej usługi DNS.

Ważne

Reguły przedstawione w tym przewodniku Szybki start to przykłady reguł, które mogą być używane w określonych scenariuszach. Żadne z reguł fawardingu opisanych w tym artykule nie są wymagane. Należy zachować ostrożność, aby przetestować reguły przekazywania i upewnić się, że reguły nie powodują problemów z rozpoznawaniem nazw DNS.

Jeśli w zestawie reguł dołączysz regułę z symbolami wieloznacznymi, upewnij się, że docelowa usługa DNS może rozpoznać publiczne nazwy DNS. Niektóre usługi platformy Azure mają zależności od rozpoznawania nazw publicznych.

Usuwanie reguły z zestawu reguł przesyłania dalej

Poszczególne reguły można usunąć lub wyłączyć. W tym przykładzie reguła zostanie usunięta.

1. Wyszukaj zestawy reguł przesyłania dalej DNS na liście Usługi platformy Azure i wybierz je.
2. Wybierz wcześniej skonfigurowany zestaw reguł (np. myruleset), a następnie wybierz pozycję Reguły.
3. Wybierz wcześniej skonfigurowaną przykładową regułę contosocom, wybierz pozycję Usuń, a następnie wybierz przycisk OK.

Dodawanie reguł do zestawu reguł przesyłania dalej

Dodaj trzy nowe reguły przekazywania warunkowego do zestawu reguł.

1. W obiekcie myruleset | Strona Reguły , wybierz pozycję Dodaj i wprowadź następujące dane reguły:

   • Nazwa reguły: AzurePrivate
   • Nazwa domeny: azure.contoso.com.
   • Stan reguły: włączone

2. W obszarze Docelowy adres IP wprowadź wartość 10.0.0.4, a następnie wybierz pozycję Dodaj.

3. W obiekcie myruleset | Strona Reguły , wybierz pozycję Dodaj i wprowadź następujące dane reguły:

   • Nazwa reguły: wewnętrzna
   • Nazwa domeny: internal.contoso.com.
   • Stan reguły: włączone

4. W obszarze Docelowy adres IP wprowadź wartość 192.168.1.2, a następnie wybierz pozycję Dodaj.

5. W obiekcie myruleset | Strona Reguły , wybierz pozycję Dodaj i wprowadź następujące dane reguły:

   • Nazwa reguły: symbol wieloznaczny
   • Nazwa domeny: . (wprowadź tylko kropkę)
   • Stan reguły: włączone

6. W obszarze Docelowy adres IP wprowadź wartość 10.5.5.5, a następnie wybierz pozycję Dodaj.

   

W tym przykładzie:

• 10.0.0.4 to przychodzący punkt końcowy programu rozpoznawania.
• 192.168.1.2 jest lokalnym serwerem DNS.
• 10.5.5.5 to ochrona usługi DNS.

Testowanie prywatnego rozpoznawania nazw

Teraz powinno być możliwe wysyłanie ruchu DNS do rozpoznawania nazw DNS i rozpoznawanie rekordów na podstawie zestawów reguł przesyłania dalej, w tym:

• Prywatne strefy usługi Azure DNS połączone z siecią wirtualną, w której wdrożono narzędzie rozpoznawania nazw.
  • Jeśli sieć wirtualna jest połączona z samą strefą prywatną, nie wymaga reguły dla strefy prywatnej w zestawie reguł przesyłania dalej. Zasoby w sieci wirtualnej mogą bezpośrednio rozpoznawać strefę. Jednak w tym przykładzie druga sieć wirtualna nie jest połączona ze strefą prywatną. Nadal może rozpoznać strefę przy użyciu zestawu reguł przesyłania dalej. Aby uzyskać więcej informacji na temat tego projektu, zobacz Architektura usługi Private Resolver.
• Prywatna strefa DNS stref hostowanych lokalnie.
• Strefy DNS w publicznej przestrzeni nazw DNS w internecie.

Następne kroki

Co to jest Azure DNS Private Resolver?