Architektura prywatnego rozpoznawania nazw

W tym artykule omówiono dwie opcje projektowania architektury, które są dostępne do rozpoznawania nazw DNS, w tym prywatnych stref DNS w sieci platformy Azure przy użyciu prywatnego rozpoznawania nazw usługi Azure DNS. Przykładowe konfiguracje są dostarczane z zaleceniami projektowymi dotyczącymi scentralizowanego i rozproszonego rozpoznawania nazw DNS w topologii sieci wirtualnej piasty i szprych.

• Aby zapoznać się z omówieniem prywatnego rozpoznawania nazw usługi Azure DNS, zobacz What is Azure DNS Private Resolver (Co to jest prywatny program rozpoznawania nazw usługi Azure DNS).
• Aby uzyskać więcej informacji na temat składników prywatnego rozpoznawania nazw, zobacz Punkty końcowe i zestawy reguł usługi Rozpoznawanie prywatne w usłudze Azure DNS.

Architektura rozproszonego systemu DNS

Rozważmy następującą topologię piasty i sieci wirtualnej będącej szprychą na platformie Azure za pomocą prywatnego rozpoznawania nazw znajdującego się w centrum i linku zestawu reguł do sieci wirtualnej będącej szprychą. Zarówno piasta, jak i szprycha używają usługi DNS udostępnianej przez platformę Azure w ustawieniach sieci wirtualnej:

Rysunek 1. Rozproszona architektura DNS przy użyciu łączy zestawu reguł

• Sieć wirtualna koncentratora jest skonfigurowana z przestrzenią adresową 10.10.0.0/16.
• Sieć wirtualna szprychy jest skonfigurowana z przestrzenią adresową 10.11.0.0/16.
• Prywatna strefa DNS azure.contoso.com jest połączona z siecią wirtualną koncentratora.
• Prywatny program rozpoznawania nazw jest aprowizowany w sieci wirtualnej piasty.
  • Prywatny program rozpoznawania nazw ma jeden przychodzący punkt końcowy z adresem IP 10.10.0.4.
  • Prywatny program rozpoznawania nazw ma jeden wychodzący punkt końcowy i skojarzony zestaw reguł przesyłania dalej DNS.
    • Zestaw reguł przesyłania dalej DNS jest połączony z siecią wirtualną będącej szprychą.
    • Reguła zestawu reguł jest skonfigurowana do przekazywania zapytań dla strefy prywatnej do przychodzącego punktu końcowego.

Rozpoznawanie nazw DNS w sieci wirtualnej koncentratora: łącze sieci wirtualnej ze strefy prywatnej do sieci wirtualnej koncentratora umożliwia zasobom w sieci wirtualnej koncentratora automatyczne rozpoznawanie rekordów DNS w azure.contoso.com przy użyciu usługi DNS dostarczonej przez platformę Azure (168.63.129.16). Wszystkie inne przestrzenie nazw są również rozpoznawane przy użyciu usługi DNS udostępnianej przez platformę Azure. Sieć wirtualna piasty nie używa reguł zestawu reguł do rozpoznawania nazw DNS, ponieważ nie jest połączona z zestawem reguł. Aby używać reguł przekazywania w sieci wirtualnej piasty, utwórz i połącz inny zestaw reguł z siecią wirtualną koncentratora.

Rozpoznawanie nazw DNS w sieci wirtualnej będącej szprychą: połączenie sieci wirtualnej z zestawu reguł do sieci wirtualnej szprych umożliwia sieci wirtualnej będącej szprychą rozpoznawanie azure.contoso.com przy użyciu skonfigurowanej reguły przekazywania. Link ze strefy prywatnej do sieci wirtualnej będącej szprychą nie jest tutaj wymagany. Sieć wirtualna będącej szprychą wysyła zapytania dotyczące azure.contoso.com do przychodzącego punktu końcowego centrum za pośrednictwem usługi DNS dostarczonej przez platformę Azure, ponieważ istnieje reguła zgodna z tą nazwą domeny w połączonym zestawie reguł. Zapytania dotyczące innych przestrzeni nazw można również przekazywać, konfigurując dodatkowe reguły. Zapytania DNS, które nie są zgodne z regułą zestawu reguł, nie są przekazywane i są rozpoznawane przy użyciu usługi DNS dostarczonej przez platformę Azure.

Ważne

W tej przykładowej konfiguracji sieć wirtualna centrum musi być połączona ze strefą prywatną, ale nie może być połączona z zestawem reguł przesyłania dalej z regułą przekazywania przychodzącego punktu końcowego. Łączenie zestawu reguł przesyłania dalej zawierającego regułę z przychodzącym punktem końcowym jako miejscem docelowym do tej samej sieci wirtualnej, w której aprowizowany jest przychodzący punkt końcowy, może powodować pętle rozpoznawania nazw DNS.

Scentralizowana architektura DNS

Rozważmy następującą topologię piasty i sieci wirtualnej będącej szprychą z przychodzącym punktem końcowym aprowizowaną jako niestandardowy system DNS w sieci wirtualnej będącej szprychą. Sieć wirtualna będącej szprychą używa niestandardowego ustawienia DNS 10.10.0.4 odpowiadającego prywatnemu punktowi końcowemu rozpoznawania ruchu przychodzącego centrum:

Rysunek 2. Scentralizowana architektura DNS przy użyciu niestandardowego systemu DNS

• Sieć wirtualna koncentratora jest skonfigurowana z przestrzenią adresową 10.10.0.0/16.
• Sieć wirtualna szprychy jest skonfigurowana z przestrzenią adresową 10.11.0.0/16.
• Prywatna strefa DNS azure.contoso.com jest połączona z siecią wirtualną koncentratora.
• Prywatny program rozpoznawania nazw znajduje się w sieci wirtualnej piasty.
  • Prywatny program rozpoznawania nazw ma jeden przychodzący punkt końcowy z adresem IP 10.10.0.4.
  • Prywatny moduł rozpoznawania nazw ma jeden (opcjonalnie) wychodzący punkt końcowy i skojarzony zestaw reguł przesyłania dalej DNS.
    • Zestaw reguł przesyłania dalej DNS jest połączony z siecią wirtualną koncentratora.
    • Reguła zestawu reguł nie jest skonfigurowana do przekazywania zapytań dla strefy prywatnej do przychodzącego punktu końcowego.

Rozpoznawanie nazw DNS w sieci wirtualnej koncentratora: łącze sieci wirtualnej ze strefy prywatnej do sieci wirtualnej koncentratora umożliwia zasobom w sieci wirtualnej koncentratora automatyczne rozpoznawanie rekordów DNS w azure.contoso.com przy użyciu usługi DNS dostarczonej przez platformę Azure (168.63.129.16). W przypadku skonfigurowania reguły zestawu reguł określają, jak nazwy DNS są przekazywane i rozpoznawane. Przestrzenie nazw, które nie są zgodne z regułą zestawu reguł, są rozwiązywane bez przekazywania przy użyciu usługi DNS udostępnianej przez platformę Azure.

Rozpoznawanie nazw DNS w sieci wirtualnej będącej szprychą: w tym przykładzie sieć wirtualna szprychy wysyła cały ruch DNS do przychodzącego punktu końcowego w sieci wirtualnej koncentratora. Ponieważ azure.contoso.com ma połączenie sieci wirtualnej z siecią wirtualną koncentratora, wszystkie zasoby w centrum mogą rozpoznawać azure.contoso.com, w tym punkt końcowy ruchu przychodzącego (10.10.0.4). W związku z tym szprycha używa punktu końcowego ruchu przychodzącego koncentratora do rozpoznawania strefy prywatnej. Inne nazwy DNS są rozpoznawane dla sieci wirtualnej będącej szprychą zgodnie z regułami aprowizacji w zestawie reguł przesyłania dalej, jeśli istnieją.

Uwaga

W scentralizowanym scenariuszu architektury DNS zarówno piasta, jak i sieci wirtualne szprych mogą używać opcjonalnego zestawu reguł połączonych z piastą podczas rozpoznawania nazw DNS. Dzieje się tak, ponieważ cały ruch DNS z sieci wirtualnej będącej szprychą jest wysyłany do centrum z powodu niestandardowego ustawienia DNS sieci wirtualnej. Sieć wirtualna piasty nie wymaga tutaj wychodzącego punktu końcowego ani zestawu reguł, ale jeśli jest ona aprowizowana i połączona z koncentratorem (jak pokazano na rysunku 2), sieci wirtualne piasty i szprych będą używać reguł przekazywania. Jak wspomniano wcześniej, ważne jest, aby reguła przekazywania dla strefy prywatnej nie była obecna w zestawie reguł, ponieważ ta konfiguracja może powodować pętlę rozpoznawania nazw DNS.

Następne kroki

• Zapoznaj się ze składnikami, korzyściami i wymaganiami dotyczącymi usługi Rozpoznawanie prywatne usługi Azure DNS.
• Dowiedz się, jak utworzyć prywatny program rozpoznawania nazw DNS platformy Azure przy użyciu programu Azure PowerShell lub witryny Azure Portal.
• Dowiedz się, jak rozwiązywać problemy z platformą Azure i domenami lokalnymi przy użyciu prywatnego rozpoznawania nazw usługi Azure DNS.
• Dowiedz się więcej na temat prywatnych punktów końcowych i zestawów reguł usługi Azure DNS.
• Dowiedz się, jak skonfigurować tryb failover DNS przy użyciu prywatnych rozpoznawania nazw
• Poznaj inne kluczowe możliwości sieciowe platformy Azure.
• Moduł szkoleniowy: wprowadzenie do usługi Azure DNS.