Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DNS Private Resolver is a new service that enables you to query Azure DNS private zones from an on-premises environment and vice versa without deploying VM based DNS servers.
How does it work?
Azure DNS Private Resolver requires an Azure Virtual Network. Gdy tworzysz Azure DNS Private Resolver w sieci wirtualnej, ustanawiane są jedno lub więcej punktów końcowych, które mogą być używane jako cel zapytań DNS. Końcowy punkt wyjściowy resolvera przetwarza zapytania DNS na podstawie zestawu reguł przekazywania DNS, który konfigurujesz. Zapytania DNS inicjowane w sieciach powiązanych z zestawem reguł mogą być przekazywane do innych serwerów DNS.
Nie musisz zmieniać żadnych ustawień klienta DNS na swoich maszynach wirtualnych (VM), aby korzystać z usługi Azure DNS Private Resolver.
Proces zapytania DNS przy użyciu usługi Azure DNS Private Resolver jest podsumowany poniżej:
- A client in a virtual network issues a DNS query.
- Jeśli serwery DNS dla tej wirtualnej sieci są określone jako niestandardowe, zapytanie jest przekazywane do określonych adresów IP.
- Jeśli domyślne (dostarczane przez Azure) serwery DNS są skonfigurowane w sieci wirtualnej i istnieją strefy DNS prywatne powiązane z tą samą siecią wirtualną, te strefy są konsultowane.
- Jeżeli zapytanie nie pasuje do prywatnej strefy DNS powiązanej z wirtualną siecią, wtedy konsultowane są łącza wirtualnej sieci dla zestawów reguł przekierowania DNS.
- Jeśli nie ma żadnych łączy zestawu reguł, to Azure DNS jest używany do rozstrzygnięcia zapytania.
- Jeśli obecne są linki zestawu reguł, to zasady przekierowywania DNS są oceniane.
- Jeśli zostanie znalezione dopasowanie sufiksu, zapytanie jest przesyłane na określony adres.
- Jeśli istnieje wiele dopasowań, używany jest najdłuższy sufiks.
- Jeśli nie zostanie znalezione dopasowanie, nie następuje przesyłanie żądań DNS, a usługa DNS Azure jest używana do rozwiązania zapytania.
Architektura dla Azure DNS Private Resolver jest podsumowana na poniższym rysunku. DNS resolution between Azure virtual networks and on-premises networks requires Azure ExpressRoute or a VPN.
Figure 1: Azure DNS Private Resolver architecture
Aby uzyskać więcej informacji o tworzeniu prywatnego resolvera DNS, zobacz:
- Szybki start: Tworzenie prywatnego rozwiązywacza DNS Azure za pomocą portalu Azure
- Szybki start: Utwórz prywatny resolver DNS Azure przy użyciu Azure PowerShell
Korzyści z Azure DNS Private Resolver
Azure DNS Private Resolver zapewnia następujące korzyści:
- W pełni zarządzane: Wbudowana wysoka dostępność, redundancja strefowa.
- Redukcja kosztów: Obniż koszty operacyjne i działaj za ułamek ceny tradycyjnych rozwiązań IaaS.
- Prywatny dostęp do Twoich stref DNS prywatnych: Warunkowe przekierowanie do i z lokalnych zasobów.
- Skalowalność: Wysoka wydajność na jeden punkt końcowy.
- Przyjazny dla DevOps: Buduj swoje potoki za pomocą Terraform, ARM lub Bicep.
Regional availability
See Azure Products by Region - Azure DNS.
Rezydencja danych
Azure DNS Private Resolver doesn't move or store customer data out of the region where the resolver is deployed.
DNS resolver endpoints and rulesets
A summary of resolver endpoints and rulesets is provided in this article. Aby uzyskać szczegółowe informacje na temat punktów końcowych i zestawów reguł, zobacz Azure DNS Private Resolver endpoints and rulesets.
Przychodzące punkty końcowe
Punkt końcowy przychodzący umożliwia rozwiązywanie nazw z lokalizacji lokalnych lub innych prywatnych miejsc za pomocą adresu IP, który jest częścią prywatnej przestrzeni adresowej wirtualnej sieci. To resolve your Azure private DNS zone from on-premises, enter the IP address of the inbound endpoint into your on-premises DNS conditional forwarder. Lokalny przekaźnik warunkowy DNS musi mieć połączenie sieciowe z siecią wirtualną.
Punkt końcowy przychodzący wymaga podsieci w sieci VNet, w której jest udostępniany. Subnet można delegować tylko do Microsoft.Network/dnsResolvers i nie może być używana dla innych usług. DNS queries received by the inbound endpoint ingress to Azure. You can resolve names in scenarios where you have Private DNS zones, including VMs that are using auto registration, or Private Link enabled services.
Uwaga
Adres IP przypisany do punktu końcowego przychodzącego może być określony jako statyczny lub dynamiczny. Aby uzyskać więcej informacji, zobacz statyczne i dynamiczne adresy IP punktów końcowych.
Punkty końcowe wychodzące
Punkt końcowy wychodzący umożliwia rozwiązywanie nazw z warunkowym przekazywaniem z Azure do lokalnych zasobów, innych dostawców chmury lub zewnętrznych serwerów DNS. Ten punkt końcowy wymaga dedykowanej podsieci w VNet, gdzie jest skonfigurowany, bez działania innych usług w tej podsieci i może być delegowany wyłącznie do Microsoft.Network/dnsResolvers. Zapytania DNS wysyłane do punktu końcowego wychodzącego będą opuszczać usługę Azure.
Wirtualne połączenia sieciowe
Linki sieci wirtualnej umożliwiają rozwiązywanie nazw dla sieci wirtualnych, które są połączone z punktem końcowym skierowanym na zewnątrz przy użyciu zestawu reguł przekazywania DNS. To jest relacja 1:1.
Zestawy zasad przekazywania DNS
Zestaw reguł przekazywania DNS to grupa reguł przekazywania DNS (do 1000), które mogą być zastosowane do jednego lub więcej punktów końcowych na zewnątrz lub powiązane z jedną lub większą liczbą wirtualnych sieci. This is a 1:N relationship. Zestawy reguł są powiązane z określonym punktem końcowym wychodzącym. Aby uzyskać więcej informacji, zobacz zasady przekazywania DNS.
reguły przekazywania DNS
A DNS forwarding rule includes one or more target DNS servers that are used for conditional forwarding, and is represented by:
- A domain name
- docelowy adres IP
- A target Port and Protocol (UDP or TCP)
Restrictions
The following limits currently apply to Azure DNS Private Resolver:
DNS private resolver1
| Zasób | Ograniczenie |
|---|---|
| Prywatne rozwiązania DNS na abonament | 15 |
| Inbound endpoints per DNS private resolver | 5 |
| Outbound endpoints per DNS private resolver | 5 |
| Zasady przesyłania dla zestawu zasad przesyłania DNS | 1000 |
| Wirtualne połączenia sieciowe według zestawu reguł przekazywania DNS | 500 |
| Outbound endpoints per DNS forwarding ruleset | 2 |
| Zestawy reguł przekierowywania DNS dla każdego punktu końcowego wyjściowego | 2 |
| Target DNS servers per forwarding rule | 6 |
| QPS na punkt końcowy | 10 000 |
1 Różne limity mogą być egzekwowane przez portal Azure, dopóki portal nie zostanie zaktualizowany. Użyj PowerShell do świadczenia elementów zgodnie z najnowszymi limitami.
Ograniczenia wirtualnej sieci
The following restrictions hold with respect to virtual networks:
- VNets z włączonym szyfrowaniem nie obsługują Azure DNS Private Resolver.
- Rozwiązujący DNS może odwoływać się tylko do sieci wirtualnej w tym samym regionie, co rozwiązujący DNS.
- Wirtualna sieć nie może być współdzielona między wieloma programami rozstrzygającymi DNS. Pojedyncza sieć wirtualna może być referencjada tylko przez pojedynczy resolver DNS.
Ograniczenia podsieci
Podsieci wykorzystywane przez resolver DNS mają następujące ograniczenia:
- Podsieć musi mieć minimalnie przestrzeń adresową /28 lub maksymalnie przestrzeń adresową /24. Podsieć /28 jest wystarczająca, aby pomieścić obecne limity punktów końcowych. Rozmiar podsieci od /27 do /24 może zapewnić elastyczność, jeśli te limitacje się zmienią.
- Podsieć nie może być współdzielona między wieloma punktami końcowymi resolvera DNS. Jedna podsieć może być używana tylko przez jeden punkt końcowy rozwiązujący DNS.
- Wszystkie konfiguracje IP dla punktu końcowego przychodzącego resolvera DNS muszą odnosić się do tej samej podsieci. Nie można rozmieszczać wielu podsieci w konfiguracji IP dla jednego punktu końcowego przychodzącego solwera DNS.
- Podsieć używana dla punktu końcowego DNS resolvera przychodzącego musi znajdować się w sieci wirtualnej, do której odnosi się nadrzędny resolver DNS.
- Podsieć może być delegowana tylko do Microsoft.Network/dnsResolvers i nie może być używana w innych usługach.
Ograniczenia końcowego punktu wyjścia
Punkty końcowe wychodzące mają następujące ograniczenia:
- Nie można usunąć punktu końcowego wychodzącego, dopóki nie zostanie usunięty zestaw reguł przekazywania DNS oraz powiązania z siecią wirtualną.
Ograniczenia zestawu reguł
- Zestawy reguł mogą mieć do 1000 reguł.
- Łączenie zbiorów reguł między najemcami nie jest obsługiwane.
Inne ograniczenia
- Łączenie zestawów reguł między dzierżawami nie jest obsługiwane.
- Podsieci z włączonym IPv6 nie są obsługiwane.
- Prywatny rozwiązywacz DNS nie obsługuje Azure ExpressRoute FastPath.
- Prywatny resolver DNS nie jest kompatybilny z Azure Lighthouse.
- Aby sprawdzić, czy Azure Lighthouse jest używane, wyszukaj Dostawcy usług w portalu Azure i wybierz Oferty dostawców usług.
Następne kroki
- Dowiedz się, jak utworzyć prywatny resolver DNS Azure za pomocą Azure PowerShell lub portalu Azure.
- Zrozum, jak rozwiązywać domeny Azure i lokalne za pomocą usługi Azure DNS Private Resolver.
- Dowiedz się więcej o punktach końcowych i zestawach reguł Azure DNS Private Resolver.
- Naucz się, jak skonfigurować przełączanie awaryjne DNS za pomocą prywatnych serwerów DNS.
- Dowiedz się, jak skonfigurować hybrydowy DNS przy użyciu prywatnych resolverów.
- Dowiedz się więcej o innych kluczowych możliwościach sieciowych Azure.
- Learn module: Introduction to Azure DNS.