Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono kluczowe pojęcia dotyczące domen, stref DNS, rekordów DNS i zestawów rekordów. Dowiesz się, jak są one obsługiwane w usłudze Azure DNS.
Nazwy domen
System nazw domen jest hierarchią domen. Hierarchia rozpoczyna się od root domeny, której nazwa to "." po prostu. Poniżej przedstawiono domeny najwyższego poziomu, takie jak com, net, orguk lub jp. Poniżej domen najwyższego poziomu znajdują się domeny drugiego poziomu, takie jak org.uk lub co.jp. Domeny w hierarchii DNS są globalnie rozproszone, hostowane przez serwery nazw DNS na całym świecie.
Rejestrator nazw domen to organizacja, która umożliwia zakup nazwy domeny, takiej jak contoso.com. Zakup nazwy domeny daje prawo do kontrolowania hierarchii DNS pod tą nazwą, na przykład umożliwiając kierowanie nazwy www.contoso.com do firmowej witryny sieci Web. Rejestrator może hostować domenę na własnych serwerach nazw w Twoim imieniu lub zezwolić na określenie alternatywnych serwerów nazw.
Usługa Azure DNS zapewnia globalnie rozproszoną i wysoką dostępność infrastrukturę serwera nazw, której można użyć do hostowania domeny. Hostując domeny w usłudze Azure DNS, możesz zarządzać rekordami DNS przy użyciu tych samych poświadczeń, interfejsów API, narzędzi, rozliczeń i pomocy technicznej co inne usługi platformy Azure.
Usługa Azure DNS obecnie nie obsługuje zakupu nazw domen. Za roczną opłatę można kupić nazwę domeny przy użyciu domen usługi App Service lub rejestratora nazw domen innej firmy. Domeny można następnie hostować w usłudze Azure DNS na potrzeby zarządzania rekordami. Więcej informacji można znaleźć w temacie Delegowanie domeny do usługi DNS platformy Azure.
Strefy DNS
Strefa DNS służy do hostowania rekordów DNS dla konkretnej domeny. Aby rozpocząć hostowanie domeny w usłudze Azure DNS, musisz utworzyć strefę DNS dla tej nazwy domeny. Każdy rekord DNS domeny zostanie utworzony w tej strefie DNS.
Na przykład domena „contoso.com” może zawierać wiele rekordów DNS, takich jak „mail.contoso.com” (dla serwera poczty) i „www.contoso.com” (dla witryny sieci Web).
Podczas tworzenia strefy DNS w usłudze Azure DNS należy uwzględnić następujące kwestie:
- Nazwa strefy musi być unikatowa w obrębie grupy zasobów, a strefa nie może wcześniej istnieć. W przeciwnym razie operacja zakończy się niepowodzeniem.
- Danej nazwy strefy można użyć ponownie w innej grupie zasobów lub w ramach innej subskrypcji platformy Azure.
- W przypadku wielu stref o tej samej nazwie do każdego wystąpienia jest przypisywany inny adres serwera nazw. W rejestratorze nazw domen można skonfigurować tylko jeden zestaw adresów.
Note
Nie musisz być właścicielem nazwy domeny, aby utworzyć strefę DNS z tą nazwą domeny w usłudze Azure DNS. Jednak musisz posiadać domenę, aby skonfigurować serwery nazw Azure DNS jako poprawne serwery nazw dla tej domeny u rejestratora nazw domen.
Więcej informacji można znaleźć w temacie Delegowanie domeny do usługi DNS platformy Azure.
Rekordy DNS
Nazwy rekordów
W usłudze DNS platformy Azure rekordy są określane przy użyciu nazw względnych. W pełni kwalifikowana nazwa domeny (FQDN), zawiera nazwę strefy, natomiast nazwa względna nie. Na przykład względna nazwa rekordu www w strefie contoso.com daje w pełni kwalifikowaną nazwę rekordu www.contoso.com.
Rekord apeksu to zapis DNS w głównym węźle strefy DNS. Na przykład, w strefie contoso.comDNS, rekord wierzchołka ma również w pełni kwalifikowaną nazwę contoso.com (jest to czasami nazywane nagą domeną). Zgodnie z konwencją nazwa względna '@' jest używana do reprezentowania rekordów wierzchołków.
Typy rekordów
Każdy rekord DNS ma nazwę i typ. Rekordy są pogrupowane w różne typy według danych, które zawierają. Najczęściej spotykanym typem jest rekord „A”, który mapuje nazwę na adres IPv4. Innym często spotykanym typem jest rekord typu MX, który przypisuje nazwę serwerowi poczty e-mail.
Usługa Azure DNS obsługuje wszystkie typowe typy rekordów DNS: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV i TXT. Należy pamiętać, że rekordy SPF są reprezentowane przy użyciu rekordów TXT.
Dodatkowe typy rekordów są obsługiwane, jeśli strefa jest podpisana przy użyciu rozszerzeń zabezpieczeń DNS (DNSSEC), takich jak Delegation Signer (DS) i rekordy zasobów Transport Layer Security Authentication (TLSA).
Typy rekordów zasobów DNSSEC, takie jak DNSKEY, RRSIG i NSEC3 rekordy są dodawane automatycznie po podpisaniu strefy przy użyciu protokołu DNSSEC. Tych typów rekordów zasobów DNSSEC nie można utworzyć ani zmodyfikować po podpisaniu strefy.
Zestawy rekordów
Czasami trzeba utworzyć więcej niż jeden rekord DNS określonego typu o danej nazwie. Na przykład załóżmy, że witryna sieci Web „www.contoso.com” jest hostowana pod dwoma różnymi adresami IP. Witryna sieci Web wymaga dwóch różnych rekordów A, po jednym dla każdego adresu IP. Oto przykład zestawu rekordów:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
System DNS platformy Azure zarządza wszystkimi rekordami DNS za pomocą zestawów rekordów. Zestaw rekordów (określany także jako zestaw rekordów zasobów) jest kolekcją rekordów DNS w strefie, które mają taką samą nazwę i są tego samego typu. Większość zestawów rekordów zawiera jeden rekord. Jednak przykłady, takie jak powyższe, w których zestaw rekordów zawiera więcej niż jeden rekord, nie są rzadkością.
Załóżmy na przykład, że utworzono już rekord "www" w strefie "contoso.com", wskazujący adres IP "134.170.185.46" (pierwszy rekord powyżej). W celu utworzenia drugiego rekordu ten rekord zostanie dodany do istniejącego zestawu rekordów zamiast tworzenia dodatkowego zestawu rekordów.
Typy rekordów SOA i CNAME stanowią wyjątki. Standardy systemu DNS nie zezwalają na występowanie wielu rekordów tych typów o takiej samej nazwie, w związku z czym te zestawy rekordów mogą zawierać tylko jeden rekord.
Time-to-live
Czas wygaśnięcia (TTL) określa, jak długo każdy rekord jest buforowany przez klientów przed wykonaniem zapytania. W powyższym przykładzie czas wygaśnięcia wynosi 3600 sekund lub 1 godzinę.
W usłudze Azure DNS, parametr TTL jest ustawiany dla zestawu rekordów, a nie dla każdego rekordu, więc ta sama wartość jest używana dla wszystkich rekordów w tym zestawie. Można określić dowolną wartość czasu wygaśnięcia z zakresu od 1 do 2 147 483 647 sekund.
Rekordy maskujące
Usługa DNS platformy Azure obsługuje rekordy wieloznaczne. Rekordy wieloznaczne są zwracane w odpowiedzi na dowolne zapytanie z pasującą nazwą, chyba że istnieje bardziej precyzyjne dopasowanie z zestawu rekordów innych niż wieloznaczne. Usługa Azure DNS obsługuje zestawy rekordów wieloznacznych dla wszystkich typów rekordów z wyjątkiem NS i SOA.
Aby utworzyć zestaw rekordów wieloznacznych, użyj nazwy zestawu rekordów "*". Możesz również użyć nazwy "*" jako etykiety z lewej strony, na przykład "*.foo".
Rekordy CAA
Rekordy CAA umożliwiają właścicielom domeny określenie, które urzędy certyfikacji są autoryzowane do wystawiania certyfikatów dla swojej domeny. Ten rekord pozwala urzędom certyfikacji uniknąć błędnego wystawiania certyfikatów w pewnych okolicznościach. Rekordy CAA mają trzy właściwości:
- Flagi: to pole jest liczbą całkowitą z zakresu od 0 do 255, używaną do reprezentowania flagi krytycznej, która ma specjalne znaczenie dla RFC6844
-
Tag: ciąg ASCII, który może być jednym z następujących elementów:
- kwestia: jeśli chcesz określić, które urzędy certyfikacji mogą wystawiać certyfikaty dla wszystkich typów
- issuewild: jeśli chcesz określić urzędy certyfikacji, które mogą wystawiać certyfikaty (tylko certyfikaty wildcard)
- iodef: określ adres e-mail lub nazwę hosta, na który urzędy certyfikacji mogą wysyłać powiadomienia o nieautoryzowanych żądaniach wydania certyfikatów.
- Wartość: wartość wybranego tagu
Rekordy CNAME
Zestawy rekordów CNAME nie mogą współistnieć z innymi zestawami rekordów o tej samej nazwie. Na przykład nie można utworzyć zestawu rekordów CNAME z nazwą www względną i rekordem A o nazwie www względnej w tym samym czasie.
Ponieważ wierzchołek strefy (name = '@') zawsze będzie zawierać zestawy rekordów NS i SOA podczas tworzenia strefy, nie można utworzyć zestawu rekordów CNAME w wierzchołku strefy.
Te ograniczenia wynikają ze standardów dotyczących serwerów DNS i nie stanowią ograniczeń usługi DNS platformy Azure.
Rekordy NS
Zestaw rekordów NS w wierzchołkach strefy (nazwa "@") jest tworzony automatycznie z każdą strefą DNS i jest usuwany automatycznie po usunięciu strefy. Nie można go usunąć oddzielnie.
Ten zestaw rekordów zawiera nazwy serwerów nazw usługi Azure DNS przypisanych do strefy. Do tego zestawu rekordów NS można dodać więcej serwerów nazw, aby obsługiwać współdzielone domeny z więcej niż jednym dostawcą usług DNS. Można również zmodyfikować wartości TTL i metadane dla tego zestawu rekordów. Jednak usunięcie lub zmodyfikowanie wstępnie wypełnionych serwerów nazw usługi Azure DNS nie jest dozwolone.
To ograniczenie dotyczy tylko zestawu rekordów NS w apeksie strefy. Inne zestawy rekordów NS w strefie (używane do delegowania stref podrzędnych) można tworzyć, modyfikować i usuwać bez ograniczeń.
Rekordy SOA
Zestaw rekordów SOA jest tworzony automatycznie na wierzchołku każdej strefy (nazwa = "@") i jest usuwany automatycznie po usunięciu strefy. Rekordy SOA nie mogą być tworzone ani usuwane oddzielnie.
Można zmodyfikować wszystkie właściwości rekordu SOA z wyjątkiem host właściwości . Ta właściwość jest wstępnie skonfigurowana w celu odwoływania się do podstawowej nazwy serwera nazw dostarczonej przez usługę Azure DNS.
Numer seryjny strefy w rekordzie SOA nie jest aktualizowany automatycznie, gdy zmiany są wprowadzane do rekordów w strefie. Można go zaktualizować ręcznie, edytując rekord SOA, w razie potrzeby.
Note
Usługa Azure DNS obecnie nie obsługuje użycia kropki (.) przed wpisem @ skrzynki pocztowej SOA hostmaster. Na przykład: john.smith@contoso.xyz (przekonwertowane na john.smith.contoso.xyz) i john\.smith@contoso.xyz są niedozwolone.
Rekordy SPF
Rekordy platformy zasad nadawcy (SPF) służą do określania, które serwery poczty e-mail mogą wysyłać wiadomości e-mail w imieniu nazwy domeny. Prawidłowa konfiguracja rekordów SPF jest ważna, aby uniemożliwić adresatom oznaczanie wiadomości e-mail jako wiadomości-śmieci.
Kontrolery RFC DNS pierwotnie wprowadziły nowy typ rekordu SPF do obsługi tego scenariusza. Aby obsługiwać starsze serwery nazw, zezwolili również na używanie typu rekordu TXT do określania rekordów SPF. Ta niejednoznaczność doprowadziła do zamieszania, które zostało rozwiązane przez RFC 7208. Stwierdza się, że rekordy SPF muszą być tworzone przy użyciu typu rekordu TXT. Stwierdza również, że typ rekordu SPF jest przestarzały.
Rekordy SPF są obsługiwane przez usługę Azure DNS i muszą być tworzone przy użyciu typu rekordu TXT. Przestarzały typ rekordu SPF nie jest obsługiwany. Podczas importowania pliku strefy DNS wszystkie rekordy SPF używające typu rekordu SPF są konwertowane na typ rekordu TXT.
Rekordy SRV
Rekordy SRV są używane przez różne usługi do określania lokalizacji serwera. Podczas określania rekordu SRV w usłudze Azure DNS:
- Usługa i protokół muszą być określone jako część nazwy zestawu rekordów, poprzedzone podkreśleniami, takimi jak "_sip._tcp.name". W przypadku rekordu w wierzchołce strefy nie ma potrzeby określania ciągu "@" w nazwie rekordu, po prostu użyj usługi i protokołu, takiego jak "_sip._tcp".
- Priorytet, waga, port i cel są określane jako parametry każdego rekordu w zestawie rekordów.
Rekordy TXT
Rekordy TXT są używane do mapowania nazw domen na dowolne ciągi tekstowe. Są one używane w wielu aplikacjach, w szczególności związanych z konfiguracją poczty e-mail, takich jak Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM).
Standardy DNS umożliwiają pojedynczemu rekordowi TXT zawierać wiele ciągów, z których każdy może mieć długość maksymalnie 255 znaków. W przypadku użycia wielu ciągów są one łączone przez klientów i traktowane jako pojedynczy ciąg.
Podczas wywoływania interfejsu API REST usługi Azure DNS należy oddzielnie określić każdy ciąg TXT. W przypadku korzystania z witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia należy określić pojedynczy ciąg dla każdego rekordu. Ten ciąg jest automatycznie podzielony na 255-znakowe segmenty w razie potrzeby.
Wiele ciągów w rekordzie DNS nie powinno być mylone z wieloma rekordami TXT w zestawie rekordów TXT. Zestaw rekordów TXT może zawierać wiele rekordów, z których każdy może zawierać wiele ciągów. Usługa Azure DNS obsługuje łączną długość ciągu wynoszącą maksymalnie 4096 znaków w każdym zestawie rekordów TXT (we wszystkich połączonych rekordach).
Rekordy DS
Zapis podpisania delegacji (DS) to typ zasobu DNSSEC używany do zabezpieczania delegacji. Aby utworzyć rekord DS w strefie, strefa musi być najpierw podpisana przy użyciu protokołu DNSSEC.
Rekordy TLSA
Rekord TLSA (Transport Layer Security Authentication) służy do skojarzenia certyfikatu serwera TLS lub klucza publicznego z nazwą domeny, w której znajduje się rekord. Rekord TLSA łączy klucz publiczny (certyfikat serwera TLS) z nazwą domeny, zapewniając dodatkową warstwę zabezpieczeń dla połączeń TLS.
Aby efektywnie korzystać z rekordów TLSA, należy włączyć protokół DNSSEC w domenie. Gwarantuje to, że rekordy TLSA mogą być zaufane i prawidłowo zweryfikowane
Tagi i metadane
Tags
Tagi są listą par nazwa-wartość i są używane przez usługę Azure Resource Manager do etykietowania zasobów. Usługa Azure Resource Manager używa tagów do włączania filtrowanych widoków rachunku za korzystanie z platformy Azure, a także umożliwia ustawienie zasad dla określonych tagów. Aby uzyskać więcej informacji na temat tagów, zobacz Porządkowanie zasobów na platformie Azure za pomocą tagów.
Usługa Azure DNS obsługuje używanie tagów usługi Azure Resource Manager w zasobach strefy DNS. Nie obsługuje tagów w zestawach rekordów DNS, chociaż jako alternatywa metadane są obsługiwane w zestawach rekordów DNS, jak wyjaśniono poniżej.
Metadata
Alternatywą dla tagów zestawu rekordów w usłudze Azure DNS jest obsługa dodawania adnotacji do zestawów rekordów przy użyciu metadanych. Podobnie jak w przypadku tagów, metadane umożliwiają kojarzenie par name-value z każdym zestawem rekordów. Ta funkcja może być przydatna, na przykład do rejestrowania przeznaczenia każdego zestawu rekordów. W przeciwieństwie do tagów metadane nie mogą służyć do udostępniania filtrowanego widoku rachunku za korzystanie z platformy Azure i nie można ich określić w zasadach usługi Azure Resource Manager.
Etags
Załóżmy, że dwie osoby lub dwa procesy próbują zmodyfikować rekord DNS w tym samym czasie. Który z nich wygrywa? I czy zwycięzca wie, że nadpisali zmiany utworzone przez kogoś innego?
Usługa Azure DNS bezpiecznie obsługuje współbieżne zmiany w tym samym zasobie za pomocą Etags. Znaczniki Etag są oddzielone od znaczników usługi Azure Resource Manager. Każdy zasób DNS (strefa lub zestaw rekordów) ma skojarzony element Etag. Za każdym razem, gdy zasób jest pobierany, jego element ETag jest również pobierany. Podczas aktualizowania zasobu możesz przekazać Etag, aby usługa Azure DNS mogła zweryfikować, czy Etag na serwerze jest zgodny. Ponieważ każda aktualizacja zasobu powoduje ponowne wygenerowanie elementu Etag, niezgodność elementu Etag wskazuje, że wystąpiła współbieżna zmiana. Etags mogą być również używane podczas tworzenia nowego zasobu, aby upewnić się, że zasób jeszcze nie istnieje.
Domyślnie program Azure DNS PowerShell używa elementów Etag do blokowania współbieżnych zmian w strefach i zestawach rekordów. Opcjonalny przełącznik -Overwrite może zostać użyty do pominięcia kontroli Etagów, co skutkuje nadpisaniem wszelkich współbieżnych zmian, które zaszły.
Na poziomie REST API usługi Azure DNS, Etagi są określane za pomocą nagłówków HTTP. Ich zachowanie jest podane w poniższej tabeli:
| Header | Behavior |
|---|---|
| None | PUT zawsze się udaje (bez sprawdzania ETag) |
| W przypadku dopasowania <etag> | PUT kończy się powodzeniem tylko wtedy, gdy zasób istnieje i Etag jest zgodny |
| Jeśli-dopasuj * | Funkcja PUT kończy się powodzeniem tylko wtedy, gdy zasób istnieje |
| If-none-match * | Funkcja PUT kończy się powodzeniem tylko wtedy, gdy zasób nie istnieje |
Limits
Podczas korzystania z usługi Azure DNS obowiązują następujące domyślne limity:
Publiczne strefy DNS
| Resource | Limit |
|---|---|
| Publiczne strefy DNS na subskrypcję | 250 1 |
| Zestawy rekordów dla publicznej strefy DNS | 10 000 1 |
| Rekordy na zestaw rekordów w publicznej strefie DNS | 20 1 |
| Rekordy TXT w zestawie rekordów w publicznej strefie DNS | 400 |
| Liczba rekordów typu alias dla pojedynczego zasobu platformy Azure | 50 1 |
1Jeśli musisz zwiększyć te limity, skontaktuj się z pomocą techniczną platformy Azure.
Dalsze kroki
- Aby rozpocząć korzystanie z usługi Azure DNS, dowiedz się, jak utworzyć strefę DNS i utworzyć rekordy DNS.
- Aby przeprowadzić migrację istniejącej strefy DNS, dowiedz się, jak zaimportować i wyeksportować plik strefy DNS.