Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule omówiono dwie opcje projektowania architektury, które są dostępne do rozpoznawania nazw DNS, w tym prywatnych stref DNS w sieci platformy Azure przy użyciu prywatnego rozpoznawania nazw usługi Azure DNS. Przykładowe konfiguracje są dostarczane z zaleceniami projektowymi dotyczącymi scentralizowanego i rozproszonego rozwiazywania DNS w hub and spoke VNet topology.
- Aby zapoznać się z omówieniem prywatnego rozpoznawania nazw usługi Azure DNS, zobacz What is Azure DNS Private Resolver (Co to jest prywatny program rozpoznawania nazw usługi Azure DNS).
- Aby uzyskać więcej informacji na temat składników usługi Azure DNS Private Resolver, zobacz Punkty końcowe i zestawy reguł.
Architektura rozproszonego systemu DNS
Rozważ następującą topologię sieci wirtualnej typu gwiazda-szprycha na platformie Azure, z prywatnym rozpoznawaniem nazw znajdującym się w centrum oraz połączeniem zestawu reguł do sieci wirtualnej typu szprycha. Zarówno piasta, jak i szprycha używają dostarczanego przez Azure DNS-a w ustawieniach VNet.
Rysunek 1. Rozproszona architektura DNS przy użyciu łączy zestawu reguł
- Sieć wirtualna koncentratora (Hub VNet) jest skonfigurowana z przestrzenią adresową 10.10.0.0/16.
- Sieć wirtualna typu "spoke" jest skonfigurowana z przestrzenią adresową 10.11.0.0/16.
- Prywatna strefa DNS azure.contoso.com jest powiązana ze skoncentrowaną siecią wirtualną.
- Prywatny resolver jest wdrażany w węzłowej sieci wirtualnej.
- Prywatny program rozpoznawania nazw ma jeden przychodzący punkt końcowy z adresem IP 10.10.0.4.
- Prywatny resolver ma jeden wychodzący punkt końcowy i skojarzony zestaw reguł przekazywania DNS.
- Zestaw reguł przesyłania dalej DNS jest połączony z siecią wirtualną typu szprychy.
- Reguła zestawu reguł jest skonfigurowana do przekazywania zapytań dla strefy prywatnej do przychodzącego punktu końcowego.
Rozpoznawanie nazw DNS w sieci wirtualnej koncentratora: łącze sieci wirtualnej ze strefy prywatnej do sieci wirtualnej koncentratora umożliwia zasobom w sieci wirtualnej koncentratora automatyczne rozpoznawanie rekordów DNS w azure.contoso.com przy użyciu usługi DNS dostarczonej przez platformę Azure (168.63.129.16). Wszystkie inne przestrzenie nazw są również rozpoznawane przy użyciu usługi DNS udostępnianej przez platformę Azure. Sieć centralna VNet nie używa reguł zestawu do rozpoznawania nazw DNS, ponieważ nie jest z nimi powiązana. Aby używać reguł przekazywania w sieci wirtualnej Hub, utwórz i połącz inny zestaw reguł z siecią wirtualną Hub.
Rozpoznawanie nazw DNS w sieci wirtualnej szprychy: połączenie zestawu reguł z siecią wirtualną szprychy umożliwia jej rozpoznawanie azure.contoso.com przy użyciu skonfigurowanej reguły przekazywania. Link ze strefy prywatnej do sieci wirtualnej będącej szprychą nie jest tutaj wymagany. Sieć wirtualna typu spoke wysyła zapytania dotyczące azure.contoso.com do punktu końcowego przychodzącego sieci centralnej za pośrednictwem usługi DNS dostarczonej przez platformę Azure, ponieważ w połączonym zestawie reguł istnieje reguła zgodna z tą nazwą domeny. Zapytania dotyczące innych przestrzeni nazw można również przekazywać, konfigurując dodatkowe reguły. Zapytania DNS, które nie są zgodne z regułą zestawu reguł, nie są przekazywane i są rozpoznawane przy użyciu usługi DNS dostarczonej przez platformę Azure.
Ważne
W tej przykładowej konfiguracji, sieć wirtualna centrum (hub VNet) musi być połączona ze strefą prywatną, ale nie może być połączona z zestawem reguł przekazywania z regułą przekazywania przychodzącego punktu końcowego. Łączenie zestawu reguł przesyłania dalej zawierającego regułę z przychodzącym punktem końcowym jako miejscem docelowym do tej samej sieci wirtualnej, w której aprowizowany jest przychodzący punkt końcowy, może powodować pętle rozpoznawania nazw DNS.
Scentralizowana architektura DNS
Rozważmy następującą topologię piasty i sieci wirtualnej będącej szprychą z przychodzącym punktem końcowym aprowizowaną jako niestandardowy system DNS w sieci wirtualnej będącej szprychą. Sieć VNet typu spoke używa niestandardowego ustawienia DNS 10.10.0.4, odpowiadającego prywatnemu punktowi końcowemu do rozwiązywania nazw przychodzących w centrum.
Rysunek 2. Scentralizowana architektura DNS przy użyciu niestandardowego systemu DNS
- Sieć VNet koncentratora skonfigurowano z przestrzenią adresową 10.10.0.0/16.
- Sieć wirtualna typu spoke jest skonfigurowana o przestrzeni adresowej 10.11.0.0/16.
- Prywatna strefa DNS azure.contoso.com jest połączona z siecią szkieletową.
- Prywatny rozwiązywacz znajduje się w sieci VNet koncentratora.
- Prywatny program rozpoznawania nazw ma jeden przychodzący punkt końcowy z adresem IP 10.10.0.4.
- Prywatny moduł rozpoznawania nazw ma jeden (opcjonalnie) wychodzący punkt końcowy i skojarzony zestaw reguł przesyłania dalej DNS.
- Zestaw reguł przesyłania dalej DNS jest połączony z siecią wirtualną koncentratora.
- Reguła zestawu reguł nie jest skonfigurowana do przekazywania zapytań dla strefy prywatnej do przychodzącego punktu końcowego.
Rozpoznawanie nazw DNS w sieci wirtualnej koncentratora: łącze sieci wirtualnej ze strefy prywatnej do sieci wirtualnej koncentratora umożliwia zasobom w sieci wirtualnej koncentratora automatyczne rozpoznawanie rekordów DNS w azure.contoso.com korzystając z dostarczonego przez Azure serwera DNS (168.63.129.16). W przypadku skonfigurowania reguły zestawu reguł określają, jak nazwy DNS są przekazywane i rozpoznawane. Przestrzenie nazw, które nie są zgodne z regułą zestawu reguł, są rozwiązywane bez przekazywania przy użyciu usługi DNS udostępnianej przez platformę Azure.
Rozpoznawanie nazw DNS w sieci wirtualnej typu spoke: W tym przykładzie sieć wirtualna typu spoke wysyła cały swój ruch DNS do punktu końcowego dla ruchu przychodzącego w sieci wirtualnej typu hub. Ponieważ azure.contoso.com ma połączenie sieci wirtualnej z siecią wirtualną węzła centralnego, wszystkie zasoby w węźle centralnym mogą rozwiązać azure.contoso.com, w tym punkt końcowy ruchu przychodzącego (10.10.0.4). W związku z tym szprycha używa punktu końcowego ruchu przychodzącego koncentratora do rozpoznawania strefy prywatnej. Inne nazwy DNS są rozwiązywane dla sieci wirtualnej typu spoke zgodnie z skonfigurowanymi regułami w zestawie reguł przekierowań, jeśli takie istnieją.
Uwaga
W scentralizowanym scenariuszu architektury DNS zarówno węzeł centralny, jak i podwęzły VNets mogą używać opcjonalnych zasad połączonych z węzłem centralnym w celu rozpoznawania nazw DNS. Dzieje się tak, ponieważ cały ruch DNS z sieci wirtualnej będącej szprychą jest wysyłany do centrum z powodu niestandardowego ustawienia DNS sieci wirtualnej. Sieć wirtualna koncentratora nie wymaga tutaj wychodzącego punktu końcowego ani zestawu reguł, ale jeśli zostanie zapewniony i połączony z siecią wirtualną koncentratora (jak pokazano na rysunku 2), zarówno sieć wirtualna koncentratora, jak i obwodowa będą używać reguł przekazywania. Jak wspomniano wcześniej, ważne jest, aby reguła przekazywania dla strefy prywatnej nie była obecna w zestawie reguł, ponieważ ta konfiguracja może powodować pętlę rozwiązywania DNS.
Następne kroki
- Zapoznaj się ze składnikami, korzyściami i wymaganiami dotyczącymi Azure DNS Private Resolver.
- Dowiedz się, jak utworzyć prywatny rozwiązywacz DNS Azure z użyciem Azure PowerShell lub portalu Azure.
- Dowiedz się, jak rozpoznawać domeny Azure i lokalne domeny przy użyciu prywatnego resolvera Azure DNS.
- Dowiedz się więcej na temat prywatnych końcowych rozwiązań Azure DNS i zestawów reguł.
- Dowiedz się, jak skonfigurować przełączenie awaryjne DNS przy użyciu prywatnych resolverów
- Poznaj inne kluczowe możliwości sieciowe platformy Azure.
- Moduł szkoleniowy: wprowadzenie do usługi Azure DNS.