Azure Firewall ustawienia DNS
Można skonfigurować niestandardowy serwer DNS i włączyć serwer proxy DNS dla Azure Firewall. Skonfiguruj te ustawienia podczas wdrażania zapory lub skonfiguruj je później na stronie ustawień DNS . Domyślnie Azure Firewall używa usługi Azure DNS, a serwer proxy DNS jest wyłączony.
Serwery DNS
Serwer DNS obsługuje i rozpoznaje nazwy domen na adresy IP. Domyślnie Azure Firewall używa usługi Azure DNS do rozpoznawania nazw. Ustawienie serwera DNS umożliwia skonfigurowanie własnych serwerów DNS na potrzeby rozpoznawania nazw Azure Firewall. Można skonfigurować jeden serwer lub wiele serwerów. Jeśli skonfigurujesz wiele serwerów DNS, używany serwer zostanie wybrany losowo. W niestandardowym systemie DNS można skonfigurować maksymalnie 15 serwerów DNS.
Uwaga
W przypadku wystąpień Azure Firewall zarządzanych przy użyciu menedżera Azure Firewall ustawienia DNS są konfigurowane w skojarzonych zasadach Azure Firewall.
Konfigurowanie niestandardowych serwerów DNS — Azure Portal
- W obszarze Azure Firewall Ustawienia wybierz pozycję Ustawienia DNS.
- W obszarze Serwery DNS można wpisać lub dodać istniejące serwery DNS, które zostały wcześniej określone w sieci wirtualnej.
- Wybierz przycisk Zastosuj.
Zapora kieruje teraz ruch DNS do określonych serwerów DNS na potrzeby rozpoznawania nazw.
Konfigurowanie niestandardowych serwerów DNS — interfejs wiersza polecenia platformy Azure
Poniższy przykład aktualizuje Azure Firewall z niestandardowymi serwerami DNS przy użyciu interfejsu wiersza polecenia platformy Azure.
az network firewall update \
--name fwName \
--resource-group fwRG \
--dns-servers 10.1.0.4 10.1.0.5
Ważne
Polecenie wymaga zainstalowania rozszerzenia azure-firewall interfejsu wiersza polecenia az network firewall platformy Azure. Można go zainstalować za pomocą polecenia az extension add --name azure-firewall.
Konfigurowanie niestandardowych serwerów DNS — Azure PowerShell
Poniższy przykład aktualizuje Azure Firewall z niestandardowymi serwerami DNS przy użyciu Azure PowerShell.
$dnsServers = @("10.1.0.4", "10.1.0.5")
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSServer = $dnsServers
$azFw | Set-AzFirewall
Serwer proxy DNS
Można skonfigurować Azure Firewall do działania jako serwer proxy DNS. Serwer proxy DNS jest pośrednikiem dla żądań DNS z maszyn wirtualnych klienta do serwera DNS.
Jeśli chcesz włączyć filtrowanie nazw FQDN (w pełni kwalifikowanej nazwy domeny) w regułach sieciowych, włącz serwer proxy DNS i zaktualizuj konfigurację maszyny wirtualnej, aby używać zapory jako serwera proxy DNS.
Jeśli włączysz filtrowanie nazw FQDN w regułach sieci i nie skonfigurujesz maszyn wirtualnych klienta do używania zapory jako serwera proxy DNS, żądania DNS od tych klientów mogą podróżować do serwera DNS w innym czasie lub zwracać inną odpowiedź w porównaniu z zaporą. Zaleca się skonfigurowanie maszyn wirtualnych klienta do używania Azure Firewall jako serwera proxy DNS. Dzięki temu Azure Firewall w ścieżce żądań klienta, aby uniknąć niespójności.
Jeśli Azure Firewall jest serwerem proxy DNS, możliwe są dwa typy funkcji buforowania:
Dodatnia pamięć podręczna: rozpoznawanie nazw DNS zakończyło się pomyślnie. Zapora buforuje te odpowiedzi zgodnie z czasem wygaśnięcia (czas wygaśnięcia) w odpowiedzi do maksymalnie 1 godziny.
Negatywna pamięć podręczna: rozpoznawanie nazw DNS powoduje brak odpowiedzi lub brak rozpoznawania. Zapora buforuje te odpowiedzi zgodnie z czasem wygaśnięcia w odpowiedzi, maksymalnie 30 minut.
Serwer proxy DNS przechowuje wszystkie rozpoznane adresy IP z nazw FQDN w regułach sieci. Najlepszym rozwiązaniem jest użycie nazw FQDN rozpoznawanych jako jeden adres IP.
Dziedziczenie zasad
Ustawienia DNS zasad stosowane do autonomicznej zapory zastępują ustawienia DNS autonomicznej zapory. Zasady podrzędne dziedziczą wszystkie ustawienia DNS zasad nadrzędnych, ale mogą zastąpić zasady nadrzędne.
Aby na przykład używać nazw FQDN w regule sieci, należy włączyć serwer proxy DNS. Jeśli jednak zasady nadrzędne nie mają włączonego serwera proxy DNS, zasady podrzędne nie będą obsługiwać nazw FQDN w regułach sieci, chyba że to ustawienie zostanie zastąpione lokalnie.
Konfiguracja serwera proxy DNS
Konfiguracja serwera proxy DNS wymaga trzech kroków:
- Włącz serwer proxy DNS w ustawieniach Azure Firewall DNS.
- Opcjonalnie skonfiguruj niestandardowy serwer DNS lub użyj podanego domyślnego ustawienia.
- Skonfiguruj Azure Firewall prywatny adres IP jako niestandardowy adres DNS w ustawieniach serwera DNS sieci wirtualnej. To ustawienie zapewnia, że ruch DNS jest kierowany do Azure Firewall.
Konfigurowanie serwera proxy DNS — Azure Portal
Aby skonfigurować serwer proxy DNS, należy skonfigurować ustawienie serwerów DNS sieci wirtualnej tak, aby używały prywatnego adresu IP zapory. Następnie włącz serwer proxy DNS w ustawieniach Azure Firewall DNS.
Konfigurowanie serwerów DNS sieci wirtualnej
- Wybierz sieć wirtualną, w której ruch DNS będzie kierowany przez wystąpienie Azure Firewall.
- W obszarze Ustawienia wybierz pozycję Serwery DNS.
- W obszarze Serwery DNS wybierz pozycję Niestandardowe.
- Wprowadź prywatny adres IP zapory.
- Wybierz pozycję Zapisz.
- Uruchom ponownie maszyny wirtualne połączone z siecią wirtualną, aby zostały przypisane nowe ustawienia serwera DNS. Maszyny wirtualne nadal używają bieżących ustawień DNS do momentu ponownego uruchomienia.
Włączanie serwera proxy DNS
- Wybierz wystąpienie Azure Firewall.
- W obszarze Ustawienia wybierz pozycję Ustawienia DNS.
- Domyślnie serwer proxy DNS jest wyłączony. Po włączeniu tego ustawienia zapora nasłuchuje na porcie 53 i przekazuje żądania DNS do skonfigurowanych serwerów DNS.
- Przejrzyj konfigurację serwerów DNS , aby upewnić się, że ustawienia są odpowiednie dla danego środowiska.
- Wybierz pozycję Zapisz.
Konfigurowanie serwera proxy DNS — interfejs wiersza polecenia platformy Azure
Za pomocą interfejsu wiersza polecenia platformy Azure można skonfigurować ustawienia serwera proxy DNS w Azure Firewall. Można go również użyć do zaktualizowania sieci wirtualnych do używania Azure Firewall jako serwera DNS.
Konfigurowanie serwerów DNS sieci wirtualnej
Poniższy przykład konfiguruje sieć wirtualną do używania Azure Firewall jako serwera DNS.
az network vnet update \
--name VNetName \
--resource-group VNetRG \
--dns-servers <firewall-private-IP>
Włączanie serwera proxy DNS
W poniższym przykładzie włączono funkcję serwera proxy DNS w Azure Firewall.
az network firewall update \
--name fwName \
--resource-group fwRG \
--enable-dns-proxy true
Konfigurowanie serwera proxy DNS — Azure PowerShell
Za pomocą Azure PowerShell można skonfigurować ustawienia serwera proxy DNS w Azure Firewall. Można go również użyć do zaktualizowania sieci wirtualnych do używania Azure Firewall jako serwera DNS.
Konfigurowanie serwerów DNS sieci wirtualnej
Poniższy przykład umożliwia skonfigurowanie sieci wirtualnej do używania Azure Firewall jako serwera DNS.
$dnsServers = @("<firewall-private-IP>")
$VNet = Get-AzVirtualNetwork -Name "VNetName" -ResourceGroupName "VNetRG"
$VNet.DhcpOptions.DnsServers = $dnsServers
$VNet | Set-AzVirtualNetwork
Włączanie serwera proxy DNS
W poniższym przykładzie włączono funkcję serwera proxy DNS w Azure Firewall.
$azFw = Get-AzFirewall -Name "fwName" -ResourceGroupName "fwRG"
$azFw.DNSEnableProxy = $true
$azFw | Set-AzFirewall
Tryb failover o wysokiej dostępności
Serwer proxy DNS ma mechanizm trybu failover, który zatrzymuje korzystanie z wykrytego serwera w złej kondycji i używa innego dostępnego serwera DNS.
Jeśli wszystkie serwery DNS są niedostępne, nie ma powrotu do innego serwera DNS.
Kontrole kondycji
Serwer proxy DNS wykonuje pięć sekund pętli kontroli kondycji tak długo, jak serwery nadrzędne zgłaszają złą kondycję. Kontrole kondycji to cykliczne zapytanie DNS do głównego serwera nazw. Po uznaniu serwera nadrzędnego za w dobrej kondycji zapora zatrzymuje sprawdzanie kondycji do następnego błędu. Gdy serwer proxy w dobrej kondycji zwraca błąd, zapora wybiera inny serwer DNS na liście.