Projektowanie rozpoznawania nazw dla sieci wirtualnej
W zależności od sposobu używania platformy Azure do hostowania rozwiązań IaaS, PaaS i hybrydowych może być konieczne zezwolenie na komunikację między maszynami wirtualnymi i innymi zasobami wdrożonym w sieci wirtualnej. Chociaż można włączyć komunikację przy użyciu adresów IP, znacznie prostsze jest używanie nazw, które można łatwo zapamiętać i nie zmieniają.
System DNS jest podzielony na dwa obszary: publiczny i Prywatna strefa DNS dla zasobów dostępnych z własnych sieci wewnętrznych.
Publiczne usługi DNS
Publiczne usługi DNS rozpoznają nazwy i adresy IP dla zasobów i usług dostępnych przez Internet, takich jak serwery internetowe. Azure DNS to usługa hostingu dla domeny DNS, która zapewnia rozpoznawanie nazw przy użyciu infrastruktury platformy Microsoft Azure. W usłudze Azure DNS domeny DNS są hostowane w globalnej sieci serwerów nazw DNS na platformie Azure. W usłudze Azure DNS jest stosowana emisja dowolna. Każde zapytanie DNS jest obsługiwane przez najbliższy dostępny serwer DNS, co zapewnia szybkie działanie i wysoką dostępność domeny.
W usłudze Azure DNS rekordy adresów można tworzyć ręcznie w odpowiednich strefach. Rekordy najczęściej używane to:
- Rekordy hosta: A/AAAA (IPv4/IPv6)
- Rekordy aliasów: CNAME
Usługa Azure DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania i rozpoznawania nazw domen w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS.
Strefa DNS hostuje rekordy DNS dla domeny. Dlatego aby rozpocząć hostowanie domeny w usłudze Azure DNS, należy utworzyć strefę DNS dla tej nazwy domeny. Każdy rekord DNS domeny zostanie utworzony w tej strefie DNS.
Kwestie wymagające rozważenia
- Nazwa strefy musi być unikatowa w obrębie grupy zasobów, a strefa nie może wcześniej istnieć.
- Danej nazwy strefy można użyć ponownie w innej grupie zasobów lub w ramach innej subskrypcji platformy Azure.
- W przypadku wielu stref o tej samej nazwie do każdego wystąpienia jest przypisywany inny adres serwera nazw.
- Domena główna/nadrzędna jest zarejestrowana u rejestratora i wskazywana na usługę Azure NS.
- Domeny podrzędne są rejestrowane bezpośrednio w usłudze AzureDNS.
Uwaga
Nie musisz być właścicielem nazwy domeny, aby utworzyć strefę DNS z tą nazwą domeny w usłudze Azure DNS. Należy jednak posiadać domenę, aby skonfigurować domenę.
Delegowanie domen DNS
Usługa Azure DNS umożliwia hostowanie strefy DNS i zarządzanie rekordami DNS dla domeny na platformie Azure. Aby zapytania DNS dla domeny miały dostęp do usługi Azure DNS, należy delegować domenę do usługi Azure DNS z domeny nadrzędnej. Należy pamiętać, że usługa Azure DNS nie jest rejestratorem domen.
Aby delegować domenę do usługi Azure DNS, musisz najpierw znać nazwy serwerów nazw dla strefy. Za każdym razem, gdy strefa DNS jest tworzona, usługa Azure DNS przydziela serwery nazw z puli. Po przypisaniu serwerów nazw usługa Azure DNS automatycznie tworzy autorytatywne rekordy NS w strefie.
Po utworzeniu strefy DNS i utworzeniu serwerów nazw należy zaktualizować domenę nadrzędną. Każdy rejestrator ma swoje własne narzędzia do zarządzania systemem DNS służące do zmiany rekordów serwerów nazw dla domeny. Na stronie zarządzania systemem DNS rejestratora edytuj rekordy NS i zastąp je rekordami utworzonymi przez usługę Azure DNS.
Uwaga
Podczas delegowania domeny do usługi Azure DNS należy użyć nazw serwerów nazw udostępnionych przez usługę Azure DNS. Zawsze należy używać wszystkich czterech nazw serwerów nazw, niezależnie od nazwy domeny.
Domeny podrzędne
Jeśli chcesz skonfigurować oddzielną strefę podrzędną, możesz delegować domenę podrzędną w usłudze Azure DNS. Na przykład po skonfigurowaniu contoso.com w usłudze Azure DNS można skonfigurować oddzielną strefę podrzędną dla partners.contoso.com.
Konfigurowanie poddomeny jest zgodne z tym samym procesem co typowe delegowanie. Jedyną różnicą jest to, że rekordy NS muszą być tworzone w strefie nadrzędnej contoso.com w usłudze Azure DNS, a nie u rejestratora domen.
Uwaga
Strefy nadrzędne i podrzędne mogą znajdować się w tej samej lub innej grupie zasobów. Zwróć uwagę, że nazwa zestawu rekordów w strefie nadrzędnej jest zgodna z nazwą strefy podrzędnej, w tym przypadku partnerami.
Ważne jest, aby zrozumieć różnicę między zestawami rekordów DNS i poszczególnymi rekordami DNS. Zestaw rekordów jest kolekcją rekordów w strefie, która ma taką samą nazwę i jest tego samego typu.
Zestaw rekordów nie może zawierać dwóch identycznych rekordów. Można utworzyć puste zestawy rekordów (z zerowymi rekordami), ale nie są wyświetlane na serwerach nazw usługi Azure DNS. Zestawy rekordów typu CNAME mogą zawierać co najwyżej jeden rekord.
Strona Dodawanie zestawu rekordów zmieni się w zależności od wybranego typu rekordu. W przypadku rekordu A będzie potrzebny czas wygaśnięcia (czas wygaśnięcia) i adres IP. Czas wygaśnięcia (TTL) określa, jak długo każdy rekord jest buforowany przez klientów przed ponownym wpisem.
usługi Prywatna strefa DNS
Prywatna strefa DNS usługi rozpoznają nazwy i adresy IP dla zasobów i usług
Gdy zasoby wdrożone w sieciach wirtualnych muszą rozpoznawać nazwy domen na wewnętrzne adresy IP, mogą użyć jednej z trzech metod:
- Strefy prywatne w usłudze DNS platformy Azure
- Rozpoznawanie nazw udostępnianych przez platformę Azure
- Rozpoznawanie nazw używające własnego serwera DNS
Używany typ rozpoznawania nazw zależy od tego, w jaki sposób zasoby muszą komunikować się ze sobą.
Twoje potrzeby dotyczące rozpoznawania nazw mogą wykraczać poza funkcje udostępniane przez platformę Azure. Na przykład może być konieczne użycie domen usługi Microsoft Windows Server Active Directory, rozpoznawanie nazw DNS między sieciami wirtualnymi. Aby uwzględnić te scenariusze, platforma Azure umożliwia korzystanie z własnych serwerów DNS.
Serwery DNS w sieci wirtualnej mogą przekazywać zapytania DNS do rekursywnych rozpoznawania nazw na platformie Azure. Dzięki temu można rozpoznawać nazwy hostów w tej sieci wirtualnej. Na przykład kontroler domeny (DC) uruchomiony na platformie Azure może odpowiadać na zapytania DNS dotyczące swoich domen i przekazywać wszystkie inne zapytania do platformy Azure. Przekazywanie zapytań umożliwia maszynom wirtualnym wyświetlanie zarówno zasobów lokalnych (za pośrednictwem kontrolera domeny) jak i udostępnionych przez platformę Azure nazw hostów (za pośrednictwem usługi przesyłania dalej). Dostęp do programów rozpoznawania cyklicznego na platformie Azure jest zapewniany za pośrednictwem wirtualnego adresu IP 168.63.129.16.
Przekazywanie DNS umożliwia również rozpoznawanie nazw DNS między sieciami wirtualnymi i umożliwia maszynom lokalnym rozpoznawanie nazw hostów udostępnianych przez platformę Azure. Aby rozpoznać nazwę hosta maszyny wirtualnej, maszyna wirtualna serwera DNS musi znajdować się w tej samej sieci wirtualnej i być skonfigurowana do przekazywania zapytań dotyczących nazw hostów do platformy Azure. Ponieważ sufiks DNS różni się w każdej sieci wirtualnej, można użyć reguł przekazywania warunkowego do wysyłania zapytań DNS do właściwej sieci wirtualnej do rozpoznawania.
Usługa DNS zapewniana przez platformę Azure
Platforma Azure udostępnia własną domyślną wewnętrzną usługę DNS. Zapewnia wewnętrzną strefę DNS, która zawsze istnieje, obsługuje rejestrację automatyczną, nie wymaga ręcznego tworzenia rekordów i jest tworzona podczas tworzenia sieci wirtualnej. Jest to bezpłatna usługa. Dostępne na platformie Azure rozpoznawanie nazw zapewnia tylko podstawowe funkcje autorytatywne dns. Jeśli używasz tej opcji, nazwy stref DNS i rekordy będą automatycznie zarządzane przez platformę Azure i nie będzie można kontrolować nazw stref DNS ani cyklu życia rekordów DNS.
Wewnętrzny system DNS definiuje przestrzeń nazw w następujący sposób: .internal.cloudapp.net.
Każda maszyna wirtualna utworzona w sieci wirtualnej jest zarejestrowana w wewnętrznej strefie DNS i pobiera nazwę domeny DNS, taką jak myVM.internal.cloudapp.net. Należy pamiętać, że jest to nazwa zasobu platformy Azure zarejestrowana, a nie nazwa systemu operacyjnego gościa na maszynie wirtualnej.
Ograniczenia wewnętrznego systemu DNS
- Nie można rozpoznać w różnych sieciach wirtualnych.
- Rejestruje nazwy zasobów, a nie nazwy systemu operacyjnego gościa.
- Nie zezwala na ręczne tworzenie rekordów.
Prywatne strefy DNS platformy Azure
strefy Prywatna strefa DNS na platformie Azure są dostępne tylko dla zasobów wewnętrznych. Są one globalne w zakresie, więc można uzyskać do nich dostęp z dowolnego regionu, dowolnej subskrypcji, dowolnej sieci wirtualnej i dowolnej dzierżawy. Jeśli masz uprawnienia do odczytywania strefy, możesz użyć jej do rozpoznawania nazw. Prywatna strefa DNS strefy są wysoce odporne, replikowane do regionów na całym świecie. Nie są one dostępne dla zasobów w Internecie.
W przypadku scenariuszy, które wymagają większej elastyczności niż pozwala na to wewnętrzna usługa DNS, można utworzyć własne prywatne strefy DNS. Te strefy umożliwiają:
- Skonfiguruj określoną nazwę DNS dla strefy.
- W razie potrzeby utwórz rekordy ręcznie.
- Rozpoznawanie nazw i adresów IP w różnych strefach.
- Rozpoznawanie nazw i adresów IP w różnych sieciach wirtualnych.
Tworzenie prywatnej strefy DNS przy użyciu portalu
Prywatną strefę DNS można utworzyć przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Po wdrożeniu nowej strefy DNS można ręcznie utworzyć rekordy zasobów lub użyć automatycznej rejestracji, co spowoduje utworzenie rekordów zasobów na podstawie nazwy zasobu platformy Azure.
strefy Prywatna strefa DNS obsługują pełny zakres rekordów, w tym wskaźniki, MX, SOA, usługę i rekordy tekstowe.
Łączenie sieci wirtualnych z prywatnymi strefami DNS
Na platformie Azure sieć wirtualna reprezentuje grupę co najmniej 1 podsieci, zgodnie z definicją w zakresie CIDR. Zasoby, takie jak maszyny wirtualne, są dodawane do podsieci.
Na poziomie sieci wirtualnej domyślna konfiguracja DNS jest częścią przypisań DHCP wykonanych przez platformę Azure, określając adres specjalny 168.63.129.16 do korzystania z usług Azure DNS.
W razie potrzeby można zastąpić konfigurację domyślną, konfigurując alternatywny serwer DNS na karcie sieciowej maszyny wirtualnej.
Dwa sposoby łączenia sieci wirtualnych ze strefą prywatną:
- Rejestracja: każda sieć wirtualna może łączyć się z jedną prywatną strefą DNS na potrzeby rejestracji. Jednak do 100 sieci wirtualnych może łączyć się z tą samą prywatną strefą DNS na potrzeby rejestracji.
- Rozwiązanie: może istnieć wiele innych prywatnych stref DNS dla różnych przestrzeni nazw. Sieć wirtualną można połączyć z każdą z tych stref w celu rozpoznawania nazw. Każda sieć wirtualna może łączyć się z maksymalnie 1000 prywatnymi strefami DNS na potrzeby rozpoznawania nazw.
Integrowanie lokalnej usługi DNS z sieciami wirtualnymi platformy Azure
Jeśli masz zewnętrzny serwer DNS, na przykład serwer lokalny, możesz użyć niestandardowej konfiguracji DNS w sieci wirtualnej, aby zintegrować te dwa.
Zewnętrzny system DNS może działać na dowolnym serwerze DNS: bind on system UNIX, domena usługi Active Directory Services DNS itd. Jeśli chcesz użyć zewnętrznego serwera DNS, a nie domyślnej usługi Azure DNS, musisz skonfigurować żądane serwery DNS.
Organizacje często używają wewnętrznej prywatnej strefy DNS platformy Azure do automatycznej rejestracji, a następnie używają konfiguracji niestandardowej do przekazywania zapytań stref zewnętrznych z zewnętrznego serwera DNS.
Przekazywanie przyjmuje dwie formy:
- Przekazywanie — określa inny serwer DNS (SOA dla strefy), aby rozwiązać zapytanie, jeśli serwer początkowy nie może.
- Przekazywanie warunkowe — określa serwer DNS dla nazwanej strefy, tak aby wszystkie zapytania dla tej strefy zostały kierowane do określonego serwera DNS.
Uwaga
Jeśli serwer DNS znajduje się poza platformą Azure, nie ma dostępu do usługi Azure DNS w wersji 168.63.129.16. W tym scenariuszu skonfiguruj program rozpoznawania nazw DNS w sieci wirtualnej, prześlij do niej zapytania, a następnie przekaże zapytania do adresu 168.63.129.16 (Azure DNS). Zasadniczo używasz przekazywania dalej, ponieważ 168.63.129.16 nie jest routingu i dlatego nie jest dostępny dla klientów zewnętrznych.
Wybierz najlepszą odpowiedź na każde z poniższych pytań. Następnie wybierz pozycję Sprawdź odpowiedzi.