Поделиться через

Краткое руководство. Создание Частного сопоставителя DNS Azure с помощью портала Azure

  • Статья

В этом кратком руководстве описаны действия по созданию частного сопоставителя Azure DNS с помощью портал Azure. При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Частный сопоставитель DNS Azure позволяет запрашивать частные зоны DNS Azure из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин. Вам больше не нужно подготавливать решения на основе IaaS в виртуальных сетях для разрешения имен, зарегистрированных в частных зонах DNS Azure. Вы можете настроить в доменах условное перенаправление обратно на локальные, многооблачные и общедоступные DNS-серверы. Дополнительные сведения, включая преимущества, возможности и доступность в регионах, см. в разделе Что такое частный сопоставитель DNS Azure.

Содержание этой статьи

  • Создаются две виртуальные сети: myvnet и myvnet2.
  • Частный сопоставитель Azure DNS создается в первой виртуальной сети с входящей конечной точкой 10.10.0.4.
  • Для частного сопоставителя создается набор правил пересылки DNS.
  • Набор правил пересылки DNS связан со второй виртуальной сетью.
  • Примеры правил добавляются в набор правил пересылки DNS.

В этой статье не демонстрируется перенаправление DNS в локальную сеть. Дополнительные сведения см. в статье "Разрешение доменов Azure и локальных доменов".

На следующем рисунке приведены сведения о настройке, используемой в этой статье:

Концептуальная фигура, отображающая компоненты частного сопоставителя.

Необходимые компоненты

Требуется подписка Azure.

Регистрация пространства имен поставщика Microsoft.Network

Прежде чем пользоваться службами Microsoft.Network с подпиской Azure, необходимо зарегистрировать пространство имен Microsoft.Network:

  1. Выберите колонку "Подписка" в портал Azure, а затем выберите свою подписку.
  2. В разделе Параметры выберите Поставщики ресурсов.
  3. Выберите Microsoft.Network и нажмите Зарегистрировать.

Создание или изменение группы ресурсов

Прежде всего, создайте группу ресурсов или выберите существующую группу ресурсов для размещения ресурсов сопоставителя DNS. Группа ресурсов должна находиться в поддерживаемом регионе. В этом примере используется расположение Центрально-западная часть США. Чтобы создать новую группу ресурсов:

  1. Выберите Создать группу ресурсов.

  2. Выберите имя подписки, введите имя группы ресурсов и выберите поддерживаемый регион.

  3. Выберите Проверить и создать, а затем выберите Создать.

    создание группы ресурсов

Создание виртуальной сети

Затем добавьте виртуальную сеть в созданную группу ресурсов и настройте подсети.

  1. Выберите созданную группу ресурсов, выберите Создать, выберите Сеть в списке категорий, а затем рядом с элементом Виртуальная сеть нажмите Создать.

  2. На вкладке Основные сведения введите имя новой виртуальной сети и выберите Регион, соответствующий региону вашей группы ресурсов.

  3. На вкладке IP-адресов измените адресное пространство IPv4 на 10.0.0.0/16.

  4. Выберите Добавить подсеть и введите имя и диапазон адресов подсети:

    • Имя подсети: snet-inbound
    • Диапазон адресов подсети: 10.0.0.0/28
    • Выберите Добавить, чтобы добавить новую подсеть.

  5. Выберите Добавить подсеть и настройте подсеть исходящей конечной точки:

    • Имя подсети: snet-outbound
    • Диапазон адресов подсети: 10.0.1.0/28
    • Нажмите кнопку Добавить, чтобы добавить эту подсеть.

  6. Выберите Просмотр и создание, а затем нажмите кнопку Создать.

    создание виртуальной сети

Создание сопоставителя DNS в виртуальной сети

  1. Откройте портал Azure и найдите частные сопоставители DNS.

  2. Выберите частные сопоставители DNS, нажмите кнопку "Создать", а затем на вкладке "Основы " для создания частного сопоставителя DNS введите следующее:

    • Подписка: выберите имя подписки, которую вы используете.
    • Группа ресурсов: выберите имя созданной группы ресурсов.
    • Имя: введите имя сопоставителя DNS (например, mydnsresolver).
    • Регион: выберите регион, используемый для виртуальной сети.
    • Виртуальная сеть: выберите созданную виртуальную сеть.

    Пока не создавайте сопоставитель DNS.

    создание сопоставителя — общие сведения

  3. Выберите вкладку Входящие конечные точки, выберите Добавить конечную точку, а затем введите имя в поле Имя конечной точки (например, myinboundendpoint).

  4. В поле Подсеть выберите созданную подсеть входящей конечной точки (например, snet-inbound, 10.0.0.0/28) и нажмите кнопку Сохранить.

  5. Выберите вкладку Исходящие конечные точки, выберите Добавить конечную точку, а затем введите имя в поле Имя конечной точки (например, myoutboundendpoint).

  6. Рядом с подсетью выберите созданную подсеть исходящей конечной точки (например, snet-outbound, 10.0.1.0/28) и нажмите кнопку "Сохранить".

  7. Выберите вкладку Набор правил, выберите Добавить набор правил и укажите следующие параметры:

    • Имя набора правил: введите имя набора правил (например, myruleset).
    • Конечные точки: выберите созданную исходящую конечную точку (например, myoutboundendpoint).

  8. В разделе Правила выберите Добавить и введите правила условной переадресации DNS. Например:

    • Имя правила: введите имя правила (например, contosocom).
    • Доменное имя: введите доменное имя с конечной точкой (например, "contoso.com.").
    • Состояние правила: выберите Включено или Отключено. По умолчанию этот параметр включен.
    • Выберите " Добавить назначение " и введите нужный IPv4-адрес назначения (например, 203.0.113.10).
    • При необходимости нажмите кнопку "Добавить назначение" еще раз, чтобы добавить другой адрес IPv4 назначения (например, 203.0.113.11).
    • Завершив добавление IP-адресов назначения, нажмите кнопку Добавить.

  9. Выберите Просмотр и создание, а затем щелкните Создать.

    создание сопоставителя — набор правил

    В этом примере есть только одно правило условной переадресации, но вы можете создать несколько правил. Вы также можете включать и отключать правила по мере необходимости.

    Снимок экрана: создание сопоставителя — проверка.

    После нажатия кнопки Создать новый сопоставитель DNS начнет развертывание. Этот процесс может занять минуту или два. Состояние каждого компонента отображается во время развертывания.

    создание сопоставителя — статус

Создание второй виртуальной сети

Создайте вторую виртуальную сеть для имитации локальной или другой среды. Чтобы создать вторую виртуальную сеть, выполните следующие действия:

  1. Выберите Виртуальные сети из списка служб Azure или выполните поиск по запросу Виртуальные сети и выберите Виртуальные сети.

  2. Выберите Создать, а затем на вкладке Основные сведения выберите свою подписку и ту же группу ресурсов, которую использовали в этом руководстве (например, myresourcegroup).

  3. В поле Имя введите имя новой виртуальной сети (например, myvnet2).

  4. Убедитесь, что выбранный Регион является тем же регионом, который использовался ранее в этом руководстве (например, "Центрально-западная часть США").

  5. Перейдите на вкладку IP-адреса и измените пространство IP-адресов по умолчанию. Замените адресное пространство имитируемым локальным адресным пространством (например, 10.1.0.0/16).

  6. Выберите Добавить подсеть и укажите следующие параметры:

    • Имя подсети: backendsubnet
    • Адресное пространство подсети: 10.1.0.0/24.

  7. Выберите Добавить, затем выберите Проверка и создание и затем Создать.

    Снимок экрана: создание второй виртуальной сети.

Чтобы применить набор правил пересылки ко второй виртуальной сети, необходимо создать виртуальную ссылку.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите набор правил (например, myruleset).

  2. Выберите Ссылки виртуальной сети, затем Добавить и myvnet2 и используйте ссылку myvnet2 по умолчанию.

  3. Нажмите Добавить и убедитесь, что ссылка успешно добавлена. Может потребоваться обновить содержимое страницы.

    Снимок экрана с набором правил для ссылок виртуальной сети.

Далее в этой статье создается правило с помощью частной конечной точки входящего сопоставителя в качестве назначения. Эта конфигурация может привести к циклу разрешения DNS, если виртуальная сеть, в которой подготовлен сопоставитель, также связана с набором правил. Чтобы устранить эту проблему, удалите ссылку на myvnet.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите набор правил (например, myruleset).

  2. Выберите виртуальная сеть Ссылки, выберите myvnet-link, нажмите кнопку "Удалить" и нажмите кнопку "ОК".

    Снимок экрана: ссылки виртуальной сети набора правил после удаления ссылки.

Настройка набора правил пересылки DNS

Добавьте или удалите определенные правила, необходимые для набора правил пересылки DNS, например:

  • Правило для разрешения частной зоны DNS Azure, связанной с виртуальной сетью: azure.contoso.com.
  • Правило для разрешения локальной зоны: internal.contoso.com.
  • Правило подстановочного знака для пересылки несогласованных запросов DNS в защитную службу DNS.

Внимание

Правила, показанные в этом кратком руководстве, являются примерами правил, которые можно использовать для конкретных сценариев. Ни один из правил, описанных в этой статье, не требуется. Будьте осторожны, чтобы проверить правила пересылки и убедиться, что правила не вызывают проблем с разрешением DNS.

Если в набор правил включено правило подстановочного знака, убедитесь, что целевая служба DNS может разрешать общедоступные DNS-имена. Некоторые службы Azure зависят от разрешения общедоступных имен.

Удаление правила из набора правил пересылки

Отдельные правила можно удалить или отключить. В этом примере правило удаляется.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите набор правил.
  2. Выберите набор правил, настроенный ранее (например, myruleset), а затем выберите Правила.
  3. Выберите пример правила contosocom, который вы ранее настроили, нажмите кнопку Удалить, а затем ОК.

Добавление правил в набор правил пересылки

Добавьте в набор правил три новых правила условной пересылки.

  1. В myruleset | Страница правил, выберите "Добавить" и введите следующие данные правила:

    • Имя правила: AzurePrivate
    • Доменное имя: azure.contoso.com.
    • Состояние правила: Разрешено

  2. В разделе "Ip-адрес назначения" введите 10.0.0.4 и нажмите кнопку "Добавить".

  3. В myruleset | Страница правил, выберите "Добавить" и введите следующие данные правила:

    • Имя правила: внутреннее
    • Доменное имя: internal.contoso.com.
    • Состояние правила: Разрешено

  4. В разделе "Конечный IP-адрес " введите 192.168.1.2 и нажмите кнопку "Добавить".

  5. В myruleset | Страница правил, выберите "Добавить" и введите следующие данные правила:

    • Имя правила: подстановочный знак
    • Доменное имя: . (введите только точку)
    • Состояние правила: Разрешено

  6. В разделе "Конечный IP-адрес " введите 10.5.5.5 и нажмите кнопку "Добавить".

    Снимок экрана с примером набора правил для переадресации.

В этом примере:

  • 10.0.0.4 — это конечная точка входящего трафика сопоставителя.
  • 192.168.1.2 — это Локальный DNS-сервер.
  • 10.5.5.5 — это защитная служба DNS.

Тестирование частного сопоставителя

Теперь вы сможете отправлять трафик DNS в сопоставитель DNS и разрешать записи на основе наборов правил переадресации, включая следующие:

  • Частные зоны Azure DNS, связанные с виртуальной сетью, в которой развернут сопоставитель.
    • Если виртуальная сеть связана с самой частной зоной, в наборе правил пересылки не требуется правило для частной зоны. Ресурсы в виртуальной сети могут напрямую разрешать зону. Однако в этом примере вторая виртуальная сеть не связана с частной зоной. Он по-прежнему может разрешить зону с помощью набора правил пересылки. Дополнительные сведения об этой структуре см. в разделе "Архитектура частного сопоставителя".
  • Частные зоны DNS, размещенные локально.
  • Зоны DNS в общедоступном пространстве имен DNS в Интернете.

Следующие шаги

Что такое Частный сопоставитель DNS Azure?