Частный сопоставитель DNS Azure

Azure DNS

Azure ExpressRoute

Брандмауэр Azure

Виртуальная сеть Azure

VPN-шлюз Azure

В этой статье представлено решение для использования частного резолвера Azure DNS для упрощения разрешения гибридных рекурсивных систем доменных имен (DNS). Частный сопоставитель DNS можно использовать для локальных рабочих нагрузок и рабочих нагрузок Azure. Частный преобразователь DNS упрощает разрешение частных DNS из локальной среды в частную службу Azure и из частной службы Azure в локальную среду.

Архитектура

В следующих разделах представлены альтернативные варианты гибридного рекурсивного разрешения DNS. В первом разделе описывается решение, использующее виртуальную машину (ВМ) сервера пересылки DNS. В последующих разделах объясняется, как использовать частный сопоставитель DNS.

Использование виртуальной машины пересылки DNS

До того, как был доступен частный сопоставитель DNS, развернута виртуальная машина пересылки DNS, чтобы локальный сервер мог разрешать запросы к частной службе DNS Azure. На следующей схеме показаны сведения об этом разрешении имен. Условный сервер пересылки на локальном DNS-сервере перенаправит запросы в Azure, а частная зона DNS связана с виртуальной сетью. Затем запросы к службе Azure разрешаются на соответствующий частный IP-адрес.

В этом решении нельзя использовать общедоступную службу DNS Azure для разрешения локальных доменных имен.

На изображении ключ карты показывает трафик DNS черной стрелкой, а частные подключения — синей стрелкой. Раздел локальной виртуальной сети содержит внутренний DNS и клиентскую виртуальную машину. Стрелки DNS-трафика указывают вперед и назад между ними. Стрелка указывает от Internal DNS к разделу IP-адреса с помощью стрелки DNS-трафика с надписью Conditional forwarder. Рядом с этим разделом находится раздел DNS, содержащий vmdns, зоны прямого и обратного просмотра, точки доверия и условные переадресаторы. Стрелки DNS-трафика соединяют раздел локальной сети и раздел VNet-hub-001. Подсеть snet-consumer в этом разделе включает в себя сервер пересылки DNS и конечную точку приватного канала. Стрелка частного подключения указывает на конечную точку Приватного канала от клиентской виртуальной машины и от конечной точки Приватного канала к базе данных SQL. В соседнем разделе отображается DNS, предоставляемая Azure. Стрелки DNS указывают из этого раздела на зону Private DNS и на рекурсивные резолверы Azure. Канал виртуальной сети соединяет раздел VNet-hub-001 с зоной Private DNS.

Скачайте файл PowerPoint этой архитектуры.

Рабочий процесс

Следующий рабочий процесс соответствует предыдущей схеме:

1. Клиентская виртуальная машина отправляет запрос на разрешение имен на azsql1.database.windows.net локальный внутренний DNS-сервер.

2. Условный сервер пересылки настраивается на внутреннем DNS-сервере. Он перенаправляет DNS-запрос на database.windows.net10.5.0.254, который является IP-адресом виртуальной машины DNS-переадресации.

3. Виртуальная машина сервера пересылки DNS отправляет запрос на 168.63.129.16адрес , который является IP-адресом внутреннего DNS-сервера Azure.

4. DNS-сервер Azure отправляет запрос на разрешение имен рекурсивным azsql1.database.windows.net резолверам Azure. Резолверы отвечают каноническим именем (CNAME). azsql1.privatelink.database.windows.net

5. DNS-сервер Azure отправляет запрос на разрешение имени в azsql1.privatelink.database.windows.net частную зону privatelink.database.windows.netDNS. Частная зона DNS отвечает частным IP-адресом 10.5.0.5.

6. Ответ, связывающий CNAME azsql1.privatelink.database.windows.net с записью 10.5.0.5 , поступает на сервер пересылки DNS.

7. Ответ поступает на локальный внутренний DNS-сервер.

8. Ответ поступает на виртуальную машину клиента.

9. Клиентская виртуальная машина устанавливает частное подключение к частной конечной точке, использующей IP-адрес 10.5.0.5. Частная конечная точка обеспечивает клиентской виртуальной машине более безопасное подключение к базе данных Azure.

Дополнительные сведения см. в статье о конфигурации DNS частной конечной точки Azure.

Использование частного сопоставителя DNS

При использовании частного сопоставителя DNS не требуется виртуальная машина пересылки DNS, а Azure DNS может разрешать локальные доменные имена.

В следующем решении используется частный сопоставитель DNS в топологии сети концентратора. В качестве рекомендации шаблон проектирования целевой зоны Azure рекомендует использовать этот тип топологии. Гибридное сетевое подключение устанавливается с помощью Azure ExpressRoute и Брандмауэра Azure. Эта настройка предоставляет безопасную гибридную сеть. DNS Private Resolver находится в сети хаба.

Изображение состоит из трех основных разделов. Самый большой раздел — это звездообразная сеть Azure. В этом разделе описаны Azure DNS, Azure Private DNS и Azure DNS Private Resolver. Он также включает в себя шлюз типа "сеть — сеть" или Azure ExpressRoute, входящую конечную точку и исходящую конечную точку. Конечная точка исходящего трафика подключается пунктирной линией к набору правил переадресации DNS. Этот набор правил соединяется пунктирными линиями со спицами 1 и 2 в разделе Azure. Azure ExpressRoute подключает шлюз типа "сеть — сеть" или Azure ExpressRoute к разделу "Локальная среда". В этом разделе содержится локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3 и локальные DNS-серверы с их IP-адресами.

Компоненты решения приватного сопоставителя DNS

Решение, использующее частный сопоставитель DNS, содержит следующие компоненты:

• Локальная сеть. Эта сеть центров обработки данных клиентов подключена к Azure через ExpressRoute или подключение azure типа "сеть — сеть" VPN-шлюз. Сетевые компоненты включают два локальных DNS-сервера. Один сервер использует IP-адрес 192.168.0.1. Другой сервер использует 192.168.0.2. Оба сервера работают как сопоставители или серверы пересылки для всех компьютеров в локальной сети.

  Администратор создает все локальные записи DNS и серверы пересылки конечных точек Azure на этих серверах. Условные серверы пересылки настраиваются на этих серверах для служб Хранилище BLOB-объектов Azure и Azure Управление API. Эти серверы пересылки отправляют запросы в входящее подключение частного сопоставителя DNS. Входящая конечная точка использует IP-адрес 10.0.0.8 и размещается в виртуальной сети концентратора.

  В следующей таблице перечислены записи на локальных серверах.

  Доменное имя	IP-адрес	Тип записи
  App1.onprem.company.com	192.168.0.8	Сопоставление адресов
  App2.onprem.company.com	192.168.0.9	Сопоставление адресов
  blob.core.windows.net	10.0.0.8	DNS-сервер пересылки
  azure-api.net	10.0.0.8	DNS-сервер пересылки

• Сеть концентратора.

  • VPN-шлюз или подключение ExpressRoute используется для гибридного подключения к Azure.

  • Брандмауэр Azure предоставляет управляемый брандмауэр. Экземпляр брандмауэра находится в собственной подсети.

  • В следующей таблице перечислены параметры, настроенные для частного сопоставителя DNS. Для DNS-имен App 1 и App 2 настроен набор правил переадресации DNS.

    Параметр	IP-адрес
    Виртуальная сеть	10.0.0.0/24
    Подсеть входящей конечной точки	10.0.0.0/28
    IP-адрес входящего конечной точки	10.0.0.8
    Подсеть исходящей конечной точки	10.0.0.16/28
    IP-адрес исходящей конечной точки	10.0.0.19

  • Виртуальная сеть концентратора связана с частными зонами DNS для хранилища BLOB-объектов и службы API.

• Периферийные сети.

  • Виртуальные машины размещаются во всех периферийных сетях для тестирования и проверки разрешения DNS.

  • Все периферийные виртуальные сети Azure используют DNS-сервер Azure по умолчанию по IP-адресу 168.63.129.16. И все периферийные виртуальные сети пиринговые с виртуальными сетями концентратора. Весь трафик, включая трафик из частного сопоставителя DNS и из нее, направляется через концентратор.

  • Периферийные виртуальные сети связаны с частными зонами DNS. Эта конфигурация позволяет разрешить имена служб ссылок частной конечной точки, таких как privatelink.blob.core.windows.net.

Поток трафика для локального DNS-запроса

На следующей схеме показан поток трафика, который приводит к тому, что локальный сервер выдает DNS-запрос.

Образ состоит из двух основных разделов, которые соединены с помощью Azure ExpressRoute. Раздел Локальная среда содержит локальный сервер, настольные компьютеры Windows, приложение 1, приложение 2, приложение 3, DNS-запрос и серверы. Раздел Azure включает шлюз типа "сеть — сеть" или Azure ExpressRoute, входящие и исходящие конечные точки, Azure DNS, Azure Private DNS, Azure DNS Private Resolver и два подготовленных Azure раздела DNS, каждый из которых содержит периферийную и виртуальную машины.

1. Локальный сервер запрашивает частную запись службы DNS Azure, например blob.core.windows.net. Запрос отправляется на локальный DNS-сервер по адресу IP 192.168.0.1 или 192.168.0.2. Все локальные компьютеры указывают на локальный DNS-сервер.

2. Условный переадресатор на локальном DNS-сервере для blob.core.windows.net переадресации запроса на DNS-преобразователь по IP-адресу 10.0.0.8.

3. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

4. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика сопоставителя DNS.

Поток трафика для DNS-запроса виртуальной машины

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute подключает раздел "Локальная среда" к шлюзу типа "сеть к сайту" или шлюзу Azure ExpressRoute в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки внутри раздела шлюза, Azure DNS, Azure Private DNS, Azure DNS Private Resolver, Azure Provisioned DNS, которые содержат звезду и виртуальную машину. Эти разделы подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Пунктирная линия соединяет этот участок с исходящей конечной точкой.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены для использования разрешения имен, которое предоставляет Azure. В результате Azure DNS используется для разрешения DNS-запроса.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через частный сопоставитель DNS

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через конечную точку входящего трафика приватного сопоставителя DNS. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute подключает раздел "Локальная среда" к шлюзу типа "сеть к сайту" или шлюзу Azure ExpressRoute в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки, разделы Azure DNS, Azure Private DNS, Azure DNS Private Resolver и DNS-сервер, которые содержат периферийную и виртуальную машину. Зеленая стрелка указывает на поток между разделами DNS-сервера, входящей конечной точкой, Azure DNS и частной службой DNS Azure. Разделы DNS-сервера также подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Пунктирная линия соединяет этот участок с исходящей конечной точкой.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены на использование 10.0.0.8 в качестве DNS-сервера с разрешением имен. В результате для разрешения DNS-запроса используется частный сопоставитель DNS.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через локальный DNS-сервер

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через локальный DNS-сервер. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute соединяет раздел Локальная среда с разделом типа "сеть — сайт" или разделом шлюза Azure ExpressRoute, расположенным в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки, разделы Azure DNS, Azure Private DNS, Azure DNS Private Resolver и DNS-сервер, которые содержат периферийную и виртуальную машину. Разделы DNS-сервера также подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Фиолетовая стрелка показывает ход операций.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены на использование 192.168.0.1/2 в качестве DNS-сервера с разрешением имен. В результате локальный DNS-сервер используется для разрешения DNS-запроса. Запрос отправляется на локальный DNS-сервер по адресу IP 192.168.0.1 или 192.168.0.2.

2. Условный переадресатор на локальном DNS-сервере для blob.core.windows.net переадресации запроса на DNS-преобразователь по IP-адресу 10.0.0.8.

3. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

4. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика для частного сопоставителя DNS.

Компоненты

• VPN-шлюз — это шлюз виртуальной сети, который позволяет отправлять зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. В этой архитектуре VPN-шлюз является необязательным компонентом для ExpressRoute, который обеспечивает гибридное подключение между Azure и локальными средами для трафика условного пересылки DNS.

• ExpressRoute — это сетевая служба, которая расширяет локальные сети в облако Майкрософт. Он устанавливает частные подключения к облачным компонентам, таким как службы Azure и Microsoft 365, через поставщика услуг подключения. В этой архитектуре ExpressRoute используется для гибридного подключения между Azure и локальными средами, в частности для трафика условного пересылочного устройства DNS.

• Виртуальная сеть Azure — это сетевая служба и основной строительный блок для частных сетей в Azure. Это позволяет ресурсам Azure, таким как виртуальные машины, безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. В предыдущей схеме основное назначение виртуальных сетей — размещение частного преобразователя DNS и виртуальных машин Azure. Эти виртуальные сети обеспечивают бесперебойную связь и интеграцию между различными службами Azure и локальными ресурсами.

• Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая применяет политики приложений и сетевых подключений. Он централизованно управляет политиками в нескольких виртуальных сетях и подписках. В предыдущем варианте использования можно реализовать Брандмауэр Azure для повышения безопасности сетевого трафика. Он обеспечивает расширенную защиту от угроз, фильтрацию сетевого трафика и возможности ведения журнала, разрешая только авторизованный трафик и блокируя потенциальные угрозы.

• Частный сопоставитель DNS — это служба, которая мостит локальную СЛУЖБУ DNS с Помощью Azure DNS. В этой архитектуре его основная функция заключается в упрощении запросов DNS между частными зонами Azure DNS и локальной средой. Такое упрощение устраняет необходимость в DNS-серверах на основе виртуальных машин. Такая настройка обеспечивает простое и эффективное разрешение DNS в гибридных средах, что позволяет Azure и локальным ресурсам эффективно обмениваться данными о разрешениях DNS.

• Azure DNS — это служба размещения доменов DNS, которая использует преимущества инфраструктуры Azure для разрешения имен. Он играет решающую роль в этом проекте, управляя трафиком разрешения DNS.

• Частная служба DNS Azure — это управляемая служба DNS, которая разрешает доменные имена в виртуальной сети и подключенных виртуальных сетях. Это устраняет необходимость в пользовательской настройке DNS. С помощью частных зон DNS можно назначать пользовательские доменные имена вместо имен по умолчанию, которые Azure предоставляет во время развертывания.

• DNS-переадресаторы — это DNS-серверы, которые отправляют запросы на внешние серверы, когда они не могут самостоятельно разрешить доменные имена. Этот подход уже давно является стандартным методом разрешения DNS. В этой статье и примерах ее использования частный резолвер DNS заменяет пересылки DNS на основе виртуальных машин, что обеспечивает более эффективный и оптимизированный подход к разрешению DNS.

Подробности сценария

Azure предоставляет различные решения DNS, включая диспетчер трафика Azure. Диспетчер трафика действует как служба балансировки нагрузки на основе DNS. Он предоставляет способ распределения трафика между регионами Azure в общедоступные приложения.

До появления частного сопоставителя DNS вам приходилось использовать пользовательские DNS-серверы для разрешения DNS из локальных систем в Azure и из Azure в локальные системы. Пользовательские решения DNS имеют множество недостатков:

• Управление несколькими пользовательскими DNS-серверами для нескольких виртуальных сетей включает высокие затраты на инфраструктуру и лицензирование.

• Необходимо обрабатывать все аспекты установки, настройки и обслуживания DNS-серверов.

• Накладные задачи, такие как мониторинг и исправление этих серверов, являются сложными и подвержены сбоям.

• Поддержка DevOps для управления записями DNS и правилами пересылки отсутствует.

• Это дорого для реализации масштабируемых решений DNS-сервера.

Частный резолвер DNS устраняет эти препятствия, предоставляя следующие функции и ключевые преимущества:

• Полностью управляемая служба Майкрософт со встроенными функциями обеспечения высокой доступности и избыточности между зонами.

• Масштабируемое решение, оптимизированное для бесшовной интеграции с DevOps.

• Экономия средств по сравнению с традиционной инфраструктурой как услугой на основе пользовательских решений.

• Условное перенаправление для Azure DNS на локальные серверы. Конечная точка исходящего трафика предоставляет эту возможность, которая ранее была недоступна. Рабочие нагрузки в Azure больше не требуют прямых подключений к локальным DNS-серверам. Вместо этого рабочие нагрузки Azure подключаются к исходящему IP-адресу частного сопоставителя DNS.

Потенциальные варианты использования

Это решение упрощает разрешение частных DNS в гибридных сетях. Это применимо к следующим сценариям:

• Стратегии перехода во время долгосрочной миграции в полностью облачные решения

• Решения аварийного восстановления и отказоустойчивости, которые реплицируют данные и службы между локальными и облачными средами

• Решения, размещающие компоненты в Azure для уменьшения задержки между локальными центрами обработки данных и удаленными расположениями

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. вWell-Architected Framework.

Надежность

Надежность помогает гарантировать, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в контрольном списке проверки конструктора для обеспечения надежности.

DNS Private Resolver — это облачный сервис, разработанный для обеспечения высокой доступности и бесшовной интеграции с практиками DevOps, что делает его хорошо подходящим для совместной работы и автоматизированных рабочих процессов. Он предоставляет надежное и улучшенное решение безопасности DNS, сохраняя при этом простоту и не требуя обслуживания для пользователей.

Не развертывайте частный сопоставитель DNS в виртуальной сети, которая включает шлюз виртуальной сети ExpressRoute и использует правила с подстановочными знаками для направления всего разрешения имен на определенный DNS-сервер. Этот тип конфигурации может вызвать проблемы с подключением к управлению. Дополнительные сведения см. в статье Частный преобразователь DNS с правилами с подстановочными знаками на шлюзе ExpressRoute.

Доступность в регионах

Список регионов, в которых доступен частный сопоставитель DNS, см. в разделе "Региональная доступность".

DNS-преобразователь может ссылаться только на виртуальную сеть, расположенную в том же регионе, что и DNS-преобразователь.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и неправильного использования ценных данных и систем. Дополнительные сведения см. в контрольном списке проверки конструктора для безопасности.

В Azure DNS есть расширения безопасности DNS в предварительной версии.

Оптимизация затрат

Оптимизация затрат фокусируется на способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке проверки конструктора для оптимизации затрат.

• В качестве решения частный сопоставитель DNS является в значительной степени экономичным. Одним из основных преимуществ DNS Private Resolver является то, что он полностью управляем. Эта функция избавляет от необходимости использования выделенных серверов.

• Чтобы вычислить стоимость частного сопоставителя DNS, используйте калькулятор цен Azure. Для моделей ценообразования частных сопоставителя DNS см. цены на Azure DNS.

• Цены также включают функции доступности и масштабируемости.

• ExpressRoute поддерживает две модели выставления счетов:

  • Лимитные данные, которые взимается за гигабайт для исходящей передачи данных.

  • Неограниченные данные, которые взимается с фиксированной ежемесячной платы за порт, охватывающий все исходящие и исходящие передачи данных.

  Дополнительные сведения см. в разделе о ценах ExpressRoute.

• Если вы используете VPN-шлюз вместо ExpressRoute, стоимость зависит от продукта и взимается в час. Дополнительные сведения см. в ценах на VPN-шлюз.

Эффективность производительности

Эффективность производительности — это способность рабочей нагрузки эффективно масштабироваться в соответствии с требованиями пользователей. Дополнительные сведения см. в контрольном списке проверки конструктора для повышения эффективности.

Частный сопоставитель DNS — это полностью управляемая служба Майкрософт, которая может обрабатывать миллионы запросов. Используйте адресное пространство подсети между /28 и /24. Для большинства пользователей наиболее подходящим является /26. Дополнительные сведения см. в разделе "Ограничения подсети".

Сеть

Следующие ресурсы содержат сведения о том, как создать частный резолвер DNS:

• Создание частного сопоставителя DNS с помощью портала Azure

• Создание частного сопоставителя DNS с помощью Azure PowerShell

Обратная поддержка DNS

Обычно записи DNS сопоставляют DNS-имя с IP-адресом. Например, www.contoso.com разрешается в 42.3.10.170. Обратный DNS выполняет противоположную функцию. Он сопоставляет IP-адрес с DNS-именем. Например, IP-адрес 42.3.10.170 разрешается в www.contoso.com.

Дополнительные сведения о поддержке обратного DNS в Azure и о том, как работает обратный DNS, см. в статье Обзор обратного DNS и его поддержки в Azure.

Ограничения

Частный сопоставитель DNS имеет следующие ограничения:

• Наборы правил частного сопоставителя DNS могут быть связаны только с виртуальными сетями, которые находятся в том же географическом регионе, что и сопоставитель.

• Виртуальная сеть не может содержать несколько частных сопоставителя DNS.

• Необходимо назначить выделенную подсеть каждой входящей и исходящей конечной точке.

Дополнительные сведения см. в разделе "Ограничения виртуальной сети".

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Автор субъекта:

• Мурти Аннадурай | Старший технический специалист

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Что такое ссылка на виртуальную сеть?
• Что такое Azure DNS?
• Что такое частная служба DNS Azure?
• Что такое частный сопоставитель DNS?
• Часто задаваемые вопросы о Azure DNS
• Обзор обратной службы DNS и поддержки в Azure

Связанные ресурсы

• Доступ к файлам Azure в локальной среде и защита с помощью доменных служб Active Directory
• Проектирование гибридного решения DNS с помощью Azure
• Общей папке облачного облака Azure

В этой статье представлено решение для использования частного резолвера Azure DNS для упрощения разрешения гибридных рекурсивных систем доменных имен (DNS). Частный сопоставитель DNS можно использовать для локальных рабочих нагрузок и рабочих нагрузок Azure. Частный преобразователь DNS упрощает разрешение частных DNS из локальной среды в частную службу Azure и из частной службы Azure в локальную среду.

Архитектура

В следующих разделах представлены альтернативные варианты гибридного рекурсивного разрешения DNS. В первом разделе описывается решение, использующее виртуальную машину (ВМ) сервера пересылки DNS. В последующих разделах объясняется, как использовать частный сопоставитель DNS.

Использование виртуальной машины пересылки DNS

До того, как был доступен частный сопоставитель DNS, развернута виртуальная машина пересылки DNS, чтобы локальный сервер мог разрешать запросы к частной службе DNS Azure. На следующей схеме показаны сведения об этом разрешении имен. Условный сервер пересылки на локальном DNS-сервере перенаправит запросы в Azure, а частная зона DNS связана с виртуальной сетью. Затем запросы к службе Azure разрешаются на соответствующий частный IP-адрес.

В этом решении нельзя использовать общедоступную службу DNS Azure для разрешения локальных доменных имен.

На изображении ключ карты показывает трафик DNS черной стрелкой, а частные подключения — синей стрелкой. Раздел локальной виртуальной сети содержит внутренний DNS и клиентскую виртуальную машину. Стрелки DNS-трафика указывают вперед и назад между ними. Стрелка указывает от Internal DNS к разделу IP-адреса с помощью стрелки DNS-трафика с надписью Conditional forwarder. Рядом с этим разделом находится раздел DNS, содержащий vmdns, зоны прямого и обратного просмотра, точки доверия и условные переадресаторы. Стрелки DNS-трафика соединяют раздел локальной сети и раздел VNet-hub-001. Подсеть snet-consumer в этом разделе включает в себя сервер пересылки DNS и конечную точку приватного канала. Стрелка частного подключения указывает на конечную точку Приватного канала от клиентской виртуальной машины и от конечной точки Приватного канала к базе данных SQL. В соседнем разделе отображается DNS, предоставляемая Azure. Стрелки DNS указывают из этого раздела на зону Private DNS и на рекурсивные резолверы Azure. Канал виртуальной сети соединяет раздел VNet-hub-001 с зоной Private DNS.

Скачайте файл PowerPoint этой архитектуры.

Рабочий процесс

Следующий рабочий процесс соответствует предыдущей схеме:

1. Клиентская виртуальная машина отправляет запрос на разрешение имен на azsql1.database.windows.net локальный внутренний DNS-сервер.

2. Условный сервер пересылки настраивается на внутреннем DNS-сервере. Он перенаправляет DNS-запрос на database.windows.net10.5.0.254, который является IP-адресом виртуальной машины DNS-переадресации.

3. Виртуальная машина сервера пересылки DNS отправляет запрос на 168.63.129.16адрес , который является IP-адресом внутреннего DNS-сервера Azure.

4. DNS-сервер Azure отправляет запрос на разрешение имен рекурсивным azsql1.database.windows.net резолверам Azure. Резолверы отвечают каноническим именем (CNAME). azsql1.privatelink.database.windows.net

5. DNS-сервер Azure отправляет запрос на разрешение имени в azsql1.privatelink.database.windows.net частную зону privatelink.database.windows.netDNS. Частная зона DNS отвечает частным IP-адресом 10.5.0.5.

6. Ответ, связывающий CNAME azsql1.privatelink.database.windows.net с записью 10.5.0.5 , поступает на сервер пересылки DNS.

7. Ответ поступает на локальный внутренний DNS-сервер.

8. Ответ поступает на виртуальную машину клиента.

9. Клиентская виртуальная машина устанавливает частное подключение к частной конечной точке, использующей IP-адрес 10.5.0.5. Частная конечная точка обеспечивает клиентской виртуальной машине более безопасное подключение к базе данных Azure.

Дополнительные сведения см. в статье о конфигурации DNS частной конечной точки Azure.

Использование частного сопоставителя DNS

При использовании частного сопоставителя DNS не требуется виртуальная машина пересылки DNS, а Azure DNS может разрешать локальные доменные имена.

В следующем решении используется частный сопоставитель DNS в топологии сети концентратора. В качестве рекомендации шаблон проектирования целевой зоны Azure рекомендует использовать этот тип топологии. Гибридное сетевое подключение устанавливается с помощью Azure ExpressRoute и Брандмауэра Azure. Эта настройка предоставляет безопасную гибридную сеть. DNS Private Resolver находится в сети хаба.

Изображение состоит из трех основных разделов. Самый большой раздел — это звездообразная сеть Azure. В этом разделе описаны Azure DNS, Azure Private DNS и Azure DNS Private Resolver. Он также включает в себя шлюз типа "сеть — сеть" или Azure ExpressRoute, входящую конечную точку и исходящую конечную точку. Конечная точка исходящего трафика подключается пунктирной линией к набору правил переадресации DNS. Этот набор правил соединяется пунктирными линиями со спицами 1 и 2 в разделе Azure. Azure ExpressRoute подключает шлюз типа "сеть — сеть" или Azure ExpressRoute к разделу "Локальная среда". В этом разделе содержится локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3 и локальные DNS-серверы с их IP-адресами.

Компоненты решения приватного сопоставителя DNS

Решение, использующее частный сопоставитель DNS, содержит следующие компоненты:

• Локальная сеть. Эта сеть центров обработки данных клиентов подключена к Azure через ExpressRoute или подключение azure типа "сеть — сеть" VPN-шлюз. Сетевые компоненты включают два локальных DNS-сервера. Один сервер использует IP-адрес 192.168.0.1. Другой сервер использует 192.168.0.2. Оба сервера работают как сопоставители или серверы пересылки для всех компьютеров в локальной сети.

  Администратор создает все локальные записи DNS и серверы пересылки конечных точек Azure на этих серверах. Условные серверы пересылки настраиваются на этих серверах для служб Хранилище BLOB-объектов Azure и Azure Управление API. Эти серверы пересылки отправляют запросы в входящее подключение частного сопоставителя DNS. Входящая конечная точка использует IP-адрес 10.0.0.8 и размещается в виртуальной сети концентратора.

  В следующей таблице перечислены записи на локальных серверах.

  Доменное имя	IP-адрес	Тип записи
  App1.onprem.company.com	192.168.0.8	Сопоставление адресов
  App2.onprem.company.com	192.168.0.9	Сопоставление адресов
  blob.core.windows.net	10.0.0.8	DNS-сервер пересылки
  azure-api.net	10.0.0.8	DNS-сервер пересылки

• Сеть концентратора.

  • VPN-шлюз или подключение ExpressRoute используется для гибридного подключения к Azure.

  • Брандмауэр Azure предоставляет управляемый брандмауэр. Экземпляр брандмауэра находится в собственной подсети.

  • В следующей таблице перечислены параметры, настроенные для частного сопоставителя DNS. Для DNS-имен App 1 и App 2 настроен набор правил переадресации DNS.

    Параметр	IP-адрес
    Виртуальная сеть	10.0.0.0/24
    Подсеть входящей конечной точки	10.0.0.0/28
    IP-адрес входящего конечной точки	10.0.0.8
    Подсеть исходящей конечной точки	10.0.0.16/28
    IP-адрес исходящей конечной точки	10.0.0.19

  • Виртуальная сеть концентратора связана с частными зонами DNS для хранилища BLOB-объектов и службы API.

• Периферийные сети.

  • Виртуальные машины размещаются во всех периферийных сетях для тестирования и проверки разрешения DNS.

  • Все периферийные виртуальные сети Azure используют DNS-сервер Azure по умолчанию по IP-адресу 168.63.129.16. И все периферийные виртуальные сети пиринговые с виртуальными сетями концентратора. Весь трафик, включая трафик из частного сопоставителя DNS и из нее, направляется через концентратор.

  • Периферийные виртуальные сети связаны с частными зонами DNS. Эта конфигурация позволяет разрешить имена служб ссылок частной конечной точки, таких как privatelink.blob.core.windows.net.

Поток трафика для локального DNS-запроса

На следующей схеме показан поток трафика, который приводит к тому, что локальный сервер выдает DNS-запрос.

Образ состоит из двух основных разделов, которые соединены с помощью Azure ExpressRoute. Раздел Локальная среда содержит локальный сервер, настольные компьютеры Windows, приложение 1, приложение 2, приложение 3, DNS-запрос и серверы. Раздел Azure включает шлюз типа "сеть — сеть" или Azure ExpressRoute, входящие и исходящие конечные точки, Azure DNS, Azure Private DNS, Azure DNS Private Resolver и два подготовленных Azure раздела DNS, каждый из которых содержит периферийную и виртуальную машины.

1. Локальный сервер запрашивает частную запись службы DNS Azure, например blob.core.windows.net. Запрос отправляется на локальный DNS-сервер по адресу IP 192.168.0.1 или 192.168.0.2. Все локальные компьютеры указывают на локальный DNS-сервер.

2. Условный переадресатор на локальном DNS-сервере для blob.core.windows.net переадресации запроса на DNS-преобразователь по IP-адресу 10.0.0.8.

3. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

4. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика сопоставителя DNS.

Поток трафика для DNS-запроса виртуальной машины

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute подключает раздел "Локальная среда" к шлюзу типа "сеть к сайту" или шлюзу Azure ExpressRoute в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки внутри раздела шлюза, Azure DNS, Azure Private DNS, Azure DNS Private Resolver, Azure Provisioned DNS, которые содержат звезду и виртуальную машину. Эти разделы подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Пунктирная линия соединяет этот участок с исходящей конечной точкой.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены для использования разрешения имен, которое предоставляет Azure. В результате Azure DNS используется для разрешения DNS-запроса.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через частный сопоставитель DNS

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через конечную точку входящего трафика приватного сопоставителя DNS. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute подключает раздел "Локальная среда" к шлюзу типа "сеть к сайту" или шлюзу Azure ExpressRoute в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки, разделы Azure DNS, Azure Private DNS, Azure DNS Private Resolver и DNS-сервер, которые содержат периферийную и виртуальную машину. Зеленая стрелка указывает на поток между разделами DNS-сервера, входящей конечной точкой, Azure DNS и частной службой DNS Azure. Разделы DNS-сервера также подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Пунктирная линия соединяет этот участок с исходящей конечной точкой.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены на использование 10.0.0.8 в качестве DNS-сервера с разрешением имен. В результате для разрешения DNS-запроса используется частный сопоставитель DNS.

2. Если запрос пытается разрешить частное имя, обратитесь к частной службе DNS Azure.

3. Если запрос не соответствует частной зоне DNS, связанной с виртуальной сетью, Azure DNS подключается к частному сопоставительу DNS. Виртуальная сеть "Периферийный 1" имеет ссылку на виртуальную сеть. Частный сопоставитель DNS проверяет набор правил пересылки DNS, связанный с виртуальной сетью "Периферийный 1".

4. Если совпадение найдено в наборе правил пересылки DNS, запрос DNS перенаправляется через исходящую конечную точку в IP-адрес, указанный в наборе правил.

5. Если частная служба DNS Azure (2) и частный сопоставитель DNS (3) не могут найти соответствующую запись, Azure DNS (5) используется для разрешения запроса.

Каждое правило пересылки DNS указывает один или несколько целевых DNS-серверов, используемых для условного переадресации. Указанные сведения включают доменное имя, целевой IP-адрес и порт.

Поток трафика для DNS-запроса виртуальной машины через локальный DNS-сервер

На следующей схеме показан поток трафика, который приводит к тому, что виртуальная машина 1 выдает DNS-запрос через локальный DNS-сервер. В этом сценарии периферийная виртуальная сеть с 1-й звездой пытается разрешить запрос.

Изображение включает в себя два основных раздела. Раздел "Локальная среда" содержит локальный сервер, рабочие столы Windows, приложение 1, приложение 2, приложение 3, а также серверы и их IP-адреса. Azure ExpressRoute соединяет раздел Локальная среда с разделом типа "сеть — сайт" или разделом шлюза Azure ExpressRoute, расположенным в разделе Azure. Раздел Azure содержит входящие и исходящие конечные точки, разделы Azure DNS, Azure Private DNS, Azure DNS Private Resolver и DNS-сервер, которые содержат периферийную и виртуальную машину. Разделы DNS-сервера также подключаются через канал виртуальной сети переадресации DNS к набору правил переадресации DNS. Фиолетовая стрелка показывает ход операций.

1. Виртуальная машина 1 запрашивает запись DNS. Периферийные виртуальные сети настроены на использование 192.168.0.1/2 в качестве DNS-сервера с разрешением имен. В результате локальный DNS-сервер используется для разрешения DNS-запроса. Запрос отправляется на локальный DNS-сервер по адресу IP 192.168.0.1 или 192.168.0.2.

2. Условный переадресатор на локальном DNS-сервере для blob.core.windows.net переадресации запроса на DNS-преобразователь по IP-адресу 10.0.0.8.

3. Сопоставитель DNS запрашивает Azure DNS и получает сведения о канале виртуальной сети частной службы DNS Azure.

4. Частная служба DNS Azure разрешает запросы DNS, которые отправляются через общедоступную службу DNS Azure в конечную точку входящего трафика для частного сопоставителя DNS.

Компоненты

• VPN-шлюз — это шлюз виртуальной сети, который позволяет отправлять зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. В этой архитектуре VPN-шлюз является необязательным компонентом для ExpressRoute, который обеспечивает гибридное подключение между Azure и локальными средами для трафика условного пересылки DNS.

• ExpressRoute — это сетевая служба, которая расширяет локальные сети в облако Майкрософт. Он устанавливает частные подключения к облачным компонентам, таким как службы Azure и Microsoft 365, через поставщика услуг подключения. В этой архитектуре ExpressRoute используется для гибридного подключения между Azure и локальными средами, в частности для трафика условного пересылочного устройства DNS.

• Виртуальная сеть Azure — это сетевая служба и основной строительный блок для частных сетей в Azure. Это позволяет ресурсам Azure, таким как виртуальные машины, безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. В предыдущей схеме основное назначение виртуальных сетей — размещение частного преобразователя DNS и виртуальных машин Azure. Эти виртуальные сети обеспечивают бесперебойную связь и интеграцию между различными службами Azure и локальными ресурсами.

• Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая применяет политики приложений и сетевых подключений. Он централизованно управляет политиками в нескольких виртуальных сетях и подписках. В предыдущем варианте использования можно реализовать Брандмауэр Azure для повышения безопасности сетевого трафика. Он обеспечивает расширенную защиту от угроз, фильтрацию сетевого трафика и возможности ведения журнала, разрешая только авторизованный трафик и блокируя потенциальные угрозы.

• Частный сопоставитель DNS — это служба, которая мостит локальную СЛУЖБУ DNS с Помощью Azure DNS. В этой архитектуре его основная функция заключается в упрощении запросов DNS между частными зонами Azure DNS и локальной средой. Такое упрощение устраняет необходимость в DNS-серверах на основе виртуальных машин. Такая настройка обеспечивает простое и эффективное разрешение DNS в гибридных средах, что позволяет Azure и локальным ресурсам эффективно обмениваться данными о разрешениях DNS.

• Azure DNS — это служба размещения доменов DNS, которая использует преимущества инфраструктуры Azure для разрешения имен. Он играет решающую роль в этом проекте, управляя трафиком разрешения DNS.

• Частная служба DNS Azure — это управляемая служба DNS, которая разрешает доменные имена в виртуальной сети и подключенных виртуальных сетях. Это устраняет необходимость в пользовательской настройке DNS. С помощью частных зон DNS можно назначать пользовательские доменные имена вместо имен по умолчанию, которые Azure предоставляет во время развертывания.

• DNS-переадресаторы — это DNS-серверы, которые отправляют запросы на внешние серверы, когда они не могут самостоятельно разрешить доменные имена. Этот подход уже давно является стандартным методом разрешения DNS. В этой статье и примерах ее использования частный резолвер DNS заменяет пересылки DNS на основе виртуальных машин, что обеспечивает более эффективный и оптимизированный подход к разрешению DNS.

Подробности сценария

Azure предоставляет различные решения DNS, включая диспетчер трафика Azure. Диспетчер трафика действует как служба балансировки нагрузки на основе DNS. Он предоставляет способ распределения трафика между регионами Azure в общедоступные приложения.

До появления частного сопоставителя DNS вам приходилось использовать пользовательские DNS-серверы для разрешения DNS из локальных систем в Azure и из Azure в локальные системы. Пользовательские решения DNS имеют множество недостатков:

• Управление несколькими пользовательскими DNS-серверами для нескольких виртуальных сетей включает высокие затраты на инфраструктуру и лицензирование.

• Необходимо обрабатывать все аспекты установки, настройки и обслуживания DNS-серверов.

• Накладные задачи, такие как мониторинг и исправление этих серверов, являются сложными и подвержены сбоям.

• Поддержка DevOps для управления записями DNS и правилами пересылки отсутствует.

• Это дорого для реализации масштабируемых решений DNS-сервера.

Частный резолвер DNS устраняет эти препятствия, предоставляя следующие функции и ключевые преимущества:

• Полностью управляемая служба Майкрософт со встроенными функциями обеспечения высокой доступности и избыточности между зонами.

• Масштабируемое решение, оптимизированное для бесшовной интеграции с DevOps.

• Экономия средств по сравнению с традиционной инфраструктурой как услугой на основе пользовательских решений.

• Условное перенаправление для Azure DNS на локальные серверы. Конечная точка исходящего трафика предоставляет эту возможность, которая ранее была недоступна. Рабочие нагрузки в Azure больше не требуют прямых подключений к локальным DNS-серверам. Вместо этого рабочие нагрузки Azure подключаются к исходящему IP-адресу частного сопоставителя DNS.

Потенциальные варианты использования

Это решение упрощает разрешение частных DNS в гибридных сетях. Это применимо к следующим сценариям:

• Стратегии перехода во время долгосрочной миграции в полностью облачные решения

• Решения аварийного восстановления и отказоустойчивости, которые реплицируют данные и службы между локальными и облачными средами

• Решения, размещающие компоненты в Azure для уменьшения задержки между локальными центрами обработки данных и удаленными расположениями

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. вWell-Architected Framework.

Надежность

Надежность помогает гарантировать, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в контрольном списке проверки конструктора для обеспечения надежности.

DNS Private Resolver — это облачный сервис, разработанный для обеспечения высокой доступности и бесшовной интеграции с практиками DevOps, что делает его хорошо подходящим для совместной работы и автоматизированных рабочих процессов. Он предоставляет надежное и улучшенное решение безопасности DNS, сохраняя при этом простоту и не требуя обслуживания для пользователей.

Не развертывайте частный сопоставитель DNS в виртуальной сети, которая включает шлюз виртуальной сети ExpressRoute и использует правила с подстановочными знаками для направления всего разрешения имен на определенный DNS-сервер. Этот тип конфигурации может вызвать проблемы с подключением к управлению. Дополнительные сведения см. в статье Частный преобразователь DNS с правилами с подстановочными знаками на шлюзе ExpressRoute.

Доступность в регионах

Список регионов, в которых доступен частный сопоставитель DNS, см. в разделе "Региональная доступность".

DNS-преобразователь может ссылаться только на виртуальную сеть, расположенную в том же регионе, что и DNS-преобразователь.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и неправильного использования ценных данных и систем. Дополнительные сведения см. в контрольном списке проверки конструктора для безопасности.

В Azure DNS есть расширения безопасности DNS в предварительной версии.

Оптимизация затрат

Оптимизация затрат фокусируется на способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке проверки конструктора для оптимизации затрат.

• В качестве решения частный сопоставитель DNS является в значительной степени экономичным. Одним из основных преимуществ DNS Private Resolver является то, что он полностью управляем. Эта функция избавляет от необходимости использования выделенных серверов.

• Чтобы вычислить стоимость частного сопоставителя DNS, используйте калькулятор цен Azure. Для моделей ценообразования частных сопоставителя DNS см. цены на Azure DNS.

• Цены также включают функции доступности и масштабируемости.

• ExpressRoute поддерживает две модели выставления счетов:

  • Лимитные данные, которые взимается за гигабайт для исходящей передачи данных.

  • Неограниченные данные, которые взимается с фиксированной ежемесячной платы за порт, охватывающий все исходящие и исходящие передачи данных.

  Дополнительные сведения см. в разделе о ценах ExpressRoute.

• Если вы используете VPN-шлюз вместо ExpressRoute, стоимость зависит от продукта и взимается в час. Дополнительные сведения см. в ценах на VPN-шлюз.

Эффективность производительности

Эффективность производительности — это способность рабочей нагрузки эффективно масштабироваться в соответствии с требованиями пользователей. Дополнительные сведения см. в контрольном списке проверки конструктора для повышения эффективности.

Частный сопоставитель DNS — это полностью управляемая служба Майкрософт, которая может обрабатывать миллионы запросов. Используйте адресное пространство подсети между /28 и /24. Для большинства пользователей наиболее подходящим является /26. Дополнительные сведения см. в разделе "Ограничения подсети".

Сеть

Следующие ресурсы содержат сведения о том, как создать частный резолвер DNS:

• Создание частного сопоставителя DNS с помощью портала Azure

• Создание частного сопоставителя DNS с помощью Azure PowerShell

Обратная поддержка DNS

Обычно записи DNS сопоставляют DNS-имя с IP-адресом. Например, www.contoso.com разрешается в 42.3.10.170. Обратный DNS выполняет противоположную функцию. Он сопоставляет IP-адрес с DNS-именем. Например, IP-адрес 42.3.10.170 разрешается в www.contoso.com.

Дополнительные сведения о поддержке обратного DNS в Azure и о том, как работает обратный DNS, см. в статье Обзор обратного DNS и его поддержки в Azure.

Ограничения

Частный сопоставитель DNS имеет следующие ограничения:

• Наборы правил частного сопоставителя DNS могут быть связаны только с виртуальными сетями, которые находятся в том же географическом регионе, что и сопоставитель.

• Виртуальная сеть не может содержать несколько частных сопоставителя DNS.

• Необходимо назначить выделенную подсеть каждой входящей и исходящей конечной точке.

Дополнительные сведения см. в разделе "Ограничения виртуальной сети".

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Автор субъекта:

• Мурти Аннадурай | Старший технический специалист

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Что такое ссылка на виртуальную сеть?
• Что такое Azure DNS?
• Что такое частная служба DNS Azure?
• Что такое частный сопоставитель DNS?
• Часто задаваемые вопросы о Azure DNS
• Обзор обратной службы DNS и поддержки в Azure

Связанные ресурсы

• Доступ к файлам Azure в локальной среде и защита с помощью доменных служб Active Directory
• Проектирование гибридного решения DNS с помощью Azure
• Общей папке облачного облака Azure