Настройка сервера пересылки DNS на портале Azure

  • Статья

Внимание

Для частных облаков Решения Azure VMware, созданных 1 июля 2021 года или позже, теперь можно настроить разрешение частной зоны DNS. Если разрешение частной зоны DNS требуется для частных облаков, созданных до 1 июля 2021 г, отправьте запрос в службу поддержки и попросите предоставить конфигурацию Частной зоны DNS.

По умолчанию Решение Azure VMware компоненты управления, такие как vCenter Server, могут разрешать только записи имен, доступные через общедоступный DNS. Однако для некоторых вариантов гибридного использования требуется Решение Azure VMware компоненты управления для разрешения записей имен из частно размещенного DNS для правильной работы, включая управляемые клиентом системы, такие как vCenter Server и Active Directory.

Частная зона DNS для компонентов управления Решение Azure VMware позволяет определять правила условной пересылки для требуемого доменного имени в выбранный набор частных DNS-серверов через службу DNS центра обработки данных NSX-T.

Эта возможность использует службу пересылки DNS в Центре обработки данных NSX-T. Служба DNS и зона DNS по умолчанию предоставляются в составе частного облака. Чтобы разрешить Решение Azure VMware компоненты управления для разрешения записей из частных систем DNS, необходимо определить зону полного доменного имени и применить ее к службе DNS центра обработки данных NSX-T. Служба DNS условно пересылает запросы DNS для каждой зоны на основе внешних DNS-серверов, определенных в этой зоне.

Примечание.

Служба DNS связана максимум с пятью зонами полных доменных имен. Каждая зона полного доменного имени связана с тремя DNS-серверами.

Совет

При необходимости можно также использовать правила условной пересылки для сегментов рабочей нагрузки, настроив виртуальные машины на этих сегментах, чтобы использовать IP-адрес службы DNS центра обработки данных NSX-T в качестве DNS-сервера.

Архитектура

На схеме показано, что служба DNS центра обработки данных NSX-T может пересылать DNS-запросы в системы DNS, размещенные в Azure и локальных средах.

Diagram showing that the NSX-T DNS Service can forward DNS queries to DNS systems hosted in Azure and on-premises environments.

Настройка DNS-сервера переадресации

  1. В частном облаке Решения Azure VMware в разделе Workload Networking (Сетевые подключения рабочей нагрузки) выберите DNS>Зоны DNS. Нажмите кнопку Добавить.

    Примечание.

    Для частных облаков, созданных 1 июля 2021 года или позднее, при создании частного облака создается зона DNS по умолчанию.

    Screenshot showing how to add DNS zones to an Azure VMware Solution private cloud.

  2. Выберите FQDN zone (Зона полного доменного имени), укажите имя и до трех IP-адресов DNS-серверов в формате 10.0.0.53. Затем выберите OK.

    Screenshot showing the required information needed to add an FQDN zone.

    Внимание

    Хотя центр обработки данных NSX-T позволяет пространствам и другим не буквенно-цифровым символам в имени зоны DNS, некоторые ресурсы Центра обработки данных NSX-T, такие как зона DNS, сопоставляются с ресурсом Azure, имена которых не разрешают определенные символы.

    В результате имена зон DNS, которые в противном случае будут допустимыми в Центре обработки данных NSX-T, может потребоваться корректировка для соблюдения соглашений об именовании ресурсов Azure.

    Выполнение может занять несколько минут. Вы можете отслеживать ход выполнения из уведомлений. При создании зоны DNS отображается сообщение в уведомлениях.

  3. Сообщение о зоне DNS по умолчанию можно игнорировать, так как она создается в составе частного облака.

  4. Перейдите на вкладку Служба DNS и нажмите Изменить.

    Совет

    Для частных облаков, созданных 1 июля 2021 года или позднее, сообщение о зоне DNS по умолчанию можно проигнорировать, так как она создается во время создания частного облака.

    Внимание

    Хотя некоторые операции в частном облаке можно выполнять из NSX-T Manager, в случае частных облаков, созданных 1 июля 2021 года или позднее, для изменения службы DNS необходимо использовать упрощенный интерфейс настройки сети на портале Azure, чтобы учесть все изменения конфигурации, внесенные для шлюза уровня 1 по умолчанию.

    Screenshot showing the DNS service tab with the Edit button selected.

  5. В раскрывающемся списке FQDN zones (Зоны полного доменного имени) выберите только что созданное полное доменное имя и нажмите кнопку ОК.

    Screenshot showing the selected FQDN for the DNS service.

    Это займет несколько минут и после завершения отображается сообщение "Завершено " из уведомлений. На этом этапе компоненты управления в частном облаке должны иметь возможность разрешать записи DNS из зоны FQDN, предоставленной службе DNS центра обработки данных NSX-T.

  6. Повторите описанные выше действия для других зон полного доменного имени, включая все применимые зоны обратного просмотра.

Изменение зоны пересылки DNS по умолчанию T1

  1. В частном облаке Решение Azure VMware в разделе "Сеть рабочей нагрузки" выберите зоны> DNS DNS>check TNT##-DNS-FORWARDER-ZONE. Затем выберите Edit (Изменить).

AVS-DNS

  1. Измените записи DNS-сервера на допустимые доступные IP-адреса. Нажмите кнопку ОК

Edit_DNS_Zone

Внимание

Конечная точка DNS, недоступная dns-сервером NSX-T, приведет к предупреждению NSX-T о том, что конечная точка недоступна. В случаях конфигурации по умолчанию, предоставленной Решение Azure VMware, это связано с интернетом, отключенным по умолчанию. Тревогу можно признать и игнорировать, или конфигурацию по умолчанию можно изменить на допустимую конечную точку.

Проверка операций разрешения имен

После настройки dns-пересылки есть некоторые параметры, доступные для проверки операций разрешения имен.

Диспетчер NSX-T VMware

NSX-T Manager предоставляет статистику службы пересылки DNS на глобальном уровне обслуживания и на основе каждой зоны.

  1. В NSX-T Manager выберите Сеть>DNS, а затем разверните службу сервера пересылки DNS.

    Screenshot showing the DNS Services tab in NSX-T Manager.

  2. Выберите Просмотреть статистику, а затем из раскрывающегося списка Zone Statistics (Статистика зоны) выберите зону полного доменного имени.

    В верхней половине показана статистика для всей службы, а в нижней — для указанной зоны. В этом примере можно увидеть запросы, перенаправленные к службам DNS, указанным во время настройки зоны полного доменного имени.

    Screenshot showing the DNS Forwarder statistics.

PowerCLI

API политики NSX-T позволяет выполнять команды nslookup из службы DNS-пересылки центра обработки данных NSX-T. Требуемые командлеты включены в состав модуля VMware.VimAutomation.Nsxt в PowerCLI. В следующем примере демонстрируется выходные данные версии 12.3.0 этого модуля.

  1. Подключение в кластер диспетчера NSX-T.

    Совет

    Ip-адрес кластера NSX-T Manager можно получить из портал Azure в разделе "Управление удостоверением>".

    Connect-NsxtServer -Server 10.103.64.3

  2. Получите прокси-сервер для службы nslookup сервера пересылки DNS.

    $nslookup = Get-NsxtPolicyService -Name com.vmware.nsx_policy.infra.tier_1s.dns_forwarder.nslookup

  3. Выполните поиск в службе сервера пересылки DNS.

    $response = $nslookup.get('TNT86-T1', 'vc01.contoso.corp')

Первый параметр в команде — это идентификатор шлюза T1 частного облака, который можно получить на вкладке "Служба DNS" на портале Azure.

  1. Получите необработанный ответ на поисковый запрос, используя следующие свойства ответа.

    $response.dns_answer_per_enforcement_point.raw_answer; (()) DiG 9.10.3-P4-Ubuntu (()) @10.103.64.192 -b 10.103.64.192 vc01.contoso.corp +timeout=5 +tries=3 +nosearch ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -))HEADER((- opcode: QUERY, status: NOERROR, id: 10684 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1  ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;vc01.contoso.corp.  IN A  ;; ANSWER SECTION: vc01.contoso.corp. 3046 IN A 172.21.90.2  ;; Query time: 0 msec ;; SERVER: 10.103.64.192:53(10.103.64.192) ;; WHEN: Thu Jul 01 23:44:36 UTC 2021 ;; MSG SIZE  rcvd: 62

    В этом примере приведен ответ на запрос vc01.contoso.corp, в котором отображается запись A с адресом 172.21.90.2. Кроме того, в этом примере показан кэшированный ответ службы пересылки DNS, поэтому выходные данные могут немного отличаться.