Что такое Частный сопоставитель DNS Azure?
Частный сопоставитель DNS Azure — это новая служба, которая позволяет запрашивать частные зоны DNS Azure из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин.
Как это работает?
Для Частного сопоставителя DNS Azure требуется виртуальная сеть Azure. При создании Частного сопоставителя DNS Azure в виртуальной сети задается одна или несколько входящих конечных точек, которые можно использовать в качестве назначения для запросов DNS. Исходящая конечная точка сопоставителя обрабатывает запросы DNS на основе настроенного вами набора правил пересылки DNS. Запросы DNS, инициируемые в сетях, которые связанных с набором правил, можно отправлять на другие DNS-серверы.
Вам не нужно изменять параметры клиента DNS на виртуальных машинах, чтобы использовать Частный сопоставитель DNS Azure.
Ниже приведена сводная информация о процессе выполнения запроса DNS при использовании Частного сопоставителя DNS Azure:
- Клиент в виртуальной сети выдает запрос DNS.
- Если DNS-серверы для этой виртуальной сети указаны как настраиваемые, запрос перенаправляются на указанные IP-адреса.
- Если DNS-серверы по умолчанию (предоставляемые Azure) настроены в виртуальной сети и имеются Частные зоны DNS, связанные с одной виртуальной сетью, производится обращение к этим зонам.
- Если запрос не соответствует Частной зоне DNS, связанной с виртуальной сетью, производится обращение по связям виртуальных сетей для наборов правил пересылки DNS.
- Если связи набора правил отсутствуют, для разрешения запроса используется DNS Azure.
- Если ссылки набора правил присутствуют, оцениваются правила пересылки DNS.
- Если совпадение по суффиксу найдено, запрос перенаправляется на указанный адрес.
- Если присутствует несколько совпадений, используется самый длинный суффикс.
- Если совпадение не найдено, переадресация DNS не выполняется, а для разрешения запроса используется DNS Azure.
Архитектура Частного сопоставителя DNS Azure представлена на следующем рисунке. Для разрешения DNS между виртуальными сетями Azure и локальными сетями требуется Azure ExpressRoute или VPN.
Рис. 1. Архитектура Частного сопоставителя DNS Azure
Дополнительные сведения о создании Частного сопоставителя DNS см. в следующих материалах:
- Краткое руководство. Создание Частного сопоставителя DNS Azure с помощью портала Azure
- Краткое руководство. Создание частного сопоставителя DNS Azure с помощью Azure PowerShell
Преимущества Частного сопоставителя DNS Azure
Частный сопоставитель DNS Azure обеспечивает следующие преимущества:
- Полностью управляемое решение: встроенная высокая доступность, избыточность между зонами.
- Сокращение затрат: сокращение эксплуатационных расходов и сниженные затраты по сравнению с традиционными решениями IaaS.
- Частный доступ к Частным зонам DNS: условная пересылка в локальную среду и из нее.
- Масштабируемость: высокая производительность на конечную точку.
- Ориентация на DevOps: создание конвейеров с помощью Terraform, ARM или Bicep.
Доступность в регионах
См. сведения о продуктах Azure по регионам — Azure DNS.
Место расположения данных
Частный сопоставитель Azure DNS не перемещает или не хранит данные клиента из региона, в котором развертывается сопоставитель.
Конечные точки и наборы правил сопоставителя DNS
Сводка конечных точек и наборов правил сопоставителя представлена в этой статье. Подробные сведения о конечных точках и наборах правил см. в разделе конечных точек и наборов правил Azure DNS Private Resolver.
Входящие конечные точки
Входящая конечная точка обеспечивает разрешение имен из локальной среды или других частных расположений через IP-адрес, который принадлежит к диапазону адресов частной виртуальной сети. Чтобы разрешить частную зону DNS Azure из локальной среды, укажите IP-адрес входящей конечной точки в параметрах локального DNS-сервера условной пересылки. Локальный DNS-сервер условной пересылки должен иметь сетевое подключение к виртуальной сети.
Для входящей конечной точки требуется подсеть в виртуальной сети, в которой она подготавливается. Подсеть может быть делегирована только Microsoft.Network/dnsResolvers и не может использоваться для других служб. DNS-запросы, полученные входящего трафика конечной точки в Azure. Имена можно разрешить в сценариях, где есть Частные зоны DNS, включая виртуальные машины, использующие автоматическую регистрацию или службы с поддержкой Приватного канала.
Примечание.
IP-адрес, назначенный входящей конечной точке, можно указать как статический или динамический. Дополнительные сведения см. в разделе статических и динамических IP-адресов конечных точек.
Исходящие конечные точки
Исходящая конечная точка обеспечивает разрешение имен при условной переадресации из Azure в локальную среду, другие поставщики облачных служб или внешние DNS-серверы. Для этой конечной точки требуется выделенная подсеть в виртуальной сети, где она подготовлена. В этой подсети не должна выполняться никакая другая служба, а делегировать ее можно только Microsoft.Network/dnsResolvers. Запросы DNS, отправленные на исходящую конечную точку, будут относиться к исходящему трафику Azure.
Связи виртуальных сетей
Ссылки на виртуальные сети позволяют разрешать имена для виртуальных сетей, которые связаны с исходящей конечной точкой с помощью набора правил переадресации DNS. Это отношение 1:1.
Наборы правил пересылки DNS
Набор правил пересылки DNS — это группа правил пересылки DNS (до 1000), которые могут применяться к одной или нескольким исходящим конечным точкам или связаны с одной или несколькими виртуальными сетями. Это отношение 1:N. Наборы правил связаны с определенной исходящей конечной точкой. Дополнительные сведения см. в разделе Наборы правил пересылки DNS.
Правила пересылки DNS
Правило пересылки DNS включает один или несколько целевых DNS-серверов, используемых для условной пересылки, и представлен следующим образом:
- Имя домена.
- Целевой IP-адрес.
- Целевой порт и протокол (UDP или TCP).
Ограничения
Следующие ограничения в настоящее время применяются к частному сопоставителям Azure DNS:
Частный сопоставительDNS 1
| Ресурс | Ограничение |
|---|---|
| Частные сопоставители DNS для каждой подписки | 15 |
| Входящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Исходящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Правила пересылки для каждого набора правил пересылки DNS | 1000 |
| Ссылки виртуальной сети для каждого набора правил пересылки DNS | 500 |
| Исходящие конечные точки для каждого набора правил пересылки DNS | 2 |
| Наборы правил пересылки DNS на исходящую конечную точку | 2 |
| Целевые DNS-серверы на правило пересылки | 6 |
| QPS на конечную точку | 10,000 |
1Разные ограничения могут применяться портал Azure до обновления портала. Используйте PowerShell для подготовки элементов до самых текущих ограничений.
Ограничения для виртуальных сетей
В отношении виртуальных сетей действуют следующие ограничения:
- Виртуальные сети с включенным шифрованием не поддерживают частный сопоставитель Azure DNS.
- Сопоставитель DNS может ссылаться только на виртуальную сеть, находящуюся в том же регионе, что и он сам.
- Виртуальная сеть не может совместно использоваться несколькими сопоставителями DNS. На одну виртуальную сеть может ссылаться только один сопоставитель DNS.
Ограничения для подсетей
Подсети, используемые для сопоставителя DNS, имеют следующие ограничения:
- Подсеть должна иметь диапазон адресов не ниже /28 и не выше /24. Подсеть /28 достаточно для удовлетворения текущих ограничений конечной точки. Размер подсети /27 до /24 может обеспечить гибкость при изменении этих ограничений.
- Подсеть не может совместно использоваться несколькими конечными точками сопоставителя DNS. Одна подсеть может использоваться только одной конечной точкой сопоставителя DNS.
- Все IP-конфигурации для входящей конечной точки сопоставителя DNS должны ссылаться на одну подсеть. Использование нескольких подсетей в IP-конфигурации для одной входящей конечной точки сопоставителя DNS не допускается.
- Подсеть, используемая для входящей конечной точки сопоставителя DNS, должна находиться в виртуальной сети, на которую ссылается родительский сопоставитель DNS.
- Подсеть может быть делегирована только Microsoft.Network/dnsResolvers и не может использоваться для других служб.
Ограничения для исходящих конечных точек
Исходящие конечные точки имеют следующие ограничения:
- Исходящую конечную точку нельзя удалить, если только не будут удалены набор правил пересылки DNS и связи виртуальной сети в ней.
Ограничения набора правил
- Наборы правил могут содержать до 1000 правил.
- Связывание наборов правил между клиентами не поддерживается.
Прочие ограничения
- Подсети с поддержкой IPv6 не поддерживаются.
- Частный сопоставитель DNS не поддерживает Azure ExpressRoute FastPath.
- Частный сопоставитель DNS несовместим с Azure Lighthouse.
- Чтобы узнать, используется ли Azure Lighthouse, найдите поставщиков служб в портал Azure и выберите предложения поставщика услуг.
Следующие шаги
- Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
- Узнайте, как разрешить домены Azure и локальные домены с помощью Частного сопоставителя DNS Azure.
- Ознакомьтесь со сведениями в разделе Конечные точки и наборы правил Частного сопоставителя Azure DNS.
- Узнайте, как настроить отработку отказа DNS с помощью частных сопоставителей.
- Узнайте, как настроить гибридный DNS с помощью частных сопоставителей.
- Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
- Модуль Learn "Общие сведения об Azure DNS"