Настройка обратного просмотра DNS для размещенных в Azure служб
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Из этой статьи вы узнаете, как настроить обратный просмотр DNS для размещенных в Azure служб.
Службы в Azure используют IP-адреса, присвоенные им службой Azure и являющиеся собственностью Майкрософт. Эти записи в обратной зоне DNS (записи типа PTR) должны создаваться в соответствующих зонах обратного просмотра DNS, принадлежащих корпорации Майкрософт.
Этот сценарий не следует путать с возможностью размещать зоны обратного просмотра DNS для присвоенных диапазонов IP-адресов в службе Azure DNS. В этом случае диапазоны IP-адресов, представленные зоной обратного просмотра, должны быть присвоены организации (как правило, поставщиком услуг Интернета).
Перед прочтением этой статьи вы должны ознакомиться с обратным DNS в Azure DNS.
В Azure DNS вычислительные ресурсы, такие как виртуальные машины, масштабируемые наборы виртуальных машин и кластеры Service Fabric, имеют общедоступные IP-адреса. Обратные подстановки DNS настраиваются с помощью свойства ReverseFqdn общедоступного IP-адреса.
Служба приложений Azure и Шлюз приложений пока не поддерживают обратную зону DNS.
Проверка записей обратной зоны DNS
Чтобы сторонние лица не могли создавать записи обратной зоны DNS для сопоставления своих служб Azure с вашими доменами DNS, предусмотрен специальный механизм. Именно поэтому Azure позволяет создавать обратную запись DNS, если переадресация DNS разрешается в тот же общедоступный IP-адрес или имена, определенные в вашей подписке. См. следующий пример. Это ограничение также применяется к облачным службам.
Проверка выполняется только при установке или изменении обратной записи DNS. Периодическая повторная проверка не выполняется.
Например, предположим, что ресурс общедоступного IP-адреса имеет DNS-имя contosoapp1.northus.cloudapp.azure.com и IP-адрес 23.96.52.53. Обратный полный домен для общедоступного IP-адреса можно указать следующим образом:
- DNS-имя общедоступного IP-адреса:
contosoapp1.northus.cloudapp.azure.com - DNS-имя для другого ресурса PublicIpAddress в той же подписке, например:
contosoapp2.westus.cloudapp.azure.com. - Запоминающееся DNS-имя, например:
app1.contoso.com. При условии, что имя сначала настроено как запись CNAME, указывающая наcontosoapp1.northus.cloudapp.azure.com. Имя также можно указать на другой общедоступный IP-адрес в одной подписке. - Запоминающееся DNS-имя, например:
app1.contoso.com. Пока это имя сначала настраивается как запись A, указывающая на IP-адрес 23.96.52.53. Кроме того, имя может указывать на другой общедоступный IP-адрес в той же подписке.
Те же ограничения применяются к обратной зоне DNS для облачных служб.
Обратный DNS для ресурсов общедоступного IP-адреса
В этом разделе приведены подробные инструкции по настройке обратного DNS для ресурсов общедоступного IP-адреса в модели развертывания Resource Manager. Для выполнения этой задачи можно использовать Azure PowerShell, классический интерфейс командной строки Azure или Azure CLI. Настройка обратного DNS для ресурса общедоступного IP-адреса в настоящее время не поддерживается в портал Azure.
Сейчас Azure поддерживает обратный DNS только для общедоступных ресурсов адресов IPv4.
Важно!
Новые или обновленные записи PTR должны пройти проверку. Если PTR для общедоступного IP-адреса в настоящее время не существует, необходимо указать имя узла с помощью DomainNameLabel (Azure PowerShell), параметра -d (Azure Classic CLI) или параметра --dns-name (Azure CLI), как показано в следующих примерах.
Настройка обратного DNS для общедоступного IP-адреса с существующим именем
Используйте следующие процедуры, если общедоступный IP-адрес уже имеет определенное имя в подписке или через перенаправление поиска DNS. После обновления или добавления PTR в существующий общедоступный IP-адрес просмотрите и убедитесь, что настроен правильный PTR.
Azure PowerShell
Чтобы обновить обратный DNS на общедоступном IP-адресе с помощью существующего PTR:
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings.ReverseFqdn = "contosoapp1.westus.cloudapp.azure.com."
Set-AzPublicIpAddress -PublicIpAddress $pip
Чтобы добавить обратный DNS-адрес в общедоступный IP-адрес, который еще не имеет PTR, необходимо указать domainNameLabel:
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings = New-Object -TypeName "Microsoft.Azure.Commands.Network.Models.PSPublicIpAddressDnsSettings"
$pip.DnsSettings.DomainNameLabel = "contosoapp1"
$pip.DnsSettings.ReverseFqdn = "contosoapp1.westus.cloudapp.azure.com."
Set-AzPublicIpAddress -PublicIpAddress $pip
Классический Azure CLI
Чтобы обновить обратный DNS на общедоступном IP-адресе с помощью существующего PTR:
azure network public-ip set -n PublicIp -g MyResourceGroup -f contosoapp1.westus.cloudapp.azure.com.
Чтобы добавить обратный DNS-адрес в общедоступный IP-адрес, который еще не имеет PTR, необходимо указать DNS-имя (-d):
azure network public-ip set -n PublicIp -g MyResourceGroup -d contosoapp1 -f contosoapp1.westus.cloudapp.azure.com.
Azure CLI
Чтобы обновить обратный DNS на общедоступном IP-адресе с помощью существующего PTR:
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn contosoapp1.westus.cloudapp.azure.com.
Чтобы добавить обратный DNS-адрес в общедоступный IP-адрес, который еще не имеет PTR, необходимо указать DNS-имя (-dns-name):
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn contosoapp1.westus.cloudapp.azure.com --dns-name contosoapp1
Создание общедоступного IP-адреса с обратным DNS
Примечание.
Если общедоступный IP-адрес уже существует в подписке, см . раздел "Настройка обратного DNS" для общедоступного IP-адреса с существующим именем.
Чтобы создать ресурс PublicIpAddress с уже указанным свойством обратной зоны DNS, выполните указанную ниже команду.
Azure PowerShell
New-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup" -Location "WestUS" -AllocationMethod Dynamic -DomainNameLabel "contosoapp2" -ReverseFqdn "contosoapp2.westus.cloudapp.azure.com."
Классический Azure CLI
azure network public-ip create -n PublicIp -g MyResourceGroup -l westus -d contosoapp3 -f contosoapp3.westus.cloudapp.azure.com.
Azure CLI
az network public-ip create --name PublicIp --resource-group MyResourceGroup --location westcentralus --dns-name contosoapp1 --reverse-fqdn contosoapp1.westcentralus.cloudapp.azure.com
Просмотр обратного DNS для существующего общедоступного IP-адреса
Чтобы просмотреть настроенное обратное значение DNS для существующего publicIpAddress:
Azure PowerShell
Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
Классический Azure CLI
azure network public-ip show -n PublicIp -g MyResourceGroup
Azure CLI
az network public-ip show --name PublicIp --resource-group MyResourceGroup
Удаление обратного DNS из существующего общедоступного IP-адреса
Чтобы удалить свойство обратной зоны DNS из существующего ресурса PublicIpAddress, выполните следующую команду:
Azure PowerShell
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings.ReverseFqdn = ""
Set-AzPublicIpAddress -PublicIpAddress $pip
Классический Azure CLI
azure network public-ip set -n PublicIp -g MyResourceGroup –f ""
Azure CLI
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn ""
Настройка обратной зоны DNS для облачных служб
Этот раздел содержит подробные инструкции по настройке обратной зоны DNS для облачных служб в классической модели развертывания с помощью Azure PowerShell. Настройка обратной зоны DNS для облачных служб с помощью портала Azure, классического Azure CLI и Azure CLI не поддерживается.
Добавление обратной зоны DNS в существующие облачные службы
Чтобы добавить обратную зону DNS в существующую облачную службу, выполните следующую команду:
Set-AzureService –ServiceName "contosoapp1" –Description "App1 with Reverse DNS" –ReverseDnsFqdn "contosoapp1.cloudapp.net."
Создание облачной службы с обратной зоной DNS
Чтобы создать облачную службу с уже указанным свойством обратной зоны DNS, выполните следующую команду:
New-AzureService –ServiceName "contosoapp1" –Location "West US" –Description "App1 with Reverse DNS" –ReverseDnsFqdn "contosoapp1.cloudapp.net."
Просмотр обратной зоны DNS в существующих облачных службах
Чтобы просмотреть свойство обратной зоны DNS для существующей облачной службы, выполните следующую команду:
Get-AzureService "contosoapp1"
Удаление обратной зоны DNS из существующих облачных служб
Чтобы удалить свойство обратной зоны DNS из существующей облачной службы, выполните следующую команду:
Set-AzureService –ServiceName "contosoapp1" –Description "App1 with Reverse DNS" –ReverseDnsFqdn ""
Вопросы и ответы
Сколько стоит обратная зона DNS?
Она бесплатна! Никакие дополнительные затраты на записи или запросы обратной зоны DNS не требуются.
Разрешаются ли обратные записи DNS из Интернета?
Да. После того как вы укажете свойство обратной зоны DNS для своей службы Azure, облако Azure возьмет на себя управление зонами DNS и всеми операциями делегирования DNS, необходимыми для того, чтобы запись обратной зоны DNS разрешалась для всех интернет-пользователей.
Создаются ли для моих служб Azure какие-то стандартные записи обратной зоны DNS?
№ Обратная зона DNS — это подключаемая возможность. Если вы не захотите настраивать записи обратной зоны DNS, они не будут создаваться по умолчанию.
Каков формат полного доменного имени (FQDN)?
Полные доменные имена указываются в прямом порядке и должны завершаться точкой (например, app1.contoso.com.).
Что произойдет, если проверка проверка для указанной обратной записи DNS завершается ошибкой?
Если обратная проверка DNS проверка завершается ошибкой, операция настройки обратной записи DNS завершается ошибкой. Исправьте обратное значение DNS по мере необходимости и повторите попытку.
Можно ли настроить обратную зону DNS для службы приложений Azure?
№ Служба приложений Azure не поддерживает обратную зону DNS.
Можно ли настроить несколько записей обратной зоны DNS для моей службы Azure?
№ В Azure поддерживается только одна запись обратной зоны DNS для каждой облачной службы Azure или каждого ресурса PublicIpAddress.
Можно ли настроить обратную зону DNS для IPv6-ресурсов PublicIpAddress?
№ Сейчас Azure поддерживает обратную зону DNS только для облачных служб и IPv4-ресурсов PublicIpAddress.
Можно ли отправлять электронные сообщения во внешние домены из служб вычислений Azure?
Техническая возможность непосредственной отправки по электронной почте из развертывания Azure зависит от типа подписки. Независимо от типа подписки, корпорация Майкрософт рекомендует использовать доверенные службы ретрансляции для отправки исходящей почты. Дополнительные сведения см. в обновлении за ноябрь 2017 г. для усиленной безопасности Azure для отправки электронных сообщений.
Следующие шаги
- Дополнительные сведения см. в статье Википедии об обратном просмотре DNS.
- Узнайте, как разместить зону обратного просмотра для диапазона IP-адресов, присвоенного поставщиком услуг Интернета, в службе Azure DNS.