Конечные точки и наборы правил Частного сопоставителя DNS Azure

  • Статья
  • Чтение занимает 8 мин

В этой статье вы узнаете о компонентах частного сопоставителя DNS Azure. В ней рассматриваются входящие конечные точки, исходящие конечные точки и наборы правил пересылки DNS. Описаны свойства и параметры этих компонентов, а также приведены примеры их использования.

Архитектура Частного сопоставителя DNS Azure представлена на следующем рисунке. В этом примере сети сопоставитель DNS развертывается в центральной виртуальной сети, которая выполняет пиринг с периферийной виртуальной сетью.

Схема архитектуры частного сопоставителя

Рис. 1. Пример звездообразной сети с сопоставителем DNS

  • Ссылки на набор правил подготавливаются в наборе правил переадресации DNS в центральную и периферийную виртуальные сети, что позволяет ресурсам в обеих виртуальных сетей разрешать пользовательские пространства имен DNS с помощью правил переадресации DNS.
  • Частная зона DNS также развертывается и связана с центральной виртуальной сетью, что позволяет ресурсам в центральной виртуальной сети разрешать записи в зоне.
  • Периферийная виртуальная сеть разрешает записи в частной зоне с помощью правила переадресации DNS, которое пересылает запросы частной зоны на входящий виртуальный IP-адрес конечной точки в центральной виртуальной сети.
  • На этом рисунке также представлена локальная сеть, подключенная к каналу ExpressRoute, и DNS-сервера с настроенным перенаправлением запросов к частной зоне Azure на виртуальный IP-адрес входящей конечной точки. Дополнительные сведения о включении гибридного разрешения DNS через частный сопоставитель DNS Azure см. в статье Разрешение доменов Azure и локальных доменов.

Примечание

Пиринговое подключение, показанное на схеме, не требуется для разрешения имен. Виртуальные сети, связанные с набором правил перенаправления DNS, будут использовать набор правил при разрешении имен независимо от того, являются ли связанные виртуальные сети однорангами с виртуальной сетью набора правил.

Входящие конечные точки

Как следует из названия, входящий трафик конечных точек в Azure. Входящие конечные точки предоставляют IP-адрес для пересылки запросов DNS из локальной среды и других расположений за пределами виртуальной сети. Запросы DNS, отправляемые во входящую конечную точку, разрешаются с помощью Azure DNS. Частные зоны DNS, связанные с виртуальной сетью, в которой подготавливается входящая конечная точка, разрешаются входящей конечной точкой.

IP-адрес, связанный с входящей конечной точкой, всегда является частью адресного пространства частной виртуальной сети, в которой развернут частный сопоставитель. В подсети, в которой размещается входящая конечная точка, не могут находиться другие ресурсы. На следующем снимке экрана показана входящая конечная точка с виртуальным IP-адресом (VIP) 10.10.0.4 в подсети snet-E-inbound, подготовленной в виртуальной сети с адресным пространством 10.10.0.0/16.

Просмотр входящих конечных точек

Примечание

IP-адрес, назначенный входящей конечной точке, не является статическим IP-адресом, который можно выбрать. Как правило, назначается пятый IP-адрес в подсети. Однако при повторной подготовке входящей конечной точки этот IP-адрес может измениться. IP-адрес не изменяется, если не будет повторно подготовлена конечная точка для входящего трафика.

Исходящие конечные точки

Исходящие конечные точки отвечают за исходящий трафик из Azure и могут быть связаны с наборами правил пересылки DNS.

Исходящие конечные точки также являются частью адресного пространства частной виртуальной сети, в которой развернут частный сопоставитель. Исходящая конечная точка связана с подсетью, но не подготавливается с IP-адресом, как входящая конечная точка. В подсети, в которой размещается исходящая конечная точка, могут находиться другие ресурсы. На следующем снимке экрана показана исходящая конечная точка в подсети snet-E-outbound.

Просмотр исходящих конечных точек

Наборы правил пересылки DNS

Набор правил пересылки DNS позволяет указать один или несколько пользовательских DNS-серверов, которые будут отвечать на запросы для определенных пространств имен DNS. Отдельные правила в наборе правил определяют, как разрешаются эти имена DNS. Наборы правил также можно связать с одной или несколькими виртуальными сетями, что позволяет ресурсам в виртуальных сетях использовать настроенные правила переадресации.

Наборы правил имеют следующие связи:

  • Один набор правил может быть связан с несколькими исходящими конечными точками.
  • Набор правил может содержать до 1000 правил пересылки DNS.
  • Набор правил можно связать с 500 виртуальными сетями в одном регионе.

Набор правил не может быть связан с виртуальной сетью в другом регионе. Дополнительные сведения о наборе правил и других ограничениях частного сопоставителя см. в статье Какие ограничения использования для Azure DNS?

При связывании набора правил с виртуальной сетью ресурсы в этой виртуальной сети будут использовать правила пересылки DNS, включенные в наборе правил. Связанные виртуальные сети не обязательно должны выполнять пиринг с виртуальной сетью, в которой существует исходящая конечная точка, но эти сети можно настроить в качестве одноранговых. Эта конфигурация распространена в звездообразной архитектуре. В этой звездообразной топологии периферийная виртуальная сеть не должна быть связана с частной зоной DNS для разрешения записей ресурсов в зоне. В этом случае правило набора правил пересылки для частной зоны отправляет запросы во входящую конечную точку центральной виртуальной сети. Например, запросы к azure.contoso.com передаются по IP-адресу 10.10.0.4.

На следующем снимке экрана показан набор правил переадресации DNS, связанный с периферийной виртуальной сетью myeastspoke.

Просмотр связей для набора правил

Каналы виртуальной сети для наборов правил перенаправления DNS позволяют ресурсам в других виртуальных сетях использовать правила пересылки при разрешении DNS-имен. Виртуальная сеть с частным сопоставителем также должна быть связана с любыми частными зонами DNS, для которых существуют правила набора правил.

Например, ресурсы в виртуальной сети myeastspoke могут разрешать записи в частной зоне DNS azure.contoso.com при выполнении следующих условий:

  • Набор правил, подготовленный в myeastvnet , связан с myeastspoke
  • Правило набора правил для разрешения azure.contoso.com с помощью входящей конечной точки в myeastvnet настроено и включено в связанном наборе правил.

Правила

Правила пересылки DNS (правила набора правил) имеют следующие свойства:

Свойство Описание
Имя правила Имя вашего правила. Имя должно начинаться с буквы и может содержать только буквы, цифры, символы подчеркивания и дефисы.
Доменное имя Пространство имен DNS, заканчивающееся точкой, в котором применяется правило. Пространство имен должно содержать либо нулевое число меток (для подстановочных знаков), либо от 2 до 34 меток. Например, contoso.com. содержит две метки.
Конечный IP-адрес и порт Место назначения пересылки. Один или несколько IP-адресов и портов DNS-серверов, которые используются для разрешения запросов DNS в указанном пространстве имен.
Состояние правила Состояние правила — включено или отключено. Если правило отключено, оно игнорируется.

При сопоставлении нескольких правил используется соответствующий вариант с самым длинным префиксом.

Например, предположим, что у вас есть следующие правила:

Имя правила Доменное имя Конечный IP-адрес и порт Состояние правила
Contoso contoso.com. 10.100.0.2:53 Активировано
AzurePrivate azure.contoso.com. 10.10.0.4:53 Активировано
Подстановочный знак . 10.100.0.2:53 Активировано

Запрос соответствует secure.store.azure.contoso.com правилу AzurePrivate для azure.contoso.com , а также правилу Contoso для contoso.com, но правило AzurePrivate имеет приоритет, так как префикс azure.contoso длиннее contoso.

Важно!

Если правило присутствует в наборе правил, который имеет в качестве назначения входящую конечную точку частного сопоставителя, не следует связывать набор правил с виртуальной сетью, в которой подготовлена входящая конечная точка. Эта конфигурация может вызвать циклы разрешения DNS. Например, в предыдущем сценарии не нужно добавлять ссылку myeastvnet на набор правил, так как входящая конечная точка в в 10.10.0.4 подготавливается и myeastvnet имеется правило, разрешающееся azure.contoso.com с помощью входящей конечной точки.

Обработка правил

  • Если в качестве назначения правила введены несколько DNS-серверов, используется первый введенный IP-адрес, если он не отвечает. Алгоритм экспоненциальной задержки используется для определения того, отвечает ли IP-адрес назначения. Адреса назначения, помеченные как не отвечающие, не используются в течение 30 минут.
  • Некоторые домены игнорируются при использовании правила с подстановочными знаками для разрешения DNS, так как они зарезервированы для служб Azure. Список зарезервированных доменов см. в разделе Настройка зоны DNS служб Azure . Dns-имена с двумя метками, перечисленные в этой статье (например, windows.net, azure.com, azure.net, windowsazure.us) зарезервированы для служб Azure.

Важно!

  • Вы не можете ввести IP-адрес Azure DNS 168.63.129.16 в качестве IP-адреса назначения для правила. При попытке добавить этот IP-адрес будет выведена ошибка: Исключение при выполнении запроса на добавление правила.
  • Не используйте IP-адрес входящей конечной точки частного сопоставителя в качестве назначения переадресации для зон, которые не связаны с виртуальной сетью, в которой подготовлен частный сопоставитель.

Параметры оформления

Развертывание наборов правил переадресации и входящих конечных точек в звездообразной архитектуре в идеале зависит от структуры сети. В следующих разделах кратко рассматриваются два варианта конфигурации. Более подробное обсуждение с примерами конфигурации см. в разделе Архитектура частного сопоставителя.

Связывание набора правил переадресации с виртуальной сетью включает возможности переадресации DNS в этой виртуальной сети. Например, если набор правил содержит правило для переадресации запросов во входящую конечную точку частного сопоставителя, этот тип правила можно использовать для разрешения частных зон, связанных с виртуальной сетью входящей конечной точки. Эту конфигурацию можно использовать, когда виртуальная сеть концентратора связана с частной зоной, и вы хотите включить разрешение частной зоны в периферийных виртуальных сетей, которые не связаны с частной зоной. В этом сценарии разрешение DNS частной зоны выполняется входящей конечной точкой в центральной виртуальной сети.

Сценарий проектирования канала набора правил лучше всего подходит для распределенной архитектуры DNS , где сетевой трафик распределяется по сети Azure и может быть уникальным в некоторых расположениях. С помощью этой структуры можно управлять разрешением DNS во всех виртуальных сетей, связанных с набором правил, путем изменения одного набора правил.

Примечание

Если вы используете параметр ссылки на набор правил и существует правило переадресации с входящей конечной точкой в качестве назначения, не свяжите набор правил переадресации с виртуальной сетью концентратора. Связывание этого типа набора правил с той же виртуальной сетью, в которой подготовлена входящая конечная точка, может привести к циклу разрешения DNS.

Входящие конечные точки в качестве настраиваемого DNS

Входящие конечные точки могут обрабатывать входящие запросы DNS и могут быть настроены как настраиваемые DNS для виртуальной сети. Эта конфигурация может заменить экземпляры, в которых вы используете собственный DNS-сервер в качестве пользовательского DNS в виртуальной сети.

Сценарий пользовательского проектирования DNS лучше всего подходит для централизованной архитектуры DNS , где разрешение DNS и поток сетевого трафика в основном передаются в центральную виртуальную сеть и управляются из центрального расположения.

Чтобы разрешить частную зону DNS из периферийной виртуальной сети с помощью этого метода, виртуальная сеть, в которой существует входящая конечная точка, должна быть связана с частной зоной. Виртуальную сеть концентратора можно (при необходимости) связать с набором правил переадресации. Если набор правил связан с концентратором, весь трафик DNS, отправляемый во входящую конечную точку, обрабатывается набором правил.

Дальнейшие действия