Разрешение доменов Azure и локальных доменов

  • Статья

Гибридное разрешение DNS

В этой статье содержатся рекомендации по настройке разрешения гибридного DNS с помощью Частного сопоставителя DNS Azure с набором правил пересылки DNS. В этом сценарии ресурсы Azure DNS подключены к локальной сети с помощью VPN-подключения или ExpressRoute.

Разрешение гибридного DNS здесь определяется как разрешение локальных доменов с помощью ресурсов Azure и разрешение частных зон DNS Azure с помощью локальной службы DNS.

Частный сопоставитель DNS Azure

Частный сопоставитель DNS Azure — это служба, которая может разрешать локальные запросы DNS для частных зон DNS Azure. Ранее для выполнения этой функции было необходимо развернуть пользовательский сопоставитель DNS на основе виртуальной машины или использовать решения, отличные от Microsoft DNS, DHCP и IPAM (DDI).

Преимущества использования службы "Частный сопоставитель DNS Azure" по сравнению с сопоставителями на основе виртуальных машин и решениями DDI включают следующие:

  • Нулевое обслуживание. В отличие от виртуальных машин или аппаратных решений для частного сопоставителя не требуется выполнять обновления программного обеспечения, проверки уязвимостей или применять исправления для системы безопасности. Служба частного сопоставителя является полностью управляемой.
  • Сокращение затрат. Частный сопоставитель Azure DNS — это мультитенантная служба и может стоить часть расходов, необходимых для использования и лицензии нескольких сопоставителей DNS на основе виртуальных машин.
  • Высокий уровень доступности. Служба "Частный сопоставитель DNS Azure" имеет встроенные функции с высоким уровнем доступности. Эта служба учитывает зону доступности, обеспечивая высокий уровень доступности и избыточность решения DNS с гораздо меньшими затратами. Дополнительные сведения о настройке отработки отказа DNS с помощью службы частного сопоставителя см. в разделе Руководство. Настройка отработки отказа DNS с помощью частных сопоставителей.
  • Простая интеграция с DevOps. Традиционные решения DNS трудно интегрировать с рабочими процессами DevOps, так как для каждого изменения DNS часто требуется настройка вручную. Частный сопоставитель DNS Azure предоставляет полностью функциональный интерфейс ARM, который можно легко интегрировать с рабочими процессами DevOps.

Набор правил пересылки DNS

Набор правил пересылки DNS — это группа правил, которые указывают один или несколько пользовательских DNS-серверов, которые будут отвечать на запросы для определенных пространств имен DNS. Дополнительные сведения см. в разделе Конечные точки и наборы правил Частного сопоставителя DNS Azure.

Процедуры

Для включения и тестирования гибридного DNS используются следующие процедуры, описанные в этой статье:

Создание частной зоны DNS Azure

Создайте частную зону для тестирования, включающую хотя бы одну запись ресурса. Для создания частной зоны доступны следующие краткие руководства:

В этой статье используются частная зона azure.contoso.com и запись ресурса test. Для текущей демонстрации автоматическая регистрация не требуется.

Внимание

Рекурсивный сервер используется для пересылки запросов из локальной среды в Azure в этом примере. Если сервер является доверенным для родительской зоны (contoso.com), переадресация невозможна, если только вы не создадите делегирование для azure.contoso.com.

Просмотр записей ресурсов

Требование. Необходимо создать ссылку виртуальной сети в зоне в виртуальную сеть, в которой развертывается частный сопоставитель Azure DNS. В следующем примере частная зона связана с двумя виртуальными сетями: myeastvnet и mywestvnet. Необходимо создать по крайней мере одну связь.

Просмотр связей зоны

Создание Частного сопоставителя DNS Azure

Для создания частного сопоставителя доступны следующие краткие руководства. В этих кратких руководствах описывается создание группы ресурсов, виртуальной сети и Частного сопоставителя DNS Azure. Ниже приведены шаги по настройке входящего конечной точки, исходящей конечной точки и набора правил пересылки DNS:

По завершении запишите IP-адрес входящей конечной точки для частного сопоставителя Azure DNS. В этом примере IP-адрес — 10.10.0.4. Этот IP-адрес используется позже для настройки локальных условных пересылки DNS.

Просмотр IP-адреса конечной точки

Настройка набора правил пересылки DNS Azure

Создайте набор правил пересылки в том же регионе, в котором находится частный сопоставитель. В следующем примере показаны два набора правил. Набор правил региона Восточная часть США используется для демонстрации гибридного DNS.

Просмотр региона для набора правил

Требование. Необходимо связать виртуальную сеть с виртуальной сетью, в которой развернут частный сопоставитель. В следующем примере присутствуют две связи между виртуальными сетями. Связь myeastvnet-link создается в центральной виртуальной сети, в которой подготавливается частный сопоставитель. Также существует связь виртуальной сети myeastspoke-link, которая обеспечивает гибридное разрешение DNS в периферийной виртуальной сети, не имеющей собственного частного сопоставителя. Периферийная сеть может использовать частный сопоставитель, так как он является одноранговым узлом по отношению к периферийной виртуальной сети. Связь с периферийной виртуальной сетью для текущей демонстрации не требуется.

Просмотр связей для набора правил

Затем создайте правило в наборе правил для локального домена. В этом примере мы используем домен contoso.com. Задайте IP-адрес назначения правила в качестве IP-адреса локального DNS-сервера. В этом примере локальный DNS-сервер находится по адресу 10.100.0.2. Проверьте, что правило Включено.

Просмотр правил

Примечание.

Не изменяйте параметры DNS для виртуальной сети, чтобы использовать IP-адрес входящей конечной точки. Оставьте параметры DNS по умолчанию без изменений.

Настройка локальных DNS-серверов условной пересылки

Процедура настройки локальной службы DNS зависит от типа используемого DNS-сервера. В следующем примере DNS-сервер Windows по адресу 10.100.0.2 настраивается в качестве сервера условной пересылки для частной зоны DNS azure.contoso.com. Сервер условной пересылки перенаправляет запросы на IP-адрес 10.10.0.4, который является IP-адресом входящей конечной точки для Частного сопоставителя DNS Azure. Здесь также настроен другой IP-адрес для обеспечения отработки отказа DNS. Дополнительные сведения о включении отработки отказа см. в разделе Руководство. Настройка отработки отказа DNS с помощью частных сопоставителей. Для этой демонстрации требуется только входящая конечная точка 10.10.0.4.

Просмотр локальной пересылки

Демонстрация гибридного DNS

Используя виртуальную машину, расположенную в виртуальной сети, в которой подготовлен Частный сопоставитель DNS Azure, выполните запрос DNS для записи ресурса в локальном домене. В этом примере выполняется запрос для записи testdns.contoso.com:

Проверка выполнения запроса из Azure в локальную среду

Путь для запроса имеет следующий вид: Azure DNS > входящая конечная точка > исходящая конечная точка > правило набора правил для contoso.com > локальный DNS (10.100.0.2). DNS-сервер по адресу 10.100.0.2 является локальным сопоставителем DNS, но он также может авторитетным DNS-сервером.

Используя локальную виртуальную машину или устройство, выполните запрос DNS для записи ресурса в частной зоне DNS Azure. В этом примере выполняется запрос для записи test.azure.contoso.com:

Проверка выполнения запроса из локальной среды в Azure

Путь для запроса имеет следующий вид: сопоставитель DNS клиента по умолчанию (10.100.0.2) > локальное правило условной пересылки для azure.contoso.com > входящая конечная точка (10.10.0.4)

Следующие шаги