Förstå DNS-upplösning i Application Gateway

En Application Gateway är en dedikerad distribution i ditt virtuella nätverk. DNS-matchningen för instanser av din application gateway-resurs, som hanterar inkommande trafik, påverkas också av dina konfigurationer för virtuella nätverk. I den här artikeln beskrivs DNS-konfigurationerna (Domain Name System) och deras inverkan på namnmatchningen.

Behov av namnupplösning

Application Gateway gör DNS-upplösning för fullständigt kvalificerade domännamn (FQDN)

• Kundtilldelade FQDN:er, till exempel

  • Domännamnsbaserad bakserver
  • Key Vault-slutpunkt för lyssnarcertifikat
  • Url för anpassad felsida
  • Verifierings-URL för OCSP (Online Certificate Status Protocol)

• Hanterings-FQDN som används för olika Azure-infrastrukturslutpunkter (kontrollplan). Det här är de byggstenar som utgör en fullständig Application Gateway-resurs. Kommunikation med övervakningsslutpunkter möjliggör till exempel flöde av loggar och mått. Därför är det viktigt att programgatewayer kommunicerar internt med andra Azure-tjänsters slutpunkter med suffix som .windows.net, .azure.netosv.

Viktigt!

De domännamn för hanteringsslutpunkten som en Application Gateway-resurs interagerar med visas här. Beroende på typen av distribution av application gateway (beskrivs i den här artikeln) kan eventuella problem med namnmatchning för dessa Azure-domännamn leda till antingen delvis eller fullständig förlust av resursfunktioner.

• .windows.net
• .chinacloudapi.cn
• .azure.net
• .azure.cn
• .usgovcloudapi.net
• .azure.us
• .microsoft.scloud
• .msftcloudes.com
• .microsoft.com

Korta namn och domännamn med en etikett

Application Gateway stöder korta namn (t.ex. server1, webserver) i backendpooler. Lösningen beror på dns-konfigurationen:

• Azure DNS (168.63.129.16): Löser endast korta namn inom samma virtuella nätverk
• Anpassade DNS-servrar: Kräver konfiguration av sökdomän
• Lokal DNS (via VPN/ExpressRoute): Löser interna värdnamn

Anmärkning

Om hälsa för serverdelen visar DNS-upplösningsfel med korta namn, verifierar du DNS-upplösningen från en virtuell dator i samma virtuella nätverk.

DNS-konfigurationstyper

Kunder har olika infrastrukturbehov, vilket kräver olika metoder för namnmatchning. Det här dokumentet beskriver allmänna DNS-implementeringsscenarier och ger rekommendationer för effektiv drift av application gateway-resurser.

Gatewayer med offentlig IP-adress (networkIsolationEnabled: False)

För offentliga gatewayer sker all kontrollplanskommunikation med Azure-domäner via standardservern för Azure DNS på 168.63.129.16. I det här avsnittet ska vi undersöka den potentiella DNS-zonkonfigurationen med offentliga programgatewayer och hur du förhindrar konflikter med lösning av Azure-domännamn.

Använda standard-DNS som tillhandahålls av Azure

Dns som tillhandahålls av Azure är en standardinställning för alla virtuella nätverk i Azure och har EN IP-adress 168.63.129.16. Tillsammans med matchning av offentliga domännamn tillhandahåller Den Azure-tillhandahållna DNS intern namnmatchning för virtuella datorer som finns i samma virtuella nätverk. I det här scenariot ansluter alla instanser av programgatewayen till 168.63.129.16 för DNS-matchning.

Flöden:

• I det här diagrammet kan vi se att Application Gateway-instansen kommunicerar med den Azure-tillhandahållna DNS (168.63.129.16) för namnupplösning av serverdelsservrarnas FQDN "server1.contoso.com" och "server2.contoso.com", som visas med den blå linjen.
• På samma sätt frågar instansen 168.63.129.16 om DNS-upplösningen för den privata länk-aktiverade Key Vault-resursen, vilket anges av den orange linje. För att möjliggöra att en applikationsgateway kan resolva Key Vault-slutpunktens adress till dess privata IP-adress, är det viktigt att länka den privata DNS-zonen med applikationsgatewayens virtuella nätverk.
• Efter att ha utfört lyckade DNS-upplösningar för dessa FQDN:er kan instansen kommunicera med Key Vault och slutpunkter för backendservern.

Överväganden:

• Skapa och länka inte privata DNS-zoner för azure-domännamn på toppnivå. Du måste skapa DNS-zon för en underdomän så specifik som möjligt. Till exempel fungerar det bättre att ha en privat DNS-zon för privatelink.vaultcore.azure.net ett nyckelvalvs privata slutpunkt i alla fall än att ha en zon för vaultcore.azure.net eller azure.net.
• För kommunikation med serverdelsservrar eller någon tjänst som använder en privat slutpunkt kontrollerar du att DNS-zonen för privat länk är länkad till programgatewayens virtuella nätverk.

Använda anpassade DNS-servrar

I det virtuella nätverket är det möjligt att utse anpassade DNS-servrar. Den här konfigurationen kan krävas för att hantera zoner oberoende av varandra för specifika domännamn. Ett sådant arrangemang styr instanserna av applikationsgateway i det virtuella nätverket så att de också använder de angivna anpassade DNS-servrarna för att lösa icke-Azure-domännamn.

Flöden:

• Diagrammet visar att Application Gateway-instansen använder Azure-tillhandahållen DNS (168.63.129.16) för namnmatchning av key vault-slutpunkten "contoso.privatelink.vaultcore.azure.net". DNS-frågorna för Azure-domännamn, som inkluderar azure.net, omdirigeras till Azure-tillhandahållen DNS (visas på orange rad).
• För DNS-matchning av "server1.contoso.com" respekterar instansen den anpassade DNS-konfigurationen (som visas i blå linje).

Överväganden:

Om du använder anpassade DNS-servrar i ett virtuellt programgatewaynätverk måste du vidta följande åtgärder för att säkerställa att det inte påverkar hur application gateway fungerar.

• När du har ändrat de DNS-servrar som är associerade med det virtuella nätverket för applikationsgatewayen måste du starta om (stoppa och starta) applikationsgatewayen för att ändringarna ska börja gälla för instanserna.
• När du använder en privat slutpunkt i ett virtuellt programgatewaynätverk måste den privata DNS-zonen förbli länkad till det virtuella nätverket för programgatewayen för att tillåta matchning till privat IP. Den här DNS-zonen måste vara för en underdomän som är så specifik som möjligt.
• Om de anpassade DNS-servrarna finns i ett annat virtuellt nätverk kontrollerar du att de är peer-kopplade till Application Gateways virtuella nätverk och inte påverkas av konfigurationer av nätverkssäkerhetsgrupp eller routningstabell.

Gatewayer med endast privat IP-adress (networkIsolationEnabled: True)

Implementeringen av den privata applikationsgatewayen är utformad för att separera kundens dataplanstrafik och hanteringsplanstrafik. Därför har antingen standardservrar för Azure DNS eller anpassade DNS-servrar ingen effekt på namnupplösningarna för de kritiska hanteringsslutpunkterna. När du använder anpassade DNS-servrar måste du dock se till att de namnuppslagningar som krävs för datasökvägsåtgärder utförs korrekt.

Flöden:

• DNS-frågorna för "contoso.com" når de anpassade DNS-servrarna via kundens trafikplan.
• DNS-frågorna för "contoso.privatelink.vaultcore.azure.net" når även de anpassade DNS-servrarna. Men eftersom DNS-servern inte är auktoritativ zon för det här domännamnet vidarebefordras frågan rekursivt till Azure DNS 168.63.129.16. En sådan konfiguration är viktig för att tillåta namnmatchning via en privat DNS-zon som är länkad till det virtuella nätverket.
• Upplösningen av alla hanteringsslutpunkter sker via hanteringsplantrafik som interagerar direkt med den Azure-tillhandahållna DNS:en.

Överväganden:

• När du har ändrat de DNS-servrar som är associerade med det virtuella nätverket för applikationsgatewayen måste du starta om (stoppa och starta) applikationsgatewayen för att ändringarna ska börja gälla för instanserna.
• Du måste ange regler för vidarebefordran för att skicka alla andra frågor för domänmatchning till Azure DNS 168.63.129.16. Den här konfigurationen är särskilt viktig när du har en privat DNS-zon för privat slutpunktsmatchning.
• När du använder en privat slutpunkt måste den privata DNS-zonen förbli länkad till det virtuella nätverket för programgatewayen för att tillåta matchning till privat IP.