Scenarier med privata DNS-zoner i Azure
Privata DNS-zoner i Azure ger namnmatchning i ett virtuellt nätverk och mellan virtuella nätverk. I den här artikeln tittar vi på några vanliga scenarier som kan dra nytta av den här funktionen.
Scenario: Namnmatchning som är begränsad till ett enda virtuellt nätverk
I det här scenariot har du ett virtuellt nätverk i Azure som har många resurser, inklusive virtuella datorer. Ditt krav är att lösa alla resurser i det virtuella nätverket med ett specifikt domännamn (DNS-zon). Du behöver också namngivningsmatchningen för att vara privat och inte tillgänglig från Internet. Slutligen behöver du azure för att automatiskt registrera virtuella datorer i DNS-zonen.
Det här scenariot visas nedan. Vi har ett virtuellt nätverk med namnet "A" som innehåller två virtuella datorer (VNETA-VM1 och VNETA-VM2). Varje virtuell dator har en associerad privat IP-adress. När du har skapat en privat zon, contoso.com
till exempel , och länkat det virtuella nätverket "A" som ett virtuellt registreringsnätverk, skapar Azure DNS automatiskt två A-poster i zonen som refererar till de två virtuella datorerna. DNS-frågor från VNETA-VM1 kan nu lösas VNETA-VM2.contoso.com
och får ett DNS-svar som innehåller den privata IP-adressen för VNETA-VM2.
Du kan också göra en omvänd DNS-fråga (PTR) för den privata IP-adressen för VNETA-VM1 (10.0.0.1) från VNETA-VM2. DNS-svaret innehåller som förväntat namnet VNETA-VM1.
Kommentar
IP-adresserna 10.0.0.1 och 10.0.0.2 är endast exempel. Eftersom Azure reserverar de första fyra adresserna i ett undernät tilldelas inte .1- och .2-adresserna normalt till en virtuell dator.
Scenario: Namnmatchning mellan virtuella nätverk
I det här scenariot måste du associera en privat zon med flera virtuella nätverk. Du kan implementera den här lösningen i olika nätverksarkitekturer, till exempel Hub-and-Spoke-modellen. Den här konfigurationen är när ett virtuellt nätverk för central hubb används för att ansluta flera virtuella ekernätverk. Det virtuella nätverket för den centrala hubben kan länkas som det virtuella registreringsnätverket och de virtuella ekernätverken kan länkas som virtuella lösningsnätverk.
Följande diagram visar en förenklad version av det här scenariot med endast två virtuella nätverk – A och B. A definieras som ett virtuellt registreringsnätverk och B definieras som ett virtuellt lösningsnätverk. Avsikten är att båda virtuella nätverken ska dela en gemensam zon contoso.com
. När zonen skapas registrerar virtuella nätverk som definieras som registrering automatiskt DNS-poster för virtuella datorer i virtuella nätverk (VNETA-VM1 och VNETA-VM2). Du kan också lägga till DNS-poster manuellt i zonen för virtuella datorer i det virtuella nätverket B för lösning. Med den här konfigurationen ser du följande beteende för vidarebefordrande och omvända DNS-frågor:
- En DNS-fråga från VNETB-VM1 i det virtuella nätverket Resolution B för VNETA-VM1.contoso.com får ett DNS-svar som innehåller den privata IP-adressen för VNETA-VM1.
- En PTR-fråga (Reverse DNS) från VNETB-VM2 i det virtuella nätverket Resolution B, för 10.1.0.1, får ett DNS-svar som innehåller FQDN-VNETB-VM1.contoso.com.
- En omvänd DNS-fråga (PTR) från VNETB-VM3 i det virtuella nätverket Resolution B för 10.0.0.1 får NXDOMAIN. Anledningen är att omvända DNS-frågor endast är begränsade till samma virtuella nätverk.
Scenario: Split-Horizon-funktioner
I det här scenariot behöver du en annan namngivningsmatchning som beror på var klienten finns för samma DNS-zon. Du kan ha en privat och en offentlig version av ditt program som har olika funktioner eller beteenden. Du måste använda samma domännamn för båda versionerna. Det här scenariot kan åstadkommas genom att skapa en offentlig och privat zon i Azure DNS med samma namn.
Följande diagram visar det här scenariot. Du har ett virtuellt nätverk A som har två virtuella datorer (VNETA-VM1 och VNETA-VM2). Båda har en privat IP-adress och en offentlig IP-adress konfigurerad. En offentlig DNS-zon med namnet contoso.com
skapades och registrerar offentliga IP-adresser för dessa virtuella datorer som DNS-poster i zonen. En privat DNS-zon skapas också med namnet contoso.com
. Du har definierat det virtuella nätverket A som ett virtuellt registreringsnätverk. Azure registrerar sedan automatiskt de virtuella datorerna som A-poster i den privata zonen och pekar på deras privata IP-adresser.
Nu när en Internetklient gör en DNS-fråga för VNETA-VM1.contoso.com
returnerar Azure den offentliga IP-posten från den offentliga zonen. Om samma DNS-fråga utfärdas från en annan virtuell dator (till exempel VNETA-VM2) i samma virtuella nätverk A returnerar Azure den privata IP-posten från den privata zonen.
Nästa steg
Mer information om privata DNS-zoner finns i Använda Azure DNS för privata domäner.
Lär dig hur du skapar en privat DNS-zon i Azure DNS.
Lär dig mer om DNS-zoner och -poster genom att besöka: Översikt över DNS-zoner och poster.
Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.