Azure DNS Private Resolver-slutpunkter och regeluppsättningar
I den här artikeln får du lära dig mer om komponenter i den privata Azure DNS-matcharen. Regler för inkommande slutpunkter, utgående slutpunkter och DNS-vidarebefordran diskuteras. Egenskaper och inställningar för dessa komponenter beskrivs och exempel ges för hur du använder dem.
Arkitekturen för Azure DNS Private Resolver sammanfattas i följande bild. I det här exempelnätverket distribueras en DNS-matchare i ett virtuellt hubbnätverk som peer-datorer med ett virtuellt ekernätverk.
Bild 1: Exempel på hubb- och ekernätverk med DNS-matchare
- Regeluppsättningslänkar etableras i regeluppsättningen för DNS-vidarebefordran till både de virtuella hubb- och ekernätverken, vilket gör att resurser i båda de virtuella nätverken kan matcha anpassade DNS-namnområden med hjälp av DNS-vidarebefordransregler.
- En privat DNS-zon distribueras också och länkas till det virtuella hubbnätverket, vilket gör att resurser i det virtuella hubbnätverket kan matcha poster i zonen.
- Det virtuella ekernätverket löser poster i den privata zonen med hjälp av en DNS-vidarebefordransregel som vidarebefordrar frågor i den privata zonen till vip-adressen för inkommande slutpunkter i det virtuella hubbnätverket.
- Ett ExpressRoute-anslutet lokalt nätverk visas också i bilden, där DNS-servrar har konfigurerats för att vidarebefordra frågor för den privata Azure-zonen till VIP för inkommande slutpunkt. Mer information om hur du aktiverar dns-hybridmatchning med azure DNS Private Resolver finns i Lösa Azure-domäner och lokala domäner.
Kommentar
Peeringanslutningen som visas i diagrammet krävs inte för namnmatchning. Virtuella nätverk som är länkade från en regeluppsättning för DNS-vidarebefordran använder regeluppsättningen när namnmatchning utförs, oavsett om de länkade VNet-peer-datorerna med regeluppsättningen VNet utförs eller inte.
Inkommande slutpunkter
Som namnet antyder går inkommande slutpunkter in till Azure. Inkommande slutpunkter tillhandahåller en IP-adress för att vidarebefordra DNS-frågor från lokala och andra platser utanför ditt virtuella nätverk. DNS-frågor som skickas till den inkommande slutpunkten löses med hjälp av Azure DNS. Privat DNS zoner som är länkade till det virtuella nätverket där den inkommande slutpunkten etableras matchas av den inkommande slutpunkten.
IP-adressen som är associerad med en inkommande slutpunkt är alltid en del av det privata virtuella nätverksadressutrymmet där den privata matcharen distribueras. Inga andra resurser kan finnas i samma undernät med den inkommande slutpunkten.
Ip-adresser för statisk och dynamisk slutpunkt
IP-adressen som tilldelats en inkommande slutpunkt kan vara statisk eller dynamisk. Om du väljer statisk kan du inte välja en reserverad IP-adress i undernätet. Om du väljer en dynamisk IP-adress tilldelas den femte tillgängliga IP-adressen i undernätet. Till exempel är 10.10.0.4 den femte IP-adressen i undernätet 10.10.0.0/28 (.0, .1, .2, .3, .4). Om den inkommande slutpunkten återskapas kan den här IP-adressen ändras, men normalt används den femte IP-adressen i undernätet igen. Den dynamiska IP-adressen ändras inte om inte den inkommande slutpunkten återskapas. I följande exempel anges en statisk IP-adress:
I följande exempel visas etablering av en inkommande slutpunkt med en virtuell IP-adress (VIP) på 10.10.0.4 i undernätet snet-E-inbound i ett virtuellt nätverk med adressutrymmet 10.10.0.0/16.
Utgående slutpunkter
Utgående slutpunkter går ut från Azure och kan länkas till DNS-regler för vidarebefordran.
Utgående slutpunkter är också en del av det privata virtuella nätverkets adressutrymme där den privata matcharen distribueras. En utgående slutpunkt är associerad med ett undernät, men etableras inte med en IP-adress som den inkommande slutpunkten. Inga andra resurser kan finnas i samma undernät med den utgående slutpunkten. Följande skärmbild visar en utgående slutpunkt i undernätet snet-E-outbound.
Regler för DNS-vidarebefordring
Med regler för DNS-vidarebefordran kan du ange en eller flera anpassade DNS-servrar för att besvara frågor för specifika DNS-namnområden. De enskilda reglerna i en regeluppsättning avgör hur dessa DNS-namn matchas. Regeluppsättningar kan också länkas till ett eller flera virtuella nätverk, vilket gör att resurser i de virtuella nätverken kan använda de vidarebefordransregler som du konfigurerar.
Regeluppsättningar har följande associationer:
- En enda regeluppsättning kan associeras med upp till 2 utgående slutpunkter som tillhör samma DNS Private Resolver-instans. Det kan inte associeras med två utgående slutpunkter i två olika DNS Private Resolver-instanser.
- En regeluppsättning kan ha upp till 1 000 DNS-vidarebefordransregler.
- En regeluppsättning kan länkas till upp till 500 virtuella nätverk i samma region.
En regeluppsättning kan inte länkas till ett virtuellt nätverk i en annan region. Mer information om regeluppsättningar och andra begränsningar för privata matchare finns i Vad är användningsgränserna för Azure DNS?.
Regeluppsättningslänkar
När du länkar en regeluppsättning till ett virtuellt nätverk använder resurser i det virtuella nätverket de DNS-vidarebefordransregler som är aktiverade i regeluppsättningen. De länkade virtuella nätverken krävs inte för peer-anslutning med det virtuella nätverk där den utgående slutpunkten finns, men dessa nätverk kan konfigureras som peer-datorer. Den här konfigurationen är vanlig i en hubb- och ekerdesign. I det här hubb- och ekerscenariot behöver det virtuella ekernätet inte länkas till den privata DNS-zonen för att lösa resursposter i zonen. I det här fallet skickar regeluppsättningsregeln för vidarebefordran för den privata zonen frågor till hubbens inkommande slutpunkt. Till exempel: azure.contoso.com till 10.10.0.4.
Följande skärmbild visar en regeluppsättning för DNS-vidarebefordran som är länkad till det virtuella ekernätverket: myeastspoke.
Med länkar till virtuella nätverk för DNS-vidarebefordran av regeluppsättningar kan resurser i andra virtuella nätverk använda vidarebefordransregler vid matchning av DNS-namn. Det virtuella nätverket med den privata matcharen måste också länkas från alla privata DNS-zoner som det finns regeluppsättningsregler för.
Resurser i det virtuella nätverket myeastspoke kan till exempel matcha poster i den privata DNS-zonen azure.contoso.com om:
- Regeluppsättningen som etableras i
myeastvnetär länkad tillmyeastspoke - En regeluppsättningsregel konfigureras och aktiveras i den länkade regeluppsättningen för att matcha
azure.contoso.commed hjälp av den inkommande slutpunkten imyeastvnet
Kommentar
Du kan också länka en regeluppsättning till ett virtuellt nätverk i en annan Azure-prenumeration. Den angivna resursgruppen måste dock finnas i samma region som den privata matcharen.
Regler
DNS-vidarebefordransregler (regeluppsättningsregler) har följande egenskaper:
| Property | beskrivning |
|---|---|
| Regelnamn | Namnet på regeln. Namnet måste börja med en bokstav och får endast innehålla bokstäver, siffror, understreck och bindestreck. |
| Domännamn | Det punktavbrutna DNS-namnområdet där regeln gäller. Namnområdet måste ha antingen noll etiketter (för jokertecken) eller mellan 1 och 34 etiketter. Till contoso.com. exempel har två etiketter.1 |
| Mål-IP:Port | Vidarebefordransmål. En eller flera IP-adresser och portar för DNS-servrar som används för att matcha DNS-frågor i det angivna namnområdet. |
| Regeltillstånd | Regeltillståndet: Aktiverad eller inaktiverad. Om en regel är inaktiverad ignoreras den. |
1Domännamn med en etikett stöds.
Om flera regler matchas används den längsta prefixmatchningen.
Om du till exempel har följande regler:
| Regelnamn | Domännamn | Mål-IP:Port | Regeltillstånd |
|---|---|---|---|
| Contoso | contoso.com. | 10.100.0.2:53 | Aktiverat |
| AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Aktiverat |
| Jokertecken | . | 10.100.0.2:53 | Aktiverat |
En fråga för secure.store.azure.contoso.com matchar AzurePrivate-regeln för azure.contoso.com och även Contoso-regeln för contoso.com, men AzurePrivate-regeln har företräde eftersom prefixet azure.contoso är längre än contoso.
Viktigt!
Om en regel finns i regeluppsättningen som har som mål en inkommande slutpunkt för privat matchare ska du inte länka regeluppsättningen till det virtuella nätverk där den inkommande slutpunkten etableras. Den här konfigurationen kan orsaka DNS-matchningsloopar. Till exempel: I föregående scenario ska ingen regeluppsättningslänk läggas till myeastvnet eftersom den inkommande slutpunkten vid 10.10.0.4 etableras i myeastvnet och det finns en regel som matchar azure.contoso.com med hjälp av den inkommande slutpunkten.
Reglerna som visas i den här artikeln är exempel på regler som du kan använda för specifika scenarier. De exempel som används krävs inte. Var noga med att testa dina regler för vidarebefordran.
Om du inkluderar en jokerteckenregel i regeluppsättningen kontrollerar du att DNS-måltjänsten kan matcha offentliga DNS-namn. Vissa Azure-tjänster har beroenden för offentlig namnmatchning.
Regelbearbetning
- Om flera DNS-servrar anges som mål för en regel används den första IP-adressen som anges om den inte svarar. En exponentiell backoff-algoritm används för att avgöra om en mål-IP-adress svarar eller inte.
- Vissa domäner ignoreras när du använder en jokerteckenregel för DNS-matchning, eftersom de är reserverade för Azure-tjänster. Se Dns-zonkonfiguration för Azure-tjänster för en lista över domäner som är reserverade. De DNS-namn med två etiketter som anges i den här artikeln (till exempel: windows.net, azure.com, azure.net, windowsazure.us) är reserverade för Azure-tjänster.
Viktigt!
- Du kan inte ange Azure DNS-IP-adressen 168.63.129.16 som mål-IP-adress för en regel. När du försöker lägga till den här IP-adressen returneras felet: Undantag när du lägger till begäran om regel.
- Använd inte IP-adressen för den privata matcharens inkommande slutpunkt som mål för vidarebefordran i zoner som inte är länkade till det virtuella nätverk där den privata matcharen är etablerad.
Designalternativ
Hur du distribuerar regleruppsättningar för vidarebefordring och inkommande slutpunkter i en hubb- och ekerarkitektur beror helst på din nätverksdesign. Två konfigurationsalternativ beskrivs kortfattat i följande avsnitt. En mer detaljerad diskussion med konfigurationsexempel finns i Arkitektur för privat lösning.
Vidarebefordra regeluppsättningslänkar
Genom att länka en regeluppsättning för vidarebefordran till ett virtuellt nätverk kan du vidarebefordra DNS-funktioner i det virtuella nätverket. Om en regeluppsättning till exempel innehåller en regel för att vidarebefordra frågor till en privat matchares inkommande slutpunkt kan den här typen av regel användas för att aktivera lösning av privata zoner som är länkade till den inkommande slutpunktens virtuella nätverk. Den här konfigurationen kan användas där ett virtuellt hubbnätverk är länkat till en privat zon och du vill att den privata zonen ska matchas i virtuella ekernätverk som inte är länkade till den privata zonen. I det här scenariot utförs DNS-matchning av den privata zonen av den inkommande slutpunkten i det virtuella hubbnätverket.
Designscenariot för regeluppsättningslänk passar bäst för en distribuerad DNS-arkitektur där nätverkstrafiken sprids över ditt Azure-nätverk och kan vara unik på vissa platser. Med den här designen kan du styra DNS-matchning i alla virtuella nätverk som är länkade till regeluppsättningen genom att ändra en enda regeluppsättning.
Kommentar
Om du använder alternativet regeluppsättningslänk och det finns en vidarebefordransregel med den inkommande slutpunkten som mål ska du inte länka regeluppsättningen för vidarebefordran till det virtuella hubbnätverket. Att länka den här typen av regeluppsättning till samma virtuella nätverk där den inkommande slutpunkten etableras kan resultera i en DNS-matchningsloop.
Inkommande slutpunkter som anpassad DNS
Inkommande slutpunkter kan bearbeta inkommande DNS-frågor och kan konfigureras som anpassad DNS för ett virtuellt nätverk. Den här konfigurationen kan ersätta instanser där du använder din egen DNS-server som anpassad DNS i ett virtuellt nätverk.
Det anpassade DNS-designscenariot passar bäst för en centraliserad DNS-arkitektur där DNS-matchning och nätverkstrafikflöde främst är till ett virtuellt hubbnätverk och styrs från en central plats.
För att lösa en privat DNS-zon från ett eker-VNet med den här metoden måste det virtuella nätverk där den inkommande slutpunkten finns länkas till den privata zonen. Det virtuella hubbnätverket kan (valfritt) länkas till en regeluppsättning för vidarebefordran. Om en regeluppsättning är länkad till hubben bearbetas all DNS-trafik som skickas till den inkommande slutpunkten av regeluppsättningen.
Nästa steg
- Granska komponenter, fördelar och krav för Azure DNS Private Resolver.
- Lär dig hur du skapar en privat Lösning för Azure DNS med hjälp av Azure PowerShell eller Azure-portalen.
- Förstå hur du löser Azure och lokala domäner med hjälp av Azure DNS Private Resolver.
- Lär dig hur du konfigurerar DNS-redundans med hjälp av privata matchare.
- Lär dig hur du konfigurerar hybrid-DNS med hjälp av privata matchare.
- Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.
- Learn-modul: Introduktion till Azure DNS.