Privat lösning för Azure DNS

Azure DNS

Azure ExpressRoute

Azure Firewall

Azure Virtual Network

Azure VPN Gateway

Den här artikeln beskriver en lösning för att använda Azure DNS Private Resolver för att förenkla DNS-matchning (hybrid rekursivt domännamnssystem). Du kan använda DNS Private Resolver för lokala arbetsbelastningar och Azure-arbetsbelastningar. Privat DNS-matchare förenklar privat DNS-matchning från en lokal plats till den privata DNS-tjänsten i Azure och från den privata DNS-tjänsten i Azure till en lokal plats.

Arkitektur

I följande avsnitt finns alternativ för rekursiv DNS-hybridmatchning. I det första avsnittet beskrivs en lösning som använder en virtuell dator med DNS-vidarebefordrare (VM). Följande avsnitt beskriver hur du använder DNS Private Resolver.

Använda en virtuell DNS-vidarebefordrare

Innan DNS Private Resolver var tillgängligt distribuerades en virtuell DNS-vidarebefordrare så att en lokal server kunde matcha begäranden till den privata DNS-tjänsten i Azure. I följande diagram visas information om den här namnmatchningen. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar begäranden till Azure och en privat DNS-zon är länkad till ett virtuellt nätverk. Begäranden till Azure-tjänsten matchar sedan lämplig privat IP-adress.

I den här lösningen kan du inte använda den offentliga DNS-tjänsten i Azure för att matcha lokala domännamn.

I bilden visar en kartnyckel DNS-trafik som en svart pil och privata anslutningar som en blå pil. Ett lokalt virtuellt nätverk avsnitt innehåller den interna DNS:en och den virtuella klientdatorn. DNS-trafikpilar pekar fram och tillbaka mellan dem. En pil pekar från Intern DNS till ett IP-adressavsnitt via en DNS-trafikpil med etiketten Villkorsstyrd vidarebefordrare. Bredvid det här avsnittet finns ett DNS-avsnitt som innehåller vmdns, zonerna för vidarebefordran och omvänd sökning, förtroendepunkter och villkorsstyrda vidarebefordrare. DNS-trafikpilar ansluter avsnittet lokalt nätverk och avsnittet VNet-hub-001. Undernätet snet-consumer i det här avsnittet innehåller DNS-vidarebefordraren och Private Link slutpunkten. En privat anslutningspil pekar på Private Link slutpunkt från den virtuella klientdatorn och från Private Link slutpunkt till SQL-databasen. Det intilliggande avsnittet visar DNS som tillhandahålls av Azure. DNS-pilar pekar från det här avsnittet till Privat DNS zon och till rekursiva Azure-matchare. En virtuell nätverkslänk ansluter avsnittet VNet-hub-001 till Privat DNS zonen.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Arbetsflöde

Följande arbetsflöde motsvarar föregående diagram:

1. En virtuell klientdator skickar en begäran om namnmatchning till azsql1.database.windows.net en lokal intern DNS-server.

2. En villkorlig vidarebefordrare konfigureras på den interna DNS-servern. Den vidarebefordrar DNS-frågan för to database.windows.net, vilket är IP-adressen för 10.5.0.254 en virtuell DNS-vidarebefordrardator.

3. Den virtuella DNS-vidarebefordrardatorn skickar begäran till , vilket är IP-adressen för 168.63.129.16den interna DNS-servern i Azure.

4. Azure DNS-servern skickar en begäran om namnmatchning till azsql1.database.windows.net de rekursiva Azure-matcharna. Matcharna svarar med det kanoniska namnet (CNAME). azsql1.privatelink.database.windows.net

5. Azure DNS-servern skickar en begäran om namnmatchning till azsql1.privatelink.database.windows.net den privata DNS-zonen privatelink.database.windows.net. Den privata DNS-zonen svarar med den privata IP-adressen 10.5.0.5.

6. Svaret som associerar CNAME azsql1.privatelink.database.windows.net med posten 10.5.0.5 kommer till DNS-vidarebefordraren.

7. Svaret kommer till den lokala interna DNS-servern.

8. Svaret kommer till den virtuella klientdatorn.

9. Den virtuella klientdatorn upprättar en privat anslutning till den privata slutpunkten som använder IP-adressen 10.5.0.5. Den privata slutpunkten ger den virtuella klientdatorn en säkrare anslutning till en Azure-databas.

Mer information finns i DNS-konfiguration för privata Slutpunkter i Azure.

Använda privat DNS-matchare

När du använder DNS Private Resolver behöver du ingen virtuell DNS-vidarebefordrare och Azure DNS kan matcha lokala domännamn.

Följande lösning använder DNS Private Resolver i en nätverkstopologi med hub-spoke. Vi rekommenderar att designmönstret för Azure-landningszoner använder den här typen av topologi. En hybridnätverksanslutning upprättas med hjälp av Azure ExpressRoute och Azure Firewall. Den här konfigurationen tillhandahåller ett säkert hybridnätverk. Privat DNS-matchare finns i hubbnätverket.

Bilden har tre huvuddelar. Det största avsnittet är ett Azure hub-and-spoke-nätverk. Det här avsnittet innehåller Azure DNS, Azure Privat DNS och Azure DNS Privat Matchare. Den innehåller även en plats-till-plats- eller Azure ExpressRoute-gateway, en inkommande slutpunkt och en utgående slutpunkt. Den utgående slutpunkten ansluter via en prickad linje till regeluppsättningen för DNS-vidarebefordran. Den här regeluppsättningen ansluter via prickade linjer till eker 1 och eker 2 i Azure-avsnittet. Azure ExpressRoute ansluter plats-till-plats- eller Azure ExpressRoute-gatewayen till det lokala avsnittet. Det här avsnittet innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och lokala DNS-servrar med deras IP-adresser.

Komponenter för DNS Private Resolver-lösningen

Lösningen som använder DNS Private Resolver innehåller följande komponenter:

• Ett lokalt nätverk. Det här nätverket med kunddatacenter är anslutet till Azure via ExpressRoute eller en Azure VPN Gateway-anslutning från plats till plats. Nätverkskomponenterna innehåller två lokala DNS-servrar. En server använder IP-adressen 192.168.0.1. Den andra servern använder 192.168.0.2. Båda servrarna fungerar som matchare eller vidarebefordrare för alla datorer i det lokala nätverket.

  En administratör skapar alla lokala DNS-poster och Azure-slutpunktsvidare på dessa servrar. Villkorliga vidarebefordrare konfigureras på dessa servrar för Azure Blob Storage- och Azure API Management-tjänsterna. Dessa vidarebefordrare skickar begäranden till den inkommande DNS Private Resolver-anslutningen. Den inkommande slutpunkten använder IP-adressen 10.0.0.8 och finns i det virtuella hubbnätverket.

  I följande tabell visas posterna på de lokala servrarna.

  Domännamn	IP-adress	Posttyp
  App1.onprem.company.com	192.168.0.8	Adressmappning
  App2.onprem.company.com	192.168.0.9	Adressmappning
  blob.core.windows.net	10.0.0.8	DNS-vidarebefordrare
  azure-api.net	10.0.0.8	DNS-vidarebefordrare

• Ett hubbnätverk.

  • VPN Gateway eller en ExpressRoute-anslutning används för hybridanslutningen till Azure.

  • Azure Firewall tillhandahåller en hanterad brandvägg. Brandväggsinstansen finns i ett eget undernät.

  • I följande tabell visas de parametrar som har konfigurerats för PRIVAT DNS-matchare. För DNS-namn för app 1 och app 2 konfigureras regeluppsättningen för DNS-vidarebefordran.

    Parameter	IP-adress
    Virtuellt nätverk	10.0.0.0/24
    Undernät för inkommande slutpunkt	10.0.0.0/28
    IP-adress för inkommande slutpunkt	10.0.0.8
    Undernät för utgående slutpunkt	10.0.0.16/28
    IP-adress för utgående slutpunkt	10.0.0.19

  • Det virtuella hubbnätverket är länkat till de privata DNS-zonerna för Blob Storage och API-tjänsten.

• Ekernätverk.

  • Virtuella datorer finns i alla ekernätverk för testning och validering av DNS-matchning.

  • Alla virtuella Azure spoke-nätverk använder Azure DNS-standardservern på IP-adressen 168.63.129.16. Och alla virtuella ekernätverk peerkopplas med de virtuella hubbnätverken. All trafik, inklusive trafik till och från DNS Private Resolver, dirigeras via hubben.

  • De virtuella ekernätverken är länkade till privata DNS-zoner. Den här konfigurationen gör det möjligt att matcha namnen på privata slutpunktslänktjänster som privatelink.blob.core.windows.net.

Trafikflöde för en lokal DNS-fråga

Följande diagram visar det trafikflöde som uppstår när en lokal server utfärdar en DNS-begäran.

Avbildningen har två huvudavsnitt som är anslutna via Azure ExpressRoute. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3, DNS-frågan och servrarna. Azure-avsnittet innehåller en plats-till-plats- eller Azure ExpressRoute-gateway, inkommande och utgående slutpunkter, Azure DNS, Azure privat DNS, Azure DNS Private Resolver och två Azure-etablerade DNS-avsnitt som var och en innehåller en eker och en virtuell dator.

1. En lokal server frågar en privat DNS-tjänstpost i Azure, till exempel blob.core.windows.net. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2. Alla lokala datorer pekar på den lokala DNS-servern.

2. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar blob.core.windows.net begäran till DNS-matcharen på IP-adressen 10.0.0.8.

3. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

4. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande DNS-matcharens slutpunkt.

Trafikflöde för en DNS-fråga för virtuella datorer

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till plats-till-platsen eller Azure ExpressRoute-gatewayen i Azure-avsnittet. Avsnittet Azure innehåller inkommande och utgående slutpunkter i gatewayavsnittet, Azure DNS, Azure privat DNS, Azure DNS Private Resolver, Azure etablerade DNS-avsnitt som innehåller en eker och en virtuell dator. De här avsnitten ansluter via länken till DNS-vidarebefordran av det virtuella nätverket till regeluppsättningen för DNS-vidarebefordran. En prickad linje ansluter det här avsnittet till den utgående slutpunkten.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att använda den namnmatchning som Azure tillhandahåller. Därför används Azure DNS för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en DNS-fråga för virtuella datorer via DNS Private Resolver

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en inkommande slutpunkt för DNS Private Resolver. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till plats-till-platsen eller Azure ExpressRoute-gatewayen i Azure-avsnittet. Avsnittet Azure innehåller avsnitten inkommande och utgående slutpunkter, Azure DNS, Azure Private DNS, Azure DNS Private Resolver och DNS-server som innehåller en eker och en virtuell dator. En grön pil anger flödet mellan DNS-serveravsnitten, den inkommande slutpunkten, Azure DNS och Azure privat DNS. DNS-serveravsnitten ansluter också via länken till det virtuella nätverket för DNS-vidarebefordran till regeluppsättningen för DNS-vidarebefordran. En prickad linje ansluter det här avsnittet till den utgående slutpunkten.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att användas 10.0.0.8 som DNS-server för namnmatchning. Därför används DNS Private Resolver för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en VM DNS-fråga via en lokal DNS-server

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en lokal DNS-server. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till avsnittet plats-till-plats eller Azure ExpressRoute-gatewayavsnittet som finns i Azure-avsnittet. Avsnittet Azure innehåller avsnitten inkommande och utgående slutpunkter, Azure DNS, Azure Private DNS, Azure DNS Private Resolver och DNS-server som innehåller en eker och en virtuell dator. DNS-serveravsnitten ansluter också via länken till det virtuella nätverket för DNS-vidarebefordran till regeluppsättningen för DNS-vidarebefordran. En lila pil visar flödet av åtgärder.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att användas 192.168.0.1/2 som DNS-server för namnmatchning. Därför används en lokal DNS-server för att lösa DNS-frågan. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2.

2. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar blob.core.windows.net begäran till DNS-matcharen på IP-adressen 10.0.0.8.

3. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

4. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande slutpunkten för DNS Private Resolver.

Komponenter

• VPN Gateway är en virtuell nätverksgateway som gör att du kan skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. I den här arkitekturen är en VPN-gateway en valfri komponent för ExpressRoute som möjliggör hybridanslutning mellan Azure och lokala miljöer för DNS-villkorsstyrd vidarebefordrartrafik.

• ExpressRoute är en nätverkstjänst som utökar lokala nätverk till Microsoft-molnet. Den upprättar privata anslutningar till molnkomponenter som Azure-tjänster och Microsoft 365 via en anslutningsleverantör. I den här arkitekturen används ExpressRoute för hybridanslutning mellan Azure och lokala miljöer, särskilt för DNS-villkorsstyrd vidarebefordrartrafik.

• Azure Virtual Network är en nätverkstjänst och den grundläggande byggstenen för privata nätverk i Azure. Det gör att Azure-resurser som virtuella datorer kan kommunicera säkert med varandra, Internet och lokala nätverk. I den tidigare designen är det primära syftet med de virtuella nätverken att vara värdar för DNS Private Resolver och Azure Virtual Machines. Dessa virtuella nätverk underlättar sömlös kommunikation och integrering mellan olika Azure-tjänster och lokala resurser.

• Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som tillämpar principer för program- och nätverksanslutning. Den hanterar principer centralt i flera virtuella nätverk och prenumerationer. I det tidigare användningsfallet kan du implementera Azure Firewall för att förbättra säkerheten för nätverkstrafik. Det ger avancerat skydd mot hot, filtrering av nätverkstrafik och loggningsfunktioner för att endast tillåta auktoriserad trafik samtidigt som potentiella hot blockeras.

• DNS Private Resolver är en tjänst som överbryggar en lokal DNS med Azure DNS. I den här arkitekturen är dess primära funktion att underlätta DNS-frågor mellan privata Azure DNS-zoner och en lokal miljö. Den här faciliteringen eliminerar behovet av VM-baserade DNS-servrar. Den här konfigurationen säkerställer sömlös och effektiv DNS-matchning i hybridmiljöer, vilket gör att Azure och lokala resurser kan kommunicera DNS-matchningar effektivt.

• Azure DNS är en värdtjänst för DNS-domäner som drar nytta av Azures infrastruktur för namnmatchning. Den spelar en avgörande roll i denna design genom att hantera DNS-matchningstrafik.

• Den privata DNS-tjänsten i Azure är en hanterad DNS-tjänst som matchar domännamn i ett virtuellt nätverk och anslutna virtuella nätverk. Det eliminerar behovet av anpassad DNS-konfiguration. Med privata DNS-zoner kan du tilldela anpassade domännamn i stället för att använda de standardnamn som Azure tillhandahåller under distributionen.

• DNS-vidarebefordrare är DNS-servrar som skickar frågor till externa servrar när de inte kan matcha domännamn på egen hand. Detta tillvägagångssätt har länge varit en standardmetod för DNS-matchning. I den här artikeln och dess användningsfall ersätter den privata DNS-matcharen VM-baserade DNS-vidarebefordrare, vilket ger en mer effektiv och strömlinjeformad metod för DNS-matchning.

Information om scenario

Azure tillhandahåller olika DNS-lösningar, inklusive Azure Traffic Manager. Traffic Manager fungerar som en DNS-baserad belastningsutjämningstjänst. Det ger ett sätt att distribuera trafik mellan Azure-regioner till offentliga program.

Innan DNS Private Resolver var tillgängligt var du tvungen att använda anpassade DNS-servrar för DNS-matchning från lokala system till Azure och från Azure till lokala system. Anpassade DNS-lösningar har många nackdelar:

• Att hantera flera anpassade DNS-servrar för flera virtuella nätverk innebär höga infrastruktur- och licenskostnader.

• Du måste hantera alla aspekter av att installera, konfigurera och underhålla DNS-servrar.

• Omkostnader, till exempel övervakning och korrigering av dessa servrar, är komplexa och kan orsaka fel.

• Det finns inget DevOps-stöd för hantering av DNS-poster och vidarebefordransregler.

• Det är dyrt att implementera skalbara DNS-serverlösningar.

DNS Private Resolver åtgärdar dessa hinder genom att tillhandahålla följande funktioner och viktiga fördelar:

• En fullständigt hanterad Microsoft-tjänst som har inbyggd hög tillgänglighet och zonredundans.

• En skalbar lösning optimerad för sömlös integration med DevOps.

• Kostnadsbesparingar jämfört med traditionell infrastruktur som en tjänstbaserad anpassad lösning.

• Villkorlig vidarebefordran för Azure DNS till lokala servrar. Den utgående slutpunkten tillhandahåller den här funktionen, som inte var tillgänglig tidigare. Arbetsbelastningar i Azure kräver inte längre direkta anslutningar till lokala DNS-servrar. I stället ansluter Azure-arbetsbelastningarna till den utgående IP-adressen för DNS Private Resolver.

Potentiella användningsfall

Den här lösningen förenklar privat DNS-matchning i hybridnätverk. Det gäller för följande scenarier:

• Övergångsstrategier under långsiktig migrering till helt molnbaserade lösningar

• Lösningar för haveriberedskap och feltolerans som replikerar data och tjänster mellan lokala miljöer och molnmiljöer

• Lösningar som är värdar för komponenter i Azure för att minska svarstiden mellan lokala datacenter och fjärrplatser

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns iWell-Architected Framework.

Tillförlitlighet

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Checklista för designgranskning för tillförlitlighet.

DNS Private Resolver är en molnbaserad tjänst som är utformad för hög tillgänglighet och byggd för att integreras sömlöst med DevOps-metoder, vilket gör den väl lämpad för samarbetsbaserade och automatiserade arbetsflöden. Den ger en pålitlig och förbättrad DNS-säkerhetslösning samtidigt som den behåller enkelhet och inget underhåll för användarna.

Distribuera inte DNS Private Resolver till ett virtuellt nätverk som innehåller en virtuell ExpressRoute-nätverksgateway och använder jokerteckenregler för att dirigera all namnmatchning till en specifik DNS-server. Den här typen av konfiguration kan orsaka problem med hanteringsanslutningen. Mer information finns i Privat DNS-matchare med jokerteckenregler på en ExpressRoute-gateway.

Regional tillgänglighet

En lista över regioner där DNS Private Resolver är tillgängligt finns i Regional tillgänglighet.

En DNS-matchare kan bara referera till ett virtuellt nätverk som finns i samma region som DNS-matcharen.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.

Azure DNS har DNS-säkerhetstillägg i förhandsversion.

Kostnadsoptimering

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Checklista för designgranskning för kostnadsoptimering.

• Som en lösning är DNS Private Resolver till stor del kostnadseffektivt. En av de främsta fördelarna med DNS Private Resolver är att den är fullständigt hanterad. Den här funktionen eliminerar behovet av dedikerade servrar.

• Om du vill beräkna kostnaden för DNS Private Resolver använder du priskalkylatorn för Azure. Prismodeller för DNS Private Resolver finns i Prissättning för Azure DNS.

• Prissättningen omfattar även tillgänglighets- och skalbarhetsfunktioner.

• ExpressRoute stöder två faktureringsmodeller:

  • Data som mäts, som debiterar dig per gigabyte för utgående dataöverföringar.

  • Obegränsade data, som debiterar dig en fast månatlig portavgift som täcker alla inkommande och utgående dataöverföringar.

  Mer information finns i ExpressRoute-priser.

• Om du använder VPN Gateway i stället för ExpressRoute varierar kostnaden beroende på produkten och debiteras per timme. Mer information finns i priser för VPN Gateway.

Prestandaeffektivitet

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i Checklista för designgranskning för prestandaeffektivitet.

DNS Private Resolver är en fullständigt hanterad Microsoft-tjänst som kan hantera miljontals begäranden. Använd ett adressutrymme för undernätet mellan /28 och /24. För de flesta användare är /26 mest lämplig. Mer information finns i Begränsningar för undernät.

Nätverk

Följande resurser innehåller information om hur du skapar en privat DNS-matchare:

• Skapa en privat DNS-matchare med hjälp av Azure-portalen

• Skapa en privat DNS-matchare med hjälp av Azure PowerShell

Stöd för omvänd DNS

Traditionellt mappar DNS-poster ett DNS-namn till en IP-adress. Löser till exempel www.contoso.com till 42.3.10.170. Omvänd DNS utför den motsatta funktionen. Den mappar en IP-adress tillbaka till ett DNS-namn. IP-adressen 42.3.10.170 matchas till exempel till www.contoso.com.

Mer information om Azure-stöd för omvänd DNS och hur omvänd DNS fungerar finns i Översikt över omvänd DNS och support i Azure.

Begränsningar

Dns Private Resolver har följande begränsningar:

• DNS Private Resolver-regeluppsättningar kan bara länkas till virtuella nätverk som ligger inom samma geografiska region som matcharen.

• Ett virtuellt nätverk får inte innehålla mer än en privat DNS-matchare.

• Du måste tilldela ett dedikerat undernät till varje inkommande och utgående slutpunkt.

Mer information finns i Begränsningar för virtuellt nätverk.

Deltagare

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudförfattare:

• Moorthy Annadurai - Sverige | Senior teknisk specialist

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg

• Vad är en länk till ett virtuellt nätverk?
• Vad är Azure DNS?
• Vad är den privata DNS-tjänsten i Azure?
• Vad är privat DNS-matchare?
• Vanliga frågor och svar om Azure DNS
• Översikt över omvänd DNS och support i Azure

Relaterade resurser

• Azure-filer som används lokalt och skyddas av Active Directory Domain Services
• Utforma en DNS-hybridlösning med Azure
• Azure Enterprise-molnfilresurs

Den här artikeln beskriver en lösning för att använda Azure DNS Private Resolver för att förenkla DNS-matchning (hybrid rekursivt domännamnssystem). Du kan använda DNS Private Resolver för lokala arbetsbelastningar och Azure-arbetsbelastningar. Privat DNS-matchare förenklar privat DNS-matchning från en lokal plats till den privata DNS-tjänsten i Azure och från den privata DNS-tjänsten i Azure till en lokal plats.

Arkitektur

I följande avsnitt finns alternativ för rekursiv DNS-hybridmatchning. I det första avsnittet beskrivs en lösning som använder en virtuell dator med DNS-vidarebefordrare (VM). Följande avsnitt beskriver hur du använder DNS Private Resolver.

Använda en virtuell DNS-vidarebefordrare

Innan DNS Private Resolver var tillgängligt distribuerades en virtuell DNS-vidarebefordrare så att en lokal server kunde matcha begäranden till den privata DNS-tjänsten i Azure. I följande diagram visas information om den här namnmatchningen. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar begäranden till Azure och en privat DNS-zon är länkad till ett virtuellt nätverk. Begäranden till Azure-tjänsten matchar sedan lämplig privat IP-adress.

I den här lösningen kan du inte använda den offentliga DNS-tjänsten i Azure för att matcha lokala domännamn.

I bilden visar en kartnyckel DNS-trafik som en svart pil och privata anslutningar som en blå pil. Ett lokalt virtuellt nätverk avsnitt innehåller den interna DNS:en och den virtuella klientdatorn. DNS-trafikpilar pekar fram och tillbaka mellan dem. En pil pekar från Intern DNS till ett IP-adressavsnitt via en DNS-trafikpil med etiketten Villkorsstyrd vidarebefordrare. Bredvid det här avsnittet finns ett DNS-avsnitt som innehåller vmdns, zonerna för vidarebefordran och omvänd sökning, förtroendepunkter och villkorsstyrda vidarebefordrare. DNS-trafikpilar ansluter avsnittet lokalt nätverk och avsnittet VNet-hub-001. Undernätet snet-consumer i det här avsnittet innehåller DNS-vidarebefordraren och Private Link slutpunkten. En privat anslutningspil pekar på Private Link slutpunkt från den virtuella klientdatorn och från Private Link slutpunkt till SQL-databasen. Det intilliggande avsnittet visar DNS som tillhandahålls av Azure. DNS-pilar pekar från det här avsnittet till Privat DNS zon och till rekursiva Azure-matchare. En virtuell nätverkslänk ansluter avsnittet VNet-hub-001 till Privat DNS zonen.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Arbetsflöde

Följande arbetsflöde motsvarar föregående diagram:

1. En virtuell klientdator skickar en begäran om namnmatchning till azsql1.database.windows.net en lokal intern DNS-server.

2. En villkorlig vidarebefordrare konfigureras på den interna DNS-servern. Den vidarebefordrar DNS-frågan för to database.windows.net, vilket är IP-adressen för 10.5.0.254 en virtuell DNS-vidarebefordrardator.

3. Den virtuella DNS-vidarebefordrardatorn skickar begäran till , vilket är IP-adressen för 168.63.129.16den interna DNS-servern i Azure.

4. Azure DNS-servern skickar en begäran om namnmatchning till azsql1.database.windows.net de rekursiva Azure-matcharna. Matcharna svarar med det kanoniska namnet (CNAME). azsql1.privatelink.database.windows.net

5. Azure DNS-servern skickar en begäran om namnmatchning till azsql1.privatelink.database.windows.net den privata DNS-zonen privatelink.database.windows.net. Den privata DNS-zonen svarar med den privata IP-adressen 10.5.0.5.

6. Svaret som associerar CNAME azsql1.privatelink.database.windows.net med posten 10.5.0.5 kommer till DNS-vidarebefordraren.

7. Svaret kommer till den lokala interna DNS-servern.

8. Svaret kommer till den virtuella klientdatorn.

9. Den virtuella klientdatorn upprättar en privat anslutning till den privata slutpunkten som använder IP-adressen 10.5.0.5. Den privata slutpunkten ger den virtuella klientdatorn en säkrare anslutning till en Azure-databas.

Mer information finns i DNS-konfiguration för privata Slutpunkter i Azure.

Använda privat DNS-matchare

När du använder DNS Private Resolver behöver du ingen virtuell DNS-vidarebefordrare och Azure DNS kan matcha lokala domännamn.

Följande lösning använder DNS Private Resolver i en nätverkstopologi med hub-spoke. Vi rekommenderar att designmönstret för Azure-landningszoner använder den här typen av topologi. En hybridnätverksanslutning upprättas med hjälp av Azure ExpressRoute och Azure Firewall. Den här konfigurationen tillhandahåller ett säkert hybridnätverk. Privat DNS-matchare finns i hubbnätverket.

Bilden har tre huvuddelar. Det största avsnittet är ett Azure hub-and-spoke-nätverk. Det här avsnittet innehåller Azure DNS, Azure Privat DNS och Azure DNS Privat Matchare. Den innehåller även en plats-till-plats- eller Azure ExpressRoute-gateway, en inkommande slutpunkt och en utgående slutpunkt. Den utgående slutpunkten ansluter via en prickad linje till regeluppsättningen för DNS-vidarebefordran. Den här regeluppsättningen ansluter via prickade linjer till eker 1 och eker 2 i Azure-avsnittet. Azure ExpressRoute ansluter plats-till-plats- eller Azure ExpressRoute-gatewayen till det lokala avsnittet. Det här avsnittet innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och lokala DNS-servrar med deras IP-adresser.

Komponenter för DNS Private Resolver-lösningen

Lösningen som använder DNS Private Resolver innehåller följande komponenter:

• Ett lokalt nätverk. Det här nätverket med kunddatacenter är anslutet till Azure via ExpressRoute eller en Azure VPN Gateway-anslutning från plats till plats. Nätverkskomponenterna innehåller två lokala DNS-servrar. En server använder IP-adressen 192.168.0.1. Den andra servern använder 192.168.0.2. Båda servrarna fungerar som matchare eller vidarebefordrare för alla datorer i det lokala nätverket.

  En administratör skapar alla lokala DNS-poster och Azure-slutpunktsvidare på dessa servrar. Villkorliga vidarebefordrare konfigureras på dessa servrar för Azure Blob Storage- och Azure API Management-tjänsterna. Dessa vidarebefordrare skickar begäranden till den inkommande DNS Private Resolver-anslutningen. Den inkommande slutpunkten använder IP-adressen 10.0.0.8 och finns i det virtuella hubbnätverket.

  I följande tabell visas posterna på de lokala servrarna.

  Domännamn	IP-adress	Posttyp
  App1.onprem.company.com	192.168.0.8	Adressmappning
  App2.onprem.company.com	192.168.0.9	Adressmappning
  blob.core.windows.net	10.0.0.8	DNS-vidarebefordrare
  azure-api.net	10.0.0.8	DNS-vidarebefordrare

• Ett hubbnätverk.

  • VPN Gateway eller en ExpressRoute-anslutning används för hybridanslutningen till Azure.

  • Azure Firewall tillhandahåller en hanterad brandvägg. Brandväggsinstansen finns i ett eget undernät.

  • I följande tabell visas de parametrar som har konfigurerats för PRIVAT DNS-matchare. För DNS-namn för app 1 och app 2 konfigureras regeluppsättningen för DNS-vidarebefordran.

    Parameter	IP-adress
    Virtuellt nätverk	10.0.0.0/24
    Undernät för inkommande slutpunkt	10.0.0.0/28
    IP-adress för inkommande slutpunkt	10.0.0.8
    Undernät för utgående slutpunkt	10.0.0.16/28
    IP-adress för utgående slutpunkt	10.0.0.19

  • Det virtuella hubbnätverket är länkat till de privata DNS-zonerna för Blob Storage och API-tjänsten.

• Ekernätverk.

  • Virtuella datorer finns i alla ekernätverk för testning och validering av DNS-matchning.

  • Alla virtuella Azure spoke-nätverk använder Azure DNS-standardservern på IP-adressen 168.63.129.16. Och alla virtuella ekernätverk peerkopplas med de virtuella hubbnätverken. All trafik, inklusive trafik till och från DNS Private Resolver, dirigeras via hubben.

  • De virtuella ekernätverken är länkade till privata DNS-zoner. Den här konfigurationen gör det möjligt att matcha namnen på privata slutpunktslänktjänster som privatelink.blob.core.windows.net.

Trafikflöde för en lokal DNS-fråga

Följande diagram visar det trafikflöde som uppstår när en lokal server utfärdar en DNS-begäran.

Avbildningen har två huvudavsnitt som är anslutna via Azure ExpressRoute. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3, DNS-frågan och servrarna. Azure-avsnittet innehåller en plats-till-plats- eller Azure ExpressRoute-gateway, inkommande och utgående slutpunkter, Azure DNS, Azure privat DNS, Azure DNS Private Resolver och två Azure-etablerade DNS-avsnitt som var och en innehåller en eker och en virtuell dator.

1. En lokal server frågar en privat DNS-tjänstpost i Azure, till exempel blob.core.windows.net. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2. Alla lokala datorer pekar på den lokala DNS-servern.

2. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar blob.core.windows.net begäran till DNS-matcharen på IP-adressen 10.0.0.8.

3. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

4. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande DNS-matcharens slutpunkt.

Trafikflöde för en DNS-fråga för virtuella datorer

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till plats-till-platsen eller Azure ExpressRoute-gatewayen i Azure-avsnittet. Avsnittet Azure innehåller inkommande och utgående slutpunkter i gatewayavsnittet, Azure DNS, Azure privat DNS, Azure DNS Private Resolver, Azure etablerade DNS-avsnitt som innehåller en eker och en virtuell dator. De här avsnitten ansluter via länken till DNS-vidarebefordran av det virtuella nätverket till regeluppsättningen för DNS-vidarebefordran. En prickad linje ansluter det här avsnittet till den utgående slutpunkten.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att använda den namnmatchning som Azure tillhandahåller. Därför används Azure DNS för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en DNS-fråga för virtuella datorer via DNS Private Resolver

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en inkommande slutpunkt för DNS Private Resolver. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till plats-till-platsen eller Azure ExpressRoute-gatewayen i Azure-avsnittet. Avsnittet Azure innehåller avsnitten inkommande och utgående slutpunkter, Azure DNS, Azure Private DNS, Azure DNS Private Resolver och DNS-server som innehåller en eker och en virtuell dator. En grön pil anger flödet mellan DNS-serveravsnitten, den inkommande slutpunkten, Azure DNS och Azure privat DNS. DNS-serveravsnitten ansluter också via länken till det virtuella nätverket för DNS-vidarebefordran till regeluppsättningen för DNS-vidarebefordran. En prickad linje ansluter det här avsnittet till den utgående slutpunkten.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att användas 10.0.0.8 som DNS-server för namnmatchning. Därför används DNS Private Resolver för att matcha DNS-frågan.

2. Om frågan försöker matcha ett privat namn kontaktas den privata DNS-tjänsten i Azure.

3. Om frågan inte matchar en privat DNS-zon som är länkad till det virtuella nätverket ansluter Azure DNS till DNS Private Resolver. Det virtuella nätverket Spoke 1 har en länk till ett virtuellt nätverk. Dns Private Resolver söker efter en DNS-regeluppsättning som är associerad med det virtuella nätverket Spoke 1.

4. Om en matchning hittas i DNS-regeluppsättningen vidarebefordras DNS-frågan via den utgående slutpunkten till den IP-adress som anges i regeluppsättningen.

5. Om azure private DNS-tjänsten (2) och DNS Private Resolver (3) inte kan hitta en matchande post används Azure DNS (5) för att lösa frågan.

Varje DNS-vidarebefordringsregel anger en eller flera DNS-målservrar som ska användas för villkorlig vidarebefordran. Den angivna informationen innehåller domännamn, mål-IP-adress och port.

Trafikflöde för en VM DNS-fråga via en lokal DNS-server

Följande diagram visar det trafikflöde som uppstår när vm 1 utfärdar en DNS-begäran via en lokal DNS-server. I det här scenariot försöker det virtuella nätverket Spoke 1 att lösa begäran.

Bilden innehåller två huvudavsnitt. Avsnittet Lokalt innehåller den lokala servern, Windows-skrivbord, App 1, App 2, App 3 och servrar och deras IP-adresser. Azure ExpressRoute ansluter det lokala avsnittet till avsnittet plats-till-plats eller Azure ExpressRoute-gatewayavsnittet som finns i Azure-avsnittet. Avsnittet Azure innehåller avsnitten inkommande och utgående slutpunkter, Azure DNS, Azure Private DNS, Azure DNS Private Resolver och DNS-server som innehåller en eker och en virtuell dator. DNS-serveravsnitten ansluter också via länken till det virtuella nätverket för DNS-vidarebefordran till regeluppsättningen för DNS-vidarebefordran. En lila pil visar flödet av åtgärder.

1. VM 1 frågar en DNS-post. De virtuella ekernätverken är konfigurerade för att användas 192.168.0.1/2 som DNS-server för namnmatchning. Därför används en lokal DNS-server för att lösa DNS-frågan. Begäran skickas till den lokala DNS-servern på IP-adressen 192.168.0.1 eller 192.168.0.2.

2. En villkorlig vidarebefordrare på den lokala DNS-servern vidarebefordrar blob.core.windows.net begäran till DNS-matcharen på IP-adressen 10.0.0.8.

3. DNS-matcharen frågar Azure DNS och tar emot information om en länk till ett virtuellt NÄTVERK för azure-privat DNS-tjänst.

4. Den privata DNS-tjänsten i Azure löser DNS-frågor som skickas via den offentliga DNS-tjänsten i Azure till den inkommande slutpunkten för DNS Private Resolver.

Komponenter

• VPN Gateway är en virtuell nätverksgateway som gör att du kan skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. I den här arkitekturen är en VPN-gateway en valfri komponent för ExpressRoute som möjliggör hybridanslutning mellan Azure och lokala miljöer för DNS-villkorsstyrd vidarebefordrartrafik.

• ExpressRoute är en nätverkstjänst som utökar lokala nätverk till Microsoft-molnet. Den upprättar privata anslutningar till molnkomponenter som Azure-tjänster och Microsoft 365 via en anslutningsleverantör. I den här arkitekturen används ExpressRoute för hybridanslutning mellan Azure och lokala miljöer, särskilt för DNS-villkorsstyrd vidarebefordrartrafik.

• Azure Virtual Network är en nätverkstjänst och den grundläggande byggstenen för privata nätverk i Azure. Det gör att Azure-resurser som virtuella datorer kan kommunicera säkert med varandra, Internet och lokala nätverk. I den tidigare designen är det primära syftet med de virtuella nätverken att vara värdar för DNS Private Resolver och Azure Virtual Machines. Dessa virtuella nätverk underlättar sömlös kommunikation och integrering mellan olika Azure-tjänster och lokala resurser.

• Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som tillämpar principer för program- och nätverksanslutning. Den hanterar principer centralt i flera virtuella nätverk och prenumerationer. I det tidigare användningsfallet kan du implementera Azure Firewall för att förbättra säkerheten för nätverkstrafik. Det ger avancerat skydd mot hot, filtrering av nätverkstrafik och loggningsfunktioner för att endast tillåta auktoriserad trafik samtidigt som potentiella hot blockeras.

• DNS Private Resolver är en tjänst som överbryggar en lokal DNS med Azure DNS. I den här arkitekturen är dess primära funktion att underlätta DNS-frågor mellan privata Azure DNS-zoner och en lokal miljö. Den här faciliteringen eliminerar behovet av VM-baserade DNS-servrar. Den här konfigurationen säkerställer sömlös och effektiv DNS-matchning i hybridmiljöer, vilket gör att Azure och lokala resurser kan kommunicera DNS-matchningar effektivt.

• Azure DNS är en värdtjänst för DNS-domäner som drar nytta av Azures infrastruktur för namnmatchning. Den spelar en avgörande roll i denna design genom att hantera DNS-matchningstrafik.

• Den privata DNS-tjänsten i Azure är en hanterad DNS-tjänst som matchar domännamn i ett virtuellt nätverk och anslutna virtuella nätverk. Det eliminerar behovet av anpassad DNS-konfiguration. Med privata DNS-zoner kan du tilldela anpassade domännamn i stället för att använda de standardnamn som Azure tillhandahåller under distributionen.

• DNS-vidarebefordrare är DNS-servrar som skickar frågor till externa servrar när de inte kan matcha domännamn på egen hand. Detta tillvägagångssätt har länge varit en standardmetod för DNS-matchning. I den här artikeln och dess användningsfall ersätter den privata DNS-matcharen VM-baserade DNS-vidarebefordrare, vilket ger en mer effektiv och strömlinjeformad metod för DNS-matchning.

Information om scenario

Azure tillhandahåller olika DNS-lösningar, inklusive Azure Traffic Manager. Traffic Manager fungerar som en DNS-baserad belastningsutjämningstjänst. Det ger ett sätt att distribuera trafik mellan Azure-regioner till offentliga program.

Innan DNS Private Resolver var tillgängligt var du tvungen att använda anpassade DNS-servrar för DNS-matchning från lokala system till Azure och från Azure till lokala system. Anpassade DNS-lösningar har många nackdelar:

• Att hantera flera anpassade DNS-servrar för flera virtuella nätverk innebär höga infrastruktur- och licenskostnader.

• Du måste hantera alla aspekter av att installera, konfigurera och underhålla DNS-servrar.

• Omkostnader, till exempel övervakning och korrigering av dessa servrar, är komplexa och kan orsaka fel.

• Det finns inget DevOps-stöd för hantering av DNS-poster och vidarebefordransregler.

• Det är dyrt att implementera skalbara DNS-serverlösningar.

DNS Private Resolver åtgärdar dessa hinder genom att tillhandahålla följande funktioner och viktiga fördelar:

• En fullständigt hanterad Microsoft-tjänst som har inbyggd hög tillgänglighet och zonredundans.

• En skalbar lösning optimerad för sömlös integration med DevOps.

• Kostnadsbesparingar jämfört med traditionell infrastruktur som en tjänstbaserad anpassad lösning.

• Villkorlig vidarebefordran för Azure DNS till lokala servrar. Den utgående slutpunkten tillhandahåller den här funktionen, som inte var tillgänglig tidigare. Arbetsbelastningar i Azure kräver inte längre direkta anslutningar till lokala DNS-servrar. I stället ansluter Azure-arbetsbelastningarna till den utgående IP-adressen för DNS Private Resolver.

Potentiella användningsfall

Den här lösningen förenklar privat DNS-matchning i hybridnätverk. Det gäller för följande scenarier:

• Övergångsstrategier under långsiktig migrering till helt molnbaserade lösningar

• Lösningar för haveriberedskap och feltolerans som replikerar data och tjänster mellan lokala miljöer och molnmiljöer

• Lösningar som är värdar för komponenter i Azure för att minska svarstiden mellan lokala datacenter och fjärrplatser

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns iWell-Architected Framework.

Tillförlitlighet

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Checklista för designgranskning för tillförlitlighet.

DNS Private Resolver är en molnbaserad tjänst som är utformad för hög tillgänglighet och byggd för att integreras sömlöst med DevOps-metoder, vilket gör den väl lämpad för samarbetsbaserade och automatiserade arbetsflöden. Den ger en pålitlig och förbättrad DNS-säkerhetslösning samtidigt som den behåller enkelhet och inget underhåll för användarna.

Distribuera inte DNS Private Resolver till ett virtuellt nätverk som innehåller en virtuell ExpressRoute-nätverksgateway och använder jokerteckenregler för att dirigera all namnmatchning till en specifik DNS-server. Den här typen av konfiguration kan orsaka problem med hanteringsanslutningen. Mer information finns i Privat DNS-matchare med jokerteckenregler på en ExpressRoute-gateway.

Regional tillgänglighet

En lista över regioner där DNS Private Resolver är tillgängligt finns i Regional tillgänglighet.

En DNS-matchare kan bara referera till ett virtuellt nätverk som finns i samma region som DNS-matcharen.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.

Azure DNS har DNS-säkerhetstillägg i förhandsversion.

Kostnadsoptimering

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Checklista för designgranskning för kostnadsoptimering.

• Som en lösning är DNS Private Resolver till stor del kostnadseffektivt. En av de främsta fördelarna med DNS Private Resolver är att den är fullständigt hanterad. Den här funktionen eliminerar behovet av dedikerade servrar.

• Om du vill beräkna kostnaden för DNS Private Resolver använder du priskalkylatorn för Azure. Prismodeller för DNS Private Resolver finns i Prissättning för Azure DNS.

• Prissättningen omfattar även tillgänglighets- och skalbarhetsfunktioner.

• ExpressRoute stöder två faktureringsmodeller:

  • Data som mäts, som debiterar dig per gigabyte för utgående dataöverföringar.

  • Obegränsade data, som debiterar dig en fast månatlig portavgift som täcker alla inkommande och utgående dataöverföringar.

  Mer information finns i ExpressRoute-priser.

• Om du använder VPN Gateway i stället för ExpressRoute varierar kostnaden beroende på produkten och debiteras per timme. Mer information finns i priser för VPN Gateway.

Prestandaeffektivitet

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i Checklista för designgranskning för prestandaeffektivitet.

DNS Private Resolver är en fullständigt hanterad Microsoft-tjänst som kan hantera miljontals begäranden. Använd ett adressutrymme för undernätet mellan /28 och /24. För de flesta användare är /26 mest lämplig. Mer information finns i Begränsningar för undernät.

Nätverk

Följande resurser innehåller information om hur du skapar en privat DNS-matchare:

• Skapa en privat DNS-matchare med hjälp av Azure-portalen

• Skapa en privat DNS-matchare med hjälp av Azure PowerShell

Stöd för omvänd DNS

Traditionellt mappar DNS-poster ett DNS-namn till en IP-adress. Löser till exempel www.contoso.com till 42.3.10.170. Omvänd DNS utför den motsatta funktionen. Den mappar en IP-adress tillbaka till ett DNS-namn. IP-adressen 42.3.10.170 matchas till exempel till www.contoso.com.

Mer information om Azure-stöd för omvänd DNS och hur omvänd DNS fungerar finns i Översikt över omvänd DNS och support i Azure.

Begränsningar

Dns Private Resolver har följande begränsningar:

• DNS Private Resolver-regeluppsättningar kan bara länkas till virtuella nätverk som ligger inom samma geografiska region som matcharen.

• Ett virtuellt nätverk får inte innehålla mer än en privat DNS-matchare.

• Du måste tilldela ett dedikerat undernät till varje inkommande och utgående slutpunkt.

Mer information finns i Begränsningar för virtuellt nätverk.

Deltagare

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudförfattare:

• Moorthy Annadurai - Sverige | Senior teknisk specialist

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg

• Vad är en länk till ett virtuellt nätverk?
• Vad är Azure DNS?
• Vad är den privata DNS-tjänsten i Azure?
• Vad är privat DNS-matchare?
• Vanliga frågor och svar om Azure DNS
• Översikt över omvänd DNS och support i Azure

Relaterade resurser

• Azure-filer som används lokalt och skyddas av Active Directory Domain Services
• Utforma en DNS-hybridlösning med Azure
• Azure Enterprise-molnfilresurs