Vad är Azure DNS Private Resolver?
Azure DNS Private Resolver är en ny tjänst där du kan köra frågor mot privata Azure DNS-zoner från en lokal miljö och vice versa utan att distribuera VM-baserade DNS-servrar.
Hur fungerar det?
Azure DNS Private Resolver kräver ett virtuellt Azure-nätverk. När du skapar en privat Lösning för Azure DNS i ett virtuellt nätverk upprättas en eller flera inkommande slutpunkter som kan användas som mål för DNS-frågor. Lösenlösarens utgående slutpunkt bearbetar DNS-frågor baserat på en REGELuppsättning för DNS-vidarebefordran som du konfigurerar. DNS-frågor som initieras i nätverk som är länkade till en regeluppsättning kan skickas till andra DNS-servrar.
Du behöver inte ändra några DNS-klientinställningar på dina virtuella datorer (VM) för att använda Azure DNS Private Resolver.You don't need to change any DNS client settings on your virtual machines (VM) to use the Azure DNS Private Resolver.
DNS-frågeprocessen när du använder en privat Lösning för Azure DNS sammanfattas nedan:
- En klient i ett virtuellt nätverk utfärdar en DNS-fråga.
- Om DNS-servrarna för det här virtuella nätverket anges som anpassade vidarebefordras frågan till de angivna IP-adresserna.
- Om Standard(Azure-tillhandahållna) DNS-servrar konfigureras i det virtuella nätverket och det finns Privat DNS zoner som är länkade till samma virtuella nätverk, konsulteras dessa zoner.
- Om frågan inte matchar en Privat DNS zon som är länkad till det virtuella nätverket, konsulteras länkar till virtuella nätverk för DNS-vidarebefordransregler.
- Om det inte finns några regeluppsättningslänkar används Azure DNS för att lösa frågan.
- Om regeluppsättningslänkar finns utvärderas DNS-vidarebefordransregler .
- Om en suffixmatchning hittas vidarebefordras frågan till den angivna adressen.
- Om det finns flera matchningar används det längsta suffixet.
- Om ingen matchning hittas sker ingen DNS-vidarebefordran och Azure DNS används för att lösa frågan.
Arkitekturen för Azure DNS Private Resolver sammanfattas i följande bild. DNS-matchning mellan virtuella Azure-nätverk och lokala nätverk kräver Azure ExpressRoute eller ett VPN.
Bild 1: Azure DNS Private Resolver-arkitektur
Mer information om hur du skapar en privat DNS-matchare finns i:
- Snabbstart: Skapa en privat Lösning för Azure DNS med hjälp av Azure-portalen
- Snabbstart: Skapa en privat Lösning för Azure DNS med Azure PowerShell
Azure DNS Private Resolver-fördelar
Azure DNS Private Resolver ger följande fördelar:
- Fullständigt hanterad: Inbyggd hög tillgänglighet, zonredundans.
- Kostnadsminskning: Minska driftskostnaderna och kör till en bråkdel av priset för traditionella IaaS-lösningar.
- Privat åtkomst till dina Privat DNS-zoner: Villkorligt vidarebefordra till och från lokalt.
- Skalbarhet: Höga prestanda per slutpunkt.
- DevOps Friendly: Skapa dina pipelines med Terraform, ARM eller Bicep.
Regional tillgänglighet
Se Azure-produkter efter region – Azure DNS.
Dataresidens
Azure DNS Private Resolver flyttar eller lagrar inte kunddata från den region där matcharen distribueras.
SLUTpunkter och regeluppsättningar för DNS-matchare
En sammanfattning av lösningsslutpunkter och regeluppsättningar finns i den här artikeln. Detaljerad information om slutpunkter och regeluppsättningar finns i Azure DNS Private Resolver-slutpunkter och regeluppsättningar.
Inkommande slutpunkter
En inkommande slutpunkt möjliggör namnmatchning från lokala eller andra privata platser via en IP-adress som ingår i det privata virtuella nätverkets adressutrymme. Lös din privata DNS-zon i Azure lokalt genom att ange IP-adressen för den inkommande slutpunkten i den lokala DNS-villkorliga vidarebefordraren. Den lokala DNS-villkorliga vidarebefordraren måste ha en nätverksanslutning till det virtuella nätverket.
Den inkommande slutpunkten kräver ett undernät i det virtuella nätverk där det etableras. Undernätet kan bara delegeras till Microsoft.Network/dnsResolvers och kan inte användas för andra tjänster. DNS-frågor som tas emot av inkommande slutpunkts-ingress till Azure. Du kan lösa namn i scenarier där du har Privat DNS zoner, inklusive virtuella datorer som använder automatisk registrering eller Private Link-aktiverade tjänster.
Kommentar
IP-adressen som tilldelats en inkommande slutpunkt kan anges som statisk eller dynamisk. Mer information finns i STATISKa och dynamiska IP-adresser för slutpunkter.
Utgående slutpunkter
En utgående slutpunkt möjliggör namnmatchning för villkorlig vidarebefordran från Azure till lokala, andra molnleverantörer eller externa DNS-servrar. Den här slutpunkten kräver ett dedikerat undernät i det virtuella nätverk där det etableras, utan någon annan tjänst som körs i undernätet, och kan bara delegeras till Microsoft.Network/dnsResolvers. DNS-frågor som skickas till den utgående slutpunkten kommer ut från Azure.
Virtuella nätverkslänkar
Länkar till virtuella nätverk aktiverar namnmatchning för virtuella nätverk som är länkade till en utgående slutpunkt med en REGELuppsättning för DNS-vidarebefordran. Det här är en 1:1-relation.
Regler för DNS-vidarebefordring
En regeluppsättning för DNS-vidarebefordran är en grupp dns-vidarebefordransregler (upp till 1 000) som kan tillämpas på en eller flera utgående slutpunkter eller länkas till ett eller flera virtuella nätverk. Det här är en 1:N-relation. Regeluppsättningar är associerade med en specifik slutpunkt för utgående trafik. Mer information finns i DNS-regler för vidarebefordran.
Regler för DNS-vidarebefordring
En DNS-vidarebefordringsregel innehåller en eller flera DNS-målservrar som används för villkorlig vidarebefordran och som representeras av:
- Ett domännamn
- En mål-IP-adress
- En målport och ett protokoll (UDP eller TCP)
Begränsningar
Följande begränsningar gäller för azure DNS Private Resolver:
Privat DNS-matchare1
| Resurs | Gräns |
|---|---|
| Privata DNS-matchare per prenumeration | 15 |
| Inkommande slutpunkter per privat DNS-matchare | 5 |
| Utgående slutpunkter per privat DNS-matchare | 5 |
| Regler för vidarebefordran per DNS-vidarebefordran | 1000 |
| Länkar till virtuella nätverk per REGELuppsättning för DNS-vidarebefordran | 500 |
| Regler för utgående slutpunkter per DNS-vidarebefordran | 2 |
| Regler för DNS-vidarebefordran per utgående slutpunkt | 2 |
| Mål-DNS-servrar per vidarebefordringsregel | 6 |
| QPS per slutpunkt | 10,000 |
1Olika gränser kan tillämpas av Azure-portalen tills portalen har uppdaterats. Använd PowerShell för att etablera element upp till de senaste gränserna.
Begränsningar för virtuellt nätverk
Följande begränsningar gäller för virtuella nätverk:
- En DNS-matchare kan bara referera till ett virtuellt nätverk i samma region som DNS-matcharen.
- Ett virtuellt nätverk kan inte delas mellan flera DNS-matchare. Ett enda virtuellt nätverk kan bara refereras av en enda DNS-matchare.
Undernätsbegränsningar
Undernät som används för DNS-matchare har följande begränsningar:
- Ett undernät måste ha ett minsta adressutrymme på /28 eller ett adressutrymme på högst /24. Ett /28-undernät räcker för att hantera aktuella slutpunktsgränser. En undernätsstorlek på /27 till /24 kan ge flexibilitet om dessa gränser ändras.
- Ett undernät kan inte delas mellan flera DNS-matchningsslutpunkter. Ett enda undernät kan bara användas av en enda DNS-matchningsslutpunkt.
- Alla IP-konfigurationer för en inkommande DNS-matchares slutpunkt måste referera till samma undernät. Det är inte tillåtet att sträcka sig över flera undernät i IP-konfigurationen för en enskild inkommande DNS-matchare.
- Det undernät som används för en inkommande DNS-matchningsslutpunkt måste finnas i det virtuella nätverk som refereras av den överordnade DNS-matcharen.
- Undernätet kan bara delegeras till Microsoft.Network/dnsResolvers och kan inte användas för andra tjänster.
Begränsningar för utgående slutpunkt
Utgående slutpunkter har följande begränsningar:
- Det går inte att ta bort en utgående slutpunkt om inte regeluppsättningen för DNS-vidarebefordring och de virtuella nätverkslänkarna under den tas bort.
Begränsningar för regeluppsättningar
- Regeluppsättningar kan ha upp till 1 000 regler.
Andra begränsningar
- IPv6-aktiverade undernät stöds inte.
- Privat DNS-matchare stöder inte Azure ExpressRoute FastPath.
- Dns private resolver inbound endpoint provisioning är inte kompatibelt med Azure Lighthouse.
- Om du vill se om Azure Lighthouse används söker du efter tjänstleverantörer i Azure-portalen och väljer Tjänstleverantörserbjudanden.
Nästa steg
- Lär dig hur du skapar en privat Lösning för Azure DNS med hjälp av Azure PowerShell eller Azure-portalen.
- Förstå hur du löser Azure och lokala domäner med hjälp av Azure DNS Private Resolver.
- Lär dig mer om Slutpunkter och regeluppsättningar för privat matchning i Azure DNS.
- Lär dig hur du konfigurerar DNS-redundans med hjälp av privata matchare
- Lär dig hur du konfigurerar hybrid-DNS med hjälp av privata matchare.
- Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.
- Learn-modul: Introduktion till Azure DNS.