你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure 门户中配置 DNS 转发器
重要
对于 2021 年 7 月 1 日或之后创建的 Azure VMware 解决方案私有云,现在能够配置专用 DNS 解析。 对于在 2021 年 7 月 1 日之前创建的需要专用 DNS 解析的私有云,请开启支持请求并请求专用 DNS 配置。
默认情况下,Azure VMware 解决方案管理组件(如 vCenter Server)只能解析通过公共 DNS 提供的名称记录。 但是,某些混合用例要正常运行,需要 Azure VMware 解决方案管理组件来解析来自专用托管 DNS 的名称记录,包括客户管理的系统(例如,vCenter Server 和 Active Directory)。
Azure VMware 解决方案管理组件的专用 DNS 让你能够通过 NSX-T Data Center DNS 服务为所选专用 DNS 服务器集的所需域名定义条件转发规则。
此功能使用 NSX-T Data Center 中的 DNS 转发器服务。 DNS 服务和默认 DNS 区域作为私有云的一部分提供。 为使 Azure VMware 解决方案管理组件能够解析来自专用 DNS 系统的记录,必须定义 FQDN 区域,并将其应用于 NSX-T Data Center DNS 服务。 DNS 服务根据该区域中定义的外部 DNS 服务器,有条件地转发每个区域的 DNS 查询。
注意
DNS 服务最多与 5 个 FQDN 区域关联。 每个 FQDN 区域最多与 3 个 DNS 服务器关联。
提示
如果需要,还可通过将工作负载段上的虚拟机配置为使用 NSX-T Data Center DNS 服务 IP 地址作为 DNS 服务器,为这些段使用条件转发规则。
体系结构
该图显示 NSX-T Data Center DNS 服务可以将 DNS 查询转发到 Azure 和本地环境中托管的 DNS 系统。
配置 DNS 转发器
在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“DNS”>“DNS 区域”。 然后选择“添加” 。
注意
对于在 2021 年 7 月 1 日或之后创建的私有云,会在私有云创建期间创建默认 DNS 区域。
选择“FQDN 区域”,提供一个名称以及最多三个 DNS 服务器 IP 地址(格式为“10.0.0.53”)。 然后选择确定。
重要
虽然 NSX-T Data Center 允许 DNS 区域名称中存在空格和其他非字母数字字符,但某些 NSX-T Data Center 资源(如 DNS 区域)会映射到不允许在名称中使用特定字符的 Azure 资源。
因此,可能需要根据 Azure 资源命名约定来调整某些 DNS 区域名称,使其在 NSX-T Data Center 中有效。
需要几分钟才能完成这一操作,可以根据“通知”中的进度进行操作。 创建 DNS 区域后,“通知”中会显示一条消息。
忽略有关默认 DNS 区域的消息,因为已在私有云中为你创建了一个该区域。
选择“DNS 服务”选项卡,选择“添加”。
提示
对于在 2021 年 7 月 1 日或之后创建的私有云,可以忽略有关默认 DNS 区域的消息,因为私有云创建期间会创建一个默认 DNS 区域。
重要
虽然私有云中的某些操作可能从 NSX-T Manager 执行,但对于在 2021 年 7 月 1 日或之后创建的私有云,若要对默认 Tier-1 网关做出任何配置更改,必须通过 Azure 门户中的“简化网络”体验来编辑 DNS 服务。
从“FQDN 区域”下拉列表中,选择新创建的 FQDN,然后选择“确定”。
完成操作需要几分钟时间,完成后,将在“通知”中看到“已完成”消息。 此时,私有云中的管理组件应该能够解析提供给 NSX-T Data Center DNS 服务的 FQDN 区域中的 DNS 条目。
对其他 FQDN 区域重复上述步骤(包括任何适用的反向查找区域)。
更改默认 T1 DNS 转发器区域
- 在 Azure VMware 解决方案私有云的“工作负载网络”下,选择“DNS”>“DNS 区域”>检查 TNT##-DNS-FORWARDER-ZONE。 然后选择“编辑”。
- 将 DNS 服务器条目更改为有效的可访问 IP 地址。 然后,选择确定
重要
NSX-T DNS 服务器无法访问的 DNS 终结点将导致 NSX-T 警报,指出终结点无法访问。 如果 Azure VMware 解决方案提供的默认配置,这是因为默认情况下禁用了 Internet。 可以确认并忽略警报,也可以将默认配置更改为有效的终结点。
验证名称解析操作
配置 DNS 转发器后,可以使用几个选项来验证名称解析操作。
VMware NSX-T Manager
NSX-T Manager 提供全局服务级别和每个区域的 DNS 转发器服务统计信息。
在 NSX-T Manager 中,选择“网络”>“DNS”,然后展开 DNS 转发器服务。
选择“查看统计信息”,然后从“区域统计信息”下拉列表中选择你的 FQDN 区域。
上半部分显示整个服务的统计信息,下半部分显示指定区域的统计信息。 在此示例中,可以看到对 FQDN 区域配置期间指定的 DNS 服务的转发查询。
PowerCLI
NSX-T 策略 API 让你可以从 NSX-T Data Center DNS 转发器服务运行 nslookup 命令。 所需的 cmdlet 是 PowerCLI 中的 VMware.VimAutomation.Nsxt
模块的一部分。 以下示例演示版本 12.3.0 的该模块的输出。
连接到 NSX-T Manager 群集。
提示
可以从 Azure 门户中的“管理”>“标识”下获取 NSX-T Manager 群集的 IP 地址。
Connect-NsxtServer -Server 10.103.64.3
获取 DNS 转发器的 nslookup 服务的代理。
$nslookup = Get-NsxtPolicyService -Name com.vmware.nsx_policy.infra.tier_1s.dns_forwarder.nslookup
从 DNS 转发器服务执行查找。
$response = $nslookup.get('TNT86-T1', 'vc01.contoso.corp')
命令的第一个参数是私有云的 T1 网关的 ID,可以从 Azure 门户中的“DNS 服务”选项卡获取它。
使用响应的以下属性从查找中获取原始答案。
$response.dns_answer_per_enforcement_point.raw_answer; (()) DiG 9.10.3-P4-Ubuntu (()) @10.103.64.192 -b 10.103.64.192 vc01.contoso.corp +timeout=5 +tries=3 +nosearch ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -))HEADER((- opcode: QUERY, status: NOERROR, id: 10684 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;vc01.contoso.corp. IN A ;; ANSWER SECTION: vc01.contoso.corp. 3046 IN A 172.21.90.2 ;; Query time: 0 msec ;; SERVER: 10.103.64.192:53(10.103.64.192) ;; WHEN: Thu Jul 01 23:44:36 UTC 2021 ;; MSG SIZE rcvd: 62
此示例中,可以看到针对 vc01.contoso.corp 查询的回复,其中显示了地址为 172.21.90.2 的 A 记录。 此示例还显示来自 DNS 转发器服务的缓存响应,因此输出可能会略有不同。