在 Azure 入口網站中設定 DNS 轉寄站
重要
針對在 2021 年 7 月 1 日或之後建立的 Azure VMware 解決方案私人雲端,您現在能設定私人 DNS 解析。 針對 2021 年 7 月 1 日之前建立的私人雲端,則需要私人 DNS 解析,請開啟支援要求並要求私人 DNS 組態。
根據預設,Azure VMware 解決方案管理元件 (例如 vCenter Server) 僅可解析透過公用 DNS 提供的名稱記錄。 不過,某些混合式使用案例需要 Azure VMware 解決方案,才能解析私人裝載 DNS 的名稱記錄以正常運作,包含 vCenter Server 和 Active Directory 等客戶自控的系統。
Azure VMware 解決方案管理元件的私人 DNS 可讓您透過 NSX-T 資料中心 DNS 服務,對所選私人 DNS 伺服器集定義所需網域名稱的條件式轉送規則。
此功能會使用 NST-X 資料中心的 DNS 轉寄站服務。 DNS 服務和預設 DNS 區域會提供作為私人雲端的一部分。 若要啟用 Azure VMware 解決方案管理元件來解析私人 DNS 系統的記錄,您必須定義 FQDN 區域並將其套用至 NSX-T 資料中心 DNS 服務。 DNS 服務會根據該區域中定義的外部 DNS 伺服器,依條件轉寄每個區域的 DNS 查詢。
注意
DNS 服務最多與五個 FQDN 區域相關聯。 每個 FQDN 區域最多與三個 DNS 服務相關聯。
提示
如需要,您也可在這些區段上設定虛擬機器以使用 NSX-T 資料中心 DNS 服務 IP 位址作為 DNS 伺服器,藉以使用條件式轉寄規則。
架構
圖表顯示 NSX-T 資料中心 DNS 服務可將 DNS 查詢轉寄至 Azure 和內部部署中裝載的 DNS 系統。
設定 DNS 轉寄站
在 Azure VMware 解決方案私人雲端的 [工作負載網路] 下,選取 [DNS]>[DNS 區域]。 然後選取 [新增]。
注意
針對 2021 年 7 月 1 日或之後建立的私人雲端,在私人雲端建立期間會為您建立預設 DNS 區域。
選取 [FQDN 區域],提供名稱和最多三個格式為 10.0.0.53 的 DNS 伺服器 IP 位址。 然後選取確定。
重要
即使 NSX-T 資料中心允許 DNS 區域名稱的空格和其他非英數字元,但某些 NSX-T 資料中心資源 (例如 DNS 區域) 仍會對應至其名稱不允許特定字元的 Azure 資源。
因此,NSX-T 資料中心中反而有效的 DNS 區域名稱可能需要調整,才能遵循 Azure 資源命名慣例。
完成需要幾分鐘的時間,您可遵循 [通知] 的進度。 建立 DNS 區域時,您會在 [通知] 中看到訊息。
忽略預設 DNS 區域的相關訊息,因為系統將為您建立 DNS 區域作為私人雲端的一部份。
選取 [DNS 服務] 索引標籤,接著選取 [編輯]。
提示
針對 2021 年 7 月 1 日建立的私人雲端,您可忽略預設 DNS 區域的相關訊息,因為在私人雲端建立期間會為您建立 DNS 區域。
重要
即使私人雲端中的某些作業可能會透過 NSX-T Manager 執行,但針對 2021 年 7 月 1 日或之後建立的私人雲端,您仍必須根據對預設第 1 層閘道的設定變更,從 Azure 入口網站的「簡化網路」體驗 DNS 服務。
從 [FQDN 區域] 下拉式清單,選取新建立的 FQDN,然後選取 [確定]。
完成需要幾分鐘的時間,完成後,您將看到 [通知] 中的 [已完成] 訊息。 屆時,私人雲端中的管理元件應能解析 FQDN 區域的 DNS 項目,其會提供給 NSX-T 資料中心 DNS 服務。
針對其他 FQDN 區域 (包含任何適用的反向查閱區域),重複上述步驟。
變更預設的 T1 DNS 轉寄站區域
- 在 Azure VMware 解決方案私人雲端的 [工作負載網路] 下方,選取 [DNS]> [DNS 區域]> 檢查 TNT##-DNS-FORWARDER-ZONE。 然後,選取 [編輯]。
- 將 DNS 伺服器項目變更為有效的可連線 IP 位址。 然後選取 [確定]
重要
NSX-T DNS 伺服器無法連線的 DNS 端點會導致 NSX-T 警示指出端點無法連線。 如果是 Azure VMware 解決方案所提供的預設組態,這是因為預設會停用網際網路。 您可以確認並忽略警示,也可以將預設組態變更為有效的端點。
驗證名稱解析作業
設定 DNS 轉寄站之後,您有一些選項可用來驗證名稱解析作業。
NSX-T Manager
NSX-T Manager 提供全域服務層級的 DNS 轉寄站服務統計資料,並以每個區域為基礎。
在 NSX-T Manager 中,選取 [網路]>[DNS],然後展開 DNS 轉寄站服務。
選取 [檢視統計資料],接著從 [區域統計資料] 下拉式清單選取您的 FQDN 區域。
上半部顯示整個服務的統計資料,而下半部顯示特定區域的統計資料。 在此範例中,您可以看到設定 FQDN 區域期間所指定 DNS 服務的轉寄查詢。
PowerCLI
NSX-T 原則 API 可讓您從 NSX-T 資料中心 DNS 轉寄站服務執行 nslookup 命令。 必要的 Cmdlet 是 PowerCLI 中 VMware.VimAutomation.Nsxt
模組的一部分。 下列範例展示該模組版本 12.3.0 的輸出。
連線至您的 NSX-T Manager 叢集。
提示
您可從 Azure 入口網站的 [管理]>[身分識別] 下方取得 NSX-T Manager 叢集的 IP 位址。
Connect-NsxtServer -Server 10.103.64.3
取得 DNS 轉寄站 nslookup 服務的 Proxy。
$nslookup = Get-NsxtPolicyService -Name com.vmware.nsx_policy.infra.tier_1s.dns_forwarder.nslookup
從 DNS 轉寄站服務執行查閱。
$response = $nslookup.get('TNT86-T1', 'vc01.contoso.corp')
命令中的第一個參數是私人元端 T1 閘道的識別碼,您可從 Azure 入口網站的 [DNS 服務] 索引標籤取得。
使用下列回應的屬性,從查閱取得原始答案。
$response.dns_answer_per_enforcement_point.raw_answer; (()) DiG 9.10.3-P4-Ubuntu (()) @10.103.64.192 -b 10.103.64.192 vc01.contoso.corp +timeout=5 +tries=3 +nosearch ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -))HEADER((- opcode: QUERY, status: NOERROR, id: 10684 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;vc01.contoso.corp. IN A ;; ANSWER SECTION: vc01.contoso.corp. 3046 IN A 172.21.90.2 ;; Query time: 0 msec ;; SERVER: 10.103.64.192:53(10.103.64.192) ;; WHEN: Thu Jul 01 23:44:36 UTC 2021 ;; MSG SIZE rcvd: 62
在此範例中,您可看到 vc01.contoso.corp 查詢的答案,顯示位址 172.21.90.2 的記錄。 此範例也會顯示 DNS 轉寄站服務的快取回應,因此您輸出可能會稍有不同。