分享方式:


使用 Azure DNS 的 DNS 區域委派

Azure DNS 可讓您裝載 DNS 網域並管理 DNS 區域記錄。 若要在 Azure 中裝載網域,必須在 Azure 中建立區域,並使用網域註冊機構委派給 Azure 的授權 DNS 伺服器。 Azure DNS 不是網域註冊機構。 本文說明網域委派的運作方式,以及如何將網域委派給 Azure DNS。

請一併參閱:教學課程:在 Azure DNS 中裝載您的網域

DNS 委派的運作方式

網域和區域

網域名稱系統 (DNS) 是網域階層。 階層從 root 網域開始,其名稱只有「.」。 這下面則是頂層網域,例如 comnetorgukjp。 最上層網域下面是第二層網域,例如 org.ukco.jp。 依此類推。 DNS 階層中的網域會以個別 DNS 區域的形式存在。 這些區域遍布全球,並由世界各地的 DNS 名稱伺服器所裝載。

DNS 區域 - 公用 DNS 區域具有唯一名稱 (例如:contoso.com),並由包含資源記錄的集合組成。 DNS 區域會裝載不同類型的 DNS 資源記錄。 例如,網域 contoso.com 可包含 DNS 記錄,例如 mail.contoso.com (用於郵件伺服器) 和 www.contoso.com (用於網站)。

網域註冊機構 - 網域註冊機構是指可以提供網際網路 (公用) 網域名稱的組織。 他們會驗證您想要使用的網際網路網域是否可用,並可讓您購買。 註冊網域名稱時,您就是該網域的合法擁有者。 若您已經有網際網路網域,可以使用目前的網域註冊機構將此網域委派給 Azure DNS。

如需合格網域註冊機構的詳細資訊,請參閱 ICANN 合格註冊機構 \(英文\)。

解析和委派

有兩種類型的 DNS 伺服器:

  • 權威 DNS 伺服器會裝載 DNS 區域。 它只會回答這些區域中的 DNS 記錄查詢。
  • 遞迴 DNS 伺服器不會裝載 DNS 區域。 它會呼叫權威 DNS 伺服器來收集所需的資料,以回答所有 DNS 查詢。

Azure DNS 可提供權威 DNS 服務。 其不提供公用遞迴 DNS 服務。 如需 Azure 私人 DNS 遞迴服務的相關資訊,請參閱什麼是 Azure DNS 私人解析器?。 Azure 中的雲端服務和 VM 預設會設定為使用在 Azure 的基礎結構中個別提供的遞迴 DNS 服務。 如需如何變更這些 DNS 設定的詳細資訊,請參閱 Azure 中的名稱解析

電腦或行動裝置中的 DNS 用戶端,通常會呼叫遞迴 DNS 伺服器,以執行用戶端應用程式需要的任何 DNS 查詢。

當遞迴 DNS 伺服器收到 DNS 記錄的查詢時 (例如 www.contoso.com),就必須先找到裝載 contoso.com 網域的權威命名伺服器。 若要尋找名稱伺服器,其會從根名稱伺服器開始,尋找裝載 com 網域的名稱伺服器。 然後,查詢 com 名稱伺服器,尋找裝載 contoso.com 網域的名稱伺服器。 最後,就能夠向這些名稱伺服器查詢 www.contoso.com

此程序稱為 DNS 名稱解析。 嚴格來說,DNS 解析還包括其他步驟 (例如追蹤 CNAME),但這對於瞭解 DNS 委派的運作方式並不重要。

上層區域如何指向子區域的名稱伺服器? 作法是使用一種特殊的 DNS 記錄,稱為 NS 記錄 (NS 代表「名稱伺服器」)。 例如,根區域包含 com 的 NS 記錄,並且會顯示 com 網域的名稱伺服器。 接著,com 網域會包含 contoso.com 的 NS 記錄,其中顯示 contoso.com 網域的名稱伺服器。 在上層區域中設定子區域的 NS 記錄,稱為委派網域。

下圖顯示 DNS 查詢範例。 contoso.netpartners.contoso.net 區域是已委派給 Azure 授權 DNS 伺服器的公用 DNS 網域。

顯示 DNS 委派運作方式的概念圖表。

  1. 用戶端會向其本機 DNS 伺服器要求 www.partners.contoso.net
  2. 本地 DNS 伺服器沒有記錄,因此會對根名稱伺服器提出要求。
  3. 根名稱伺服器沒有該記錄,但知道 .net 名稱伺服器的位址,並將其提供給本機 DNS 伺服器
  4. 本機 DNS 伺服器將要求傳送至 .net 名稱伺服器。
  5. .net 名稱伺服器沒有記錄,但知道 contoso.net 名稱伺服器的位址。 在此情況下,其會回應在 Azure DNS 中裝載的 DNS 網域所包含的名稱伺服器位址。
  6. 本機 DNS 伺服器將要求傳送至 Azure DNS 中裝載的 contoso.net 網域所包含的名稱伺服器。
  7. 區域 contoso.net 沒有記錄,但知道 partners.contoso.net 的名稱伺服器並回應該位址。 在此案例中,這是在 Azure DNS 中裝載的 DNS 網域。
  8. 本機 DNS 伺服器將要求傳送至 partners.contoso.net 網域的名稱伺服器。
  9. partners.contoso.net 區域具有 www 的 A 記錄,並以此 IP 位址回應。
  10. 本機 DNS 伺服器將此 IP 位址提供給用戶端。
  11. 用戶端會連線至網站www.partners.contoso.net

每個委派實際上有兩份 NS 記錄:一份在上層區域中指向子區域,另一份在子區域本身。 contoso.net 區域包含 contoso.net 的 NS 記錄 (除了 net 中的 NS 記錄之外)。 這些記錄稱為權威 NS 記錄,而且位於子區域的頂點。

下一步

了解如何將您的網域委派給 Azure DNS