快速入門:使用 Azure 入口網站建立 Azure DNS 私人解析器
本快速入門會逐步引導您使用 Azure 入口網站建立 Azure DNS 私人解析器。 如果您想要的話,可以使用 Azure PowerShell 完成此快速入門。
Azure DNS 私人解析器可讓您從內部部署環境查詢 Azure DNS 私人區域,反之亦然,而且不需要部署以 VM 為基礎的 DNS 伺服器。 不再需要在虛擬網路上佈建 IaaS 型的解決方案來解析在 Azure 私人 DNS 區域上註冊的名稱。 您可以設定將域的條件式轉送回內部部署、多重雲端和公用 DNS 伺服器。 如需詳細資訊,包括優點、功能和區域可用性,請參閱什麼是 Azure DNS 私人解析器。
本文內容:
- 會建立兩個 VNet:myvnet 和 myvnet2。
- 第一個 VNet 中會建立 Azure DNS 私人解析程式,其輸入端點為 10.10.0.4。
- 系統會為私人解析器建立 DNS 轉送規則集。
- DNS 轉送規則集連結至第二個 VNet。
- 規則範例會新增至 DNS 轉送規則集。
本文不會示範 DNS 至內部部署網路的轉送。 如需詳細資訊,請參閱解析 Azure 和內部部署網域。
下圖摘要說明本文中使用的設定:
必要條件
需要有效的 Azure 訂用帳戶。
- 如果您還沒有 Azure 訂用帳戶,您可以建立免費帳戶。
註冊 Microsoft.Network 提供者命名空間
您必須先註冊 Microsoft.Network 命名空間,才能搭配 Azure 訂用帳戶使用 Microsoft.Network 服務:
- 選取 Azure 入口網站 中的 [訂用帳戶] 刀鋒視窗,然後選擇您的訂用帳戶。
- 在 [設定] 下選取 [資源提供者]
- 選取 [Microsoft.Network],然後選取 [註冊]。
建立資源群組
首先,建立或選擇現有的資源群組來裝載 DNS 解析器的資源。 資源群組必須位於支援的區域中。 在此範例中,位置為美國中西部。 若要建立新的資源群組:
建立虛擬網路
接下來,將虛擬網路新增至您所建立的資源群組,並設定子網路。
選取您建立的資源群組、選取 [建立]、從類別清單中選取 [網络],然後在 [虛擬網络] 旁選取 [建立]。
在 [ 基本] 索引 標籤上,輸入新虛擬網路的名稱,然後選取 與您的資源群組相同的區域 。
在 [ IP 位址] 索引標籤上,將 IPv4 位址空間 修改為 10.0.0.0/16。
選取 [新增子網 ],然後輸入子網名稱和位址範圍:
- 子網名稱:snet-inbound
- 子網位址範圍:10.0.0.0/28
- 選取 [新增 ] 以新增子網。
選取 [新增子網 ],並設定輸出端點子網:
- 子網名稱:snet-outbound
- 子網位址範圍:10.0.1.0/28
- 選取 [新增 ] 以新增此子網。
選取 [檢閱 + 建立],然後選取 [建立]。
在虛擬網路內建立 DNS 解析器
開啟 Azure 入口網站 並搜尋 DNS 私人解析程式。
選取 [DNS 私人解析器],選取 [建立],然後在 [建立 DNS 私人解析器] 的 [基本]索引標籤上輸入以下內容:
- 訂用帳戶:選擇您使用的訂用帳戶名稱。
- 資源群組:為您建立的資源群組選擇名稱。
- 名稱:輸入您的 DNS 解析器的名稱 (例如 mydnsresolver)。
- 區域:選擇您用於虛擬網路的區域。
- 虛擬網路:選取您稍早建立的虛擬網路。
還不要建立 DNS 解析器。
選取 [輸入端點] 索引標籤,選取 [新增端點],然後在 [端點名稱] 旁輸入名稱 (例如:myinboundendpoint)。
在 [子網] 旁,選取您建立的輸入端點子網(例如:snet-inbound,10.0.0.0/28),然後選取 [ 儲存]。
選取 [輸出端點] 索引標籤,選取 [新增端點],然後在 [端點名稱] 旁輸入名稱 (例如:myoutboundendpoint)。
在 [子網] 旁,選取您建立的輸出端點子網(例如:snet-outbound,10.0.1.0/28),然後選取 [ 儲存]。
選取 [規則集] 索引標籤,選取 [新增規則集],然後輸入以下內容:
- 規則集名稱:輸入規則集的名稱 (例如:myruleset)。
- 端點:選取您建立的輸出端點 (例如:myoutboundendpoint)。
在 [規則] 底下,選取 [新增],然後輸入您的條件式 DNS 轉送規則。 例如:
- 規則名稱:輸入規則名稱 (例如:contosocom)。
- 網域名稱:輸入具有後置點的網域名稱 (例如:contoso.com.)。
- 規則狀態:選擇 [已啟用] 或 [已停用]。 預設值為 [已啟用]。
- 選取 [新增目的地 ],然後輸入所需的目的地 IPv4 位址(例如:203.0.113.10)。
- 如有需要,請再次選取 [新增目的地 ] 以新增另一個目的地 IPv4 位址(例如:203.0.113.11)。
- 當您完成新增目的地 IP 位址時,請選取 [新增]。
選取 [檢閱及建立],然後選取 [建立]。
此範例只有一個條件式轉接規則,但您可以建立多個規則。 視需要編輯規則以啟用或停用這些規則。
選取 [ 建立] 之後,新的 DNS 解析程式將會開始部署。 此流程可能需要一或兩分鐘。 部署期間會顯示每個元件的狀態。
建立第二個虛擬網路
建立第二個虛擬網路來模擬內部部署或其他環境。 建立第二個虛擬網路:
從 [Azure 服務] 清單中選取 [虛擬網路],或搜尋 [虛擬網路],然後選取 [虛擬網路]。
選取 [建立],然後在 [基本] 索引標籤上選取您的訂用帳戶,然後選擇您在本指南中使用的相同資源群組 (例如:myresourcegroup)。
在 [名稱] 旁,輸入新虛擬網路的名稱 (例如:myvnet2)。
請確認選取的區域與本指南先前使用的相同區域 (例如:美國中西部)。
選取 [IP 位址] 索引標籤,然後編輯預設 IP 位址空間。 以模擬的內部部署位址空間取代位址空間 (例如:10.1.0.0/16)。
選取 [ 新增子網 ],然後輸入下列專案:
- 子網名稱:backendsubnet
- 子網路位址範圍:10.1.0.0/24
選取 [ 新增],選取 [ 檢閱 + 建立],然後選取 [ 建立]。
將您的轉送規則集連結至第二個虛擬網路
若要將您的轉送規則集套用至第二個虛擬網路,您必須建立虛擬連結。
在 Azure 服務清單中搜尋 DNS 轉送規則集,並選取您的規則集 (例如:myruleset)。
選取 [虛擬網絡 連結],選取 [新增],選擇 [myvnet2],然後使用預設的 [鏈接名稱 myvnet2-link]。
選取 [新增],並確認已成功新增連結。 您可能需要重新整理網頁。
刪除虛擬網路連結
本文稍後會使用私人解析器輸入端點作為目的地來建立規則。 如果佈建解析器所在的 VNet 也連結至規則集,此設定可能會導致 DNS 解析進入迴圈。 若要修正此問題,請移除 myvnet 的連結。
在 Azure 服務清單中搜尋 DNS 轉送規則集,並選取您的規則集 (例如:myruleset)。
選取 [虛擬網路連結],選擇 [myvnet-link],選取 [移除],然後選取 [確定]。
設定 DNS 轉送規則集
視需要新增或移除 DNS 轉送規則集的特定規則,例如:
- 解析連結至虛擬網路 Azure 私人 DNS 區域的規則:azure.contoso.com。
- 解析內部部署區域的規則:internal.contoso.com。
- 將不相符 DNS 查詢轉送至防護 DNS 服務的萬用字元規則。
重要
本快速入門中顯示的規則是可用於特定案例的規則範例。 本文中所述的任一規則都不需要。 請小心測試您的轉送規則,並確保規則不會造成 DNS 解析問題。
如果您在規則集中包含通配符規則,請確定目標 DNS 服務可以解析公用 DNS 名稱。 某些 Azure 服務相依於公用名稱解析。
刪除轉送規則集中的規則
您可以刪除或停用個別規則。 在此範例中,會刪除規則。
- 在 Azure 服務清單中搜尋 Dns 轉送規則集 ,然後加以選取。
- 選取您先前設定的規則集(例如: imfuleset),然後選取 [ 規則]。
- 選取先前所設定的 contosocom 範例規則,接著選取 [刪除],然後選取 [確定]。
將規則新增至轉送規則集
將三個新的條件式轉送規則新增至規則集。
在 [myruleset | 規則] 頁面上,選取 [新增],然後輸入下列規則資料:
- 規則名稱:AzurePrivate
- 網域名稱:azure.contoso.com
- 規則狀態:已啟用
在 [目的地 IP 位址] 下,輸入 10.0.0.4,然後選取 [新增]。
在 [myruleset | 規則] 頁面上,選取 [新增],然後輸入下列規則資料:
- 規則名稱:Internal
- 網域名稱:internal.contoso.com
- 規則狀態:已啟用
在 [目的地 IP 位址] 下,輸入 192.168.1.2,然後選取 [新增]。
在 [myruleset | 規則] 頁面上,選取 [新增],然後輸入下列規則資料:
- 規則名稱:Wildcard
- 網域名稱:. (僅限輸入一個點號)
- 規則狀態:已啟用
在 [目的地 IP 位址] 下,輸入 10.5.5.5,然後選取 [新增]。
在此範例中:
- 10.0.0.4 是解析器的輸入端點。
- 192.168.1.2 是內部部署 DNS 伺服器。
- 10.5.5.5 是防護 DNS 服務。
測試私人解析器
您現在應該能夠將 DNS 流量傳送至 DNS 解析器,並根據轉送規則集解析記錄,包括:
- 連結至解析器部署所在虛擬網路的 Azure DNS 私人區域。
- 如果 VNet 連結到私人區域本身,則不需要轉送規則集中私人區域的規則。 VNet 中的資源可以直接解析區域。 不過,在此範例中,第二個 VNet 不會連結至私人區域。 其仍然可以使用轉送規則集來解析區域。 如需此設計的詳細資訊,請參閱私人解析器架構。
- 裝載在內部部署的私人 DNS 區域。
- 公用網際網路 DNS 命名空間中的 DNS 區域。