私人解析器結構
本文討論兩個可用來解析 DNS 名稱的結構設計選項,包括在您的 Azure 網路之間使用 Azure DNS 私人解析器的私人 DNS 區域。 針對中樞和輪輻 VNet 拓撲中的集中式與分散式 DNS 解析,提供範例設定與設計建議。
- 如需 Azure DNS 私人解析器的概觀,請參閱什麼是 Azure DNS 私人解析器。
- 如需私人解析器元件的詳細資訊,請參閱 Azure DNS 私人解析器端點和規則集。
分散式 DNS 結構
請考慮 Azure 中的下列中樞和輪輻 VNet 拓撲,其中包含位於中樞的私人解析器,以及與輪輻 VNet 的規則集連結。 中樞和輪輻都會在其 VNet 設定中使用 Azure 提供的 DNS:
圖 1:使用規則集連結的分散式 DNS 結構
- 中樞 VNet 已設定位址空間 10.10.0.0/16。
- 輪輻 VNet 已設定位址空間 10.11.0.0/16。
- 私人 DNS 區域 azure.contoso.com 會連結至中樞 VNet。
- 私人解析器會在中樞 VNet 中佈建。
- 私人解析器有一個輸入端點,IP 位址為 10.10.0.4。
- 私人解析器有一個輸出端點和相關聯的 DNS 轉送規則集。
- DNS 轉送規則集會連結至輪輻 VNet。
- 規則集規則已設定為將私人區域的查詢轉送至輸入端點。
中樞 VNet 中的 DNS 解析:從私人區域到中樞 VNet 的虛擬網路連結可讓中樞 VNet 內的資源使用 Azure 提供的 DNS 自動解析 azure.contoso.com 中的 DNS 記錄 (168.63.129.16)。 所有其他命名空間也會使用 Azure 提供的 DNS 進行解析。 中樞 VNet 不會使用規則集規則來解析 DNS 名稱,因為其未連結至規則集。 若要在中樞 VNet 中使用轉送規則,請建立另一個規則集並將其連結至中樞 VNet。
輪輻 VNet 中的 DNS 解析:從規則集到輪輻 VNet 的虛擬網路連結可讓輪輻 VNet 使用已設定的轉送規則解析 azure.contoso.com。 這裡不需要從私人區域到輪輻 VNet 的連結。 輪輻 VNet 會透過 Azure 提供的 DNS,將 azure.contoso.com 的查詢傳送至中樞的輸入端點,因為連結規則集中有符合此網域名稱的規則。 您也可以藉由設定其他規則來轉送其他命名空間的查詢。 不符合規則集規則的 DNS 查詢不會轉送,並使用 Azure 提供的 DNS 進行解析。
重要
在此範例設定中,中樞 VNet 必須連結至私人區域,但不能連結到具有輸入端點轉送規則的轉送規則集。 將轉送規則集 (包含以輸入端點作為目的地的規則) 連結至佈建輸入端點的相同 VNet,可能會導致 DNS 解析迴圈。
集中式 DNS 結構
請考慮下列中樞和輪輻 VNet 拓撲,其中包含在輪輻 VNet 中佈建為自訂 DNS 的輸入端點。 輪輻 VNet 會使用 10.10.0.4 的自訂 DNS 設定,對應至中樞的私人解析器輸入端點:
圖 2:使用自訂 DNS 的集中式 DNS 結構
- 中樞 VNet 已設定位址空間 10.10.0.0/16。
- 輪輻 VNet 已設定位址空間 10.11.0.0/16。
- 私人 DNS 區域 azure.contoso.com 會連結至中樞 VNet。
- 私人解析器位於中樞 VNet。
- 私人解析器有一個輸入端點,IP 位址為 10.10.0.4。
- 私人解析器有一個 (選擇性) 輸出端點和相關聯的 DNS 轉送規則集。
- DNS 轉送規則集會連結至中樞 VNet。
- 規則集規則不會設定為將私人區域的查詢轉送至輸入端點。
中樞 VNet 中的 DNS 解析:從私人區域到中樞 VNet 的虛擬網路連結可讓中樞 VNet 內的資源使用 Azure 提供的 DNS 自動解析 azure.contoso.com 中的 DNS 記錄 (168.63.129.16)。 如果已設定,規則集規則會決定 DNS 名稱的轉送和解析方式。 不符合規則集規則的命名空間會進行解析,而不使用 Azure 提供的 DNS 轉送。
輪輻 VNet 中的 DNS 解析:在此範例中,輪輻 VNet 會將其所有 DNS 流量傳送至中樞 VNet 中的輸入端點。 由於 azure.contoso.com 具有與中樞 VNet 的虛擬網路連結,因此中樞中的所有資源都可以解析 azure.contoso.com,包括輸入端點 (10.10.0.4)。 因此,輪輻會使用中樞輸入端點來解析私人區域。 其他 DNS 名稱會根據轉送規則集中佈建的規則 (如果存在) 來解析輪輻 VNet。
注意
在集中式 DNS 結構案例中,中樞和輪輻 VNet 在解析 DNS 名稱時可以使用選擇性的中樞連結規則集。 這是因為來自輪輻 VNet 的所有 DNS 流量都會因為 VNet 的自訂 DNS 設定而傳送至中樞。 中樞 VNet 在這裡不需要輸出端點或規則集,但如果佈建並連結至中樞 (如圖 2 所示),中樞和輪輻 VNet 都會使用轉送規則。 如先前所述,私人區域的轉送規則不存在於規則集中這一點很重要,因為此設定可能會導致 DNS 解析迴圈。
下一步
- 檢閱 Azure DNS 私人解析器的元件、優點和需求。
- 了解如何使用 Azure PowerShell 或 Azure 入口網站來建立 Azure DNS 私人解析器。
- 了解如何使用 Azure DNS 私人解析器來解析 Azure 和內部部署網域。
- 了解 Azure DNS 私人解析器端點和規則集。
- 了解如何使用私人解析器設定 DNS 容錯移轉
- 了解 Azure 的一些其他重要網路功能。
- Learn 課程模組:Azure DNS 簡介。