適用於內部部署和 Azure 資源的 DNS

  • 發行項

網域名稱系統 (DNS) 是整體登陸區域架構中重要的設計主題。 有些組織可能會想要在 DNS 中使用現有的投資項目。 其他人則可能將採用雲端架構視為自身 DNS 基礎結構現代化的機會,並改為使用原生的 Azure 功能。

設計考量:

  • 您可以使用 Azure DNS 私人解析程式服務搭配 Azure 私用 DNS 區域進行跨單位名稱解析。

  • 您可能需要在內部部署與 Azure 之間使用現有的 DNS 解決方案。

  • 虛擬網路可連結至且已啟用自動註冊的私人 DNS 區域數目上限為一。

  • 熟悉 Azure 私人 DNS 區域限制

設計建議:

  • 針對必須在 Azure 中進行名稱解析的環境,請使用 Azure 私人 DNS 區域進行解析。 建立委派區域以進行名稱解析 (例如 azure.contoso.com)。 啟用 Azure 私用 DNS區域的自動註冊,以自動管理虛擬網路內部署之虛擬機器的 DNS 記錄生命週期。

  • 對於需要跨 Azure 和內部部署名稱解析的環境,建議使用 DNS 私人解析程式服務以及 Azure 私用 DNS 區域。 它提供許多優於虛擬機器型 DNS 解決方案的優點,包括成本降低、內建高可用性、延展性和彈性。

    例如,如果您需要使用現有的 DNS 基礎結構 (,Active Directory 整合 DNS) ,請確定 DNS 伺服器角色已部署至至少兩部 VM,並在虛擬網路中設定 DNS 設定以使用這些自訂 DNS 伺服器。

  • 針對具有Azure 防火牆的環境,請考慮將其當做DNS Proxy使用。

  • 您可以將 Azure 私用 DNS 區域連結至虛擬網路,並使用 DNS 私人解析程式服務搭配與虛擬網路相關聯的 DNS 轉送規則集:

    • 針對在 Azure 虛擬網路中產生的 DNS 查詢,以解析內部部署 DNS 名稱,例如 corporate.contoso.com ,DNS 查詢會轉送到規則集中指定之內部部署 DNS 伺服器的 IP 位址。
    • 針對在內部部署網路中產生的 DNS 查詢,以解析 Azure 私用 DNS 區域中的 DNS 記錄,您可以使用指向 Azure 中 DNS 私人解析程式服務輸入端點 IP 位址的條件式轉寄站設定內部部署 DNS 伺服器,以將要求轉送至 Azure 私用 DNS 區域 (,例如 azure.contoso.com ,) 。

  • 需要部署自己 DNS 的特殊工作負載 (例如 Red Hat OpenShift) 應該使用其慣用的 DNS 解決方案。

  • 在全域連線訂用帳戶內建立 Azure 私人 DNS 區域。 應建立的 Azure 私人 DNS 區域包含透過私人端點 (例如,privatelink.database.windows.netprivatelink.blob.core.windows.net) 存取 Azure PaaS 服務所需的區域。