Azure DNS 私人解析器端點和規則集
本文會說明 Azure DNS 私人解析器的元件。 內容會討論輸入端點、輸出端點和 DNS 轉送規則集。 內容會說明這些元件的屬性和設定,並提供如何使用這些元件的範例。
下圖摘要說明 Azure DNS 私人解析器的架構。 在此範例網路中,DNS 解析器會部署在與輪輻 VNet 對等互連的中樞 VNet 中。
圖 1:使用 DNS 解析程式的範例中樞和輪輻網路
- 規則集連結會在 DNS 轉送規則集中佈建至中樞和輪輻 VNet,讓兩個 VNet 中的資源都能使用 DNS 轉送規則解析自訂 DNS 命名空間。
- 私人 DNS 區域也會部署並連結至中樞 VNet,讓中樞 VNet 中的資源能夠解析區域中的記錄。
- 輪輻 VNet 會使用 DNS 轉送規則,將私人區域查詢轉送至中樞 VNet 中的輸入端點 VIP,藉此解析私人區域中的記錄。
- 圖中也顯示連線至 ExpressRoute 的內部部署網路,且 DNS 伺服器已設定為將 Azure 私人區域的查詢轉送至輸入端點 VIP。 如需使用 Azure DNS 私人解析器啟用混合式 DNS 解析的詳細資訊,請參閱解析 Azure 和內部部署網域。
注意
名稱解析不需要圖表中顯示的同儕節點連線。 從 DNS 轉接規則集連結的 VNet 在執行名稱解析時,不論連結的 VNet 同儕節點是否與規則集 VNet 一起,都會使用規則集。
輸入端點
如名稱所示,輸入端點會輸入至 Azure。 輸入端點會提供 IP 位址,從內部部署和您虛擬網路外部的其他位置轉送 DNS 查詢。 傳送至輸入端點的 DNS 查詢會使用 Azure DNS 進行解析。 連結至已佈建輸入端點虛擬網路的私人 DNS 區域會由輸入端點進行解析。
與輸入端點相關聯的 IP 位址一律屬於部署私人解析器所在的私人虛擬網路位址空間。 具有輸入端點的相同子網路中不可存在任何其他資源。
靜態和動態端點 IP 位址
指派給輸入端點的 IP 位址可以是靜態或動態的。 如果您選取靜態,則無法選擇 子網路中保留的 IP 位址。 如果您選擇動態 IP 位址,則會指派子網路中的第五個可用 IP 位址。 例如,10.10.0.4 是 10.10.0.0/28 子網路 (.0、.1、.2、.3、.4) 中的第五個 IP 位址。 如果重新佈建輸入端點,此 IP 位址可能會變更,但通常會再次使用子網中的第 5 個 IP 位址。 除非重新佈建輸入端點,否則動態 IP 位址不會變更。 下列範例會指定靜態 IP 位址:
下列範例顯示如何在位址空間為 10.10.0.0/16 之虛擬網路的子網路 snet-E-inbound
中,佈建虛擬 IP 位址 (VIP) 為 10.10.0.4 的輸入端點。
輸出端點
輸出端點是從 Azure 輸出,並可連結至 DNS 轉送規則集。
輸出端點也屬於部署私人解析器所在的私人虛擬網路位址空間。 輸出端點與子網路相關聯,但未佈建 IP 位址,例如輸入端點。 具有輸出端點的相同子網路中不可存在任何其他資源。 下列螢幕擷取畫面顯示子網路 snet-E-outbound
內的輸出端點。
DNS 轉送規則集
DNS 轉送規則集可讓您指定一或多個自訂 DNS 伺服器來回應特定 DNS 命名空間的查詢。 規則集中的個別規則會決定這些 DNS 名稱的解析方式。 規則集也可以連結一或多個虛擬網路,讓 VNet 中的資源能夠使用您設定的轉送規則。
規則集具有下列關聯:
- 單一規則集最多可以與屬於相同 DNS 私人解析器執行個體的 2 個輸出端點相關聯。 在兩個不同的 DNS 私人解析程式實例中,它無法與 2 個輸出端點相關聯。
- 規則集最多可以有 1000 個 DNS 轉送規則。
- 規則集可以連結至相同區域中最多500個虛擬網路。
無法將規則集連結到另一個區域中的虛擬網路。 如需規則集和其他私人解析程式限制的詳細資訊,請參閱 Azure DNS 在使用量上有什麼限制?。
規則集連結
將規則集連結至虛擬網路時,該虛擬網路內的資源會使用規則集中所啟用的 DNS 轉送規則。 連結的虛擬網路不需要與輸出端點所在的虛擬網路同儕節點,但這些網路可以設定為同儕節點。 此設定在中樞和輪輻設計中很常見。 在此中樞和輪輻案例中,不需要將輪輻 vnet 連結至私人 DNS 區域,即可解析區域中的資源記錄。 在此情況下,私人區域的轉送規則集規則會將查詢傳送至中樞 vnet 的輸入端點。 例如:azure.contoso.com 至 10.10.0.4。
下列螢幕擷取畫面顯示連結至輪輻虛擬網路 myeastspoke 的 DNS 轉送規則集。
DNS 轉送規則集的虛擬網路連結可在解析 DNS 名稱時,讓其他 vnet 中的資源使用轉接規則。DNS 轉送規則集的虛擬網路連結可讓其他 VNet 中的資源在解析 DNS 名稱時使用轉送規則。 具有私人解析器的 VNet 也必須從有規則集規則的任何私人 DNS 區域進行連結。
例如,在下列情況下,vnet myeastspoke
中的資源可以解析私人 DNS 區域 azure.contoso.com
中的記錄:
myeastvnet
中佈建的規則集會連結至myeastspoke
- 已設定規則集規則,並在連結的規則集中啟用規則集規則,以使用
myeastvnet
中的輸入端點來解析azure.contoso.com
注意
您也可以將規則集連結至另一個 Azure 訂用帳戶中的虛擬網路。 不過,指定的資源群組必須位於與私人解析器相同的區域中。
規則
DNS 轉送規則 (規則集規則) 具有下列屬性:
屬性 | 說明 |
---|---|
規則名稱 | 您規則的名稱。 名稱必須以字母開頭,且只能包含字母、數字、底線和虛線。 |
網域名稱 | 套用您規則的點終止 DNS 命名空間。 命名空間必須為零標籤 (適用於萬用字元) 或為介於 1 到 34 個標籤。 例如,contoso.com. 有兩個標籤。1 |
目的地 IP:連接埠 | 轉接目的地。 DNS 伺服器 (用來解析指定命名空間中的 DNS 查詢) 的一或多個 IP 位址和連接埠。 |
規則狀態 | 規則狀態:啟用或停用。 如果規則已停用,則會予以忽略。 |
1支援單一標籤網域名稱。
如果符合多個規則,則會使用最長的前置詞比對。
例如,如果有下列的規則:
規則名稱 | 網域名稱 | 目的地 IP:連接埠 | 規則狀態 |
---|---|---|---|
Contoso | .contoso.com | 10.100.0.2:53 | 已啟用 |
AzurePrivate | azure.contoso.com。 | 10.10.0.4:53 | 已啟用 |
萬用字元 | . | 10.100.0.2:53 | 已啟用 |
secure.store.azure.contoso.com
的查詢會比對 azure.contoso.com
的 AzurePrivate 規則,以及比對 contoso.com
的 Contoso 規則,但會優先採用 AzurePrivate 規則,因為前置詞 azure.contoso
長度超過 contoso
。
重要
如果規則集中存在以私人解析器輸入端點作為目的地的規則,請勿將規則集連結至佈建輸入端點的 VNet。 此組態可能會導致 DNS 解析迴圈。 例如:在先前的案例中,不應將任何規則集連結新增至 myeastvnet
,因為 10.10.0.4
的輸入端點是佈建在 myeastvnet
中,並且存在使用輸入端點解析 azure.contoso.com
的規則。
本文中顯示的規則是可用於特定案例的規則範例。 不需要使用的範例。 請小心測試您的轉送規則。
如果您在規則集中包含通配符規則,請確定目標 DNS 服務可以解析公用 DNS 名稱。 某些 Azure 服務相依於公用名稱解析。
規則正在處理
- 如果輸入多個 DNS 伺服器作為規則的目的地,則會使用輸入的第一個 IP 位址,除非其並未回應。 系統會使用指數輪詢演算法來判斷目的地 IP 位址是否回應。
- 使用 DNS 解析的通配符規則時,會忽略特定網域,因為它們會保留給 Azure 服務。 如需保留網域的清單,請參閱 Azure 服務 DNS 區域組態。 本文所列的雙標籤 DNS 名稱 (例如:windows.net、azure.com、azure.net、windowsazure.us) 是保留給 Azure 服務。
重要
- 您無法輸入 168.63.129.16 的 Azure DNS IP 位址作為規則的目的地 IP 位址。 嘗試新增此 IP 位址則會輸出錯誤:發出規則新增要求時發生例外狀況。
- 請勿使用私人解析程式的輸入端點 IP 位址做為未與私人解析程式已佈建的虛擬網路相連結的轉接目的地。
設計選項
在中樞和輪輻架構中部署轉送規則集和輸入端點的方式,主要取決於您的網路設計。 下列各節會簡短討論兩個組態選項。 如需組態範例的更詳細討論,請參閱私人解析器架構。
轉送規則集連結
將轉送規則集連結至 VNet 會啟用該 VNet 中的 DNS 轉送功能。 例如,如果規則集包含會將查詢轉送至私人解析器輸入端點的規則,此類型的規則即可用來啟用連結至輸入端點 VNet 的私人區域解析。 此組態可用於中樞 VNet 連結到私人區域的位置,而且您想要在未連結至私人區域的輪輻 VNet 中解析私人區域。 在此案例中,私人區域的 DNS 解析是由中樞 VNet 中的輸入端點所執行。
規則集連結設計案例最適合分散式 DNS 架構使用,其間網路流量會分散到您的 Azure 網路,且在某些位置可能是唯一的。 透過此設計,您可以藉由修改單一規則集來控制連結至規則集之所有 VNet 中的 DNS 解析。
注意
如果採用規則集連結選項,且存在以輸入端點作為目的地的轉送規則,請勿將轉送規則集連結至中樞 VNet。 將這種類型的規則集連結至佈建了輸入端點的同一 VNet,可能會導致 DNS 解析迴圈。
輸入端點作為自訂 DNS
輸入端點能夠處理輸入 DNS 查詢,並可設定為 VNet 的自訂 DNS。 此組態可以取代您在 VNet 中使用自己的 DNS 伺服器 做為自定義 DNS 的實例。
自訂 DNS 設計案例最適合集中式 DNS 架構使用,其間 DNS 解析和網路流量大多會流向中樞 VNet,並從中央位置控制。
若要使用此方法從輪輻 VNet 解析私人 DNS 區域,輸入端點所在的 VNet 必須連結至私人區域。 中樞 VNet 可以 (選擇性地) 連結至轉送規則集。 如果將規則集連結至中樞,該規則集會處理傳送至輸入端點的所有 DNS 流量。
下一步
- 檢閱 Azure DNS 私人解析器的元件、優點和需求。
- 了解如何使用 Azure PowerShell 或 Azure 入口網站來建立 Azure DNS 私人解析器。
- 了解如何使用 Azure DNS 私人解析器來解析 Azure 和內部部署網域。
- 瞭解如何 使用私人解析程式設定 DNS 故障轉移。
- 了解如何使用私人解析器來設定混合式 DNS。
- 了解 Azure 的一些其他重要網路功能。
- Learn 課程模組:Azure DNS 簡介。