解決 Azure 和內部部署網域
混合式 DNS 解析
本文提供如何使用 Azure DNS 私人解析器搭配 DNS 轉送規則集來設定混合式 DNS 解析的指引。 在此案例中,您的 Azure DNS 資源會使用 VPN 或 ExpressRoute 連線來連線到內部部署網路。
混合式 DNS 解析在這裡定義為可讓 Azure 資源解析內部部署網域,以及可讓內部部署 DNS 解析 Azure 私人 DNS 區域。
Azure DNS 私人解析器
Azure DNS 私人解析器是一項服務,可解析 Azure DNS 私人區域的內部部署 DNS 查詢。 先前,必須部署 VM 型自訂 DNS 解析器,或使用非 Microsoft DNS、DHCP 和 IPAM (DDI) 解決方案來執行此函式。
使用 Azure DNS 私人解析器服務與VM 型解析器或 DDI 解決方案的優點包括:
- 零維護:不同於 VM 或硬體型解決方案,私人解析器並不需要軟體更新、弱點掃描或安全性修補。 私人解析器服務完全受控。
- 降低成本:Azure DNS 私人解析器是多租用戶服務,而且可能需要一小部分費用,才能使用及授權多個 VM 型 DNS 解析器。
- 高可用性:Azure DNS 私人解析器服務具有內建的高可用性功能。 服務會感知可用性區域,因此可確保能以較少的心力來完成 DNS 解決方案的高可用性和備援。 如需如何使用私人解析器服務設定 DNS 容錯移轉的詳細資訊,請參閱教學課程:使用私人解析器設定 DNS 容錯移轉。
- 易於使用 DevOps:傳統 DNS 解決方案很難與 DevOps 工作流程整合,因為這些解決方案通常需要針對每個 DNS 變更進行手動設定。 Azure DNS 私人解析器提供功能完整的 ARM 介面,可輕鬆與 DevOps 工作流程整合。
DNS 轉送規則集
DNS 轉送規則集是一組規則,可指定一或多個自訂 DNS 伺服器來回應特定 DNS 命名空間的查詢。 如需詳細資訊,請參閱 Azure DNS 私人解析器端點和規則集。
程序
本文中的下列程序可用來啟用及測試混合式 DNS:
建立 Azure DNS 私人區域
使用至少一個要用於測試的資源記錄來建立私人區域。 下列快速入門可協助您建立私人區域:
在本文中,會使用私人區域 azure.contoso.com 和資源記錄 test。 目前的示範不需要自動註冊。
重要
在此範例中,遞迴伺服器可用來將查詢從內部部署轉送至 Azure。 如果伺服器是父代區域 (contoso.com) 的授權,除非您先為 azure.contoso.com 建立委派,否則無法轉送。
需求:您必須在您要部署 Azure DNS 私人解析器的區域中建立虛擬網路連結。 在下列範例中,私人區域會連結至兩個 VNet:myeastvnet 和 mywestvnet。 至少需要一個連結。
建立 Azure DNS 私人解析器
下列快速入門可協助您建立私人解析器。 這些快速入門會逐步引導您建立資源群組、虛擬網路和 Azure DNS 私人解析器。 輸入端點、輸出端點和 DNS 轉送規則集的設定步驟提供如下:
完成後,請記下 Azure DNS 私人解析器的輸入端點 IP 位址。 在此範例中,IP 位址是 10.10.0.4。 此 IP 位址稍後會用來設定內部部署 DNS 條件式轉寄站。
設定 Azure DNS 轉送規則集
在與私人解析器相同的區域中建立轉送規則集。 以下範例顯示兩個規則集。 美國東部區域規則集用於混合式 DNS 示範。
需求:您必須建立部署私人解析器所在 vnet 的虛擬網路連結。 在下列範例中,存在兩個虛擬網路連結。 myeastvnet-link 連結會建立至佈建私人解析器所在的中樞 vnet。 另外還有一個虛擬網路連結 myeastspoke-link,可在沒有自己私人解析器的輪輻 vnet 中提供混合式 DNS 解析。 輪輻網路能夠使用私人解析器,因為其會與中樞網路對等互連。 目前示範不需要輪輻 vnet 連結。
接下來,在您內部部署網域的規則集中建立規則。 在此範例中,我們使用 contoso.com。 將規則的目的地 IP 位址設定為內部部署 DNS 伺服器的 IP 位址。 在此範例中,內部部署 DNS 伺服器位於 10.100.0.2。 確認規則為 [已啟用]。
注意
請勿變更虛擬網路使用輸入端點 IP 位址的 DNS 設定。 保留預設 DNS 設定。
設定內部部署 DNS 條件轉寄站
設定內部部署 DNS 的程序取決於您所使用的 DNS 伺服器類型。 在下列範例中,會使用私人 DNS 區域 azure.contoso.com 的條件轉寄站來設定 10.100.0.2 的 Windows DNS 伺服器。 條件轉寄站會設定為將查詢轉送至 10.10.0.4,這是 Azure DNS 私人解析器的輸入端點 IP 位址。 這裡也會設定另一個 IP 位址來啟用 DNS 容錯移轉。 如需啟用容錯移轉的詳細資訊,請參閱教學課程:使用私人解析器設定 DNS 容錯移轉。 如需進行此示範,只需要 10.10.0.4 輸入端點。
示範混合式 DNS
使用位於佈建 Azure DNS 私人解析器虛擬網路中的 VM,針對內部部署網域中的資源記錄發出 DNS 查詢。 在此範例中,會針對 testdns.contoso.com 記錄執行查詢:
查詢的路徑為:Azure DNS > 輸入端點 > 輸出端點 > contoso.com 的規則集規則 > 內部部署 DNS (10.100.0.2)。 位於 10.100.0.2 的 DNS 伺服器是內部部署 DNS 解析器,但也可能是授權 DNS 伺服器。
使用內部部署 VM 或裝置,針對您 Azure 私人 DNS 區域中的資源記錄發出 DNS 查詢。 在此範例中,會針對 test.azure.contoso.com 記錄執行查詢:
此查詢的路徑為:用戶端的預設 DNS 解析器 (10.100.0.2) > azure.contoso.com 的內部部署條件轉寄站規則 > 輸入端點 (10.10.0.4)
下一步
- 檢閱 Azure DNS 私人解析器的元件、優點和需求。
- 了解如何使用 Azure PowerShell 或 Azure 入口網站來建立 Azure DNS 私人解析器。
- 了解如何使用 Azure DNS 私人解析器來解析 Azure 和內部部署網域。
- 了解 Azure DNS 私人解析器端點和規則集。
- 了解如何使用私人解析器設定 DNS 容錯移轉。
- 了解 Azure 的一些其他重要網路功能。
- Learn 課程模組:Azure DNS 簡介。