什麼是 Azure DNS?
Azure DNS 是 DNS 網域的主機服務,採用 Microsoft Azure 基礎結構來提供名稱解析。
在本單元中,您將了解 DNS 為何及其運作方式。 您也將會了解 Azure DNS,以及使用此服務的原因。
何謂 DNS?
DNS (即網域名稱系統) 是 TCP/IP 標準內的通訊協定。 DNS 扮演將人類可讀網域名稱 (例如: www.wideworldimports.com) 轉譯成已知 IP 位址的基本角色。 IP 位址可讓電腦和網路裝置互相識別並路由傳送要求。
DNS 會使用裝載於世界各地伺服器上的全域目錄。 Microsoft 是該網路的一部分,可透過 Azure DNS 提供 DNS 服務。
DNS 伺服器也稱為 DNS 名稱伺服器,或僅稱為名稱伺服器。
DNS 如何運作?
DNS 伺服器會執行兩個主要功能的其中一項:
- 維護最近所存取或所使用網域名稱及其 IP 位址的本機快取。 此快取可為本機網域查閱要求提供更快速的回應。 如果 DNS 伺服器找不到要求的網域,則會將要求傳遞給另一部 DNS 伺服器。 將會在每部 DNS 伺服器上重複這個程序,直到出現相符狀況或搜尋逾時為止。
- 維護 IP 位址的索引鍵/值組資料庫,以及 DNS 伺服器具有授權的任何主機或子網域。 此功能通常會與郵件、Web 和其他網際網路網域服務建立關聯。
DNS 伺服器指派
為了讓電腦、伺服器或其他啟用網路功能的裝置存取網頁型資源,必須參考 DNS 伺服器。
當使用內部部署網路進行連線時,DNS 設定來自伺服器。 使用外部位置 (例如飯店) 進行連線時,DNS 設定則來自網際網路服務提供者 (ISP)。
網域查閱要求
以下是 DNS 伺服器在解析網域名稱查閱要求時所用流程的簡化概觀:
- 檢查網域名稱是否儲存在短期快取中。 若是如此,DNS 伺服器就會解析網域要求。
- 如果網域不在快取中,則會連絡網路上的一或多部 DNS 伺服器,以查看其是否相符。 找到相符項目時,DNS 伺服器便會更新本機快取並解析要求。
- 如果在合理的 DNS 檢查次數之後找不到該網域,則 DNS 伺服器會以「找不到網域」錯誤來回應。
IPv4 和 IPv6
網路上每部電腦、伺服器或啟用網路功能的裝置各有一個 IP 位址。 IP 位址在您的網域內是唯一的。 IP 位址有兩個標準:IPv4 和 IPv6。
IPv4 由四組數字組成,範圍介於 0 到 255 之間,以點分隔;例如:127.0.0.1。 目前,IPv4 是最常使用的標準。 但是,隨著 IoT 裝置的增加,IPv4 標準最終將無法趕上。
IPv6 是相對較新的標準,且最終將會取代 IPv4。 它由八組十六進位數字組成,每組以冒號分隔;例如: fe80:11a1:ac15:e9gf:e884:edb0:ddee:fea3。
許多網路裝置現在都會同時佈建 IPv4 和 IPv6 位址。 DNS 名稱伺服器可以將網域名稱解析為 IPv4 和 IPv6 位址。
網域的 DNS 設定
無論網域的 DNS 伺服器是由協力廠商裝載,還是在內部進行管理,都需要為正在使用的每個主機類型進行設定。 主機類型包括 Web、電子郵件或正在使用的其他服務。
身為公司的管理員,您想要使用 Azure DNS 來設定 DNS 伺服器。 在此情況下,DNS 伺服器將會作為網域的起始點授權 (SOA)。
DNS 記錄類型
DNS 伺服器的設定資訊會以檔案形式儲存在您 DNS 伺服器上的區域內。 每個檔案都稱為記錄。 下列是最常建立及使用的記錄類型:
- A 是主機記錄,且是最常見的 DNS 記錄類型。 其會將網域或主機名稱對應到 IP 位址。
- CNAME 是正式名稱記錄,用來建立從一個網域名稱到另一個網域名稱的別名。 若有不同的網域名稱,且這些網域名稱都存取了相同的網站,您該使用 CNAME。
- MX 是郵件交換記錄。 其會將郵件要求對應到郵件伺服器,無論該伺服器是裝載在內部部署環境還是雲端。
- TXT 是文字記錄。 其會用來將文字字串與網域名稱建立關聯。 Azure 和 Microsoft 365 會使用 TXT 記錄來驗證網域所有權。
此外,還有下列記錄類型:
- 萬用字元
- CAA (憑證授權單位)
- NS (名稱伺服器)
- SOA (起始點授權)
- SPF (寄件者原則架構)
- SRV (伺服器位置)
SOA 和 NS 記錄會在使用 Azure DNS 建立 DNS 區域時自動建立。
記錄集
有些記錄類型支援記錄集或是資源記錄集的概念。 記錄集允許在單一記錄中定義多個資源。 例如,以下是一個 A 記錄,其中包含具備兩個 IP 位址的單一網域:
www.wideworldimports.com. 3600 IN A 127.0.0.1
www.wideworldimports.com. 3600 IN A 127.0.0.2
SOA 和 CNAME 記錄不能包含記錄集。
什麼是 Azure DNS?
Azure DNS 可供使用全域分散式的名稱伺服器基礎結構來裝載和管理您的網域。 其允許使用現有 Azure 認證來管理所有網域。
Azure DNS 會作為網域的 SOA。
您無法使用 Azure DNS 來註冊網域名稱;您必須使用協力廠商網域註冊機構來註冊。
為何要使用 Azure DNS 來裝載網域?
Azure DNS 是以 Azure Resource Manager 服務為建置基礎,這可提供下列優點:
- 改善的安全性
- 使用方便
- 私人 DNS 網域
- 別名記錄集
目前,Azure DNS 不支援網域名稱系統安全性延伸模組。 若需要這項安全性延伸模組,則建議使用協力廠商提供者來裝載網域中需要這項延伸模組的部分。
安全性功能
Azure DNS 提供下列安全性功能:
- 角色型存取控制,可供使用者對 Azure 資源的存取進行細部控制。 您可監視其使用情況,並控制使用者可存取的資源和服務。
- 活動記錄可讓您追蹤對資源的變更,並找出錯誤發生的位置。
- 資源鎖定可提供更高層級的控制,以限制或移除對資源群組、訂用帳戶,或任何 Azure 資源的存取權。
使用方便
Azure DNS 可以為 Azure 服務管理 DNS 記錄,並為外部資源提供 DNS。 Azure DNS 使用與其他 Azure 服務相同的 Azure 認證、支援合約與計費方式。
您可以使用 Azure 入口網站、Azure PowerShell Cmdlet,或 Azure CLI 來管理網域和記錄。 需要自動化 DNS 管理的應用程式可以使用 REST API 和 SDK 與服務整合。
私人網域
Azure DNS 會將外部網域名稱轉譯為 IP 位址。 Azure DNS 可供建立私人區域。 這些會提供虛擬網路內虛擬機器 (VM) 和虛擬網路之間虛擬機器名稱的解析,而不需要建立自訂 DNS 解決方案。 這可供使用自己的自訂網域名稱,而非 Azure 提供的名稱。
若要將私人 DNS 區域發佈到虛擬網路,則可指定允許解析區域內記錄的虛擬網路清單。
私人 DNS 區域具有下列優點:
- 無須投資 DNS 解決方案。 DNS 區域會作為 Azure 基礎結構的一部分受到支援。
- 支援所有 DNS 記錄類型:A、CNAME、TXT、MX、SOA、AAAA、PTR 和 SRV。
- 自動維護虛擬網路中 VM 的主機名稱。
- 水平分割 DNS 支援允許相同的網域名稱同時存在於私人和公用區域中。 該名稱會根據原始要求位置解析成正確的名稱。
別名記錄集
別名記錄集可以指向 Azure 資源。 例如,您可設定別名記錄,以將流量導向 Azure 公用 IP 位址、Azure 流量管理員設定檔,或 Azure 內容傳遞網路端點。
下列 DNS 記錄類型中支援別名記錄集:
- A
- AAAA
- CNAME