了解 Azure DNS
Azure DNS 是一項 Azure 服務,可為 Azure 資源提供名稱解析。 目前,Contoso 仍在其內部部署資料中心內使用 Windows Server VM 來實作 DNS。 您必須考慮能否實作 Azure DNS,來取代這些內部部署工作負載的功能。 也請務必判斷 Azure DNS 中目前是否存在任何限制,需要您另行管理。
概觀
您可以在 Azure DNS 中裝載 DNS 區域。 具體而言,Azure DNS 可為其區域提供授權 DNS 服務。 為了讓 DNS 針對組織網域內資源所進行的查詢可以到達 Azure DNS,您必須將該網域從父網域委派給 Azure DNS。
您移轉至 Azure DNS 的 DNS 區域,會裝載於 Azure 中 DNS 名稱伺服器的全球網路。 因為 Azure DNS 使用任一傳播通訊,所以來自您組織的 DNS 查詢會導向至最近的 Azure DNS 伺服器,以協助為此重要的基礎結構服務提供良好效能及高可用性。
注意
Azure 流量管理員是以 DNS 為基礎的網路流量負載平衡解決方案。 您可以使用 Azure 流量管理員將網路流量散發到您所有 Azure 區域的 Azure 資源。
您可以使用角色型存取控制 (RBAC) 來選取哪些使用者可以管理 Azure DNS 網域。 您可以使用 Azure 入口網站、Azure 命令列介面 (Azure CLI),以及 Azure PowerShell,在 Azure DNS 中管理 DNS 網域。
Azure DNS 的限制與考量
Azure DNS 是不斷演進的平台,並且隨時都會新增更多特色與功能。 不過,目前仍有一些限制:
- 您只能將特定的虛擬網路 (VNet) 連結至單一私人區域。 (本單元稍後將會探討私人區域。)
- 反向 (reverse ) DNS,(有時也稱為 inverse),僅適用於已連結 VNet 中的私人 IP 位址空間。
- 目前仍無法支援條件式轉送。
- Azure DNS 目前不支援網域名稱系統安全性延伸模組 (DNSSEC)。
注意
DNSSEC 可供以密碼編譯方式簽署 DNS 區域及該區域中的所有記錄,讓用戶端電腦可以驗證 DNS 回應。 DNS 容易遭受各種攻擊,例如詐騙和快取竄改。 DNSSEC 有助於防範這些威脅,並提供更安全的 DNS 基礎結構。 如果需要實作 DNSSEC,您必須使用 Windows Server DNS 實作部分 DNS 解決方案。
- Azure DNS 不支援區域轉送。
- 使用公用 DNS 區域時,存在某些與區域數目及每個訂閱其記錄數目的相關限制。
Azure 私人 DNS
Azure DNS 可同時支援公用 DNS 及私人 DNS,如下表所述。
| DNS 服務 | 描述 |
|---|---|
| Azure 公用 DNS | 提供適用於網際網路對應 DNS 網域的名稱解析。 您可以使用 Azure 公用 DNS 來裝載組織的 DNS 網域。 |
| Azure 私人 DNS | 提供適用於 VNet 內 VM,以及 Vnet 間 VM 的名稱解析。 您可以利用水平分割顯示來設定區域名稱,讓私人與公用 DNS 區域能夠共用相同的區域名稱。 |
若要從 VNet 解析私人 DNS 區域的記錄,您必須將 VNet 連結到該區域。 連結的 VNet 具有完整存取權,並且可解析在私人區域中發佈的所有 DNS 記錄。 此外,您也可以在 VNet 連結上啟用自動登錄,此連結可在私人區域中登錄該 VNet 上的 VM DNS 記錄。 啟用自動註冊後,每次建立 VM、變更其 IP 位址或刪除 VM 時,Azure DNS 也會更新區域記錄。
下表描述 Azure 私人 DNS 的功能。
| 功能 | Description |
|---|---|
| 從您連結至私人區域的 VNet 自動登錄 VM | 您的 VM 會登錄在您的私人區域,作為可解析為 VM 私人 IP 位址的主機 (A) 記錄。 啟用自動登錄後,當您刪除 VNet 連結中的 VM 時,Azure DNS 會自動從連結的私人區域中移除對應的 DNS 記錄。 |
| 在您連結至私人區域的 VNet 間轉送 DNS 解析 | 當您實作跨 VNet DNS 名稱解析時,不會明確要求您建立對等的 VNet 節點。 基於其他與 DNS 無關的原因,您可能仍然想要建立對等的 VNet 節點。 |
| VNet 範圍內的反向 DNS 查閱 | 在您指派給私人區域的 VNet 內執行私人 IP 位址的反向 DNS 查閱,會傳回主機的完整網域名稱 (FQDN),包含主機/記錄名稱和作為尾碼的區域名稱。 |
延伸閱讀
您可檢閱下列文件來深入了解。