Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln diskuteras två arkitektoniska designalternativ som är tillgängliga för att upplös DNS-namn, inklusive privata DNS-zoner i ditt Azure-nätverk med hjälp av en Azure DNS Private Resolver. Exempelkonfigurationer tillhandahålls med designrekommendationer för centraliserad respektive distribuerad DNS-upplösning i en nav- och eker-VNet-topologi.
- En översikt över azure DNS Private Resolver finns i Vad är Privat Lösning för Azure DNS.
- Mer information om komponenter i den privata upplösaren finns i Azure DNS Private Resolver-slutpunkter och regeluppsättningar.
Distribuerad DNS-arkitektur
Överväg följande topologi med nav och ekrar för VNät i Azure, med en privat resolver placerad i navet och en regeluppsättning länkad till det ekervirtuella nätverket. Både hubben och ekern använder Azure-tillhandahållen DNS i sina VNet-inställningar:
Bild 1: Distribuerad DNS-arkitektur med hjälp av regeluppsättningslänkar
- Ett virtuellt hubbnätverk konfigureras med adressutrymmet 10.10.0.0/16.
- Ett spoke VNet har konfigurerats med adressutrymmet 10.11.0.0/16.
- En privat DNS-zon azure.contoso.com är länkad till det virtuella hubbnätverket.
- En privat namnserver provisioneras i nav VNet.
- Den privata resolvatorn har en inkommande slutpunkt med en IP-adress på 10.10.0.4.
- Den privata lösaren har en utgående anslutning och en associerad regeluppsättning för DNS-vidarebefordran.
- Regeluppsättningen för DNS-vidarebefordran är länkad till spoke-VNätet.
- En regeluppsättningsregel konfigureras för att vidarebefordra frågor för den privata zonen till den inkommande slutpunkten.
DNS-matchning i det virtuella hubbnätverket: Länken för det virtuella nätverket från den privata zonen till det virtuella hubbnätverket gör det möjligt för resurser i det virtuella hubbnätverket att automatiskt matcha DNS-poster i azure.contoso.com med hjälp av Azure-tillhandahållen DNS (168.63.129.16). Alla andra namnområden hanteras också med Azure-tillhandahållen DNS. Det virtuella hubbnätverket använder inte regeluppsättningsregler för att lösa DNS-namn eftersom det inte är kopplat till regeluppsättningen. Om du vill använda vidarebefordransregler i det virtuella hubbnätverket skapar och länkar du en annan regeluppsättning till det virtuella hubbnätverket.
DNS-upplösning i spoke VNet: Den virtuella nätverkslänken från regeluppsättningen till spoke VNet möjliggör för spoke VNet att lösa azure.contoso.com med hjälp av den konfigurerade vidarebefordringsregeln. En länk från den privata zonen till ekernätverket (spoke VNet) krävs inte här. Det anslutna virtuella nätverket skickar frågor om azure.contoso.com till hubnätverkets inkommande slutpunkt via DNS tillhandahållen av Azure eftersom det finns en regel som matchar det här domännamnet i den länkade regeluppsättningen. Frågor för andra namnområden kan också vidarebefordras genom att konfigurera ytterligare regler. DNS-frågor som inte matchar en regeluppsättningsregel vidarebefordras inte och löses med hjälp av Azure-tillhandahållen DNS.
Viktigt!
I den här exempelkonfigurationen måste det virtuella hubbnätverket länkas till den privata zonen, men får inte länkas till en regeluppsättning för vidarebefordran med en regel för vidarebefordran av inkommande slutpunkter. Att länka en vidarebefordringsregeluppsättning som innehåller en regel där den inkommande slutpunkten är destinationen till samma virtuella nätverk där den inkommande slutpunkten är etablerad kan orsaka DNS-upplösningsloopar.
Centraliserad DNS-arkitektur
Överväg följande hubb- och ekernät-VNet-topologi med en inkommande slutpunkt etablerad som anpassad DNS i ekernät-VNetet. Det virtuella spoke-nätverket använder en anpassad DNS-inställning på 10.10.0.4, vilket motsvarar hubbens inkommande slutpunkt för den privata resolvern.
Bild 2: Centraliserad DNS-arkitektur med anpassad DNS
- Ett virtuellt hubbnätverk konfigureras med adressutrymmet 10.10.0.0/16.
- Ett Spoke VNet har konfigurerats med adressutrymmet 10.11.0.0/16.
- En privat DNS-zon azure.contoso.com är länkad till det virtuella hubbnätverket.
- En privat lösning finns i det virtuella hubbnätverket.
- Den privata resolvern har en inkommande slutpunkt med IP-adressen 10.10.0.4.
- Den privata resolvern har en (valfri) utgående slutpunkt och ett associerat regelset för DNS-vidarebefordran.
- Regeluppsättningen för DNS-vidarebefordran är länkad till det virtuella hubbnätverket.
- En regeluppsättningsregel har inte konfigurerats för att vidarebefordra frågor för den privata zonen till den inkommande slutpunkten.
DNS-matchning i det virtuella hubbnätverket: Länken för det virtuella nätverket från den privata zonen till det virtuella hubbnätverket gör det möjligt för resurser i det virtuella hubbnätverket att automatiskt matcha DNS-poster i azure.contoso.com med hjälp av Azure-tillhandahållen DNS (168.63.129.16). Om det konfigureras avgör regeluppsättningsregler hur DNS-namn vidarebefordras och matchas. Namnområden som inte matchar en regeluppsättningsregel löses utan vidarebefordring med hjälp av Azure-tillhandahållen DNS.
DNS-upplösning i spoke-VNet: I det här exemplet skickar spoke-VNet all sin DNS-trafik till den inkommande slutpunkten i hubb-VNet. Eftersom azure.contoso.com har en virtuell nätverkslänk till det virtuella hubbnätverket kan alla resurser i hubben lösa azure.contoso.com, inklusive den inkommande slutpunkten (10.10.0.4). Spaken använder alltså hubbens inkommande slutpunkt för att upplösa den privata zonen. Andra DNS-namn löses upp för spoke-VNet enligt regler i en regeluppsättning för vidarebefordran, om de finns.
Anmärkning
I det centraliserade DNS-arkitekturscenariot kan både hubben och de virtuella ekernätverken använda den valfria hubblänkade regeluppsättningen vid matchning av DNS-namn. Det beror på att all DNS-trafik från det virtuella ekernätverket skickas till hubben på grund av det virtuella nätverkets anpassade DNS-inställning. Det virtuella hubbnätverket kräver inte någon utgående slutpunkt eller regeluppsättning här, men om en är etablerad och länkad till hubben (som visas i bild 2) använder både de virtuella hubb- och ekernätverken vidarebefordringsreglerna. Som tidigare nämnts är det viktigt att en vidarebefordransregel för den privata zonen inte finns i regeluppsättningen eftersom den här konfigurationen kan orsaka en DNS-matchningsloop.
Nästa steg
- Granska komponenter, fördelar och krav för Azure DNS Private Resolver.
- Lär dig hur du skapar en privat Lösning för Azure DNS med hjälp av Azure PowerShell eller Azure Portal.
- Förstå hur du löser Azure och lokala domäner med hjälp av Azure DNS Private Resolver.
- Lär dig mer om Azure DNS Private Resolver-endpunkter och regler.
- Lär dig hur du konfigurerar DNS-failover med hjälp av privata resolvers
- Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.
- Learn-modul: Introduktion till Azure DNS.