Co je Azure DNS Private Resolver?

  • Článek

Azure DNS Private Resolver je nová služba, která umožňuje dotazovat privátní zóny Azure DNS z místního prostředí a naopak bez nasazování serverů DNS založených na virtuálních počítačích.

Jak to funguje?

Privátní překladač Azure DNS vyžaduje virtuální síť Azure. Při vytváření privátního překladače Azure DNS ve virtuální síti se vytvoří jeden nebo více příchozích koncových bodů, které se dají použít jako cíl pro dotazy DNS. Odchozí koncový bod překladače zpracovává dotazy DNS na základě nakonfigurované sady pravidel předávání DNS. Dotazy DNS iniciované v sítích propojených se sadou pravidel je možné odesílat na jiné servery DNS.

Pro použití privátního překladače Azure DNS nemusíte na virtuálních počítačích měnit žádná nastavení klienta DNS.

Proces dotazu DNS při použití privátního překladače Azure DNS je shrnutý níže:

  1. Klient ve virtuální síti vydává dotaz DNS.
  2. Pokud jsou servery DNS pro tuto virtuální síť zadané jako vlastní, dotaz se předá na zadané IP adresy.
  3. Pokud jsou ve virtuální síti nakonfigurované výchozí servery DNS (poskytované v Azure) a existují Privátní DNS zóny propojené se stejnou virtuální sítí, budou se tyto zóny konzultovat.
  4. Pokud dotaz neodpovídá Privátní DNS zóně propojené s virtuální sítí, projděte si propojení virtuálních sítí pro sady pravidel předávání DNS.
  5. Pokud neexistují žádné odkazy na sadu pravidel, použije se k překladu dotazu Azure DNS.
  6. Pokud existují odkazy na sadu pravidel, vyhodnotí se pravidla předávání DNS.
  7. Pokud se najde shoda přípony, dotaz se přepošla na zadanou adresu.
  8. Pokud existuje více shod, použije se nejdelší přípona.
  9. Pokud se nenajde žádná shoda, nedojde k předávání DNS a k překladu dotazu se použije Azure DNS.

Architektura privátního překladače Azure DNS je shrnutá na následujícím obrázku. Překlad DNS mezi virtuálními sítěmi Azure a místními sítěmi vyžaduje Azure ExpressRoute nebo VPN.

Architektura privátního překladače Azure DNS

Obrázek 1: Architektura privátního překladače Azure DNS

Další informace o vytvoření privátního překladače DNS najdete v tématu:

Výhody privátního překladače Azure DNS

Privátní překladač Azure DNS nabízí následující výhody:

  • Plně spravovaná: Integrovaná vysoká dostupnost, redundance zón.
  • Snížení nákladů: Snížení provozních nákladů a spuštění za zlomek ceny tradičních řešení IaaS.
  • Privátní přístup k vašim zónám Privátní DNS: Podmíněně předávat do a z místního prostředí.
  • Škálovatelnost: Vysoký výkon na koncový bod
  • DevOps Friendly: Vytvářejte kanály pomocí Terraformu, ARM nebo Bicep.

Regionální dostupnost

Viz Produkty Azure podle oblastí – Azure DNS.

Umístění dat

Privátní překladač Azure DNS nepřesouvají ani neukládají zákaznická data z oblasti, ve které je překladač nasazený.

Koncové body a sady pravidel překladače DNS

V tomto článku najdete souhrn koncových bodů překladače a sad pravidel. Podrobné informace o koncových bodech a sadách pravidel najdete v tématu Koncové body a sady pravidel Azure DNS Private Resolver.

Příchozí koncové body

Příchozí koncový bod umožňuje překlad názvů z místního nebo jiného privátního umístění prostřednictvím IP adresy, která je součástí adresního prostoru privátní virtuální sítě. Pokud chcete přeložit privátní zónu DNS Azure z místního prostředí, zadejte IP adresu příchozího koncového bodu do místního podmíněného předávání DNS. Místní podmíněný předávací nástroj DNS musí mít síťové připojení k virtuální síti.

Příchozí koncový bod vyžaduje podsíť ve virtuální síti, ve které je zřízená. Podsíť se dá delegovat jenom na Microsoft.Network/dnsResolvers a nedá se použít pro jiné služby. Dotazy DNS přijaté příchozím příchozím přenosem dat koncového bodu do Azure Názvy můžete přeložit ve scénářích, kdy máte Privátní DNS zóny, včetně virtuálních počítačů, které používají automatickou registraci, nebo služeb s podporou služby Private Link.

Poznámka:

IP adresu přiřazenou příchozímu koncovému bodu je možné zadat jako statickou nebo dynamickou. Další informace najdete v tématu statické a dynamické IP adresy koncových bodů.

Odchozí koncové body

Odchozí koncový bod umožňuje překlad názvů podmíněného předávání z Azure do místního prostředí, jiných poskytovatelů cloudu nebo externích serverů DNS. Tento koncový bod vyžaduje vyhrazenou podsíť ve virtuální síti, ve které je zřízená, bez jiné služby spuštěné v podsíti a dá se delegovat jenom na Microsoft.Network/dnsResolvers. Dotazy DNS odeslané do odchozího koncového bodu budou odchozí přenosy z Azure.

Propojení virtuální sítě umožňují překlad názvů pro virtuální sítě, které jsou propojené s odchozím koncovým bodem se sadou pravidel předávání DNS. Jde o relaci 1:1.

Sady pravidel předávání DNS

Sada pravidel předávání DNS je skupina pravidel předávání DNS (až 1 000), která je možné použít na jeden nebo více odchozích koncových bodů nebo je možné propojit s jednou nebo více virtuálními sítěmi. Toto je vztah 1:N. Sady pravidel jsou přidružené ke konkrétnímu odchozímu koncovému bodu. Další informace najdete v tématu Sady pravidel předávání DNS.

Pravidla předávání DNS

Pravidlo předávání DNS zahrnuje jeden nebo více cílových serverů DNS, které se používají k podmíněnému předávání, a jsou reprezentovány:

  • Název domény
  • Cílová IP adresa
  • Cílový port a protokol (UDP nebo TCP)

Omezení

Pro privátní překladač Azure DNS se aktuálně vztahují následující omezení:

Privátní překladačDNS 1

Prostředek Omezení
Privátní překladače DNS na předplatné 15
Příchozí koncové body na privátní překladač DNS 5
Odchozí koncové body na privátní překladač DNS 5
Pravidla předávání na každou sadu pravidel předávání DNS 1000
Propojení virtuální sítě na sadu pravidel předávání DNS 500
Odchozí koncové body na sadu pravidel předávání DNS 2
Sady pravidel předávání DNS na odchozí koncový bod 2
Cílové servery DNS na pravidlo předávání 6
QPS na koncový bod 10,000

1Na webu Azure Portal se můžou vynucovat různá omezení, dokud se portál neaktualizuje. Pomocí PowerShellu můžete zřizovat elementy až k nejaktuálnějším limitům.

Omezení virtuální sítě

V souvislosti s virtuálními sítěmi platí následující omezení:

  • Virtuální sítě s povoleným šifrováním nepodporují privátní překladač Azure DNS.
  • Překladač DNS může odkazovat pouze na virtuální síť ve stejné oblasti jako překladač DNS.
  • Jednu virtuální síť nemůže sdílet několik překladačů DNS. Na každou virtuální síť může odkazovat pouze jeden překladač DNS.

Omezení podsítě

Podsítě používané pro překladač DNS mají následující omezení:

  • Podsíť musí mít adresní prostor minimálně /28 nebo maximálně /24. Podsíť /28 je dostatečná pro přizpůsobení aktuálních limitů koncových bodů. Velikost podsítě /27 až /24 může poskytnout flexibilitu, pokud se tato omezení změní.
  • Podsíť se nedá sdílet mezi několika koncovými body překladače DNS. Jednu podsíť může používat jenom jeden koncový bod překladače DNS.
  • Všechny konfigurace IP adres pro příchozí koncový bod překladače DNS musí odkazovat na stejnou podsíť. Není povolené přecházení několika podsítí v konfiguraci PROTOKOLU IP pro jeden příchozí koncový bod překladače DNS.
  • Podsíť používaná pro příchozí koncový bod překladače DNS musí být ve virtuální síti odkazované nadřazeným překladačem DNS.
  • Podsíť se dá delegovat jenom na Microsoft.Network/dnsResolvers a nedá se použít pro jiné služby.

Omezení odchozích koncových bodů

Odchozí koncové body mají následující omezení:

  • Odchozí koncový bod není možné odstranit, dokud se neodstraní sada pravidel přesměrování DNS a propojení virtuální sítě, která obsahuje.

Omezení sady pravidel

  • Sady pravidel můžou mít až 1 000 pravidel.
  • Propojení sad pravidel mezi tenanty se nepodporuje.

Další omezení

  • Podsítě s podporou protokolu IPv6 se nepodporují.
  • Privátní překladač DNS nepodporuje Azure ExpressRoute FastPath.
  • Privátní překladač DNS není kompatibilní se službou Azure Lighthouse.
    • Pokud chcete zjistit, jestli se Azure Lighthouse používá, vyhledejte poskytovatele služeb na webu Azure Portal a vyberte nabídky poskytovatele služeb.

Další kroky