DNS für lokale und Azure-Ressourcen

Domain Name System (DNS) ist ein wichtiges Entwurfsthema in der allgemeinen Architektur der Zielzone. Einige Unternehmen möchten möglicherweise Ihre vorhandenen Investitionen in DNS nutzen. Andere sehen möchten vielleicht die Gelegenheit nutzen, eine Cloudlösung einzuführen, um Ihre interne DNS-Infrastruktur zu modernisieren und native Azure-Funktionen zu verwenden.

Überlegungen zum Entwurf:

  • Sie können den Azure DNS Private Resolver-Dienst in Verbindung mit Azure Private DNS Zones für die standortübergreifende Namensauflösung verwenden.

  • Sie müssen möglicherweise vorhandene DNS-Lösungen lokal und in Azure nutzen.

  • Ein virtuelles Netzwerk kann bei aktivierter automatischer Registrierung maximale mit einer privaten DNS-Zone verknüpft werden.

  • Machen Sie sich mit den Grenzwerten für Zonen mit privatem Azure-DNS vertraut.

Entwurfsempfehlungen:

  • Verwenden Sie für Umgebungen, in denen lediglich die Namensauflösung in Azure erforderlich ist, Zonen mit privatem Azure-DNS für die Auflösung. Erstellen Sie eine delegierte Zone für die Namensauflösung (z. B. azure.contoso.com). Aktivieren Sie die automatische Registrierung für Zonen mit privatem Azure-DNS, sodass der Lebenszyklus der DNS-Einträge für die in einem virtuellen Netzwerk bereitgestellten virtuellen Computer automatisch verwaltet wird.

  • Für Umgebungen, in denen eine Azure-weite und lokale Namensauflösung erforderlich ist, wird empfohlen, den DNS Private Resolver-Dienst zusammen mit Azure Privates DNS Zones zu verwenden. Das bietet viele Vorteile gegenüber auf virtuellen Computern basierenden DNS-Lösungen, einschließlich Kostenreduzierung, integrierter Hochverfügbarkeit, Skalierbarkeit und Flexibilität.

    Wenn Sie eine vorhandene DNS-Infrastruktur (z. B. Active Directory-integrierte DNS) verwenden müssen, stellen Sie sicher, dass die DNS-Serverrolle auf mindestens zwei VMs bereitgestellt wird, und konfigurieren Sie DNS-Einstellungen in virtuellen Netzwerken, um diese benutzerdefinierten DNS-Server zu verwenden.

  • Bei Umgebungen mit Azure Firewall ziehen Sie dessen Verwendung als DNS-Proxy in Betracht.

  • Sie können eine Zone mit privatem Azure-DNS mit den virtuellen Netzwerken verknüpfen und den DNS Private Resolver-Dienst mit DNS-Weiterleitungsregelsatz verwenden, der ebenfalls den virtuellen Netzwerken zugeordnet ist:

    • Für DNS-Abfragen, die im virtuellen Azure-Netzwerk generiert werden, um lokale DNS-Namen aufzulösen, z. B. corporate.contoso.com, wird die DNS-Abfrage an die IP-Adresse der im Regelsatz angegebenen lokalen DNS-Server weitergeleitet.
    • Für DNS-Abfragen, die im lokalen Netzwerk zum Auflösen von DNS-Einträgen in Azure Privates DNS Zones generiert werden, können Sie lokale DNS-Server mit bedingten Weiterleitungen konfigurieren, die auf die IP-Adresse des eingehenden Endpunkts des DNS Private Resolver-Diensts in Azure verweisen, um die Anforderung an die Zone mit privatem Azure-DNS weiterzuleiten (z. B. azure.contoso.com).
  • Für besondere Workloads, die ihr eigenes DNS erfordern und dieses bereitstellen (z. B. Red Hat OpenShift), sollte die jeweils bevorzugte DNS-Lösung verwendet werden.

  • Erstellen Sie die Zonen mit privatem Azure-DNS in einem globalen Konnektivitätsabonnement. Zu den Zonen mit privatem Azure-DNS, die erstellt werden müssen, zählen unter anderem die Zonen, die für den Zugriff auf Azure PaaS-Dienste über einen privaten Endpunkt (beispielsweise privatelink.database.windows.net oder privatelink.blob.core.windows.net) erforderlich sind.