Démarrage rapide : Créer un résolveur privé Azure DNS en utilisant le portail Azure

Ce guide de démarrage rapide vous guide tout au long des étapes de création d’un programme de résolution privé Azure DNS Private Resolver à l’aide du Portail Azure. Si vous préférez, vous pouvez suivre ce guide de démarrage rapide en utilisant Azure PowerShell.

Azure DNS Private Resolver vous permet d’interroger des zones privées Azure DNS à partir d’un environnement local, et vice versa, sans déployer de serveurs DNS basés sur des machines virtuelles. Vous n’avez plus besoin d’approvisionner des solutions IaaS basées sur vos réseaux virtuels pour résoudre les noms inscrits sur des zones DNS privées Azure. Vous pouvez configurer le transfert conditionnel de domaines vers des serveurs DNS locaux, multiclouds et publics. Pour plus d’informations, notamment sur les avantages, les fonctionnalités et la disponibilité régionale, consultez Qu’est-ce qu’Azure DNS Private Resolver.

Contenu de cet article :

  • Deux réseaux virtuels sont créés : myvnet et myvnet2.
  • Un service Azure DNS Private Resolver est créé dans le premier réseau virtuel avec un point de terminaison entrant sur 10.10.0.4.
  • Un ensemble de règles de transfert DNS est créé pour être utilisé avec le programme de résolution privé.
  • L’ensemble de règles de transfert DNS est lié au second réseau virtuel.
  • Des exemples de règles sont ajoutés à l’ensemble de règles de transfert DNS.

Cet article ne présente pas le transfert DNS vers un réseau local. Si vous souhaitez obtenir plus d’informations, voir Résoudre des domaines locaux et Azure.

La figure suivante récapitule la configuration utilisée dans cet article :

Figure conceptuelle affichant des composants du programme de résolution privé.

Prérequis

Un abonnement Azure est requis.

  • Si vous n’avez pas d’abonnement Azure, vous pouvez créer un compte gratuit.

Inscrire l’espace de noms du fournisseur Microsoft.Network.

Avant de pouvoir utiliser les services Microsoft.Network avec votre abonnement Azure, vous devez inscrire l’espace de noms Microsoft.Network :

  1. Sélectionnez le panneau Abonnement dans le portail Azure, puis choisissez votre abonnement.
  2. Sous Paramètres, sélectionnez Fournisseurs de ressources.
  3. Sélectionnez Microsoft.Network, puis Inscrivez-vous.

Créer un groupe de ressources

Tout d’abord, créez ou choisissez un groupe de ressources existant pour héberger les ressources de votre programme de résolution DNS. Le groupe de ressources doit se trouver dans une région prise en charge. Dans cet exemple, l’emplacement est USA Centre-Ouest. Pour créer un groupe de ressources :

  1. Sélectionnez Créer un groupe de ressources.

  2. Sélectionnez votre nom d’abonnement, entrez un nom pour le groupe de ressources, puis choisissez une région prise en charge.

  3. Sélectionnez Examiner + créer, puis sélectionnez Créer.

    Créer un groupe de ressources

Créez un réseau virtuel

Ensuite, ajoutez un réseau virtuel au groupe de ressources que vous avez créé et configurez des sous-réseaux.

  1. Sélectionnez le groupe de ressources que vous avez créé, sélectionnez Créer, sélectionnez Mise en réseau dans la liste des catégories, puis en regard de Réseau virtuel, sélectionnez Créer.

  2. Sous l’onglet De base , entrez un nom pour le nouveau réseau virtuel et sélectionnez la Région identique à celle de votre groupe de ressources.

  3. Sous l’onglet Adresses IP, modifiez l’espace d’adressage IPv4 en 10.0.0.0/16.

  4. Sélectionnez Ajouter un sous-réseau et entrez le nom et de la plage d’adresses du sous-réseau :

    • Nom du sous-réseau : snet-inbound
    • Plage d’adresses de sous-réseau : 10.0.0.0/28
    • Sélectionnez Ajouter pour ajouter le nouveau sous-réseau.
  5. Sélectionnez Ajouter un sous-réseau et configurez le sous-réseau de point de terminaison sortant :

    • Nom du sous-réseau : snet-outbound
    • Plage d’adresses du sous-réseau : 10.0.1.0/28
    • Sélectionnez Ajouter pour ajouter ce sous-réseau.
  6. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

    Créer un réseau virtuel

Créer un programme de résolution DNS à l’intérieur du réseau virtuel

  1. Ouvrez le Portail Azure et recherchez DNS Private Resolvers.

  2. Sélectionnez DNS Private Resolver, sélectionnez Créer, puis sous l’onglet De base pour créer un programme de résolution privé DNS, entrez les éléments suivants :

    • Abonnement : choisissez le nom de l’abonnement que vous utilisez.
    • Groupe de ressources : choisissez le nom du groupe de ressources que vous avez créé.
    • Nom : entrez un nom pour votre programme de résolution DNS (par exemple, mydnsresolver).
    • Région : choisissez la région que vous avez utilisée pour le réseau virtuel.
    • Réseau virtuel : sélectionnez le réseau virtuel que vous avez créé.

    Ne créez pas encore le programme de résolution DNS.

    Créer un programme de résolution - Bases

  3. Sélectionnez l’onglet Points de terminaison entrants, sélectionnez Ajouter un point de terminaison, puis entrez un nom en regard du Nom du point de terminaison (par exemple, myinboundendpoint).

  4. En regard du sous-réseau, sélectionnez le sous-réseau de point de terminaison entrant que vous avez créé (par exemple : snet-inbound, 10.0.0.0/28), puis sélectionnez Enregistrer.

  5. Sélectionnez l’onglet Points de terminaison sortants, sélectionnez Ajouter un point de terminaison, puis entrez un nom en regard du Nom du point de terminaison (ex. : myoutboundendpoint).

  6. En regard de Sous-réseau, sélectionnez le sous-réseau du point de terminaison sortant que vous avez créé (par exemple : snet-outbound, 10.0.1.0/28), puis sélectionnez Enregistrer.

  7. Sélectionnez l’onglet Ensemble de règles, sélectionnez Ajouter un ensemble de règles, puis entrez les éléments suivants :

    • Nom de l’ensemble de règles : entrez un nom pour votre ensemble de règles (par exemple, myruleset).
    • Points de terminaison : sélectionnez le point de terminaison sortant que vous avez créé (par exemple, myoutboundendpoint).
  8. Sous Règles, sélectionnez Ajouter et entrez vos règles de transfert DNS conditionnelles. Par exemple :

    • Nom de la règle : entrez un nom de règle (par exemple, contosocom).
    • Nom de domaine : entrez un nom de domaine avec un point final (par exemple, contoso.com.).
    • État de la règle : choisissez Activé ou Désactivé. Il est activé par défaut.
    • Sélectionnez Ajouter une destination, puis entrez une adresse IPv4 de destination souhaitée (par exemple 203.0.113.10).
    • Si vous le souhaitez, sélectionnez à nouveau Ajouter une destination pour ajouter une autre adresse IPv4 de destination (par exemple 203.0.113.11).
    • Lorsque vous avez terminé d’ajouter des adresses IP de destination, sélectionnez Ajouter.
  9. Sélectionnez Vérifier et créer, puis sélectionnez Créer.

    Créer un programme de résolution - Ensemble de règles

    Cet exemple n’a qu’une seule règle de transfert conditionnel, mais vous pouvez en créer de nombreuses autres. Modifiez les règles pour les activer ou les désactiver en fonction des besoins.

    Capture d'écran de Créer un résolveur - révision.

    Après avoir sélectionné Créer, le nouveau programme de résolution DNS commence le déploiement. Ce processus peut prendre une ou deux minutes. L’état de chaque composant s’affiche pendant le déploiement.

    Créer un programme de résolution - État

Créer un deuxième réseau virtuel

Créez un deuxième réseau virtuel pour simuler un environnement local ou autre. Pour créer un deuxième réseau virtuel :

  1. Sélectionnez Réseaux virtuels dans la liste des services Azure ou recherchez Réseaux virtuels , puis sélectionnez Réseaux virtuels.

  2. Sélectionnez Créer, puis, sous l’onglet Principes de base, sélectionnez votre abonnement et choisissez le même groupe de ressources que celui que vous avez utilisé dans ce guide (par exemple, myresourcegroup).

  3. En regard de Nom, entrez un nom pour le nouveau réseau virtuel (par exemple, myvnet2).

  4. Vérifiez que la Région sélectionnée est la même région utilisée précédemment dans ce guide (par exemple : USA Centre-Ouest).

  5. Sélectionnez l’onglet Adresses IP et modifiez l’espace d’adressage IP par défaut. Remplacez l’espace d’adressage par un espace d’adressage local simulé (par exemple, 10.1.0.0/16).

  6. Sélectionnez Ajouter un sous-réseau et entrez ce qui suit :

    • Nom du sous-réseau : backendsubnet
    • Plage d’adresses de sous-réseau : 10.1.0.0/24
  7. Sélectionnez Ajouter, puis Vérifier + créer et Créer.

    Capture d’écran montrant la création d’un deuxième réseau virtuel.

Pour appliquer votre ensemble de règles de transfert au deuxième réseau virtuel, vous devez créer une liaison virtuelle.

  1. Recherchez les ensembles de règles de transfert DNS dans la liste des services Azure et sélectionnez votre ensemble de règles (par exemple, myruleset).

  2. Sélectionnez Liaisons de réseau virtuel, sélectionnez Ajouter, choisissez myvnet2 et utilisez le nom de liaison par défaut myvnet2-link.

  3. Sélectionnez Ajouter et vérifiez que le lien a été correctement ajouté. Vous devrez probablement actualiser la page.

    Capture d’écran des liens vers les réseaux virtuels des ensembles de règles.

Plus loin dans cet article, une règle est créée à l’aide du point de terminaison entrant du programme de résolution privé comme destination. Cette configuration peut provoquer une boucle de résolution DNS si le réseau virtuel sur lequel le programme de résolution est approvisionné est également lié à l’ensemble de règles. Pour résoudre ce problème, supprimez le lien vers myvnet.

  1. Recherchez les ensembles de règles de transfert DNS dans la liste des services Azure et sélectionnez votre ensemble de règles (par exemple, myruleset).

  2. Sélectionnez Réseau virtuel Liens, choisissez myvnet-link, sélectionnez Supprimer, puis OK.

    Capture d’écran des liens de réseau virtuel de l’ensemble de règles après la suppression d’un lien.

Configurer un ensemble de règles de transfert DNS

Ajoutez ou supprimez des règles spécifiques à votre ensemble de règles de transfert DNS comme vous le souhaitez, par exemple :

  • Règle permettant de résoudre une zone DNS privée Azure liée à votre réseau virtuel : azure.contoso.com.
  • Règle permettant de résoudre une zone locale : internal.contoso.com.
  • Règle à caractère générique pour transférer des requêtes DNS sans correspondance à un service DNS de protection.

Important

Les règles présentées dans ce guide de démarrage rapide sont des exemples de règles qui peuvent être utilisées pour des scénarios spécifiques. Aucune des règles de transfert décrites dans cet article n'est requise. Veillez à tester vos règles de transfert et à vous assurer que les règles ne provoquent pas de problèmes de résolution DNS.

Si vous incluez une règle générique dans votre ensemble de règles, vérifiez que le service DNS cible peut résoudre les noms DNS publics. Certains services Azure dépendent de la résolution de noms publics.

Supprimer une règle de l’ensemble de règles de transfert

Les règles individuelles peuvent être supprimées ou désactivées. Dans cet exemple, une règle est supprimée.

  1. Recherchez les ensembles de règles de transfert DNS dans la liste des services Azure et sélectionnez-en un.
  2. Sélectionnez l’ensemble de règles que vous avez précédemment configuré (par exemple, myruleset), puis sélectionnez Règles.
  3. Sélectionnez l’exemple de règle contosocom que vous avez précédemment configurée, sélectionnez Supprimer, puis OK.

Ajouter des règles à l’ensemble de règles de transfert

Ajoutez trois nouvelles règles de transfert conditionnel à l’ensemble de règles.

  1. Dans la page myruleset | Règles, sélectionnez Ajouter, puis entrez les données de règle suivantes :

    • Nom de la règle : AzurePrivate
    • Nom de domaine : azure.contoso.com.
    • État de la règle : Activé
  2. Sous Adresse IP de destination, entrez 10.0.0.4 et sélectionnez Ajouter.

  3. Dans la page myruleset | Règles, sélectionnez Ajouter, puis entrez les données de règle suivantes :

    • Nom de la règle : Interne
    • Nom de domaine : internal.contoso.com.
    • État de la règle : Activé
  4. Sous Adresse IP de destination entrez 192.168.1.2, puis sélectionnez Ajouter.

  5. Dans la page myruleset | Règles, sélectionnez Ajouter, puis entrez les données de règle suivantes :

    • Nom de la règle : Caractère générique
    • Nom de domaine : . (entrez uniquement un point)
    • État de la règle : Activé
  6. Sous Adresse IP de destination, entrez 10.5.5.5 et sélectionnez Ajouter.

    Capture d’écran d’un exemple de transfert d’un ensemble de règles.

Dans cet exemple :

  • L’adresse 10.0.0.4 correspond au point de terminaison entrant du résolveur.
  • L’adresse 192.168.1.2 correspond à un serveur DNS local.
  • L’adresse 10.5.5.5 correspond à un service DNS de protection.

Tester le résolveur privé

Vous devez maintenant être en mesure d’envoyer le trafic DNS vers votre résolveur DNS et de résoudre les enregistrements en fonction de vos ensembles de règles de transfert, notamment :

  • Zones privées Azure DNS liées au réseau virtuel où le résolveur est déployé.
    • Si un réseau virtuel est lié à la zone privée elle-même, il n’a besoin d’aucune règle pour la zone privée dans l’ensemble de règles de transfert. Les ressources du réseau virtuel peuvent directement résoudre la zone. Dans cet exemple, le deuxième réseau virtuel n’est toutefois pas lié à la zone privée. Il peut toujours résoudre la zone au moyen de l’ensemble de règles de transfert. Pour plus d’informations sur cette conception, consultez Architecture de Private Resolver.
  • Zones DNS privées hébergées localement.
  • Zones DNS dans l’espace de noms DNS Internet public.

Étapes suivantes