Risolvere i domini di Azure e locali

  • Articolo

Risoluzione DNS ibrida

Questo articolo fornisce indicazioni su come configurare la risoluzione del DNS ibrido usando Resolver privato DNS di Azure con un set di regole di inoltro DNS. In questo scenario le risorse DNS di Azure sono connesse a una rete locale usando una connessione VPN o ExpressRoute.

La risoluzione del DNS ibrido viene definita qui come abilitazione delle risorse di Azure per risolvere i domini locali e del DNS locale per risolvere le zone private di DNS di Azure.

Resolver privato DNS di Azure

Resolver privato DNS di Azure è un servizio che consente di risolvere le query DNS locali per le zone private di DNS di Azure. In precedenza, era necessario distribuire un resolver DNS personalizzato basato su VM o usare soluzioni DNS, DHCP e DDI (IPAM) non Microsoft per eseguire questa funzione.

I vantaggi dell'uso del servizio Resolver privato DNS di Azure rispetto ai resolver basati su VM o alle soluzioni DDI includono:

  • Nessuna manutenzione: a differenza delle soluzioni basate su VM o su hardware, il resolver privato non richiede aggiornamenti software, analisi delle vulnerabilità o applicazione di patch di sicurezza. Il resolver privato è completamente gestito.
  • Riduzione dei costi: il servizio Resolver privato DNS di Azure è multi-tenant e comporta costi decisamente ridotti rispetto a quelli richiesti per l'uso e la licenza di più resolver DNS basati su VM.
  • Disponibilità elevata: il servizio Resolver privato DNS di Azure integra funzionalità di disponibilità elevata. Il servizio riconosce le zona di disponibilità, garantendo così che la disponibilità elevata e la ridondanza della soluzione DNS possano essere realizzate con molto meno sforzo. Per altre informazioni su come configurare il failover DNS usando il servizio Resolver privato, vedere Esercitazione: Configurare il failover DNS usando resolver privati.
  • Compatibilità con DevOps: le tradizionali soluzioni DNS sono difficili da integrare con i flussi di lavoro DevOps, perché spesso richiedono la configurazione manuale per ogni modifica al DNS. Resolver privato DNS di Azure prevede un'interfaccia ARM completamente funzionale che può essere facilmente integrata con i flussi di lavoro DevOps.

Set di regole di inoltro DNS

Un set di regole di inoltro DNS è un gruppo di regole che specificano uno o più server DNS personalizzati per rispondere alle query per individuare spazi dei nomi DNS specifici. Per altre informazioni, vedere Endpoint e set di regole del resolver privato DNS di Azure.

Procedure

Le procedure seguenti descritte in questo articolo vengono usate per abilitare e testare il DNS ibrido:

Creare una zona privata DNS di Azure

Creare una zona privata con almeno un record di risorse da usare per il test. Per creare una zona privata sono disponibili le guide introduttive seguenti:

In questo articolo si usano la zona privata azure.contoso.com e il record di risorse di test. Per la dimostrazione corrente non è necessaria la registrazione automatica.

Importante

In questo esempio viene usato un server ricorsivo per inoltrare query dall'ambiente locale ad Azure. Se il server è autorevole per la zona padre (contoso.com), l'inoltro non è possibile a meno che non si crei prima una delega per azure.contoso.com.

Visualizzare i record di risorse

Requisito: è necessario creare un collegamento di rete virtuale nella zona alla rete virtuale in cui si distribuisce il servizio Resolver privato DNS di Azure. Nell'esempio seguente la zona privata è collegata a due reti virtuali: myeastvnet e mywestvnet. È necessario specificare almeno un collegamento.

Visualizzare i collegamenti alla zona

Creare un'istanza di Resolver privato DNS di Azure

Per creare un resolver privato sono disponibili le guide introduttive seguenti. Queste guide introduttive illustrano come creare un gruppo di risorse, una rete virtuale e un'istanza di Resolver privato DNS di Azure. Vengono forniti i passaggi per configurare un endpoint in ingresso, un endpoint in uscita e un set di regole di inoltro DNS:

Al termine, annotare l'indirizzo IP dell'endpoint in ingresso per Resolver privato DNS di Azure. In questo esempio l'indirizzo IP è 10.10.0.4. Questo indirizzo IP viene usato in un secondo momento per configurare i server di inoltro condizionale DNS in locale.

Visualizzare l'indirizzo IP dell'endpoint

Configurare un set di regole di inoltro DNS di Azure

Creare un set di regole di inoltro nella stessa area del resolver privato. L'esempio seguente mostra due set di regole. Per la dimostrazione del DNS ibrido viene usato il set di regole dell'area Stati Uniti orientali.

Visualizzare l'area del set di regole

Requisito: è necessario creare un collegamento di rete virtuale alla rete virtuale in cui viene distribuito il resolver privato. Nell'esempio seguente sono presenti due collegamenti di rete virtuale. Il collegamento myeastvnet-link viene creato in una rete virtuale hub in cui viene effettuato il provisioning del resolver privato. È disponibile anche un collegamento di rete virtuale myeastspoke-link che fornisce la risoluzione del DNS ibrido in una rete virtuale spoke che non dispone di un resolver privato. La rete spoke è in grado di usare il resolver privato perché è collegata in peering con la rete hub. Per la dimostrazione corrente non è necessario il collegamento alla rete virtuale spoke.

Visualizzare i collegamenti del set di regole

Creare quindi una regola nel set di regole per il dominio locale. In questo esempio si usa contoso.com. Impostare l'indirizzo IP di destinazione per la regola come indirizzo IP del server DNS locale. In questo esempio il server DNS locale si trova all'indirizzo 10.100.0.2. Assicurarsi che la regola sia Abilitata.

Visualizzare le regole

Nota

Non cambiare le impostazioni DNS per la rete virtuale per l'uso dell'indirizzo IP dell'endpoint in ingresso. Lasciare le impostazioni DNS predefinite.

Configurare i server di inoltro condizionale DNS in locale

La procedura per configurare DNS locale dipende dal tipo di server DNS in uso. Nell'esempio seguente un server DNS Windows all'indirizzo 10.100.0.2 viene configurato con un server di inoltro condizionale per la zona DNS privata azure.contoso.com. Il server di inoltro condizionale è impostato per inoltrare le query a 10.10.0.4, ovvero l'indirizzo IP dell'endpoint in ingresso per Resolver privato DNS di Azure. Qui è configurato anche un altro indirizzo IP per abilitare il failover DNS. Per altre informazioni sull'abilitazione del failover, vedere Esercitazione: Configurare il failover DNS tramite resolver privati. Ai fini di questa dimostrazione, è necessario solo l'endpoint in ingresso all'indirizzo 10.10.0.4.

Visualizzare l'inoltro locale

Dimostrare DNS ibrido

Usando una macchina virtuale all'interno della rete virtuale in cui è stato effettuato il provisioning di Resolver privato DNS di Azure, eseguire una query DNS per individuare un record di risorse nel dominio locale. In questo esempio viene eseguita una query per il record testdns.contoso.com:

Verificare il collegamento tra Azure e ambiente locale

Il percorso della query è: DNS di Azure > endpoint in ingresso > endpoint in uscita > regola del set di regole per contoso.com > DNS locale (10.100.0.2). Il server DNS all'indirizzo 10.100.0.2 è un resolver DNS locale, ma potrebbe anche essere un server DNS autorevole.

Usando una macchina virtuale o un dispositivo locale, eseguire una query DNS per individuare un record di risorse nella zona DNS privata di Azure. In questo esempio viene eseguita una query per il record test.azure.contoso.com:

Verificare il collegamento da ambiente locale ad Azure

Il percorso per questa query è: resolver DNS predefinito del client (10.100.0.2) > regola del server di inoltro condizionale locale per azure.contoso.com > endpoint in ingresso (10.10.0.4)

Passaggi successivi