Scenari di zone di DNS privato di Azure

  • Articolo

Le zone di DNS privato di Azure forniscono la risoluzione dei nomi all’interno di una rete virtuale e tra reti virtuali. In questo articolo verranno esaminati alcuni scenari comuni che possono trarre vantaggio dall’uso di questa funzionalità.

Scenario: risoluzione dei nomi con ambito di una singola rete virtuale

In questo scenario è disponibile una rete virtuale in Azure che include molte risorse, incluse le macchine virtuali. È necessario risolvere le risorse nella rete virtuale usando un nome di dominio specifico (zona DNS). È anche necessario che la risoluzione dei nomi sia privata e non accessibile da Internet. Infine, è necessario che Azure registri automaticamente le macchine virtuali nella zona DNS.

Questo scenario è illustrato di seguito. È disponibile una rete virtuale chiamata “A” contenente due macchine virtuali (VNETA-VM1 e VNETA-VM2). A ogni macchina virtuale è associato un indirizzo IP privato. Dopo aver creato una zona privata, ad esempio contoso.com, e collegato la rete virtuale “A” come rete virtuale di registrazione, DNS di Azure creerà automaticamente due record A nella zona che fa riferimento alle due macchine virtuali. Le query DNS da VNETA-VM1 possono ora risolvere VNETA-VM2.contoso.com e riceveranno una risposta DNS che contiene l’indirizzo IP privato di VNETA-VM2. È anche possibile eseguire una query DNS inversa (PTR) per l’indirizzo IP privato di VNETA-VM1 (10.0.0.1) da VNETA-VM2. La risposta DNS conterrà il nome VNETA-VM1 come previsto.

Risoluzione in una singola rete virtuale

Nota

Gli indirizzi IP 10.0.0.1 e 10.0.0.2 sono solo esempi. Poiché Azure riserva i primi quattro indirizzi in una subnet, gli indirizzi .1 e .2 non vengono normalmente assegnati a una macchina virtuale.

Scenario: Risoluzione dei nomi tra reti virtuali

In questo scenario è necessario associare una zona privata a più reti virtuali. È possibile implementare questa soluzione in diverse architetture di rete, ad esempio il modello Hub-and-Spoke. Questa configurazione si verifica quando viene usata una rete virtuale hub centrale per connettere più reti virtuali spoke tra loro. La rete virtuale dell’hub centrale può essere collegata come rete virtuale di registrazione e le reti virtuali spoke possono essere collegate come reti virtuali di risoluzione.

Il diagramma seguente illustra una versione semplificata di questo scenario con solo due reti virtuali: A e B. A viene definita come una rete virtuale di registrazione e B viene definita come una rete virtuale di risoluzione. Lo scopo di entrambe le reti virtuali è condividere una zona comune contoso.com. Quando la zona viene creata, le reti virtuali definite come di registrazione registrano automaticamente i record DNS per le macchine virtuali nella rete virtuale (VNETA-VM1 e VNETA-VM2). È anche possibile aggiungere manualmente record DNS nella zona per le macchine virtuali nella rete virtuale di risoluzione B. Con questa configurazione, si osserverà il comportamento seguente per le query DNS in avanti e inverse:

  • Una query DNS da VNETB-VM1 nella rete virtuale di risoluzione B, per VNETA-VM1.contoso.com, riceverà una risposta DNS che contiene l'IP privato di VNETA-VM1.
  • Una query DNS inversa (PTR) da VNETB-VM2 nella rete virtuale di risoluzione B, per 10.1.0.1, riceverà una risposta DNS che contiene il nome di dominio completo (FQDN) di VNETB-VM1.contoso.com.
  • Una query DNS inversa (PTR) da VNETB-VM3 nella rete virtuale di risoluzione B, per 10.0.0.1, riceverà NXDOMAIN. Il motivo è che le query DNS inverse hanno come ambito solo la stessa rete virtuale.

Risoluzione in più reti virtuali

Scenario: Funzionalità split-horizon

In questo scenario, è necessaria una risoluzione dei nomi diversa che dipende dalla posizione in cui si trova il client per la stessa zona DNS. È possibile che si disponga di una versione privata e pubblica dell’applicazione con funzionalità o comportamenti diversi. È necessario usare lo stesso nome di dominio per entrambe le versioni. Questo scenario può essere realizzato creando una zona pubblica e una zona privata in DNS di Azure con lo stesso nome.

Il diagramma seguente illustra questo scenario. Si dispone di una rete virtuale A con due macchine virtuali (VNETA-VM1 e VNETA-VM2). Entrambi hanno un indirizzo IP privato e un indirizzo IP pubblico configurato. È stata creata una zona DNS pubblica chiamata contoso.com che registra gli indirizzi IP pubblici per queste macchine virtuali come record DNS all’interno della zona. Viene creata anche una zona DNS privata chiamata contoso.com. La rete virtuale A è stata definita come rete virtuale di registrazione. Azure registra quindi automaticamente le macchine virtuali come record A nella zona privata, puntando ai relativi indirizzi IP privati.

Quando un client Internet esegue una query DNS per VNETA-VM1.contoso.com, Azure restituirà il record IP pubblico dalla zona pubblica. Se la stessa query DNS viene eseguita da un'altra macchina virtuale (ad esempio, VNETA-VM2) nella stessa rete virtuale A, Azure restituisce il record IP privato dalla zona privata.

Risoluzione split-horizon

Passaggi successivi

Per altre informazioni sulle zone DNS private, vedere Uso di DNS di Azure per domini privati.

Informazioni su come creare una zona DNS privata in DNS di Azure.

Per informazioni sui record e le zone DNS visitare la pagina Panoramica delle zone e dei record DNS.

Informazioni su alcune altre funzionalità di rete chiave di Azure.