Projektowanie hybrydowego rozwiązania systemu nazw domen na platformie Azure

Azure Bastion
Azure DNS
Azure ExpressRoute
Azure Virtual Network

Ta architektura referencyjna ilustruje sposób projektowania hybrydowego rozwiązania systemu nazw domen (DNS) w celu rozpoznawania nazw obciążeń hostowanych lokalnie i na platformie Microsoft Azure. Ta architektura działa dla użytkowników i innych systemów, które łączą się ze środowiska lokalnego i publicznego Internetu.

Architektura

Diagram przedstawiający system nazw domen hybrydowych (DNS).

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Niniejsza architektura zawiera następujące składniki:

  • Sieć lokalna. Sieć lokalna reprezentuje pojedyncze centrum danych połączone z platformą Azure za pośrednictwem połączenia usługi Azure ExpressRoute lub wirtualnej sieci prywatnej (VPN). W tym scenariuszu następujące składniki składają się na sieć lokalną:
    • Serwery DNS . Te serwery reprezentują dwa serwery z zainstalowaną usługą DNS działającą jako program rozpoznawania/przesyłania dalej. Te serwery DNS są używane dla wszystkich komputerów w sieci lokalnej jako serwery DNS. Rekordy muszą być tworzone na tych serwerach dla wszystkich punktów końcowych na platformie Azure i lokalnie.
    • Brama. Brama reprezentuje urządzenie sieci VPN lub połączenie usługi ExpressRoute używane do nawiązywania połączenia z platformą Azure.
  • Subskrypcja centrum. Subskrypcja centrum reprezentuje subskrypcję platformy Azure używaną do hostowania zasobów łączności, zarządzania i sieci, które są współużytkowane przez wiele obciążeń hostowanych na platformie Azure. Te zasoby można podzielić na wiele subskrypcji, zgodnie z opisem w architekturze w skali przedsiębiorstwa.

    Uwaga

    Sieć wirtualna koncentratora może zostać zastąpiona koncentratorem wirtualnej sieci rozległej (WAN), w tym przypadku serwery DNS muszą być hostowane w innej sieci wirtualnej platformy Azure. W architekturze o skali przedsiębiorstwa ta sieć wirtualna jest utrzymywana we własnej subskrypcji zatytułowanej Subskrypcja tożsamości.

    • Podsieć usługi Azure Bastion. Usługa Azure Bastion w sieci wirtualnej koncentratora służy do komunikacji zdalnej z maszynami wirtualnymi w sieciach wirtualnych piasty i szprych z publicznego Internetu na potrzeby konserwacji.
    • Podsieć prywatnego punktu końcowego. Podsieć prywatnego punktu końcowego hostuje prywatne punkty końcowe dla obciążeń hostowanych na platformie Azure w sieciach wirtualnych, które nie są równorzędne z koncentratorem. W przypadku tego typu rozłączonej sieci wirtualnej jej adresy IP mogą zderzać się z innymi adresami IP używanymi na platformie Azure i lokalnie.
    • Podsieć bramy. Podsieć bramy hostuje sieć VPN platformy Azure lub usługę ExpressRoute, która jest używana do zapewnienia łączności z lokalnym centrum danych.
    • Podsieć usług udostępnionych. Podsieć usług udostępnionych hostuje usługi współużytkowane przez wiele obciążeń platformy Azure. W tym scenariuszu ta podsieć hostuje maszyny wirtualne z systemem Windows lub Linux, które są również używane jako serwery DNS. Te serwery DNS hostuje te same strefy DNS co serwery lokalne.
  • Połączona subskrypcja. Połączona subskrypcja reprezentuje kolekcję obciążeń, które wymagają sieci wirtualnej i łączności z siecią lokalną.
    • Komunikacja równorzędna sieci wirtualnych. Ten składnik jest połączeniem komunikacji równorzędnej z powrotem z siecią wirtualną piasty. To połączenie umożliwia łączność z sieci lokalnej do szprychy i z powrotem za pośrednictwem sieci wirtualnej piasty.
    • Domyślna podsieć. Domyślna podsieć zawiera przykładowe obciążenie.
      • web-vmss. Ten przykładowy zestaw skalowania maszyn wirtualnych hostuje obciążenie na platformie Azure, do którego można uzyskać dostęp ze środowiska lokalnego, platformy Azure i publicznego Internetu.
      • Moduł równoważenia obciążenia. Moduł równoważenia obciążenia zapewnia dostęp do obciążenia, które jest hostem serii maszyn wirtualnych. Adres IP tego modułu równoważenia obciążenia w domyślnej podsieci musi być używany do uzyskiwania dostępu do obciążenia z platformy Azure i z lokalnego centrum danych.
    • Podsieć AppGateway. Ta podsieć jest wymaganą podsiecią usługi aplikacja systemu Azure Gateway.
      • AppGateway. Usługa Application Gateway zapewnia dostęp do przykładowego obciążenia w domyślnej podsieci dla użytkowników z publicznego Internetu.
      • wkld1-. Ten adres to publiczny adres IP używany do uzyskiwania dostępu do przykładowego obciążenia z publicznego Internetu.
  • Odłączona subskrypcja. Odłączona subskrypcja reprezentuje kolekcję obciążeń, które nie wymagają łączności z lokalnym centrum danych i korzystają z usługi private link.
    • PLSSubnet. Podsieć usługi łącza prywatnego (PLSSubnet) zawiera co najmniej jeden zasób usługi łącza prywatnego, który zapewnia łączność z obciążeniami hostowanymi w połączonej subskrypcji.
    • Domyślna podsieć. Domyślna podsieć zawiera przykładowe obciążenie.
      • web-vmss. Ten przykładowy zestaw skalowania maszyn wirtualnych hostuje obciążenie na platformie Azure, do którego można uzyskać dostęp ze środowiska lokalnego, platformy Azure i publicznego Internetu.
      • Moduł równoważenia obciążenia. Moduł równoważenia obciążenia zapewnia dostęp do obciążenia, które jest hostem serii maszyn wirtualnych. Ten moduł równoważenia obciążenia jest połączony z usługą private link w celu zapewnienia dostępu użytkownikom pochodzącym z platformy Azure i lokalnego centrum danych.
    • Podsieć AppGateway. Ta podsieć jest wymaganą podsiecią usługi Application Gateway.
      • AppGateway. Usługa Application Gateway zapewnia dostęp do przykładowego obciążenia w domyślnej podsieci dla użytkowników z publicznego Internetu.
      • wkld2-. Ten adres to publiczny adres IP używany do uzyskiwania dostępu do przykładowego obciążenia z publicznego Internetu.
    • Podsieć usługi Azure Bastion. Usługa Azure Bastion w rozłączonej sieci wirtualnej jest używana do komunikacji zdalnej z maszynami wirtualnymi w sieciach wirtualnych piasty i szprych z publicznego Internetu na potrzeby konserwacji.

Składniki

  • Sieć wirtualna Sieć wirtualna platformy Azure to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia korzystanie z wielu typów zasobów platformy Azure, takich jak maszyny wirtualne platformy Azure, bezpieczne komunikowanie się ze sobą, internetem i sieciami lokalnymi.

  • Azure Bastion. Azure Bastion to w pełni zarządzana usługa, która zapewnia bezpieczniejszy i sprawiający mniej problemów dostęp za pomocą protokołów Remote Desktop Protocol (RDP) i Secure Shell Protocol (SSH) do maszyn wirtualnych bez ryzyka ujawnienia z powodu użycia publicznych adresów IP.

  • VPN Gateway. Usługa VPN Gateway wysyła zaszyfrowany ruch między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Za pomocą usługi VPN Gateway można również wysyłać zaszyfrowany ruch między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. Brama sieci VPN to określony typ bramy sieci wirtualnej.

  • Private Link. Usługa Azure Private Link zapewnia prywatną łączność z sieci wirtualnej do usług Azure PaaS, usług należących do klienta lub usług partnerów firmy Microsoft. Upraszcza ona architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure, eliminując ekspozycję na publiczny Internet.

  • Application Gateway. Azure Application Gateway to moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem kierowanym do aplikacji internetowych. Tradycyjne moduły równoważenia obciążenia działają w warstwie transportu (warstwie OSI 4 — TCP i UDP) i kierują ruch na podstawie źródłowego adresu IP i portu do docelowego adresu IP i portu.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Uwaga

W przypadku poniższych zaleceń będziemy odwoływać się do obciążenia 1 jako połączonego obciążenia i obciążenia 2 jako odłączonego obciążenia. Będziemy również odnosić się do użytkowników i systemów, które uzyskują dostęp do tych obciążeń jako użytkownicy lokalni, użytkownicy internetu i systemy platformy Azure.

Rozszerzanie usług AD DS na platformę Azure (opcjonalnie)

Użyj zintegrowanych stref DNS w usługach AD DS do hostowania rekordów DNS dla lokalnego centrum danych i platformy Azure. W tym scenariuszu istnieją dwa zestawy serwerów DNS usług AD DS: jeden lokalny i jeden w sieci wirtualnej piasty.

Zalecamy rozszerzenie domeny usług AD DS na platformę Azure. Zalecamy również skonfigurowanie sieci wirtualnych piasty i szprych do używania serwerów DNS usług AD DS w sieci wirtualnej piasty dla wszystkich maszyn wirtualnych na platformie Azure.

Uwaga

To zalecenie dotyczy tylko organizacji korzystających ze zintegrowanej strefy DNS usługi Active Directory do rozpoznawania nazw. Inni mogą rozważyć wdrożenie serwerów DNS, które działają jako program rozpoznawania/usługi przesyłania dalej.

Konfigurowanie systemu DNS podzielonego mózgu

Upewnij się, że system DNS z podziałem mózgów jest dostępny, aby umożliwić systemom platformy Azure, użytkownikom lokalnym i użytkownikom internetowym dostęp do obciążeń na podstawie miejsca, z którego się łączą.

W przypadku obciążeń połączonych i odłączonych zalecamy następujące składniki rozpoznawania nazw DNS:

  • Strefy dns platformy Azure dla użytkowników internetu.
  • Serwery DNS dla lokalnych użytkowników i systemów platformy Azure.
  • Prywatne strefy DNS platformy Azure do rozpoznawania między sieciami wirtualnymi platformy Azure.

Aby lepiej zrozumieć to zalecenie podzielonego mózgu, rozważ obciążenie 1, dla którego użyjemy wkld1.contoso.com w pełni kwalifikowanej nazwy domeny (FQDN).

W tym scenariuszu użytkownicy internetu muszą rozpoznać tę nazwę na publiczny adres IP udostępniany przez usługę Application Gateway za pośrednictwem narzędzia Wkld1-. To rozwiązanie jest wykonywane przez utworzenie rekordu adresu (rekordU A) w usłudze Azure DNS dla połączonej subskrypcji.

Użytkownicy lokalni muszą rozpoznać tę samą nazwę na wewnętrzny adres IP modułu równoważenia obciążenia w połączonej subskrypcji. To rozwiązanie jest wykonywane przez utworzenie rekordu A na serwerach DNS w subskrypcji centrum.

Systemy platformy Azure mogą rozpoznawać tę samą nazwę na wewnętrzny adres IP modułu równoważenia obciążenia w połączonej subskrypcji przez utworzenie rekordu A na serwerze DNS w subskrypcji centrum lub przy użyciu prywatnych stref DNS. Jeśli używasz prywatnych stref DNS, utwórz ręcznie rekord A w prywatnej strefie DNS lub włącz autorejestrację.

W naszym scenariuszu obciążenie 2 jest hostowane w rozłączonej subskrypcji, a dostęp do tego obciążenia dla użytkowników lokalnych i połączonych systemów platformy Azure jest możliwy za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej koncentratora. Istnieje jednak trzecia możliwość połączenia dla tego obciążenia: systemy platformy Azure w tej samej sieci wirtualnej co obciążenie 2.

Aby lepiej zrozumieć zalecenia dns dotyczące obciążenia 2, użyjemy wkld2.contoso.com nazwy FQDN i omówimy poszczególne zalecenia.

W tym scenariuszu użytkownicy internetu muszą rozpoznać tę nazwę na publiczny adres IP udostępniany przez usługę Application Gateway za pośrednictwem narzędzia Wkld2-. To rozwiązanie jest wykonywane przez utworzenie rekordu A w usłudze Azure DNS dla połączonej subskrypcji.

Użytkownicy lokalni i systemy platformy Azure połączone z siecią wirtualną piasty i sieci wirtualne będące szprychami muszą rozpoznać tę samą nazwę na wewnętrzny adres IP prywatnego punktu końcowego w sieci wirtualnej koncentratora. To rozwiązanie jest wykonywane przez utworzenie rekordu A na serwerach DNS w subskrypcji centrum.

Systemy platformy Azure w tej samej sieci wirtualnej co obciążenie 2 muszą rozpoznać nazwę adresu IP modułu równoważenia obciążenia w rozłączonej subskrypcji. To rozwiązanie odbywa się przy użyciu prywatnej strefy DNS w usłudze Azure DNS w tej subskrypcji.

Systemy platformy Azure w różnych sieciach wirtualnych nadal mogą rozpoznać adres IP obciążenia 2 , jeśli połączysz te sieci wirtualne z prywatną strefą DNS, która hostuje rekord A dla obciążenia 2.

Włączanie automatycznego wyrejestrowania

Podczas konfigurowania połączenia sieci wirtualnej z prywatną strefą DNS można opcjonalnie skonfigurować automatyczne wyrejestrowanie dla wszystkich maszyn wirtualnych.

Uwaga

Funkcja automatycznego wyrejestrowania działa tylko dla maszyn wirtualnych. W przypadku wszystkich innych zasobów skonfigurowanych przy użyciu adresu IP z sieci wirtualnej należy ręcznie utworzyć rekordy DNS w prywatnej strefie DNS.

Jeśli używasz serwera DNS usług AD DS, skonfiguruj maszyny wirtualne z systemem Windows mogą używać aktualizacji dynamicznych dla komputerów z systemem Windows, aby zachować aktualne rekordy DNS na serwerach DNS usług AD DS. Zalecamy włączenie aktualizacji dynamicznych i skonfigurowanie serwerów DNS tak, aby zezwalały tylko na bezpieczne aktualizacje.

Maszyny wirtualne z systemem Linux nie obsługują bezpiecznych aktualizacji dynamicznych. W przypadku lokalnych komputerów z systemem Linux użyj protokołu DHCP (Dynamic Host Configuration Protocol) do rejestrowania rekordów DNS na serwerach DNS usług AD DS.

W przypadku maszyn wirtualnych z systemem Linux na platformie Azure użyj zautomatyzowanego procesu.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Skalowalność

  • Na region platformy Azure lub lokalne centra danych rozważ użycie co najmniej dwóch serwerów DNS.
  • Zwróć uwagę, jak to zrobić w poprzednim scenariuszu, z serwerami DNS lokalnie i w sieci wirtualnej koncentratora.

Dostępność

  • Rozważ umieszczenie serwerów DNS. Zgodnie z opisem w sekcji zagadnienia dotyczące skalowalności serwery DNS powinny być umieszczone w pobliżu użytkowników i systemów, które wymagają dostępu do nich.
    • Na region platformy Azure. Każdy region świadczenia usługi Azure ma własną sieć wirtualną koncentratora lub koncentrator vWAN. W tym miejscu należy wdrożyć serwery DNS.
    • Na lokalne centrum danych. Należy również mieć parę serwerów DNS na lokalne centrum danych dla użytkowników i systemów w tych lokalizacjach.
    • W przypadku izolowanych (odłączonych) obciążeń hostuje prywatną strefę DNS i publiczną strefę DNS dla każdej subskrypcji w celu zarządzania rekordami DNS podzielonych mózgów.

Możliwości zarządzania

  • Należy wziąć pod uwagę potrzebę obsługi rekordów DNS dla usług paaS (platform as a service).
  • Należy również rozważyć rozpoznawanie nazw DNS dla usług PaaS korzystających z prywatnego punktu końcowego. Użyj prywatnej strefy DNS dla tej funkcji i użyj potoku DevOps, aby utworzyć rekordy na serwerach DNS.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

  • Jeśli wymagane jest użycie protokołu DNSSEC, należy wziąć pod uwagę, że usługa Azure DNS obecnie nie obsługuje tej usługi.
  • W przypadku walidacji protokołu DNSSEC wdróż niestandardowy serwer DNS i włącz walidację usługi DNSEC.
  • Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu zapewnienia większej ochrony przed atakami DDoS. Należy włączyć usługę Azure DDOS Protection w dowolnej sieci wirtualnej obwodowej.

DevOps

  • Zautomatyzuj konfigurację tej architektury, łącząc szablony usługi Azure Resource Manager pod kątem konfiguracji wszystkich zasobów. Zarówno prywatne, jak i publiczne strefy DNS obsługują pełne zarządzanie z poziomu interfejsu wiersza polecenia platformy Azure, programu PowerShell, platformy .NET i interfejsu API REST.
  • Jeśli używasz potoku ciągłej integracji i ciągłego programowania (CI/CD) do wdrażania i obsługi obciążeń na platformie Azure i lokalnie, możesz również skonfigurować automatyczne wyrejestrowanie rekordów DNS.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

  • Koszty strefy usługi Azure DNS są oparte na liczbie stref DNS hostowanych na platformie Azure i liczbie odebranych zapytań DNS.
  • Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Modele cenowe usługi Azure DNS wyjaśniono tutaj.
  • Model rozliczeniowy dla usługi Azure ExpressRoute jest oparty na danych taryfowych, które pobierają opłaty za gigabajt za transfer danych wychodzących lub nieograniczoną ilość danych, która pobiera miesięczną opłatę, w tym wszystkie transfery danych.
  • Jeśli używasz sieci VPN, a nie usługi ExpressRoute, koszt zależy od jednostki SKU bramy sieci wirtualnej i jest naliczany za godzinę.

Następne kroki

Dowiedz się więcej o technologiach składników:

Zapoznaj się z powiązanymi architekturami: