Интеграция DNS центра обработки данных в Azure Stack Hub

Чтобы иметь возможность доступа к конечным точкам Azure Stack Hub (portal, adminportal, management и adminmanagement) за пределами Azure Stack Hub, необходимо интегрировать службы DNS Azure Stack Hub с DNS-серверами, на которых размещаются зоны DNS, которые нужно использовать в Azure Stack Hub.

Пространство имен DNS для Azure Stack Hub

При развертывании Azure Stack Hub необходимо ввести некоторые важные сведения, связанные с DNS.

Поле Описание Пример
Регион Географическое расположение развертывания Azure Stack Hub. east
Имя внешнего домена Имя зоны, которую необходимо использовать для развертывания Azure Stack Hub. cloud.fabrikam.com
Имя внутреннего домена Имя внутренней зоны, используемой службами инфраструктуры в Azure Stack Hub. Это интегрированная со службой каталогов закрытая зона (недоступная за пределами развертывания Azure Stack Hub). azurestack.local
DNS-серверы пересылки DNS-серверы, которые используются для перенаправления запросов DNS, зон и записей DNS, размещенных за пределами Azure Stack Hub (в корпоративной интрасети или Интернете). Вы можете изменить значение dns forwarder с помощью командлета Set-AzSDnsForwarder после развертывания.
Префикс имени (необязательно) Префикс, который будет включать имя компьютера экземпляра роли инфраструктуры Azure Stack Hub. Если не указано, значение по умолчанию — azs. azs

Полное доменное имя (FQDN) развертывания Azure Stack Hub и конечных точек включает такие параметры, как регион и имя внешнего домена. Учитывая значения из примеров в предыдущей таблице, полное доменное имя (FQDN) для этого развертывания Azure Stack Hub будет таким:

east.cloud.fabrikam.com

Таким образом примеры некоторых конечных точек для этого развертывания будут выглядеть как следующие URL-адреса:

https://portal.east.cloud.fabrikam.com https://management.east.cloud.fabrikam.com

https://adminportal.east.cloud.fabrikam.com https://adminmanagement.east.cloud.fabrikam.com

Чтобы использовать этот пример пространства имен DNS для развертывания Azure Stack Hub, должны быть выполнены следующие условия:

  • Зона fabrikam.com зарегистрирована с помощью регистратора доменных имен, внутреннего корпоративного DNS-сервера или обоих, в зависимости от требований разрешения имен.
  • В зоне fabrikam.com имеется дочерний домен cloud.fabrikam.com.
  • К DNS-серверам, на которых размещаются зоны fabrikam.com и cloud.fabrikam.com, можно получить доступ из Azure Stack Hub.

Чтобы иметь возможность разрешать DNS-имена конечных точек и экземпляров Azure Stack Hub извне Azure Stack Hub, необходимо интегрировать DNS-серверы, где размещена внешняя зона DNS для Azure Stack Hub, с DNS-серверами, где размещена родительская зона, которую требуется использовать.

Метки DNS-имен

Azure Stack Hub поддерживает добавление метки DNS-имени для общедоступного IP-адреса, чтобы обеспечить разрешение имен для общедоступных IP-адресов. Метки DNS — это удобный способ обращаться по имени к приложениям и службам, размещенным в Azure Stack Hub. Метка DNS-имени использует пространство имен, которое немного отличается от конечных точек инфраструктуры. В соответствии с предыдущим примером пространство имен для меток DNS-имен выглядит следующим образом.

*.east.cloudapp.cloud.fabrikam.com

Таким образом, если клиент указывает значение Myapp в поле метки DNS-имени ресурса общедоступного IP-адреса, на внешнем DNS-сервере Azure Stack Hub в зоне east.cloudapp.cloud.fabrikam.com создается запись A для myapp. Полученное полное доменное имя выглядит следующим образом.

myapp.east.cloudapp.cloud.fabrikam.com

Если вы хотите использовать эту функцию и пространство имен, необходимо интегрировать DNS-серверы, на которых размещена внешняя зона DNS для Azure Stack Hub, с DNS-серверами, на которых размещена родительская зона, которую вы хотите использовать. Это пространство имен отличается от пространства имен для конечных точек службы Azure Stack Hub, поэтому необходимо создать другое правило делегирования или условной пересылки.

См. сведения о том, как работает метка DNS-имени в Azure Stack Hub.

Разрешение и делегирование

Существует два следующих типа DNS-серверов.

  • Полномочный DNS-сервер содержит зоны DNS. Он отвечает на запросы DNS для записей только в этих зонах.
  • Рекурсивный DNS-сервер не содержит зоны DNS. Он отвечает на все запросы DNS, вызывая полномочные DNS-серверы для сбора необходимых данных.

Azure Stack Hub содержит и полномочный, и рекурсивный DNS-серверы. Рекурсивные серверы используются для разрешения любых имен, за исключением внутренней зоны и внешней общей зоны DNS для развертывания Azure Stack Hub.

Архитектура DNS для Azure Stack Hub

Разрешение внешних DNS-имен из Azure Stack Hub

Чтобы разрешить DNS-имена для конечных точек за пределами Azure Stack Hub (например, www.bing.com), необходимо предоставить DNS-серверы, которые Azure Stack Hub может использовать для пересылки ЗАПРОСОВ DNS, для которых Azure Stack Hub не является заслуживающим доверия. Для развертывания DNS-серверы, на которые Azure Stack Hub пересылает запросы, необходимы в листе развертывания (в поле DNS-сервер пересылки ). Для обеспечения отказоустойчивости укажите по крайней мере два сервера в этом поле. Без этих значений развертывание Azure Stack Hub завершается сбоем. После развертывания можно изменить значения dns-сервера пересылки с помощью командлета Set-AzSDnsForwarder .

Если внешние dns-серверы пересылки не могут разрешить DNS-запрос, переадресованный из Azure Stack Hub, по умолчанию внутренняя служба рекурсивного сопоставителя DNS пытается связаться с серверами корневых указаний DNS. Такое поведение отката согласуется со стандартами разрешения имен DNS-сервера. Серверы корневых подсказок Интернета используются для разрешения сведений об адресе DNS, когда серверы dns-сервера пересылки не могут разрешить запрос локально из размещенной зоны или кэша DNS-сервера.

Чтобы управлять параметром корневых указаний DNS для внутренней службы разрешения ИМЕН DNS в Azure Stack Hub, используйте Get-AzSDnsServerSettings командлет для просмотра текущей конфигурации. Параметр по умолчанию включен. Командлет Set-AzSDnsServerSettings включает или отключает конфигурацию -UseRootHint внутренних DNS-серверов.

Примечание

В сценариях, в которых Azure Stack Hub не может связаться с корневыми dns-серверами Интернета, например с UDP-портом 53 (DNS), в которых сетевой доступ постоянно заблокирован или полностью отключен или подключен к сети, рекомендуется отключить -UseRootHint параметр, чтобы предотвратить длительные тайм-ауты в разрешении DNS-имен. Для управления этим параметром Set-AzSDnsServerSettings используйте командлет .

Настройка условного перенаправления DNS

Важно!

Это применяется только к развертываниям AD FS.

Чтобы включить разрешение имен с помощью имеющейся инфраструктуры DNS, настройте условное перенаправление.

Для добавления сервера условного перенаправления необходимо использовать привилегированную конечную точку.

Для выполнения этой процедуры используйте компьютер в сети центра обработки данных, который может взаимодействовать с привилегированной конечной точкой в Azure Stack Hub.

  1. Откройте сеанс Windows PowerShell с повышенными правами (запуск от имени администратора) и подключитесь к IP-адресу привилегированной конечной точки. Используйте учетные данные для проверки подлинности администратора облака.

    $cred=Get-Credential 
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred
    
  2. После подключения к привилегированной конечной точке выполните следующую команду PowerShell. Замените предоставленные примеры значений именем домена и IP-адресами DNS-серверов, которые необходимо использовать.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
    

Разрешение имен DNS Azure Stack Hub за пределами Azure Stack Hub

Полномочные серверы — это серверы, которые содержат данные внешней зоны DNS и все созданные пользователем зоны. Выполните интеграцию с этими серверами для разрешения делегирования зоны или условного перенаправления, чтобы иметь возможность разрешать имена DNS Azure Stack Hub за пределами Azure Stack Hub.

Получение сведений о внешней конечной точке DNS-сервера

Чтобы интегрировать развертывание Azure Stack Hub с инфраструктурой DNS, необходимой указать следующие сведения:

  • полные доменные имена DNS-серверов;
  • IP-адреса DNS-серверов.

Полные доменные имена DNS-серверов Azure Stack Hub имеют следующий формат:

<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Если вы используете пример значений, полные доменные имена DNS-серверов:

azs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.com

Эти сведения также создаются во время завершения всех развертываний Azure Stack Hub в файле с именем AzureStackStampInformation.json. Этот файл находится в папке C:\CloudDeployment\logs на виртуальной машине развертывания. Если вы не знаете, какие значения были использованы для развертывания Azure Stack Hub, эти значения можно получить здесь.

Если виртуальная машина развертывания недоступна, значения можно получить, подключившись к привилегированной конечной точке и выполнив командлет PowerShell Get-AzureStackStampInformation. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.

Настройка условного перенаправления в Azure Stack Hub

Самый простой и безопасный способ интеграции Azure Stack Hub с инфраструктурой DNS — это условное перенаправление зоны с сервера, на котором размещена родительская зона. Мы рекомендуем использовать этот метод, если у вас есть прямой контроль над DNS-серверами, на которых размещается родительская зона внешнего пространства имен DNS Azure Stack Hub.

Если вы не знаете, как выполнять условную пересылку с помощью DNS, ознакомьтесь со следующей статьей TechNet: Назначение условного сервера пересылки для доменного имени или документацией по вашему решению DNS.

Условное перенаправление не может быть использовано в сценариях, в которых внешняя зона DNS Azure Stack Hub указана в качестве дочернего домена для корпоративного доменного имени. Необходимо настроить делегирование DNS.

Пример

  • Имя корпоративного домена DNS: contoso.com.
  • Имя внешнего домена DNS Azure Stack Hub: azurestack.contoso.com.

Изменение IP-адресов DNS-сервера пересылки

IP-адреса сервера пересылки DNS задаются во время развертывания Azure Stack Hub. Однако если по какой-либо причине необходимо обновить IP-адреса сервера пересылки, можно изменить значения, подключився к привилегированной конечной точке и запустив Get-AzSDnsForwarder командлеты и Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.

Делегирование внешней зоны DNS в Azure Stack Hub

Чтобы включить разрешение имен DNS за пределами развертывания Azure Stack Hub, вам нужно настроить делегирование DNS.

У каждого регистратора есть собственные средства управления DNS для изменения записей серверов имен домена. На странице управления регистратора DNS измените записи NS для зоны на те, которые вы создали в Azure Stack Hub.

Большинству регистраторов DNS требуется предоставить как минимум два DNS-сервера для выполнения делегирования.

Дальнейшие действия

Интеграция брандмауэра