Поделиться через

Быстрый старт: Создание частного резолвера Azure DNS с помощью портала Azure

В этом кратком руководстве вы узнаете, как создать Azure DNS Private Resolver с помощью портала Azure. Если вы хотите, вы можете пройти это краткое руководство с помощью Azure PowerShell.

Частный сопоставитель Azure DNS позволяет запрашивать частные зоны Azure DNS из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин. Вам больше не нужно подготавливать решения на основе IaaS в виртуальных сетях для разрешения имен, зарегистрированных в частных зонах DNS Azure. Вы можете настроить условное перенаправление доменов обратно в локальные, многооблачные и общедоступные DNS-серверы. Дополнительные сведения, включая преимущества, возможности и доступность в регионах, см. в разделе Что такое частный сопоставитель DNS Azure.

Содержание этой статьи

  • Создаются две виртуальные сети: myvnet и myvnet2.
  • Частный резольвер Azure DNS создается в первой виртуальной сети (VNet) с входящей конечной точкой на 10.10.0.4.
  • Для частного резолвера создается набор правил пересылки DNS.
  • Набор правил пересылки DNS связан со второй виртуальной сетью.
  • Примеры правил добавляются в набор правил пересылки DNS.

В этой статье не демонстрируется перенаправление DNS в локальную сеть. Дополнительные сведения см. в статье "Разрешение доменов Azure и локальных доменов".

На следующем рисунке приведены сведения о настройке, используемой в этой статье:

Концептуальное изображение, отображающее компоненты частного резольвера.

Prerequisites

Требуется подписка Azure.

Зарегистрируйте пространство имен поставщика Microsoft.Network

Прежде чем использовать службы Microsoft.Network с подпиской Azure, необходимо зарегистрировать пространство имен Microsoft.Network :

  1. Выберите колонку "Подписка" на портале Azure и выберите свою подписку.
  2. В разделе "Параметры" выберите "Поставщики ресурсов".
  3. Выберите Microsoft.Network и нажмите кнопку "Регистрация".

Создайте группу ресурсов

Сначала создайте или выберите существующую группу ресурсов для размещения ресурсов для сопоставителя DNS. Группа ресурсов должна находиться в поддерживаемом регионе. В этом примере расположение — западная часть США. Чтобы создать новую группу ресурсов:

  1. Выберите "Создать группу ресурсов".

  2. Выберите имя подписки, введите имя группы ресурсов и выберите поддерживаемый регион.

  3. Выберите Проверить и создать, а затем выберите Создать.

    создание группы ресурсов

Создание виртуальной сети

Затем добавьте виртуальную сеть в созданную группу ресурсов и настройте подсети.

  1. Выберите созданную группу ресурсов, выберите "Создать", выберите "Сеть " из списка категорий, а затем рядом с виртуальной сетью нажмите кнопку "Создать".

  2. На вкладке "Основные сведения" введите имя новой виртуальной сети и выберите регион , который совпадает с группой ресурсов.

  3. На вкладке IP-адресов измените адресное пространство IPv4 на 10.0.0.0/16.

  4. Выберите "Добавить подсеть " и введите имя подсети и диапазон адресов:

    • Имя подсети: snet-inbound
    • Диапазон адресов подсети: 10.0.0.0/28
    • Нажмите кнопку "Добавить ", чтобы добавить новую подсеть.

  5. Выберите "Добавить подсеть" и настройте подсеть исходящей конечной точки:

    • Имя подсети: snet-outbound
    • Диапазон адресов подсети: 10.0.1.0/28
    • Нажмите кнопку "Добавить ", чтобы добавить эту подсеть.

  6. Выберите Просмотр и создание, а затем нажмите кнопку Создать.

    создание виртуальной сети

Создание сопоставителя DNS в виртуальной сети

  1. Откройте портал Azure и найдите частные сопоставители DNS.

  2. Выберите частные сопоставители DNS, нажмите кнопку "Создать", а затем на вкладке "Основы " для создания частного сопоставителя DNS введите следующее:

    • Подписка: выберите имя подписки, которую вы используете.
    • Группа ресурсов: выберите имя созданной группы ресурсов.
    • Имя: введите имя для сопоставителя DNS (например, mydnsresolver).
    • Регион. Выберите регион, используемый для виртуальной сети.
    • Виртуальная сеть: выберите созданную виртуальную сеть.

    Еще не создайте сопоставитель DNS.

    Create Resolver — основы

  3. Перейдите на вкладку "Входящие конечные точки" , выберите "Добавить конечную точку" и введите имя рядом с именем конечной точки (например, myinboundendpoint).

  4. Рядом с подсетью выберите созданную подсеть входящей конечной точки (например, snet-inbound, 10.0.0.0/28) и нажмите кнопку "Сохранить".

  5. Перейдите на вкладку "Исходящие конечные точки" , выберите "Добавить конечную точку" и введите имя рядом с именем конечной точки (например, myoutboundendpoint).

  6. Рядом с Подсеть, выберите подсеть исходящего подключения, которую вы создали (например, snet-outbound, 10.0.1.0/28), и нажмите Сохранить.

  7. Выберите вкладку "Набор правил ", выберите " Добавить набор правил" и введите следующее:

    • Имя набора правил: введите имя набора правил (например, myruleset).
    • Конечные точки: выберите созданную исходящую конечную точку (например, myoutboundendpoint).

  8. В разделе "Правила" выберите "Добавить " и введите правила условной пересылки DNS. Рассмотрим пример.

    • Имя правила: введите имя правила (например, contosocom).
    • Доменное имя: введите доменное имя с законечной точкой (например, contoso.com.).
    • Состояние правила: выберите "Включено " или "Отключено". Значение по умолчанию включено.
    • Выберите "Добавить назначение " и введите нужный IPv4-адрес назначения (например, 203.0.113.10).
    • При необходимости нажмите кнопку "Добавить назначение " еще раз, чтобы добавить другой адрес IPv4 назначения (например, 203.0.113.11).
    • После завершения добавления IP-адресов назначения нажмите кнопку "Добавить".

  9. Выберите "Рецензирование" и "Создать", а затем нажмите кнопку "Создать".

    создать резолвер — набор правил

    В этом примере есть только одно правило условного переадресации, но можно создать много. Измените правила, чтобы включить или отключить их по мере необходимости.

    Скриншот: создание сопоставителя — обзор.

    После выбора "Создать" новый сопоставитель DNS начнет развертывание. Этот процесс может занять минуту или два. Состояние каждого компонента отображается во время развертывания.

    Создание резольвера — состояние

Создание второй виртуальной сети

Создайте вторую виртуальную сеть для имитации локальной или другой среды. Чтобы создать вторую виртуальную сеть, выполните приведенные действия.

  1. Выберите виртуальные сети из списка служб Azure или найдите виртуальные сети , а затем выберите "Виртуальные сети".

  2. Выберите "Создать", а затем на вкладке "Основные сведения" выберите подписку и выберите ту же группу ресурсов, которую вы использовали в этом руководстве (например, myresourcegroup).

  3. Рядом с именем введите имя новой виртуальной сети (например, myvnet2).

  4. Убедитесь, что выбранный регион является тем же регионом, который использовался ранее в этом руководстве (например, западная часть США).

  5. Перейдите на вкладку "IP-адреса" и измените пространство IP-адресов по умолчанию. Замените адресное пространство имитируемым локальным адресным пространством (например, 10.1.0.0/16).

  6. Выберите "Добавить подсеть " и введите следующее:

    • Имя подсети: backendsubnet
    • Диапазон адресов подсети: 10.1.0.0/24

  7. Нажмите кнопку "Добавить", выберите "Проверить и создать", а затем нажмите кнопку "Создать".

    Снимок экрана: создание второй виртуальной сети.

Чтобы применить набор правил пересылки ко второй виртуальной сети, необходимо создать виртуальную ссылку.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите набор правил (например, myruleset).

  2. Выберите "Ссылки виртуальной сети", выберите "Добавить", выберите myvnet2 и используйте ссылку myvnet2 по умолчанию.

  3. Выберите "Добавить " и убедитесь, что ссылка была добавлена успешно. Возможно, потребуется обновить страницу.

    Снимок экрана связей виртуальной сети в наборе правил.

Далее в этой статье создается правило, используя частную конечную точку входящего резольвера в качестве назначения. Эта конфигурация может вызвать петлю разрешения DNS, если виртуальная сеть, где развернут резолвер, также связана с набором правил. Чтобы устранить эту проблему, удалите ссылку на myvnet.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите набор правил (например, myruleset).

  2. Выберите "Ссылки виртуальной сети", выберите myvnet-link, нажмите кнопку "Удалить " и нажмите кнопку "ОК".

    Снимок экрана: ссылки виртуальной сети набора правил после удаления ссылки.

Настройка набора правил пересылки DNS

Добавьте или удалите определенные правила в наборе правил пересылки DNS, по мере необходимости, например:

  • Правило для разрешения частной зоны DNS Azure, связанной с виртуальной сетью: azure.contoso.com.
  • Правило для разрешения локальной зоны: internal.contoso.com.
  • Правило подстановочного знака для пересылки несовпаденных запросов DNS в защитную службу DNS.

Important

Правила, показанные в этом кратком руководстве, являются примерами правил, которые можно использовать для конкретных сценариев. Ни один из правил пересылки, описанных в этой статье, не требуется. Будьте осторожны, чтобы проверить правила пересылки и убедиться, что правила не вызывают проблем с разрешением DNS.

Если в набор правил включено правило подстановочного знака, убедитесь, что целевая служба DNS может разрешать общедоступные DNS-имена. Некоторые службы Azure зависят от разрешения общедоступных имен.

Удаление правила из набора правил пересылки

Отдельные правила можно удалить или отключить. В этом примере правило удаляется.

  1. Найдите наборы правил пересылки DNS в списке служб Azure и выберите его.
  2. Выберите набор правил, настроенный ранее (например, myruleset) и выберите "Правила".
  3. Выберите пример правила contosocom , настроенного ранее, нажмите кнопку "Удалить" и нажмите кнопку "ОК".

Добавление правил в набор правил пересылки

Добавьте три новых правила условной пересылки в набор правил.

  1. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: AzurePrivate
    • Доменное имя: azure.contoso.com.
    • Состояние правила: включено

  2. В разделе "Ip-адрес назначения " введите 10.0.0.4 и нажмите кнопку "Добавить".

  3. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: внутреннее
    • Доменное имя: internal.contoso.com.
    • Состояние правила: включено

  4. В разделе "Конечный IP-адрес " введите 192.168.1.2 и нажмите кнопку "Добавить".

  5. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: подстановочный знак
    • Доменное имя : . (введите только точку)
    • Состояние правила: включено

  6. В разделе "Конечный IP-адрес" введите 10.5.5.5 и нажмите кнопку "Добавить".

    Снимок экрана: пример набора правил пересылки.

В этом примере:

  • 10.0.0.4 — это конечная точка входящего трафика резолвера.
  • 192.168.1.2 — локальный DNS-сервер.
  • 10.5.5.5 — это защитная служба DNS.

Тестирование частного резолвера

Теперь вы сможете отправлять трафик DNS в сопоставитель DNS и разрешать записи на основе наборов правил переадресации, включая следующие:

  • Частные зоны Azure DNS, связанные с виртуальной сетью, где развернут резолвер.
    • Если виртуальная сеть связана с самой частной зоной, в наборе правил пересылки не требуется правило для частной зоны. Ресурсы в виртуальной сети могут напрямую разрешать зону. Однако в этом примере вторая виртуальная сеть не связана с частной зоной. Он по-прежнему может разрешить зону с помощью набора правил пересылки. Дополнительные сведения об этой конструкции см. Архитектура частного резолвера.
  • Частные зоны DNS, размещенные локально.
  • Зоны DNS в общедоступном пространстве имен DNS в Интернете.

Дальнейшие шаги

Что такое Azure DNS Private Resolver?

  • Last updated on