Краткое руководство: Создание частного сопоставителя Azure DNS с помощью портала Azure

В этом кратком руководстве описаны шаги по созданию частного Resolver Azure DNS с помощью портала Azure. Если вы предпочитаете, вы можете выполнить это краткое руководство с помощью Azure PowerShell.

Решение защищенного сопоставления Azure DNS позволяет выполнять запросы к частным зонам Azure DNS из локальной среды и наоборот, без необходимости развёртывания виртуальных DNS-серверов. Вам больше не нужно подготавливать решения на основе IaaS в виртуальных сетях для разрешения имен, зарегистрированных в Azure частных зонах DNS. Вы можете настроить условное перенаправление доменов обратно в локальные, многооблачные и общедоступные DNS-серверы. Для получения дополнительной информации, включая сведения о преимуществах, возможностях и региональной доступности, см. раздел Azure DNS Private Resolver.

Содержание этой статьи

  • Создаются две виртуальные сети: myvnet и myvnet2.
  • Частный резолвер Azure DNS создается в первой виртуальной сети с входящим узлом 10.0.0.4.
  • Для частного резолвера создается набор правил пересылки DNS.
  • Набор правил пересылки DNS связан со второй виртуальной сетью.
  • Примеры правил добавляются в набор правил пересылки DNS.

В этой статье не демонстрируется перенаправление DNS в локальную сеть. Дополнительные сведения см. в разделе Resolve Azure и локальных доменах.

На следующем рисунке приведены сведения о настройке, используемой в этой статье:

Концептуальное изображение, отображающее компоненты частного резольвера.

Prerequisites

Требуется Azure подписка.

  • Если у вас еще нет подписки Azure, можно создать учетную запись free.

Зарегистрируйте пространство имен поставщика Microsoft.Network

Прежде чем использовать службы Microsoft.Network с подпиской Azure, необходимо зарегистрировать пространство имен Microsoft.Network:

  1. Выберите колонку Subscription на портале Azure и выберите подписку.
  2. В разделе "Параметры" выберите "Поставщики ресурсов".
  3. Выберите Microsoft.Network, а затем Зарегистрировать.

Создайте группу ресурсов

Сначала создайте или выберите существующую группу ресурсов для размещения ресурсов для сопоставителя DNS. Группа ресурсов должна находиться в поддерживаемом регионе. В этом примере расположение — западная часть США. Чтобы создать новую группу ресурсов:

  1. Выберите Создать группу ресурсов.

  2. Выберите имя подписки, введите имя группы ресурсов и выберите поддерживаемый регион.

  3. Выберите Проверить и создать, а затем выберите Создать.

    создание группы ресурсов

Создание виртуальной сети

Затем добавьте виртуальную сеть в созданную группу ресурсов и настройте подсети.

  1. Выберите созданную группу ресурсов, выберите "Создать", выберите "Сеть " из списка категорий, а затем рядом с виртуальной сетью нажмите кнопку "Создать".

  2. На вкладке "Основные сведения" введите имя новой виртуальной сети и выберите регион , который совпадает с группой ресурсов.

  3. На вкладке IP-адресов измените адресное пространство IPv4 на 10.0.0.0/16.

  4. Выберите "Добавить подсеть " и введите имя подсети и диапазон адресов:

    • Имя подсети: snet-inbound
    • Диапазон адресов подсети: 10.0.0.0/28
    • Нажмите кнопку "Добавить ", чтобы добавить новую подсеть.

  5. Выберите "Добавить подсеть" и настройте подсеть исходящей конечной точки:

    • Имя подсети: snet-outbound
    • Диапазон адресов подсети: 10.0.1.0/28
    • Нажмите кнопку "Добавить ", чтобы добавить эту подсеть.

  6. Выберите Просмотр и создание, а затем нажмите кнопку Создать.

    создание виртуальной сети

Создание сопоставителя DNS в виртуальной сети

  1. Откройте портал Azure и найдите DNS Private Resolvers.

  2. Выберите частные сопоставители DNS, нажмите кнопку "Создать", а затем на вкладке "Основы " для создания частного сопоставителя DNS введите следующее:

    • Подписка: выберите имя подписки, которую вы используете.
    • Группа ресурсов: выберите имя созданной группы ресурсов.
    • Имя: введите имя для сопоставителя DNS (например, mydnsresolver).
    • Регион. Выберите регион, используемый для виртуальной сети.
    • Виртуальная сеть: выберите созданную вами виртуальную сеть.

    Еще не создайте сопоставитель DNS.

    Create Resolver — основы

  3. Перейдите на вкладку "Входящие конечные точки" , выберите "Добавить конечную точку" и введите имя рядом с именем конечной точки (например, myinboundendpoint).

  4. Рядом с подсетью выберите созданную подсеть входящей конечной точки (например, snet-inbound, 10.0.0.0/28) и нажмите кнопку "Сохранить".

  5. Перейдите на вкладку "Исходящие конечные точки" , выберите "Добавить конечную точку" и введите имя рядом с именем конечной точки (например, myoutboundendpoint).

  6. Рядом с Подсеть, выберите подсеть исходящего подключения, которую вы создали (например, snet-outbound, 10.0.1.0/28), и нажмите Сохранить.

  7. Выберите вкладку "Набор правил ", выберите " Добавить набор правил" и введите следующее:

    • Имя набора правил: введите имя набора правил (например, myruleset).
    • Конечные точки: выберите созданную исходящую конечную точку (например, myoutboundendpoint).

  8. В разделе "Правила" выберите "Добавить " и введите правила условной пересылки DNS. Рассмотрим пример.

    • Имя правила: введите имя правила (например, contosocom).
    • Доменное имя: введите доменное имя с законечной точкой (например, contoso.com.).
    • Состояние правила: выберите "Включено " или "Отключено". Значение по умолчанию включено.
    • Выберите "Добавить назначение " и введите нужный IPv4-адрес назначения (например, 203.0.113.10).
    • При необходимости нажмите кнопку "Добавить назначение " еще раз, чтобы добавить другой адрес IPv4 назначения (например, 203.0.113.11).
    • После завершения добавления IP-адресов назначения нажмите кнопку "Добавить".

  9. Выберите "Рецензирование" и "Создать", а затем нажмите кнопку "Создать".

    создать резолвер — набор правил

    В этом примере есть только одно правило условного переадресации, но можно создать много. Измените правила, чтобы включить или отключить их по мере необходимости.

    Скриншот: создание сопоставителя — обзор.

    После выбора "Создать" новый сопоставитель DNS начнет развертывание. Этот процесс может занять минуту или два. Состояние каждого компонента отображается во время развертывания.

    Создание резольвера — состояние

Создание второй виртуальной сети

Создайте вторую виртуальную сеть для имитации локальной или другой среды. Чтобы создать вторую виртуальную сеть, выполните приведенные действия.

  1. Выберите Virtual Networks в списке служб Azure или найдите Virtual Networks и выберите Virtual Networks.

  2. Выберите "Создать", а затем на вкладке "Основные сведения" выберите подписку и выберите ту же группу ресурсов, которую вы использовали в этом руководстве (например, myresourcegroup).

  3. Рядом с именем введите имя новой виртуальной сети (например, myvnet2).

  4. Убедитесь, что выбранный регион является тем же регионом, который использовался ранее в этом руководстве (например, западная часть США).

  5. Перейдите на вкладку "IP-адреса" и измените пространство IP-адресов по умолчанию. Замените адресное пространство имитируемым локальным адресным пространством (например, 10.1.0.0/16).

  6. Выберите "Добавить подсеть " и введите следующее:

    • Имя подсети: backendsubnet
    • Диапазон адресов подсети: 10.1.0.0/24

  7. Нажмите кнопку "Добавить", выберите "Проверить и создать", а затем нажмите кнопку "Создать".

    Снимок экрана: создание второй виртуальной сети.

Чтобы применить набор правил пересылки ко второй виртуальной сети, необходимо создать виртуальную ссылку.

  1. Найдите набор правил пересылки DNS в списке служб Azure и выберите ваш набор правил (например, myruleset).

  2. Выберите Virtual Network Links, выберите Добавить, выберите myvnet2 и используйте имя ссылки по умолчанию myvnet2-link.

  3. Выберите "Добавить " и убедитесь, что ссылка была добавлена успешно. Возможно, потребуется обновить страницу.

    Снимок экрана связей виртуальной сети в наборе правил.

Далее в этой статье создается правило, используя частную конечную точку входящего резольвера в качестве назначения. Эта конфигурация может вызвать петлю разрешения DNS, если виртуальная сеть, где развернут резолвер, также связана с набором правил. Чтобы устранить эту проблему, удалите ссылку на myvnet.

  1. Найдите набор правил пересылки DNS в списке служб Azure и выберите ваш набор правил (например, myruleset).

  2. Выберите Ссылки виртуальной сети, выберите myvnet-link, выберите Удалить и выберите OK.

    Снимок экрана: ссылки виртуальной сети набора правил после удаления ссылки.

Настройка набора правил пересылки DNS

Добавьте или удалите определенные правила в наборе правил пересылки DNS, по мере необходимости, например:

  • Правило для разрешения зоны Azure Private DNS, которая связана с вашей виртуальной сетью: azure.contoso.com.
  • Правило для разрешения локальной зоны: internal.contoso.com.
  • Правило подстановочного знака для пересылки несовпаденных запросов DNS в защитную службу DNS.

Важно

Правила, показанные в этом кратком руководстве, являются примерами правил, которые можно использовать для конкретных сценариев. Ни один из правил пересылки, описанных в этой статье, не требуется. Будьте осторожны, чтобы проверить правила пересылки и убедиться, что правила не вызывают проблем с разрешением DNS.

Если в набор правил включено правило подстановочного знака, убедитесь, что целевая служба DNS может разрешать общедоступные DNS-имена. Некоторые службы Azure имеют зависимости от разрешения общедоступных имен.

Удаление правила из набора правил пересылки

Отдельные правила можно удалить или отключить. В этом примере правило удаляется.

  1. Найдите наборы правил пересылки Dns в списке служб Azure и выберите его.
  2. Выберите набор правил, настроенный ранее (например, myruleset) и выберите "Правила".
  3. Выберите пример правила contosocom , настроенного ранее, нажмите кнопку "Удалить" и нажмите кнопку "ОК".

Добавление правил в набор правил пересылки

Добавьте три новых правила условной пересылки в набор правил.

  1. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: AzurePrivate
    • Доменное имя: azure.contoso.com.
    • Состояние правила: включено

  2. В разделе "Ip-адрес назначения " введите 10.0.0.4 и нажмите кнопку "Добавить".

  3. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: внутреннее
    • Доменное имя: internal.contoso.com.
    • Состояние правила: включено

  4. В разделе "Конечный IP-адрес " введите 192.168.1.2 и нажмите кнопку "Добавить".

  5. В myruleset | Страница правил , выберите "Добавить" и введите следующие данные правила:

    • Имя правила: подстановочный знак
    • Доменное имя : . (введите только точку)
    • Состояние правила: включено

  6. В разделе "Конечный IP-адрес" введите 10.5.5.5 и нажмите кнопку "Добавить".

    Снимок экрана: пример набора правил пересылки.

В этом примере:

  • 10.0.0.4 — это конечная точка входящего трафика резолвера.
  • 192.168.1.2 — локальный DNS-сервер.
  • 10.5.5.5 — это защитная служба DNS.

Тестирование частного резолвера

Теперь вы сможете отправлять трафик DNS в сопоставитель DNS и разрешать записи на основе наборов правил переадресации, включая следующие:

  • Частные зоны Azure DNS, связанные с виртуальной сетью, в которой развернут резолвер.
    • Если виртуальная сеть связана с самой частной зоной, в наборе правил пересылки не требуется правило для частной зоны. Ресурсы в виртуальной сети могут напрямую разрешать зону. Однако в этом примере вторая виртуальная сеть не связана с частной зоной. Он по-прежнему может разрешить зону с помощью набора правил пересылки. Дополнительные сведения об этой конструкции см. Архитектура частного резолвера.
  • Частные зоны DNS, размещённые на территории предприятия.
  • Зоны DNS в общедоступном пространстве имен DNS в Интернете.

Дальнейшие шаги

Что такое Azure DNS Private Resolver?

  • Last updated on