Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частный сопоставитель Azure DNS — это полностью управляемая, высокодоступная служба, которая обеспечивает безопасное и простое разрешение DNS между виртуальными сетями Azure и локальными средами без необходимости развертывать пользовательские DNS-серверы, а также управлять ими. Используя эту службу, вы можете разрешать запросы DNS для частных зон DNS из любой точки мира. Это упрощает гибридное сетевое подключение и упрощает управление сетями для корпоративных сценариев.
Как работает приватный резолвер Azure DNS
Использование Частного сопоставителя DNS Azure требует наличия виртуальной сети Azure. При создании частного сопоставителя Azure DNS в виртуальной сети вы создадите одну или несколько входящих конечных точек , которые можно использовать в качестве назначения для запросов DNS. Исходящая конечная точка сопоставителя обрабатывает запросы DNS на основе настроенного вами набора правил пересылки DNS. Вы можете отправлять DNS-запросы, инициируемые в сетях, связанных с набором правил, на другие DNS-серверы.
Вам не нужно изменять параметры клиента DNS на виртуальных машинах (VM), чтобы использовать частный резольвер DNS в Azure.
В следующем списке приводится сводка процесса DNS-запроса при использовании частного сопоставителя Azure DNS:
- Клиент в виртуальной сети выдает запрос DNS.
- При указании пользовательских DNS-серверов для этой виртуальной сети запрос перенаправится на указанные IP-адреса.
- Если вы настраиваете DNS-серверы по умолчанию, предоставленные Azure, в виртуальной сети и имеются частные зоны DNS, связанные с той же виртуальной сетью, эти зоны рассматриваются.
- Если запрос не соответствует Частной зоне DNS, связанной с виртуальной сетью, тогда обращаются к связям виртуальных сетей для наборов правил пересылки DNS.
- Если связи набора правил отсутствуют, для разрешения запроса используется DNS Azure.
- Если присутствуют ссылки на наборы правил, оцениваются правила пересылки DNS.
- Если совпадение по суффиксу найдено, запрос перенаправляется на указанный адрес.
- Если присутствует несколько совпадений, используется самый длинный суффикс.
- Если совпадение не найдено, переадресация DNS не выполняется, а для разрешения запроса используется DNS Azure.
Архитектура Приватного резольвера DNS Azure обобщена на следующем рисунке. Для разрешения DNS между виртуальными сетями Azure и локальными сетями требуется Azure ExpressRoute или VPN.
Рис. 1: Архитектура частного резолвера Azure DNS.
Подробности о том, как создать частный резолвер DNS, см. в следующих материалах:
- Краткое руководство: Создание приватного резольвера DNS Azure с помощью портала Azure
- Быстрый старт: создание частного сопоставителя Azure DNS с помощью Azure PowerShell
Преимущества частного резолвера Azure DNS
Приватный резолвер DNS Azure обеспечивает следующие преимущества:
- Полностью управляемый: встроенная высокая доступность и избыточность зоны.
- Сокращение затрат: сокращение эксплуатационных расходов и сниженные затраты по сравнению с традиционными решениями IaaS.
- Частный доступ к Частным зонам DNS: условная пересылка в локальную инфраструктуру и обратно.
- Масштабируемость: высокая производительность на конечную точку.
- DevOps Friendly: Создавайте конвейеры с помощью Terraform, шаблона ARM или Bicep.
Доступность в регионах
См. сведения о продуктах Azure по регионам — Azure DNS.
Место расположения данных
Частный сопоставитель Azure DNS не перемещает или не хранит данные клиента за пределами региона, в котором развертывается сопоставитель.
Конечные точки и наборы правил резолвера DNS
В этой статье содержится сводка по конечным точкам и правилам резолвера. Подробные сведения о конечных точках и наборах правил см. в разделе конечных точек и наборов правил Azure DNS Private Resolver.
Входящие конечные точки
Конечная точка входящего трафика обеспечивает разрешение имен из локальных или других частных расположений через IP-адрес, который входит в адресное пространство частной виртуальной сети. Чтобы разрешить частную зону DNS Azure из локальной среды, укажите IP-адрес входящей конечной точки в параметрах локального DNS-сервера условной пересылки. Локальный DNS-сервер условной пересылки должен иметь сетевое подключение к виртуальной сети.
Для входящей конечной точки требуется подсеть в виртуальной сети, в которой она развернута. Вы можете делегировать подсеть только Microsoft.Network/dnsResolvers и не можете использовать ее для других служб. Входящая конечная точка получает DNS-запросы, поступающие в Azure. Имена можно разрешить в сценариях, где есть зоны частного DNS, включая виртуальные машины с автоматической регистрацией или службы с поддержкой Private Link.
Примечание.
Ip-адрес, назначенный входящей конечной точке, можно указать как статический или динамический. Дополнительные сведения см. в разделе IP-адресов конечных точек: статических и динамических.
Исходящие конечные точки
Исходящая конечная точка маршрутизации обеспечивает разрешение имен при условной переадресации из Azure в локальную среду, к другим облачным провайдерам или внешним DNS-серверам. Для этой конечной точки требуется выделенная подсеть в виртуальной сети, в которой она развернута, без другой службы, работающей в подсети. Вы можете делегировать эту подсеть только Microsoft.Network/dnsResolvers. DNS-запросы, отправляемые во внешнюю конечную точку, выходят из Azure.
Связи виртуальных сетей
Ссылки на виртуальные сети позволяют разрешать имена для виртуальных сетей, связанных с исходящей конечной точкой и использующих набор правил переадресации DNS. Эта ссылка — это связь "один к одному".
Наборы правил пересылки DNS
Набор правил пересылки DNS — это группа до 1000 правил пересылки DNS, которые можно применить к одной или нескольким исходящим конечным точкам или связать с одной или несколькими виртуальными сетями. Эта конфигурация представляет собой связь "один ко многим". Вы связываете наборы правил с определенной исходящей конечной точкой. Дополнительные сведения см. в разделе Наборы правил пересылки DNS.
Правила пересылки DNS
Правило пересылки DNS включает один или несколько назначенных DNS-серверов, которые используются для условной переадресации. Следующие элементы представляют правила:
- Имя домена.
- Целевой IP-адрес.
- Целевой порт и протокол (UDP или TCP)
Ограничения
В настоящее время к частным резолверам Azure DNS действуют следующие ограничения:
DNS-приватный резолвер1
| Ресурс | Ограничение |
|---|---|
| Частные резолверы DNS на подписку | 15 |
| Входящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Исходящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Правила пересылки для каждого набора правил пересылки DNS | 1000 |
| Ссылки виртуальной сети для каждого набора правил пересылки DNS | 500 |
| Исходящие конечные точки для каждого набора правил пересылки DNS | 2 |
| Наборы правил пересылки DNS для каждого исходящего конечного узла | 2 |
| Целевые DNS-серверы для каждого правила пересылки | 6 |
| QPS на конечную точку доступа | 10 000 |
1Разные ограничения могут применяться порталом Azure, пока портал не будет обновлён. Используйте PowerShell для подготовки элементов до самых текущих ограничений.
Ограничения для виртуальных сетей
Следующие ограничения применяются к виртуальным сетям:
- Виртуальные сети с включенным шифрованием не поддерживают частный сопоставитель Azure DNS.
- Сопоставитель DNS может ссылаться только на виртуальную сеть, находящуюся в том же регионе, что и он сам.
- Один сопоставитель DNS может ссылаться только на одну виртуальную сеть. Несколько сопоставителей DNS не могут совместно использовать одну виртуальную сеть.
Ограничения для подсетей
Подсети, используемые для сопоставителя DNS, имеют следующие ограничения:
- Подсеть должна иметь адресное пространство минимум /28 и максимум /24. Подсеть /28 достаточно для удовлетворения текущих ограничений конечной точки. Размер подсети /27 до /24 может обеспечить гибкость при изменении этих ограничений.
- Несколько конечных точек сопоставителя DNS не могут совместно использовать подсеть. Одна конечная точка сопоставителя DNS может использовать только одну подсеть.
- Все конфигурации IP-адресов для входящей конечной точки разрешения DNS должны ссылаться на ту же подсеть, что и при подготовке конечной точки.
- Подсеть, используемая для входящей конечной точки сопоставителя DNS, должна находиться в виртуальной сети, на которую ссылается родительский сопоставитель DNS.
- Подсеть может быть делегирована только Microsoft.Network/dnsResolvers и не может использоваться для других служб.
Ограничения для исходящих конечных точек
Исходящие конечные точки имеют следующие ограничения:
- Вы не можете удалить исходящую конечную точку, если только вы не удалите набор правил пересылки DNS и каналы виртуальной сети под ним.
Ограничения набора правил
- Наборы правил могут содержать до 1000 правил.
- Связывание наборов правил между клиентами не поддерживается.
Прочие ограничения
- Нельзя связывать наборы правил между арендаторами.
- Не удается использовать подсети с поддержкой IPv6.
- Частный сопоставитель DNS не поддерживает Azure ExpressRoute FastPath.
- Частный сопоставитель DNS несовместим с Azure Lighthouse.
- Чтобы узнать, используется ли Azure Lighthouse, найдите поставщиков служб в портал Azure и выберите предложения поставщика услуг.
Следующие шаги
- Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
- Узнайте, как разрешить домены Azure и локальные домены с помощью Частного сопоставителя DNS Azure.
- Узнайте о конечных точках и наборах правил частного сопоставителя Azure DNS.
- Узнайте, как настроить отказоустойчивость DNS с помощью частных резолверов.
- Узнайте, как настроить гибридный DNS с помощью частных сопоставителей.
- Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
- Модуль Learn "Общие сведения об Azure DNS"