Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приватный резолвер DNS Azure — это новая служба, которая позволяет запрашивать приватные зоны DNS Azure из локальной среды и наоборот, не развертывая DNS-серверы на базе виртуальных машин.
Как это работает?
Использование Частного сопоставителя DNS Azure требует наличия виртуальной сети Azure. При создании Частного Резольвера DNS Azure в виртуальной сети создаются одна или несколько входящих конечных точек, которые можно использовать в качестве места назначения для запросов DNS. Исходящая конечная точка сопоставителя обрабатывает запросы DNS на основе настроенного вами набора правил пересылки DNS. Запросы DNS, инициируемые в сетях, которые связанных с набором правил, можно отправлять на другие DNS-серверы.
Вам не нужно изменять параметры клиента DNS на виртуальных машинах (VM), чтобы использовать частный резольвер DNS в Azure.
Ниже приведена сводная информация о процессе выполнения запроса DNS при использовании Частного сопоставителя DNS Azure:
- Клиент в виртуальной сети выдает запрос DNS.
- Если DNS-серверы для этой виртуальной сети указаны как настраиваемые, запрос перенаправляются на указанные IP-адреса.
- Если DNS-серверы по умолчанию (предоставляемые Azure) настроены в виртуальной сети и имеются Частные зоны DNS, связанные с одной виртуальной сетью, производится обращение к этим зонам.
- Если запрос не соответствует Частной зоне DNS, связанной с виртуальной сетью, тогда обращаются к связям виртуальных сетей для наборов правил пересылки DNS.
- Если связи набора правил отсутствуют, для разрешения запроса используется DNS Azure.
- Если присутствуют ссылки на наборы правил, оцениваются правила пересылки DNS.
- Если совпадение по суффиксу найдено, запрос перенаправляется на указанный адрес.
- Если присутствует несколько совпадений, используется самый длинный суффикс.
- Если совпадение не найдено, переадресация DNS не выполняется, а для разрешения запроса используется DNS Azure.
Архитектура Приватного резольвера DNS Azure обобщена на следующем рисунке. Для разрешения DNS между виртуальными сетями Azure и локальными сетями требуется Azure ExpressRoute или VPN.
Рис. 1. Архитектура Приватного резолвера DNS Azure
Подробности о том, как создать частный резолвер DNS, см. в следующих материалах:
- Краткое руководство: Создание приватного резольвера DNS Azure с помощью портала Azure
- Быстрый старт: создание частного сопоставителя Azure DNS с помощью Azure PowerShell
Преимущества частного резольвера DNS Azure
Приватный резолвер DNS Azure обеспечивает следующие преимущества:
- Полностью управляемое решение: обеспеченная высокая доступность, зональная избыточность.
- Сокращение затрат: сокращение эксплуатационных расходов и сниженные затраты по сравнению с традиционными решениями IaaS.
- Частный доступ к Частным зонам DNS: условная пересылка в локальную инфраструктуру и обратно.
- Масштабируемость: высокая производительность на конечную точку.
- Поддержка DevOps: создание конвейеров с помощью Terraform, ARM или Bicep.
Доступность в регионах
См. сведения о продуктах Azure по регионам — Azure DNS.
Место расположения данных
Частный сопоставитель Azure DNS не перемещает или не хранит данные клиента из региона, в котором развертывается сопоставитель.
Конечные точки и наборы правил резолвера DNS
Сводка конечных точек и наборов правил сопоставителя представлена в этой статье. Подробные сведения о конечных точках и наборах правил см. в разделе конечных точек и наборов правил Azure DNS Private Resolver.
Входящие конечные точки
Входящая конечная точка обеспечивает разрешение имен из локальной среды или других частных расположений через IP-адрес, который принадлежит к диапазону адресов частной виртуальной сети. Чтобы разрешить частную зону DNS Azure из локальной среды, укажите IP-адрес входящей конечной точки в параметрах локального DNS-сервера условной пересылки. Локальный DNS-сервер условной пересылки должен иметь сетевое подключение к виртуальной сети.
Для входящей конечной точки требуется подсеть в виртуальной сети, в которой она развернута. Подсеть может быть делегирована только Microsoft.Network/dnsResolvers и не может использоваться для других служб. DNS-запросы, принятые входной конечной точкой, поступают в Azure. Имена можно разрешить в сценариях, где есть зоны частного DNS, включая виртуальные машины с автоматической регистрацией или службы с поддержкой Private Link.
Примечание.
IP-адрес, назначенный входящей конечной точке, можно указать как статический или динамический. Дополнительные сведения см. в разделе IP-адресов конечных точек: статических и динамических.
Исходящие конечные точки
Исходящая конечная точка маршрутизации обеспечивает разрешение имен при условной переадресации из Azure в локальную среду, к другим облачным провайдерам или внешним DNS-серверам. Для этой конечной точки требуется выделенная подсеть в виртуальной сети, где она подготовлена. В этой подсети не должна выполняться никакая другая служба, а делегировать ее можно только Microsoft.Network/dnsResolvers. Запросы DNS, отправленные на исходящую конечную точку, будут выходить из Azure.
Связи виртуальных сетей
Ссылки на виртуальные сети позволяют разрешать имена для виртуальных сетей, связанных с исходящей конечной точкой и использующих набор правил переадресации DNS. Это отношение 1:1.
Наборы правил пересылки DNS
Набор правил пересылки DNS — это группа правил пересылки DNS (до 1000), которые могут применяться к одной или нескольким исходящим конечным точкам или связаны с одной или несколькими виртуальными сетями. Это отношение 1:N. Наборы правил связаны с определенной исходящей конечной точкой. Дополнительные сведения см. в разделе Наборы правил пересылки DNS.
Правила пересылки DNS
Правило пересылки DNS включает один или несколько целевых DNS-серверов, используемых для условной пересылки, и представлен следующим образом:
- Имя домена.
- Целевой IP-адрес.
- Целевой порт и протокол (UDP или TCP).
Ограничения
В настоящее время к частным резолверам Azure DNS действуют следующие ограничения:
DNS-приватный резолвер1
| Ресурс | Ограничение |
|---|---|
| Частные резолверы DNS на подписку | 15 |
| Входящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Исходящие конечные точки для каждого частного сопоставителя DNS | 5 |
| Правила пересылки для каждого набора правил пересылки DNS | 1000 |
| Ссылки виртуальной сети для каждого набора правил пересылки DNS | 500 |
| Исходящие конечные точки для каждого набора правил пересылки DNS | 2 |
| Наборы правил пересылки DNS для каждого исходящего конечного узла | 2 |
| Целевые DNS-серверы для каждого правила пересылки | 6 |
| QPS на конечную точку доступа | 10 000 |
1Разные ограничения могут применяться порталом Azure, пока портал не будет обновлён. Используйте PowerShell для подготовки элементов до самых текущих ограничений.
Ограничения для виртуальных сетей
В отношении виртуальных сетей действуют следующие ограничения:
- Виртуальные сети с включенным шифрованием не поддерживают частный сопоставитель Azure DNS.
- Сопоставитель DNS может ссылаться только на виртуальную сеть, находящуюся в том же регионе, что и он сам.
- Виртуальная сеть не может совместно использоваться несколькими сопоставителями DNS. На одну виртуальную сеть может ссылаться только один сопоставитель DNS.
Ограничения для подсетей
Подсети, используемые для сопоставителя DNS, имеют следующие ограничения:
- Подсеть должна иметь адресное пространство минимум /28 и максимум /24. Подсеть /28 достаточно для удовлетворения текущих ограничений конечной точки. Размер подсети /27 до /24 может обеспечить гибкость при изменении этих ограничений.
- Подсеть не может совместно использоваться несколькими конечными точками резольвера DNS. Одна подсеть может использоваться только одной конечной точкой сопоставителя DNS.
- Все IP-конфигурации для входящей конечной точки сопоставителя DNS должны ссылаться на одну подсеть. Использование нескольких подсетей в IP-конфигурации для одной входящей конечной точки сопоставителя DNS не допускается.
- Подсеть, используемая для входящей конечной точки сопоставителя DNS, должна находиться в виртуальной сети, на которую ссылается родительский сопоставитель DNS.
- Подсеть может быть делегирована только Microsoft.Network/dnsResolvers и не может использоваться для других служб.
Ограничения для исходящих конечных точек
Исходящие конечные точки имеют следующие ограничения:
- Исходящую конечную точку нельзя удалить, пока не удалены набор правил пересылки DNS и связи виртуальной сети, связанные с ней.
Ограничения набора правил
- Наборы правил могут содержать до 1000 правил.
- Связывание наборов правил между клиентами не поддерживается.
Прочие ограничения
- Подсети с поддержкой IPv6 не поддерживаются.
- Частный сопоставитель DNS не поддерживает Azure ExpressRoute FastPath.
- Частный сопоставитель DNS несовместим с Azure Lighthouse.
- Чтобы узнать, используется ли Azure Lighthouse, найдите поставщиков служб в портал Azure и выберите предложения поставщика услуг.
Следующие шаги
- Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
- Узнайте, как разрешить домены Azure и локальные домены с помощью Частного сопоставителя DNS Azure.
- Узнайте о конечных точках и наборах правил частного сопоставителя Azure DNS.
- Узнайте, как настроить аварийное переключение DNS с помощью частных резолверов.
- Узнайте, как настроить гибридный DNS с помощью частных сопоставителей.
- Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
- Модуль Learn "Общие сведения об Azure DNS"