Руководство: Настройка аварийного переключения DNS с помощью частных резолверов

В этой статье описано, как устранить единую точку отказа в локальных службах DNS с использованием двух или более частных сопоставителей DNS Azure, развернутых в разных регионах. Отказоустойчивость DNS включается путем назначения локального резольвера в качестве основного DNS и резольвера в соседнем регионе в качестве вторичного DNS. Если основной DNS-сервер не отвечает, DNS-клиенты автоматически повторяют попытку с помощью дополнительного DNS-сервера.

В этом руководстве описано следующее:

На следующей диаграмме показан сценарий переключения на резервный механизм, описанный в этой статье.

В этом сценарии у вас есть подключения из двух локальных расположений к двум виртуальным сетям концентратора Azure.

• В восточном регионе основной путь направлен к восточному концентратору виртуальной сети. У вас есть дополнительное подключение к западному узлу. Западный регион настраивается в обратном порядке.
• Из-за проблемы с подключением к Интернету подключение к одной виртуальной сети (западной) временно нарушено.
• Доступ к службе сохраняется в обоих регионах благодаря избыточной архитектуре.

Маршрут разрешения DNS следующий:

1. Избыточные локальные серверы условной пересылки DNS отправляют запросы DNS во входящие конечные точки.
2. Входящие конечные точки получают запросы DNS из локальной среды.
3. Конечные точки исходящей связи и наборы правил пересылки DNS обрабатывают DNS-запросы и возвращают ответы вашим локальным сетевым ресурсам.

Исходящие конечные точки и наборы правил пересылки DNS не требуются для сценария отработки отказа, но включены здесь для полноты описания. Наборы правил можно использовать для разрешения локальных доменов с помощью Azure. Дополнительные сведения см. в разделах Конечные точки и наборы правил Частного сопоставителя DNS Azure и Разрешение доменов Azure и локальных доменов.

Предварительные условия

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Две виртуальные сети Azure в двух регионах.
• Подключение VPN или ExpressRoute из локальной среды к каждой виртуальной сети.
• Частный сопоставитель DNS Azure в каждой виртуальной сети.
• Частная зона DNS Azure, связанная с каждой виртуальной сетью.
• Локальный DNS-сервер.

Вход в Azure

Войдите на портал Azure.

Определение IP-адресов входящей конечной точки

Запишите IP-адреса, назначенные входящим конечным точкам частных сопоставителей DNS. Эти IP-адреса будут использоваться для настройки локальных серверов пересылки DNS.

В этом примере существуют две виртуальные сети в двух регионах.

• myeastvnet находится в регионе "Восточная часть США", ей назначено адресное пространство 10.10.0.0/16
• mywestvnet находится в регионе "Центрально-западная часть США", ей назначено адресное пространство 10.20.0.0/16

1. Выполните поиск по запросу Частные сопоставители DNS и выберите частный сопоставитель из первого региона. Например, myeastresolver.

2. В разделе Параметры выберите Входящие конечные точки и запишите параметр IP-адрес. Например, 10.10.0.4.

   

3. Вернитесь в список Частных сопоставителей DNS и выберите сопоставитель из другого региона. Например, mywestresolver.

4. В разделе Параметры выберите Входящие конечные точки и запишите IP-адрес этого сопоставителя. Например, 10.20.0.4.

Проверка связей между частными зонами

Для разрешения записей DNS в частной зоне DNS Azure необходимо связать зону с виртуальной сетью. В этом примере зона azure.contoso.com связана с виртуальными сетями myeastvnet и mywestvnet. Связи с другими виртуальными сетями также могут иметь место.

1. Выполните поиск по запросу Частные зоны DNS и выберите свою частную зону. Например, azure.contoso.com.

2. В разделе Параметры выберите Связи виртуальной сети и убедитесь, что виртуальные сети, используемые для входящих конечных точек в предыдущей процедуре, также перечислены в разделе "Виртуальная сеть". Например, myeastvnet and mywestvnet.

   

3. Если одна или несколько виртуальных сетей еще не связаны, их можно указать здесь. Для этого нажмите кнопку Добавить, укажите Имя связи, выберите свою Подписку и выберите Виртуальную сеть.

Проверка разрешения записей для Azure DNS

Убедитесь, что для параметров DNS виртуальных сетей задано значение "По умолчанию (предоставляется Azure)".

1. Выполните поиск по запросу Виртуальные сети и выберите первую Vnet. Например, myeastvnet.

2. В разделе Параметры выберите DNS-серверы и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

3. Выберите следующую виртуальную сеть (например, mywestvnet) и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

   Примечание.

   Также можно настроить пользовательские параметры DNS, но это не относится к текущему сценарию.

4. Выполните поиск по запросу Частные зоны DNS и выберите имя своей частной зоны. Например, azure.contoso.com.

5. Создайте тестовую запись в зоне, выбрав + Набор записей и добавив новую запись A. Например, test.

   

6. Откройте командную строку, используя клиента в корпоративной сети, и выполните команду nslookup для поиска тестовой записи с использованием IP-адреса первого записанного вами частного резольвера (например, 10.10.0.4). См. следующий пример.

   nslookup test.azure.contoso.com 10.10.0.4
   

   Запрос должен возвратить IP-адрес, назначенный тестовой записи.

7. Повторите данный запрос nslookup, используя IP-адрес второго частного резолвера (например, 10.20.0.4).

   

   Примечание.

   Если разрешение DNS для частной зоны не работает, убедитесь, что локальные ссылки на виртуальные сети Azure работают.

Настройка локальной пересылки DNS

Теперь, когда разрешение записей DNS работает из локальной среды в Azure с использованием двух разных частных сопоставителей DNS Azure, мы можем настроить пересылку так, чтобы она использовала оба эти адреса. Это позволит обеспечить избыточность в случае, если одно из подключений к Azure будет прервано. Процедура настройки серверов пересылки будет зависеть от типа используемого DNS-сервера. В следующем примере используется сервер Windows Server с IP-адресом 10.100.0.2, на котором запущена служба ролей DNS-сервера.

1. Откройте командную строку Windows PowerShell с повышенными привилегиями и выполните следующую команду. Замените azure.contoso.com именем частной зоны, а IP-адреса, указанные ниже, — IP-адресами частных сопоставителей.

   Add-DnsServerConditionalForwarderZone -Name "azure.contoso.com" -MasterServers 10.20.0.4,10.10.0.4
   

2. При желании вы также можете использовать консоль DNS для указания серверов условной пересылки. См. следующий пример.

   

3. Теперь, когда пересылка выполняется, выполните тот же запрос DNS, который использовался в предыдущей процедуре. Однако на этот раз не указывайте IP-адрес назначения для запроса. Запрос будет использовать DNS-сервер клиента по умолчанию.

   

Демонстрация устойчивости (необязательно)

Теперь вы можете продемонстрировать, что разрешение DNS работает, даже когда одно из подключений разорвано.

1. Прервите соединение из локальной среды к одной из ваших виртуальных сетей, отключив или деактивировав интерфейс. Убедитесь, что автоматическое повторное подключение по запросу не выполняется.

2. Выполните запрос nslookup с использованием частного резолвера из виртуальной сети, которая больше не подключена, и убедитесь, что он завершается сбоем (см. ниже).

3. Запустите запрос nslookup, используя ваш DNS-сервер по умолчанию (настроенный с пересылками), и убедитесь, что он все еще работает благодаря включенной вами избыточности.

   

Следующие шаги

• Изучите компоненты, преимущества и требования для Azure DNS Private Resolver.
• Узнайте, как создать Частный сопоставитель DNS Azure с помощью Azure PowerShell или портала Azure.
• Узнайте, как разрешать домены Azure и локальные домены с помощью частного резольвера DNS Azure.
• Ознакомьтесь со сведениями в разделе Конечные точки и наборы правил Частного сопоставителя Azure DNS.
• Узнайте, как настроить гибридный DNS с помощью частных сопоставителей.
• Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
• Модуль Learn "Общие сведения об Azure DNS"