Share via

Koncové body a sady pravidel privátního překladače Azure DNS

  • Článek

V tomto článku se dozvíte o komponentách privátního překladače Azure DNS. Probírají se příchozí koncové body, odchozí koncové body a sady pravidel pro předávání DNS. Vlastnosti a nastavení těchto součástí jsou popsány a příklady, jak je používat.

Architektura privátního překladače Azure DNS je shrnutá na následujícím obrázku. V této ukázkové síti je překladač DNS nasazený ve virtuální síti centra, která je v partnerském vztahu s paprskovou virtuální sítí.

Diagram znázorňující architekturu privátního překladače

Obrázek 1: Příklad hvězdicové sítě s překladačem DNS

  • Propojení sady pravidel se zřizují v sadě pravidel předávání DNS do hvězdicových virtuálních sítí, což umožňuje prostředkům v obou virtuálních sítích překládat vlastní obory názvů DNS pomocí pravidel předávání DNS.
  • Privátní zóna DNS je také nasazená a propojená s virtuální sítí centra, což umožňuje prostředkům ve virtuální síti centra překládat záznamy v zóně.
  • Paprsková virtuální síť překládá záznamy v privátní zóně pomocí pravidla předávání DNS, které předává dotazy privátní zóny na příchozí virtuální IP adresu koncového bodu v centrální virtuální síti.
  • Na obrázku se zobrazuje také místní síť připojená k ExpressRoute, kde jsou servery DNS nakonfigurované tak, aby předávaly dotazy pro privátní zónu Azure do virtuální IP adresy příchozího koncového bodu. Další informace o povolení hybridního překladu DNS pomocí privátního překladače Azure DNS najdete v tématu Řešení Azure a místních domén.

Poznámka:

Připojení peeringu zobrazeného v diagramu se pro překlad názvů nevyžaduje. Virtuální sítě propojené ze sady pravidel předávání DNS používají sadu pravidel při překladu ip adres bez ohledu na to, jestli propojené partnerské vztahy virtuálních sítí s virtuální sítí sady pravidel nebo ne.

Příchozí koncové body

Jak název napovídá, příchozí koncové body příchozího přenosu dat do Azure. Příchozí koncové body poskytují IP adresu pro předávání dotazů DNS z místních a jiných umístění mimo vaši virtuální síť. Dotazy DNS odeslané do příchozího koncového bodu se přeloží pomocí Azure DNS. Privátní DNS zón, které jsou propojené s virtuální sítí, ve které je zřízený příchozí koncový bod, se přeloží příchozím koncovým bodem.

IP adresa přidružená k příchozímu koncovému bodu je vždy součástí adresního prostoru privátní virtuální sítě, kde je nasazen privátní překladač. Ve stejné podsíti s příchozím koncovým bodem neexistují žádné další prostředky.

Statické a dynamické IP adresy koncových bodů

IP adresa přiřazená příchozímu koncovému bodu může být statická nebo dynamická. Pokud vyberete statickou adresu, nemůžete v podsíti zvolit vyhrazenou IP adresu. Pokud zvolíte dynamickou IP adresu, přiřadí se pátá dostupná IP adresa v podsíti. Například 10.10.0.4 je pátá IP adresa v podsíti 10.10.0.0/28 (.0, .1, .2, .3, .4). Pokud je příchozí koncový bod znovu zřízený, může se tato IP adresa změnit, ale obvykle se znovu použije 5. IP adresa v podsíti. Dynamická IP adresa se nezmění, pokud není znovu zřízený příchozí koncový bod. Následující příklad určuje statickou IP adresu:


Snímek obrazovky znázorňující, jak zvolit statickou IP adresu

Následující příklad ukazuje zřízení příchozího koncového bodu s virtuální IP adresou (VIP) 10.10.0.4 uvnitř podsítě snet-E-inbound v rámci virtuální sítě s adresními prostory 10.10.0.0/16.

Snímek obrazovky znázorňující příchozí koncové body

Odchozí koncové body

Odchozí koncové body odchozího přenosu dat z Azure a dají se propojit se sadami pravidel předávání DNS.

Odchozí koncové body jsou také součástí adresního prostoru privátní virtuální sítě, kde je nasazen privátní překladač. Odchozí koncový bod je přidružený k podsíti, ale není zřízený s IP adresou, jako je příchozí koncový bod. Ve stejné podsíti s odchozím koncovým bodem neexistují žádné další prostředky. Následující snímek obrazovky ukazuje odchozí koncový bod uvnitř podsítě snet-E-outbound.

Zobrazení odchozích koncových bodů

Sady pravidel předávání DNS

Sady pravidel předávání DNS umožňují zadat jeden nebo více vlastních serverů DNS pro odpovědi na dotazy na konkrétní obory názvů DNS. Jednotlivá pravidla v sadě pravidel určují způsob překladu těchto názvů DNS. Sady pravidel mohou být také propojeny s jednou nebo více virtuálními sítěmi, což umožňuje prostředkům ve virtuálních sítích používat nakonfigurovaná pravidla předávání.

Sady pravidel mají následující přidružení:

  • Jednu sadu pravidel je možné přidružit až k 2 odchozím koncovým bodům patřícím do stejné instance privátního překladače DNS. Není možné ji přidružit ke 2 odchozím koncovým bodům ve dvou různých instancích privátního překladače DNS.
  • Sada pravidel může mít až 1 000 pravidel předávání DNS.
  • Sadu pravidel je možné propojit s až 500 virtuálními sítěmi ve stejné oblasti.

Sadu pravidel nelze propojit s virtuální sítí v jiné oblasti. Další informace o sadě pravidel a dalších omezeních privátního překladače najdete v tématu Jaké jsou limity využití pro Azure DNS?

Když propočítáte sadu pravidel s virtuální sítí, prostředky v této virtuální síti používají pravidla předávání DNS povolená v sadě pravidel. Propojené virtuální sítě nejsou potřeba pro vytvoření partnerského vztahu s virtuální sítí, ve které existuje odchozí koncový bod, ale tyto sítě je možné nakonfigurovat jako partnerské vztahy. Tato konfigurace je běžná v návrhu hvězdicové architektury. V tomto hvězdicovém scénáři nemusí být paprsková virtuální síť propojená s privátní zónou DNS, aby bylo možné přeložit záznamy prostředků v zóně. V tomto případě pravidlo sady pravidel předávání pro privátní zónu odesílá dotazy do příchozího koncového bodu virtuální sítě centra. Příklad: azure.contoso.com10.10.0.4.

Následující snímek obrazovky ukazuje sadu pravidel předávání DNS propojenou s paprskovou virtuální sítí: myeastspoke.

Zobrazit odkazy na sadu pravidel

Propojení virtuálních sítí pro sady pravidel předávání DNS umožňují prostředkům v jiných virtuálních sítích používat pravidla předávání při překladu názvů DNS. Virtuální síť s privátním překladačem musí být také propojená z jakékoli privátní zóny DNS, pro které existují pravidla sady pravidel.

Například prostředky ve virtuální síti myeastspoke můžou překládat záznamy v privátní zóně azure.contoso.com DNS, pokud:

  • Zřízená sada pravidel je propojená myeastvnet s myeastspoke
  • V sadě propojených pravidel je nakonfigurované a povolené pravidlo sady pravidel pro překlad azure.contoso.com pomocí příchozího koncového bodu v myeastvnet

Poznámka:

Sadu pravidel můžete také propojit s virtuální sítí v jiném předplatném Azure. Zadaná skupina prostředků však musí být ve stejné oblasti jako privátní překladač.

Pravidla

Pravidla předávání DNS (pravidla sady pravidel) mají následující vlastnosti:

Vlastnost Popis
Název pravidla Název pravidla. Název musí začínat písmenem a může obsahovat pouze písmena, číslice, podtržítka a pomlčky.
Název domény Obor názvů DNS ukončený tečkou, kde se vaše pravidlo použije. Obor názvů musí mít buď nulové popisky (pro zástupné znaménky), nebo 1 až 34 popisků. Například contoso.com. má dva popisky.1
Cílová IP adresa:Port Cíl předávání. Jedna nebo více IP adres a portů serverů DNS, které se používají k překladu dotazů DNS v zadaném oboru názvů.
Stav pravidla Stav pravidla: Povoleno nebo zakázáno. Pokud je pravidlo zakázané, bude ignorováno.

Podporují se 1názvy domén s jedním popiskem.

Pokud se porovná více pravidel, použije se nejdelší shoda s předponou.

Pokud máte například následující pravidla:

Název pravidla Název domény Cílová IP adresa:Port Stav pravidla
Contoso contoso.com. 10.100.0.2:53 Povoleno
AzurePrivate azure.contoso.com. 10.10.0.4:53 Povoleno
Divoká karta . 10.100.0.2:53 Povoleno

Dotaz na secure.store.azure.contoso.com shodu s pravidlem AzurePrivate pro azure.contoso.com a také pro pravidlo contoso.comContoso, ale pravidlo AzurePrivate má přednost, protože předpona azure.contoso je delší než contoso.

Důležité

Pokud v sadě pravidel existuje pravidlo, které má jako cíl příchozí koncový bod privátního překladače, nepropojujte sadu pravidel s virtuální sítí, ve které je zřízený příchozí koncový bod. Tato konfigurace může způsobit smyčky překladu DNS. Příklad: V předchozím scénáři by se nemělo přidávat žádné propojení sady pravidel, protože myeastvnet příchozí koncový bod 10.10.0.4 je zřízený a myeastvnet pravidlo se překládá azure.contoso.com pomocí příchozího koncového bodu.

Pravidla uvedená v tomto článku jsou příklady pravidel, která můžete použít pro konkrétní scénáře. Použité příklady nejsou povinné. Dávejte pozor na testování pravidel předávání.

Pokud do sady pravidel zahrnete pravidlo se zástupným znakem, ujistěte se, že cílová služba DNS dokáže překládat veřejné názvy DNS. Některé služby Azure mají závislosti na překladu veřejných ip adres.

Zpracování pravidel

  • Pokud je jako cíl pravidla zadáno více serverů DNS, použije se první zadaná IP adresa, pokud neodpoví. Exponenciální algoritmus backoff se používá k určení, jestli cílová IP adresa reaguje nebo ne.
  • Některé domény se při použití pravidla zástupných znaků pro překlad DNS ignorují, protože jsou vyhrazené pro služby Azure. Seznam rezervovaných domén najdete v konfiguraci zóny DNS služeb Azure. Názvy DNS se dvěma popisky uvedenými v tomto článku (například: windows.net, azure.com, azure.net, windowsazure.us) jsou vyhrazené pro služby Azure.

Důležité

  • Jako cílovou IP adresu pro pravidlo není možné zadat IP adresu Azure DNS 168.63.129.16. Při pokusu o přidání této IP adresy se zobrazí chyba: Výjimka při přidávání požadavku na pravidlo.
  • Nepoužívejte IP adresu příchozího koncového bodu privátního překladače jako cíl přesměrování pro zóny, které nejsou propojené s virtuální sítí, ve které je privátní překladač zřízený.

Možnosti návrhu

Způsob nasazení sad pravidel předávání a příchozích koncových bodů v hvězdicové architektuře v ideálním případě závisí na návrhu sítě. Dvě možnosti konfigurace jsou stručně popsány v následujících částech. Podrobnější diskuzi s příklady konfigurace najdete v tématu Architektura privátního překladače.

Propojení sady pravidel předávání s virtuální sítí umožňuje předávání DNS v této virtuální síti. Pokud například sada pravidel obsahuje pravidlo pro předávání dotazů do příchozího koncového bodu privátního překladače, můžete tento typ pravidla použít k povolení překladu privátních zón propojených s virtuální sítí příchozího koncového bodu. Tuto konfiguraci můžete použít, když je virtuální síť centra propojená s privátní zónou a chcete povolit překlad privátní zóny v paprskových virtuálních sítích, které nejsou propojené s privátní zónou. V tomto scénáři se překlad DNS privátní zóny provádí příchozím koncovým bodem ve virtuální síti centra.

Scénář návrhu sady pravidel je nejvhodnější pro distribuovanou architekturu DNS, ve které se síťový provoz šíří napříč vaší sítí Azure a může být v některých umístěních jedinečný. Díky tomuto návrhu můžete řídit překlad DNS ve všech virtuálních sítích propojených se sadou pravidel úpravou jedné sady pravidel.

Poznámka:

Pokud použijete možnost propojení sady pravidel a jako cíl existuje pravidlo přesměrování s příchozím koncovým bodem, nepropojujte sadu pravidel přesměrování s virtuální sítí centra. Propojení tohoto typu sady pravidel se stejnou virtuální sítí, ve které je zřízený příchozí koncový bod, může vést ke smyčce překladu DNS.

Příchozí koncové body jako vlastní DNS

Příchozí koncové body můžou zpracovávat příchozí dotazy DNS a dají se nakonfigurovat jako vlastní DNS pro virtuální síť. Tato konfigurace může nahradit instance, ve kterých používáte vlastní server DNS jako vlastní DNS ve virtuální síti.

Scénář návrhu vlastního DNS je nejvhodnější pro centralizovanou architekturu DNS, kde je překlad DNS a tok síťového provozu většinou do virtuální sítě centra a je řízen z centrálního umístění.

Pokud chcete přeložit privátní zónu DNS z paprskové virtuální sítě pomocí této metody, musí být virtuální síť, ve které existuje příchozí koncový bod, propojená s privátní zónou. Virtuální síť centra může být (volitelně) propojená se sadou pravidel předávání. Pokud je sada pravidel propojená s centrem, zpracuje sada pravidel veškerý provoz DNS odesílaný do příchozího koncového bodu.

Další kroky