Upravit

Návrh hybridního řešení DNS (Domain Name System) s využitím Azure

Azure Bastion
Azure DNS
Azure ExpressRoute
Azure Virtual Network

Tato referenční architektura ukazuje, jak navrhnout hybridní řešení DNS (Domain Name System) pro překlad názvů pro úlohy hostované místně a v Microsoft Azure. Tato architektura funguje pro uživatele a další systémy, které se připojují z místního prostředí a z veřejného internetu.

Architektura

Diagram showing a Hybrid Domain Name System (DNS).

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Tato architektura se skládá z následujících součástí:

  • Místní síť: Místní síť představuje jedno datové centrum, které je připojené k Azure přes připojení Azure ExpressRoute nebo virtuální privátní sítě (VPN). V tomto scénáři tvoří místní síť následující komponenty:
    • Servery DNS . Tyto servery představují dva servery s nainstalovanou službou DNS, které fungují jako překladač nebo předávání. Tyto servery DNS se používají pro všechny počítače v místní síti jako servery DNS. Záznamy musí být vytvořeny na těchto serverech pro všechny koncové body v Azure a v místním prostředí.
    • Brána. Brána představuje buď zařízení VPN, nebo připojení ExpressRoute, které se používá pro připojení k Azure.
  • Předplatné centra. Předplatné centra představuje předplatné Azure, které se používá k hostování připojení, správy a síťových prostředků sdílených napříč několika úlohami hostovanými v Azure. Tyto prostředky je možné rozdělit do několika předplatných, jak je popsáno v architektuře na podnikové úrovni.

    Poznámka:

    Virtuální síť rozbočovače může být nahrazena centrem sítě WAN (Virtual Wide Area Network), v takovém případě by se servery DNS musely hostovat v jiné virtuální síti Azure. V architektuře na podnikové úrovni se tato virtuální síť udržuje ve vlastním předplatném s názvem Předplatné identity.

    • Podsíť Služby Azure Bastion Služba Azure Bastion ve virtuální síti centra slouží ke vzdálené komunikace k virtuálním počítačům v hvězdicových virtuálních sítích z veřejného internetu pro účely údržby.
    • Podsíť privátního koncového bodu. Podsíť privátního koncového bodu hostuje privátní koncové body pro úlohy hostované v Azure ve virtuálních sítích, které nejsou v partnerském vztahu k centru. Tento typ odpojené virtuální sítě může kolidovat s dalšími IP adresami, které se používají v Azure a v místním prostředí.
    • Podsíť brány. Podsíť brány hostuje bránu Azure VPN nebo ExpressRoute, která slouží k zajištění připojení zpět k místnímu datacentru.
    • Podsíť sdílených služeb. Podsíť sdílených služeb hostuje služby sdílené mezi několika úlohami Azure. V tomto scénáři tato podsíť hostuje virtuální počítače s Windows nebo Linuxem, které se používají také jako servery DNS. Tyto servery DNS hostují stejné zóny DNS jako místní servery.
  • Připojení předplatné. Připojené předplatné představuje kolekci úloh, které vyžadují virtuální síť a připojení zpět k místní síti.
    • Partnerské vztahy virtuálních sítí. Tato komponenta je připojení peeringu zpět k virtuální síti centra. Toto připojení umožňuje připojení z místní sítě k paprsku a zpět přes virtuální síť centra.
    • Výchozí podsíť Výchozí podsíť obsahuje ukázkovou úlohu.
      • web-vmss. Tato ukázková škálovací sada virtuálních počítačů hostuje úlohu v Azure, ke které se dá přistupovat z místního prostředí, z Azure a z veřejného internetu.
      • Nástroj pro vyrovnávání zatížení Nástroj pro vyrovnávání zatížení poskytuje přístup k úloze, kterou řada hostitelů virtuálních počítačů. IP adresa tohoto nástroje pro vyrovnávání zatížení ve výchozí podsíti se musí použít pro přístup k úloze z Azure a z místního datacentra.
    • Podsíť AppGateway. Tato podsíť je požadovaná podsíť pro službu Aplikace Azure Gateway.
      • AppGateway. Application Gateway poskytuje přístup k ukázkové úloze ve výchozí podsíti uživatelům z veřejného internetu.
      • wkld1-pip. Tato adresa je veřejná IP adresa, která se používá pro přístup k ukázkové úloze z veřejného internetu.
  • Odpojené předplatné. Odpojené předplatné představuje kolekci úloh, které nevyžadují připojení zpět k místnímu datacentru a které používají službu private link.
    • PLSSubnet. Podsíť služby Private Link (PLSSubnet) obsahuje jeden nebo více prostředků služby private link, které poskytují připojení k úlohám hostovaným v Připojení předplatném.
    • Výchozí podsíť Výchozí podsíť obsahuje ukázkovou úlohu.
      • web-vmss. Tato ukázková škálovací sada virtuálních počítačů hostuje úlohu v Azure, ke které se dá přistupovat z místního prostředí, z Azure a z veřejného internetu.
      • Nástroj pro vyrovnávání zatížení Nástroj pro vyrovnávání zatížení poskytuje přístup k úloze, kterou řada hostitelů virtuálních počítačů. Tento nástroj pro vyrovnávání zatížení je připojený ke službě Private Link a poskytuje přístup uživatelům přicházejícím z Azure a místnímu datacentru.
    • Podsíť AppGateway. Tato podsíť je požadovaná podsíť pro službu Application Gateway.
      • AppGateway. Application Gateway poskytuje přístup k ukázkové úloze ve výchozí podsíti uživatelům z veřejného internetu.
      • wkld2-pip. Tato adresa je veřejná IP adresa, která se používá pro přístup k ukázkové úloze z veřejného internetu.
    • Podsíť Služby Azure Bastion Služba Azure Bastion v odpojené virtuální síti slouží ke vzdálené komunikace k virtuálním počítačům v hvězdicových virtuálních sítích z veřejného internetu pro účely údržby.

Komponenty

  • Virtuální síť. Azure Virtual Network (VNet) je základní stavební blok pro privátní síť v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

  • Azure Bastion. Azure Bastion je plně spravovaná služba, která poskytuje bezpečnější a bezproblémový přístup k virtuálním počítačům pomocí protokolů RDP (Remote Desktop Protocol) a SSH (Secure Shell Protocol). Nedochází přitom k žádnému vystavení prostřednictvím veřejných IP adres.

  • VPN Gateway. Služba VPN Gateway odesílá šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet. Bránu VPN Gateway můžete použít také k odesílání šifrovaného provozu mezi virtuálními sítěmi Azure přes síť Microsoftu. Brána VPN je konkrétní typ brány virtuální sítě.

  • Private Link. Privátní propojení Azure poskytuje možnosti privátního připojení z virtuální sítě ke službám Azure PaaS (platforma jako služba), službám vlastněným zákazníky nebo partnerským službám Microsoftu. Zjednodušuje architekturu sítě a zabezpečuje propojení mezi koncovými body v Azure díky eliminaci vystavení dat ve veřejném internetu.

  • Application Gateway. Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Nástroje pro vyrovnávání zatížení obvykle fungují na přenosové vrstvě (vrstva OSI 4 – TCP a UDP) a směrují provoz na základě zdrojové IP adresy a portu do cílové IP adresy a portu.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Poznámka:

Pro následující doporučení se budeme na úlohu 1 odkazovat jako na připojenou úlohu a 2 jako odpojenou úlohu. Budeme také odkazovat na uživatele a systémy, které k těmto úlohám přistupují jako místní uživatelé, uživatelé internetu a systémy Azure.

Rozšíření služby AD DS do Azure (volitelné)

Pomocí integrovaných zón DNS ve službě AD DS můžete hostovat záznamy DNS pro vaše místní datacentrum a Azure. V tomto scénáři existují dvě sady serverů DNS služby AD DS: jeden místní a jeden v centrální virtuální síti.

Doporučujeme rozšířit doménu AD DS do Azure. Doporučujeme také nakonfigurovat hvězdicové virtuální sítě tak, aby používaly servery DNS služby AD DS v centrální virtuální síti pro všechny virtuální počítače v Azure.

Poznámka:

Toto doporučení platí jenom pro organizace, které používají integrovanou zónu DNS služby Active Directory pro překlad názvů. Ostatní můžou zvážit implementaci serverů DNS, které fungují jako překladač nebo předávání.

Konfigurace dns rozděleného mozku

Ujistěte se, že je zavedená služba DNS rozděleného mozku, která umožňuje systémům Azure, místním uživatelům a uživatelům internetu přistupovat k úlohám na základě toho, odkud se připojují.

Pro připojené i odpojené úlohy doporučujeme pro překlad DNS následující komponenty:

  • Zóny Azure DNS pro uživatele internetu.
  • Servery DNS pro místní uživatele a systémy Azure.
  • Privátní zóny DNS Azure pro překlad mezi virtuálními sítěmi Azure.

Pokud chcete lépe porozumět tomuto doporučení rozděleného mozku, zvažte úlohu 1, pro kterou použijeme wkld1.contoso.com plně kvalifikovaný název domény (FQDN).

V tomto scénáři musí uživatelé internetu přeložit tento název na veřejnou IP adresu, kterou služba Application Gateway zveřejňuje prostřednictvím Wkld1-pip. Toto řešení se provádí vytvořením záznamu adresy (záznamU) v Azure DNS pro připojené předplatné.

Místní uživatelé musí přeložit stejný název na interní IP adresu nástroje pro vyrovnávání zatížení v připojeném předplatném. Toto řešení se provádí vytvořením záznamu A na serverech DNS v předplatném centra.

Systémy Azure můžou přeložit stejný název na interní IP adresu nástroje pro vyrovnávání zatížení v připojeném předplatném buď vytvořením záznamu A na serveru DNS v předplatném centra, nebo pomocí privátních zón DNS. Pokud používáte privátní zóny DNS, buď ručně vytvořte záznam A v privátní zóně DNS nebo povolte automatickou registraci.

V našem scénáři je úloha 2 hostovaná v odpojeném předplatném a přístup k této úloze pro místní uživatele a připojené systémy Azure je možné prostřednictvím privátního koncového bodu ve virtuální síti centra. Existuje však třetí možnost připojení pro tuto úlohu: systémy Azure ve stejné virtuální síti jako Úloha 2.

Abychom lépe pochopili doporučení DNS pro úlohy 2, použijeme plně kvalifikovaný název domény wkld2.contoso.com a probereme jednotlivá doporučení.

V tomto scénáři musí uživatelé internetu přeložit tento název na veřejnou IP adresu, kterou služba Application Gateway zveřejňuje prostřednictvím Wkld2-pip. Toto řešení se provádí vytvořením záznamu A v Azure DNS pro připojené předplatné.

Místní uživatelé a systémy Azure, které jsou připojené k virtuální síti centra a paprskové virtuální sítě, musí přeložit stejný název na interní IP adresu privátního koncového bodu ve virtuální síti centra. Toto řešení se provádí vytvořením záznamu A na serverech DNS v předplatném centra.

Systémy Azure ve stejné virtuální síti jako úloha 2 musí přeložit název na IP adresu nástroje pro vyrovnávání zatížení v odpojeném předplatném. Toto řešení se provádí pomocí privátní zóny DNS v Azure DNS v tomto předplatném.

Pokud tyto virtuální sítě propojíte s privátní zónou DNS, která je hostitelem záznamu A pro 2, systémy Azure v různých virtuálních sítích stále přeloží IP adresu úlohy 2.

Povolení automatické registrace

Když nakonfigurujete propojení virtuální sítě s privátní zónou DNS, můžete volitelně nakonfigurovat automatické registrace pro všechny virtuální počítače.

Poznámka:

Automatická registrace funguje jenom pro virtuální počítače. Pro všechny ostatní prostředky, které jsou nakonfigurované s IP adresou z virtuální sítě, musíte záznamy DNS vytvořit ručně v privátní zóně DNS.

Pokud používáte server DNS služby AD DS, nakonfigurujte virtuální počítače s Windows pomocí dynamických aktualizací pro počítače s Windows, aby vaše vlastní záznamy DNS byly aktuální na serverech DNS služby AD DS. Doporučujeme povolit dynamické aktualizace a nakonfigurovat servery DNS tak, aby povolovala pouze zabezpečené aktualizace.

Virtuální počítače s Linuxem nepodporují zabezpečené dynamické aktualizace. Pro místní počítače s Linuxem použijte protokol DHCP (Dynamic Host Configuration Protocol) k registraci záznamů DNS na servery DNS služby AD DS.

Pro virtuální počítače s Linuxem v Azure použijte automatizovaný proces.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

  • V jednotlivých oblastech Azure nebo místních datacentrech zvažte použití alespoň dvou serverů DNS.
  • Všimněte si, jak se to dělá v předchozím scénáři s místními servery DNS a ve virtuální síti centra.

Dostupnost

  • Zvažte umístění serverů DNS. Jak je popsáno v části Aspekty škálovatelnosti, měly by být servery DNS umístěné blízko uživatelům a systémům, které k nim potřebují přístup.
    • V jednotlivých oblastech Azure. Každá oblast Azure má svou vlastní virtuální síť rozbočovače nebo centrum virtuální sítě WAN. Tady musí být nasazené vaše servery DNS.
    • V místním datacentru. Pro uživatele a systémy v těchto umístěních byste také měli mít dvojici serverů DNS na místní datacentrum.
    • V případě izolovaných (odpojených) úloh hostujte privátní zónu DNS a veřejnou zónu DNS pro každé předplatné, abyste mohli spravovat záznamy DNS rozděleného mozku.

Možnosti správy

  • Zvažte potřebu záznamů DNS pro služby PaaS (Platforma jako služba).
  • Musíte také zvážit překlad DNS pro služby PaaS, které používají privátní koncový bod. K tomu použijte privátní zónu DNS a pomocí kanálu DevOps vytvořte záznamy na serverech DNS.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

  • Pokud požadujete použití SLUŽBY DNSSEC, zvažte, že azure DNS ho v současné době nepodporuje.
  • Pro ověření DNSSEC nasaďte vlastní server DNS a povolte ověřování DNSEC.
  • Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce pro zmírnění rizik DDoS, které poskytují větší ochranu před útoky DDoS. Službu Azure DDOS Protection byste měli povolit v jakékoli hraniční virtuální síti.

DevOps

  • Automatizujte konfiguraci této architektury kombinací šablon Azure Resource Manageru pro konfiguraci všech prostředků. Privátní i veřejné zóny DNS podporují úplnou správu z Azure CLI, PowerShellu, .NET a rozhraní REST API.
  • Pokud k nasazení a údržbě úloh v Azure a místním prostředí používáte kanál kontinuální integrace a průběžného vývoje (CI/CD), můžete také nakonfigurovat automatickou registraci záznamů DNS.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

  • Náklady na zónu Azure DNS vycházejí z počtu zón DNS hostovaných v Azure a počtu přijatých dotazů DNS.
  • K odhadu nákladů použijte cenovou kalkulačku Azure. Tady jsou vysvětlené cenové modely pro Azure DNS.
  • Fakturační model pro Azure ExpressRoute je založený na datech účtovaných podle měřených dat, která vám účtují poplatky za gigabajt za odchozí přenos dat, nebo neomezená data, která účtují měsíční poplatek včetně veškerého přenosu dat.
  • Pokud používáte vpn místo ExpressRoute, náklady jsou závislé na skladové poplatce brány virtuální sítě a účtují se za hodinu.

Další kroky

Další informace o technologiích komponent:

Prozkoumejte související architektury: