Bearbeiten

Azure DNS Private Resolver

Azure DNS
Azure ExpressRoute
Azure Firewall
Azure Virtual Network
Azure VPN Gateway

In diesem Artikel wird eine Lösung für die Verwendung von Azure DNS Private Resolver zum Vereinfachen der hybriden rekursiven DNS-Auflösung (Domain Name System) vorgestellt. Sie können DNS Private Resolver für lokale Workloads und für Azure-Workloads verwenden. DNS Private Resolver vereinfacht die private DNS-Auflösung zwischen lokalem DNS und dem privaten DNS-Dienst von Azure und umgekehrt.

Aufbau

In den folgenden Abschnitten werden Alternativen für die hybride rekursive DNS-Auflösung vorgestellt. Im ersten Abschnitt wird eine Lösung mit einer VM zur DNS-Weiterleitung erläutert. In den folgenden Abschnitten wird die Verwendung von DNS Private Resolver erläutert.

Verwenden einer VM zur DNS-Weiterleitung

Vor der Verfügbarkeit von DNS Private Resolver wurde eine VM zur DNS-Weiterleitung bereitgestellt, sodass ein lokaler Server Anforderungen an den privaten DNS-Dienst von Azure auflösen konnte. Das folgende Diagramm veranschaulicht die Details dieser Namensauflösung. Eine bedingte Weiterleitung auf dem lokalen DNS-Server leitet Anforderungen an Azure weiter, und eine private DNS-Zone ist mit einem virtuellen Netzwerk verknüpft. Anforderungen an den Azure-Dienst werden dann in die entsprechende private IP-Adresse aufgelöst.

Bei dieser Lösung können Sie den öffentlichen Azure-DNS-Dienst nicht verwenden, um lokale Domänennamen aufzulösen.

Architekturdiagramm einer Lösung ohne Azure DNS Private Resolver. Der Datenverkehr von einem lokalen Server zu einer Azure-Datenbank ist sichtbar.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Workflow

  1. Eine Client-VM sendet eine Namensauflösungsanforderung für azsql1.database.windows.net an einen lokalen internen DNS-Server.

  2. Eine bedingte Weiterleitung ist auf dem internen DNS-Server konfiguriert. Diese leitet die DNS-Abfrage für database.windows.net an 10.5.0.254 weiter, die Adresse einer VM zur DNS-Weiterleitung.

  3. Die VM zur DNS-Weiterleitung sendet die Anforderung an 168.63.129.16, die IP-Adresse des internen Azure-DNS-Servers.

  4. Der Azure DNS-Server sendet eine Namensauflösungsanforderung für azsql1.database.windows.net an die rekursiven Resolver von Azure. Die Resolver antworten mit dem kanonischen Namen (CNAME) azsql1.privatelink.database.windows.net.

  5. Der Azure DNS-Server sendet eine Namensauflösungsanforderung für azsql1.privatelink.database.windows.net an die private DNS-Zone privatelink.database.windows.net. Die private DNS-Zone antwortet mit der privaten IP-Adresse 10.5.0.5.

  6. Die Antwort, die den CNAME azsql1.privatelink.database.windows.net dem Eintrag 10.5.0.5 zuordnet, gelangt zur DNS-Weiterleitung.

  7. Die Antwort kommt beim lokalen internen DNS-Server an.

  8. Die Antwort kommt auf der Client-VM an.

  9. Die Client-VM stellt eine private Verbindung mit dem privaten Endpunkt her, der die IP-Adresse 10.5.0.5 verwendet. Der private Endpunkt stellt der Client-VM eine sichere Verbindung mit einer Azure-Datenbank zur Verfügung.

Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Verwenden von DNS Private Resolver

Wenn Sie DNS Private Resolver verwenden, benötigen Sie keine VM zur DNS-Weiterleitung, da Azure DNS in der Lage ist, lokale Domänennamen aufzulösen.

Die folgende Lösung verwendet DNS Private Resolver in einer Hub-Spoke-Netzwerktopologie. Als bewährte Methode empfiehlt das Entwurfsmuster der Azure-Zielzone die Verwendung dieser Art von Topologie. Eine Hybridnetzwerkverbindung wird mithilfe von Azure ExpressRoute und Azure Firewall eingerichtet. Dieses Setup bietet ein sicheres Hybridnetzwerk. DNS Private Resolver wird in einem Spoke-Netzwerk bereitgestellt (in den Diagrammen dieses Artikels als Shared-Service-Netzwerk bezeichnet).

Architekturdiagramm mit einem lokalen Netzwerk, das mit einem Hub-and-Spoke-Netzwerk in Azure verbunden ist. DNS Private Resolver befindet sich im Hubnetzwerk.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Komponenten der DNS Private Resolver-Lösung

Eine Lösung, die DNS Private Resolver verwendet, umfasst die folgenden Komponenten:

  • Ein lokales Netzwerk. Dieses Netzwerk aus Kundenrechenzentren ist mit Azure über ExpressRoute oder eine Azure VPN Gateway-Site-to-Site-Verbindung verbunden. Zu den Netzwerkkomponenten zählen zwei lokale DNS-Server. Einer der Server verwendet die IP-Adresse 192.168.0.1. Der andere die IP-Adresse 192.168.0.2. Beide Server funktionieren als Resolver bzw. Weiterleitungen für alle Computer im lokalen Netzwerk.

Ein Administrator erstellt alle lokalen DNS-Datensätze und Azure-Endpunktweiterleitungen auf diesen Servern. Auf diesen Servern werden bedingte Weiterleitungen für den Azure Blob Storage-Dienst und den Azure API Management-Dienst konfiguriert. Diese Weiterleitungen senden Anforderungen an die eingehende DNS Private Resolver-Verbindung. Der eingehende Endpunkt verwendet die IP-Adresse 10.0.0.8 und wird im virtuellen Shared-Service-Netzwerk gehostet (Subnetz 10.0.0.0/28).

In der folgenden Tabelle sind die Einträge auf den lokalen Servern aufgeführt.

Domänenname IP-Adresse Eintragstyp
App1.onprem.company.com 192.168.0.8 Adresszuordnung
App2.onprem.company.com 192.168.0.9 Adresszuordnung
blob.core.windows.net 10.0.0.8 DNS-Weiterleitung
azure-api.net 10.0.0.8 DNS-Weiterleitung

  • Ein Hubnetzwerk.

    • VPN Gateway oder eine ExpressRoute-Verbindung wird für die Hybridverbindung mit Azure verwendet.
    • Azure Firewall ist eine verwaltete Firewall-as-a-Service-Lösung. Die Firewallinstanz befindet sich in einem eigenen Subnetz.

  • Ein Shared-Service-Netzwerk.

    • DNS Private Resolver wird in einem eigenen virtuellen Netzwerk bereitgestellt (vom Hubnetzwerk getrennt, in dem das ExpressRoute-Gateway bereitgestellt wird). In der folgenden Tabelle sind die Parameter aufgeführt, die für DNS Private Resolver konfiguriert werden. Für die DNS-Namen von App1 und App2 wird der Regelsatz für die DNS-Weiterleitung konfiguriert.
    Parameter IP-Adresse
    Virtuelles Netzwerk 10.0.0.0/24
    Subnetz des eingehenden Endpunkts 10.0.0.0/28
    IP-Adresse des eingehenden Endpunkts 10.0.0.8
    Subnetz des ausgehenden Endpunkts 10.0.0.16/28
    IP-Adresse des ausgehenden Endpunkts 10.0.0.19
    • Das virtuelle Shared-Service-Netzwerk (10.0.0.0/24) ist mit den privaten DNS-Zonen für Blob Storage und den API-Dienst verknüpft.

  • Spoke-Netzwerke.

    • VMs werden in allen Spoke-Netzwerken zum Testen und Überprüfen der DNS-Auflösung gehostet.
    • Alle virtuellen Spoke-Netzwerke in Azure verwenden den standardmäßigen Azure DNS-Server an der IP-Adresse 168.63.129.16. Darüber hinaus sind alle virtuellen Spoke-Netzwerke per Peering mit dem virtuellen Hubnetzwerk verbunden. Der gesamte Datenverkehr, einschließlich des Datenverkehrs zu und von DNS Private Resolver, wird über den Hub weitergeleitet.
    • Die virtuellen Spoke-Netzwerke sind mit privaten DNS-Zonen verknüpft. Dank dieser Konfiguration kann der Name privater Linkdienste für Endpunkte wie privatelink.blob.core.windows.net aufgelöst werden.

Datenverkehrsfluss bei einer lokalen DNS-Abfrage

Das folgende Diagramm zeigt den Datenverkehrsfluss, der entsteht, wenn ein lokaler Server eine DNS-Anforderung stellt.

Architekturdiagramm, das den Datenverkehr zur Namensauflösung durch DNS Private Resolver zeigt, wenn ein lokaler Server einen Eintrag im privaten DNS-Dienst von Azure abfragt.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

  1. Ein lokaler Server fragt einen Eintrag im privaten DNS-Dienst von Azure ab, z. B. blob.core.windows.net. Die Anforderung wird an den lokalen DNS-Server an die IP-Adresse 192.168.0.1 oder 192.168.0.2 gesendet. Alle lokalen Computer zeigen auf den lokalen DNS-Server.

  2. Eine bedingte Weiterleitung auf dem lokalen DNS-Server für blob.core.windows.net leitet die Anforderung an den DNS-Resolver an der IP-Adresse 10.0.0.8 weiter.

  3. Der DNS-Resolver fragt Azure DNS ab und empfängt Informationen über eine VNet-Verknüpfung des privaten DNS-Diensts von Azure.

  4. Der private DNS-Dienst von Azure löst DNS-Abfragen auf, die über den öffentlichen Azure DNS-Dienst an den eingehenden Endpunkt des DNS-Resolvers gesendet werden.

Datenverkehrsfluss bei einer VM-DNS-Abfrage

Das folgende Diagramm zeigt den Datenverkehrsfluss, der entsteht, wenn VM 1 eine DNS-Anforderung stellt. In diesem Fall versucht das virtuelle Spoke-Netzwerk „Spoke 1“, die Anforderung aufzulösen.

Architekturdiagramm, das den Datenverkehr zur Namensauflösung mit Azure DNS Private Resolver zeigt, wenn eine Spoke-VM eine DNS-Anforderung sendet.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

  1. VM 1 ruft einen DNS-Eintrag ab. Die virtuellen Spoke-Netzwerke sind so konfiguriert, dass sie die von Azure bereitgestellte Namensauflösung verwenden. Infolgedessen wird die DNS-Abfrage von Azure DNS aufgelöst.

  2. Wenn durch die Abfrage ein privater Name aufgelöst werden soll, wird der private DNS-Dienst von Azure kontaktiert.

  3. Wenn die Abfrage keiner privaten DNS-Zone entspricht, die mit dem virtuellen Netzwerk verknüpft ist, stellt Azure DNS eine Verbindung mit DNS Private Resolver her. Das virtuelle Netzwerk „Spoke 1“ umfasst eine VNet-Verknüpfung. DNS Private Resolver sucht nach einem Regelsatz für die DNS-Weiterleitung, der dem virtuellen Netzwerk „Spoke 1“ zugeordnet ist.

  4. Wenn eine Übereinstimmung im Regelsatz für die DNS-Weiterleitung gefunden wird, wird die DNS-Abfrage über den ausgehenden Endpunkt an die IP-Adresse weitergeleitet, die im Regelsatz angegeben ist.

  5. Wenn der private DNS-Dienst von Azure (2) und Azure DNS Private Resolver (3) keinen übereinstimmenden Datensatz finden können, wird Azure DNS (5) verwendet, um die Abfrage aufzulösen.

Jede DNS-Weiterleitungsregel enthält einen oder mehrere DNS-Zielserver, die für die bedingte Weiterleitung verwendet werden sollen. Zu den angegebenen Informationen gehören der Domänenname, die Ziel-IP-Adresse und der Port.

Datenverkehrsfluss für eine VM-DNS-Abfrage über DNS Private Resolver

Das folgende Diagramm zeigt den Verkehrsfluss, der entsteht, wenn VM 1 eine DNS-Anforderung über einen eingehenden DNS Private Resolver-Endpunkt ausgibt. In diesem Fall versucht das virtuelle Spoke-Netzwerk „Spoke 1“, die Anforderung aufzulösen.

Architekturdiagramm, das den Datenverkehr mit Azure DNS Private Resolver zeigt, wenn eine Spoke-VM eine DNS-Anforderung sendet.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

  1. VM 1 ruft einen DNS-Eintrag ab. Die virtuellen Spoke-Netzwerke sind so konfiguriert, dass sie die IP-Adresse 10.0.0.8 als DNS-Server für die Namensauflösung verwenden. Infolgedessen wird DNS Private Resolver für die Auflösung der DNS-Abfrage verwendet.

  2. Wenn durch die Abfrage ein privater Name aufgelöst werden soll, wird der private DNS-Dienst von Azure kontaktiert.

  3. Wenn die Abfrage keiner privaten DNS-Zone entspricht, die mit dem virtuellen Netzwerk verknüpft ist, stellt Azure DNS eine Verbindung mit DNS Private Resolver her. Das virtuelle Netzwerk „Spoke 1“ umfasst eine VNet-Verknüpfung. DNS Private Resolver sucht nach einem Regelsatz für die DNS-Weiterleitung, der dem virtuellen Netzwerk „Spoke 1“ zugeordnet ist.

  4. Wenn eine Übereinstimmung im Regelsatz für die DNS-Weiterleitung gefunden wird, wird die DNS-Abfrage über den ausgehenden Endpunkt an die IP-Adresse weitergeleitet, die im Regelsatz angegeben ist.

  5. Wenn der private DNS-Dienst von Azure (2) und Azure DNS Private Resolver (3) keinen übereinstimmenden Datensatz finden können, wird Azure DNS (5) verwendet, um die Abfrage aufzulösen.

Jede DNS-Weiterleitungsregel enthält einen oder mehrere DNS-Zielserver, die für die bedingte Weiterleitung verwendet werden sollen. Zu den angegebenen Informationen gehören der Domänenname, die Ziel-IP-Adresse und der Port.

Datenverkehrsfluss für eine VM-DNS-Abfrage über einen lokalen DNS-Server

Das folgende Diagramm zeigt den Verkehrsfluss, der entsteht, wenn VM 1 eine DNS-Anforderung über einen lokalen DNS-Server ausgibt. In diesem Fall versucht das virtuelle Spoke-Netzwerk „Spoke 1“, die Anforderung aufzulösen.

Architekturdiagramm, das den Datenverkehr zur Namensauflösung mit Azure DNS Private Resolver zeigt, wenn eine Spoke-VM eine DNS-Anforderung sendet.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

  1. VM 1 ruft einen DNS-Eintrag ab. Die virtuellen Spoke-Netzwerke sind so konfiguriert, dass sie die IP-Adresse 192.168.0.1/2 als DNS-Server für die Namensauflösung verwenden. Infolgedessen wird ein lokaler DNS-Server für die Auflösung der DNS-Abfrage verwendet.

  2. Die Anforderung wird an den lokalen DNS-Server an die IP-Adresse 192.168.0.1 oder 192.168.0.2 gesendet.

  3. Eine bedingte Weiterleitung auf dem lokalen DNS-Server für blob.core.windows.net leitet die Anforderung an den DNS-Resolver an der IP-Adresse 10.0.0.8 weiter.

  4. Der DNS-Resolver fragt Azure DNS ab und empfängt Informationen über eine VNet-Verknüpfung des privaten DNS-Diensts von Azure.

  5. Der private DNS-Dienst von Azure löst DNS-Abfragen auf, die über den öffentlichen Azure DNS-Dienst an den eingehenden Endpunkt von DNS Private Resolver gesendet werden.

Komponenten

  • VPN Gateway ist ein virtuelles Netzwerkgateway, mit dem Sie verschlüsselten Datenverkehr senden können:

    • Zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet
    • Zwischen virtuellen Azure-Netzwerken und einem Azure-Backbonenetzwerk

  • ExpressRoute erweitert lokale Netzwerke in die Microsoft-Cloud. ExpressRoute stellt über einen Konnektivitätsanbieter private Verbindungen mit Cloudkomponenten wie z. B. Azure-Diensten und Microsoft 365 her.

  • Azure Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Über Virtual Network können Azure-Ressourcen (z. B. VMs) sicher untereinander sowie mit dem Internet und lokalen Netzwerken kommunizieren.

  • Azure Firewall erzwingt Anwendungs- und Netzwerkkonnektivitätsrichtlinien. Dieser Netzwerksicherheitsdienst verwaltet die Richtlinien zentral über mehrere virtuelle Netzwerke und Abonnements hinweg.

  • DNS Private Resolver ist ein Dienst, der ein lokales DNS mit Azure DNS verbindet. Mit diesem Dienst können Sie private DNS-Zonen von Azure in einer lokalen Umgebung abfragen (und umgekehrt), ohne VM-basierte DNS-Server bereitstellen zu müssen.

  • Azure DNS ist ein Hostingdienst für DNS-Domänen. Azure DNS verwendet Azure-Infrastruktur, um die Namensauflösung bereitzustellen.

  • Der private DNS-Dienst von Azure verwaltet Domänennamen in einem virtuellen Netzwerk und in verbundenen virtuellen Netzwerken und löst sie auf. Wenn Sie diesen Dienst nutzen, müssen Sie keine benutzerdefinierte DNS-Lösung konfigurieren. Wenn Sie private DNS-Zonen verwenden, können Sie benutzerdefinierte Domänennamen anstelle der Namen verwenden, die Azure während der Bereitstellung zur Verfügung stellt.

  • DNS-Weiterleitungen sind DNS-Server, die Abfragen an Server außerhalb des Netzwerks weiterleiten. Die DNS-Weiterleitung leitet nur Abfragen für Namen weiter, die nicht aufgelöst werden können.

Szenariodetails

Azure bietet verschiedene DNS-Lösungen:

  • Azure DNS ist ein Hostingdienst für DNS-Domänen. Standardmäßig verwenden virtuelle Azure-Netzwerke für die DNS-Auflösung Azure DNS. Microsoft verwaltet und wartet Azure DNS.
  • Azure Traffic Manager fungiert als DNS-basierter Dienst für den Lastenausgleich. Dieser Dienst bietet eine Möglichkeit, Datenverkehr in Azure-Regionen auf öffentlich zugängliche Anwendungen zu verteilen.
  • Der private DNS-Dienst von Azure stellt einen DNS-Dienst für virtuelle Netzwerke bereit. Sie können die privaten DNS-Zonen von Azure verwenden, um Ihre eigenen Domänennamen und VM-Namen aufzulösen, ohne eine benutzerdefinierte Lösung konfigurieren und Ihre eigene Konfiguration ändern zu müssen. Bei der Bereitstellung können Sie benutzerdefinierte Domänennamen anstelle der von Azure bereitgestellten Namen verwenden, wenn Sie private DNS-Zonen nutzen.
  • DNS Private Resolver ist ein cloudnativer, hoch verfügbarer, DevOps-freundlicher Dienst. Er bietet einen einfachen, wartungsfreien, zuverlässigen und sicheren DNS-Dienst. Mit diesem Dienst können Sie DNS-Namen, die in privaten DNS-Zonen von Azure gehostet werden, in lokalen Netzwerken auflösen. Sie können den Dienst auch für DNS-Abfragen Ihrer eigenen Domänennamen nutzen.

Vor der Verfügbarkeit von DNS Private Resolver mussten benutzerdefinierte DNS-Server für die DNS-Auflösung von lokalen Systemen zu Azure und umgekehrt eingesetzt werden. Benutzerdefinierte DNS-Lösungen haben viele Nachteile:

  • Die Verwaltung mehrerer benutzerdefinierter DNS-Server für mehrere virtuelle Netzwerke ist mit hohen Infrastruktur- und Lizenzierungskosten verbunden.
  • Sie müssen sich um alle Aspekte der Installation, Konfiguration und Wartung von DNS-Servern kümmern.
  • Aufwändige Aufgaben wie das Überwachen und Patchen dieser Server sind komplex und fehleranfällig.
  • Es gibt keine DevOps-Unterstützung für die Verwaltung von DNS-Einträgen und Weiterleitungsregeln.
  • Die Implementierung skalierbarer DNS-Serverlösungen ist teuer.

DNS Private Resolver beseitigt diese Hürden, indem es die folgenden Features und Vorteile bietet:

  • Ein vollständig verwalteter Microsoft-Dienst mit integrierter Hochverfügbarkeit und Zonenredundanz.
  • Eine skalierbare Lösung, die gut mit DevOps funktioniert.
  • Kosteneinsparungen im Vergleich zu herkömmlicher IaaS-basierten (Infrastructure-as-a-Service) benutzerdefinierten Lösungen.
  • Bedingte Weiterleitung für Azure DNS an lokale Server. Der ausgehende Endpunkt stellt diese Funktionalität bereit, die bislang nicht verfügbar war. Workloads in Azure benötigen keine direkten Verbindungen mit lokalen DNS-Servern mehr. Stattdessen stellen die Azure-Workloads eine Verbindung mit der ausgehenden IP-Adresse von DNS Private Resolver her.

Mögliche Anwendungsfälle

Diese Lösung vereinfacht die private DNS-Auflösung in Hybridnetzwerken. Sie eignet sich für viele Szenarien:

  • Übergangsstrategien während der langfristigen Migration zu vollständig cloudnativen Lösungen
  • Lösungen für Notfallwiederherstellung und Fehlertoleranz durch Replikation von Daten und Diensten zwischen lokalen und Cloudumgebungen
  • Lösungen, die Komponenten in Azure hosten, um Latenz zwischen lokalen Rechenzentren und Remotestandorten zu verringern

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Es wird empfohlen, einen privaten DNS-Resolver in einem virtuellen Netzwerk bereitzustellen, das ein ExpressRoute-Gateway enthält. Weitere Informationen finden Sie unter Informationen zu ExpressRoute-Gateways für virtuelle Netzwerke.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Zuverlässigkeit.

Der DNS Private Resolver ist ein cloudnativer, hochverfügbarer und DevOps-freundlicher Dienst. Er bietet eine zuverlässige und sichere DNS-Lösung und gewährt Benutzern einen einfachen, wartungsfreien Dienst.

Regionale Verfügbarkeit

Eine Liste der Regionen, in denen DNS Private Resolver verfügbar ist, finden Sie unter Regionale Verfügbarkeit.

Ein DNS-Resolver kann nur auf ein virtuelles Netzwerk verweisen, das sich in der gleichen Region wie der DNS-Resolver befindet.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Sicherheit.

Azure DNS unterstützt den erweiterten ASCII-Codierungssatz für TXT-Eintragssätze. Weitere Informationen finden Sie unter Azure DNS – häufig gestellte Fragen.

Azure DNS unterstützt derzeit keine DNS-Sicherheitserweiterungen (DNSSEC). Benutzer fragen dieses Feature jedoch an.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Kostenoptimierung.

  • Als Lösung ist DNS Private Resolver ausgesprochen kosteneffizient. Einer der Hauptvorteile von DNS Private Resolver besteht darin, dass es sich um eine vollständig verwaltete Lösung handelt, wodurch die Notwendigkeit dedizierter Server entfällt.

  • Verwenden Sie zum Berechnen der Kosten für DNS Private Resolver den Azure-Preisrechner. Informationen zu Azure DNS Private Resolver-Preismodellen finden Sie unter Azure DNS – Preise.

  • Die Preise umfassen auch Verfügbarkeits- und Skalierbarkeitsfeatures.

  • ExpressRoute unterstützt zwei Abrechnungsmodelle:

    • Volumentarif, bei dem Ihnen Gebühren pro Gigabyte für ausgehende Datenübertragungen in Rechnung gestellt werden.
    • Datenflatrate, bei der Ihnen eine feste monatliche Portgebühr in Rechnung gestellt wird, die alle ein- und ausgehenden Datenübertragungen abdeckt.

    Weitere Informationen finden Sie unter ExpressRoute – Preise.

  • Wenn Sie VPN Gateway anstelle von ExpressRoute verwenden, variieren die Kosten je nach Produkt. Die Rechnungstellung erfolgt pro Stunde. Weitere Informationen finden Sie unter VPN Gateway: Preise.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Leistungseffizienz.

DNS Private Resolver ist ein vollständig verwalteter Microsoft-Dienst, der Millionen von Anforderungen verarbeiten kann. Verwenden Sie einen Subnetzadressenraum zwischen /28 und /24. Für die meisten Benutzer funktioniert /26 am besten. Weitere Informationen finden Sie unter Subnetzeinschränkungen.

Netzwerk

Die folgenden Ressourcen bieten weitere Informationen zum Erstellen eines privaten DNS-Resolvers:

Unterstützung von Reverse-DNS

Üblicherweise wird in DNS-Einträgen ein DNS-Name einer IP-Adresse zugeordnet. So wird beispielsweise www.contoso.com in 42.3.10.170 aufgelöst. Bei Reverse-DNS erfolgt die Zuordnung in entgegengesetzter Richtung. Eine IP-Adresse wird dabei wieder einem Namen zugeordnet. Beispielsweise wird die IP-Adresse 42.3.10.170 in www.contoso.com aufgelöst.

Ausführliche Informationen zur Azure-Unterstützung von Reverse-DNS und Funktionsweise finden Sie unter Übersicht über Reverse-DNS und Unterstützung in Azure.

Beschränkungen

Für DNS Private Resolver gelten die folgenden Einschränkungen:

  • DNS Private Resolver-Regelsätze können nur mit virtuellen Netzwerken verknüpft werden, die sich in derselben geografischen Region befinden wie der Resolver.
  • Ein virtuelles Netzwerk kann nicht mehr als einen privaten DNS-Resolver enthalten.
  • Sie müssen jedem ein- und ausgehenden Endpunkt ein dediziertes Subnetz zuweisen.

Weitere Informationen finden Sie unter Einschränkungen virtueller Netzwerke.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben.

Hauptautor:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte