Configurer des DNS inversés dans les services hébergés par Azure
Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Cet article explique comment configurer des recherches DNS inversées dans les services hébergés par Azure.
Les services Azure utilisent des adresses IP assignées par Azure et détenues par Microsoft. Ces enregistrements DNS inversés (enregistrements PTR) doivent être créés dans les zones de recherches DNS inversées correspondantes, détenues par Microsoft.
Ce scénario diffère de la capacité à héberger les zones de recherche DNS inversées de vos plages d’adresses IP assignées dans le service Azure DNS. Ici, les plages d’adresses IP représentées par la zone de recherche inversée doivent être assignées à votre organisation. C’est généralement le rôle de votre FAI.
Avant de lire cet article, vous devez vous familiariser avec le DNS inversé dans Azure DNS.
Dans Azure DNS, les ressources de calcul telles que les machines virtuelles, les groupes de machines virtuelles identiques et les clusters Service Fabric ont des adresses IP publiques. Les recherche DNS inversées sont configurées en utilisant la propriété « ReverseFqdn » de l’adresse IP publique.
Actuellement, les DNS inversés ne sont pas pris en charge dans Azure App Service et Application Gateway.
Validation des enregistrements DNS inversés
Un tiers ne doit pas être en mesure de créer d’enregistrements DNS inversés pour le mappage du service Azure dans vos domaines DNS. C’est la raison pour laquelle Azure vous permet de créer uniquement un enregistrement DNS inversé si une recherche DNS directe correspond à la même adresse IP publique ou à des noms définis dans votre abonnement. Consultez l’exemple qui suit. Cette restriction s’applique également au service cloud.
Une validation n’intervient que lorsqu’un enregistrement DNS inversé est défini ou modifié. Aucune revalidation périodique n’est effectuée.
Par exemple, supposons que la ressource d’adresse IP publique possède le nom DNS contosoapp1.northus.cloudapp.azure.com et l’adresse IP 23.96.52.53. Le nom de domaine complet inversé de l’adresse IP publique peut être spécifié comme suit :
- Nom DNS de l’adresse IP publique :
contosoapp1.northus.cloudapp.azure.com. - Nom DNS d’une autre PublicIpAddress dans le même abonnement, par exemple :
contosoapp2.westus.cloudapp.azure.com. - Nom DNS personnel, par exemple :
app1.contoso.com. Si le nom est configuré en premier en tant qu’enregistrement CNAME pointant verscontosoapp1.northus.cloudapp.azure.com. Le nom peut également pointer vers une autre adresse IP publique dans le même abonnement. - Nom DNS personnel, par exemple :
app1.contoso.com. Si le nom est configuré en premier en tant qu’enregistrement A pointant vers l’adresse IP 23.96.52.53. Le nom peut également pointer vers une autre adresse IP dans le même abonnement.
Les mêmes contraintes s’appliquent aux DNS inversés dans les services Cloud.
DNS inversé pour des ressources d’adresse IP publique
Cette section offre des instructions détaillées sur la façon de configurer des DNS inversés pour des ressources d’adresse IP publique dans le modèle de déploiement Azure Resource Manager. Pour ce faire, vous pouvez utiliser Azure PowerShell, Azure Classic CLI ou Azure CLI. Actuellement, la configuration de DNS inversés pour une ressource d’adresse IP publique n’est pas prise en charge dans le Portail Azure.
Azure ne prend actuellement en charge les DNS inversés que pour les ressources d’adresse IPv4 publique.
Important
Les enregistrements PTR nouveaux ou mis à jour doivent passer une validation. Si l’enregistrement PTR d’une adresse IP publique n’existe pas actuellement, vous devez spécifier le nom d’hôte en utilisant DomainNameLabel (Azure PowerShell), le paramètre -d (Azure Classic CLI) ou le paramètre --dns-name (Azure CLI) tel qu’illustré dans les exemples suivants.
Configurer un DNS inversé pour une adresse IP publique avec un nom existant
Utilisez les procédures suivantes si une adresse IP publique dispose déjà d’un nom défini dans votre abonnement ou via une recherche DNS directe. Après avoir mis à jour ou ajouté un PTR à votre adresse IP publique existante, afficher et vérifier que le PTR approprié est configuré.
Azure PowerShell
Pour mettre à jour un DNS inversé pour une adresse IP publique avec un enregistrement PTR existant :
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings.ReverseFqdn = "contosoapp1.westus.cloudapp.azure.com."
Set-AzPublicIpAddress -PublicIpAddress $pip
Pour ajouter un DNS inversé à une adresse IP publique disposant déjà d’un enregistrement PTR, vous devez spécifier l’élément DomainNameLabel :
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings = New-Object -TypeName "Microsoft.Azure.Commands.Network.Models.PSPublicIpAddressDnsSettings"
$pip.DnsSettings.DomainNameLabel = "contosoapp1"
$pip.DnsSettings.ReverseFqdn = "contosoapp1.westus.cloudapp.azure.com."
Set-AzPublicIpAddress -PublicIpAddress $pip
Azure Classic CLI
Pour mettre à jour un DNS inversé pour une adresse IP publique avec un enregistrement PTR existant :
azure network public-ip set -n PublicIp -g MyResourceGroup -f contosoapp1.westus.cloudapp.azure.com.
Pour ajouter un DNS inversé à une adresse IP publique ne disposant pas encore d’un enregistrement PTR, vous devez spécifier le nom DNS (-d) :
azure network public-ip set -n PublicIp -g MyResourceGroup -d contosoapp1 -f contosoapp1.westus.cloudapp.azure.com.
Azure CLI
Pour mettre à jour un DNS inversé pour une adresse IP publique avec un enregistrement PTR existant :
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn contosoapp1.westus.cloudapp.azure.com.
Pour ajouter un DNS inversé à une adresse IP publique ne disposant pas encore d’un enregistrement PTR, vous devez spécifier le nom DNS (--dns-name) :
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn contosoapp1.westus.cloudapp.azure.com --dns-name contosoapp1
Créer une adresse IP publique avec un DNS inversé
Remarque
Si l’adresse IP publique existe déjà dans votre abonnement, consultez Configurer un DNS inversé pour une adresse IP publique avec un nom existant
Pour créer une nouvelle adresse IP publique avec la propriété DNS inversée spécifiée :
Azure PowerShell
New-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup" -Location "WestUS" -AllocationMethod Dynamic -DomainNameLabel "contosoapp2" -ReverseFqdn "contosoapp2.westus.cloudapp.azure.com."
Azure Classic CLI
azure network public-ip create -n PublicIp -g MyResourceGroup -l westus -d contosoapp3 -f contosoapp3.westus.cloudapp.azure.com.
Azure CLI
az network public-ip create --name PublicIp --resource-group MyResourceGroup --location westcentralus --dns-name contosoapp1 --reverse-fqdn contosoapp1.westcentralus.cloudapp.azure.com
Afficher un DNS inversé pour une adresse IP publique existante
Pour afficher la valeur configurée d’un DNS inversé pour une PublicIpAddress existante :
Azure PowerShell
Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
Azure Classic CLI
azure network public-ip show -n PublicIp -g MyResourceGroup
Azure CLI
az network public-ip show --name PublicIp --resource-group MyResourceGroup
Supprimer un DNS inversé d’une adresse IP publique existante
Pour supprimer une propriété DNS inversée d’une adresse IP publique existante :
Azure PowerShell
$pip = Get-AzPublicIpAddress -Name "PublicIp" -ResourceGroupName "MyResourceGroup"
$pip.DnsSettings.ReverseFqdn = ""
Set-AzPublicIpAddress -PublicIpAddress $pip
Azure Classic CLI
azure network public-ip set -n PublicIp -g MyResourceGroup –f ""
Azure CLI
az network public-ip update --resource-group MyResourceGroup --name PublicIp --reverse-fqdn ""
Configurer un DNS inversé pour les services Cloud
Cette section détaille la marche à suivre pour configurer un DNS inversé pour les services Cloud dans le modèle de déploiement classique, à l’aide d’Azure PowerShell. La configuration de DNS inversé pour les services cloud n’est pas possible par le biais du portail Azure, d’Azure Classic CLI ou d’Azure CLI.
Ajout d’un DNS inversé aux services cloud existants
Pour ajouter un enregistrement DNS inversé à un service cloud existant :
Set-AzureService –ServiceName "contosoapp1" –Description "App1 with Reverse DNS" –ReverseDnsFqdn "contosoapp1.cloudapp.net."
Création d’un service cloud avec un DNS inversé
Pour créer un nouveau service cloud avec la propriété DNS inversée spécifiée :
New-AzureService –ServiceName "contosoapp1" –Location "West US" –Description "App1 with Reverse DNS" –ReverseDnsFqdn "contosoapp1.cloudapp.net."
Affichage d’un DNS inversé pour les services cloud existants
Pour afficher la propriété DNS inversée pour un service cloud existant :
Get-AzureService "contosoapp1"
Suppression d’un DNS inversé des services cloud existants
Pour supprimer la propriété DNS inversée d’un service cloud existant :
Set-AzureService –ServiceName "contosoapp1" –Description "App1 with Reverse DNS" –ReverseDnsFqdn ""
Questions fréquentes (FAQ)
Combien coûtent les enregistrements DNS inversés ?
Ils sont gratuits. Les enregistrements DNS inversés ou les requêtes n’entraînent aucun frais supplémentaire.
Mes enregistrements DNS inversés seront-ils résolus à partir d'Internet ?
Oui. Dès que vous avez défini la propriété DNS inversée pour votre service Azure, Azure gère toutes les délégations DNS et les zones DNS requises pour s’assurer de sa résolution pour tous les utilisateurs Internet.
Des enregistrements DNS inversés par défaut sont-ils créés pour mes services Azure ?
Non. Le DNS inversé est une fonctionnalité optionnelle. Aucun enregistrement DNS inversé par défaut n’est créé si vous choisissez de ne pas les configurer.
Quel est le format du nom de domaine complet (FQDN) ?
Les noms de domaine complets sont spécifiés dans l’ordre chronologique et doivent se terminer par un point (par exemple, « app1.contoso.com. »).
Que se passe-t-il si le test de validation pour le DNS inversé spécifié échoue ?
Si le test de validation pour le DNS inversé échoue, l’opération de configuration de l’enregistrement DNS inversé échoue. Corrigez la valeur de DNS inversé en fonction des besoins, puis réessayez.
Puis-je configurer un DNS inversé pour Azure App Service ?
Non. Le DNS inversé n’est pas pris en charge dans Azure App Service.
Puis-je configurer plusieurs enregistrements DNS inversés pour mon service Azure ?
Non. Azure ne prend en charge qu’un seul enregistrement DNS inversé pour chaque service cloud Azure ou adresse IP publique.
Puis-je configurer un DNS inversé pour des ressources PublicIpAddress IPv6 ?
Non. Actuellement, Azure ne prend en charge le DNS inversé que pour les ressources PublicIpAddress IPv4.
Puis-je envoyer des courriers électroniques à des domaines externes à partir d’Azure Compute Services ?
La possibilité technique d’envoyer un e-mail directement à partir d’un déploiement Azure technique varie selon le type d’abonnement. Quel que soit le type d’abonnement, Microsoft recommande d’utiliser des services de relais de courrier de confiance pour l’envoi de courrier sortant. Pour plus d’informations, consultez Sécurité d’Azure renforcée pour l’envoi de courrier - Mise à jour de novembre 2017.
Étapes suivantes
- Pour plus d’informations sur le DNS inversé, consultez Recherche DNS inversée sur Wikipedia.
- Découvrez comment héberger la zone de recherche inversée pour la plage d’adresses IP fournie par votre fournisseur de services Internet dans Azure DNS.