Privát feloldóarchitektúra

Ez a cikk két architektúratervezési lehetőséget ismertet, amelyek a DNS-nevek feloldásához érhetők el, köztük a privát DNS-zónákat az Azure-hálózaton egy Azure DNS privát feloldó használatával. A példakonfigurációk tervezési javaslatokkal szolgálnak a központosított és elosztott DNS-feloldáshoz a küllős virtuális hálózatok topológiájában.

• Az Azure DNS Privát feloldó áttekintése: Mi az Az Azure DNS Private Resolver?
• A privát feloldó összetevőiről további információt az Azure DNS Private Resolver végpontjai és szabálykészletei című témakörben talál.

Elosztott DNS-architektúra

Fontolja meg a következő küllős virtuális hálózat topológiát az Azure-ban a központban található privát feloldóval és a küllő virtuális hálózatra mutató szabálykészlet-hivatkozással. A központ és a küllő egyaránt az Azure által biztosított DNS-t használja a virtuális hálózat beállításaiban:

1. ábra: Elosztott DNS-architektúra szabálykészlet-hivatkozások használatával

• A központi virtuális hálózat a 10.10.0.0/16 címtérrel van konfigurálva.
• A küllős virtuális hálózat a 10.11.0.0/16 címtérrel van konfigurálva.
• Egy privát DNS-zóna azure.contoso.com kapcsolódik a központi virtuális hálózathoz.
• A központi virtuális hálózaton egy privát feloldó van kiépítve.
  • A privát feloldó egy bejövő végponttal rendelkezik, amelynek IP-címe 10.10.0.4.
  • A privát feloldó egy kimenő végpontot és egy társított DNS-továbbítási szabálykészletet tartalmaz.
    • A DNS-továbbítási szabálykészlet a küllő virtuális hálózathoz van csatolva.
    • A szabálykészlet-szabály úgy van konfigurálva, hogy a privát zónához tartozó lekérdezéseket a bejövő végpontra továbbítsa.

DNS-feloldás a központi virtuális hálózatban: A privát zónából a központi virtuális hálózatra mutató virtuális hálózat virtuális hálózatra mutató virtuális hálózati kapcsolata lehetővé teszi, hogy a központi virtuális hálózaton belüli erőforrások automatikusan feloldják azure.contoso.com DNS-rekordjait az Azure által biztosított DNS használatával (168.63.129.16). Az összes többi névtér az Azure által biztosított DNS-sel is feloldható. A központi virtuális hálózat nem használ szabálykészletszabályokat a DNS-nevek feloldásához, mert nem kapcsolódik a szabálykészlethez. Ha a központi virtuális hálózaton szeretné használni a továbbítási szabályokat, hozzon létre és csatoljon egy másik szabálykészletet a központi virtuális hálózathoz.

DNS-feloldás a küllős virtuális hálózaton: A szabálykészlet és a küllős virtuális hálózat közötti virtuális hálózati kapcsolat lehetővé teszi, hogy a küllő virtuális hálózat feloldja a azure.contoso.com a konfigurált továbbítási szabály használatával. Itt nincs szükség a privát zónából a küllő virtuális hálózatra mutató hivatkozásra. A küllő virtuális hálózat lekérdezéseket küld a azure.contoso.com a központ bejövő végpontjára az Azure által biztosított DNS-en keresztül, mert a csatolt szabálykészletben van egy olyan szabály, amely megfelel ennek a tartománynévnek. Más névterek lekérdezései további szabályok konfigurálásával is továbbíthatók. A szabálykészletszabálynak nem megfelelő DNS-lekérdezések nem lesznek továbbítva, és az Azure által biztosított DNS használatával lesznek feloldva.

Fontos

Ebben a példakonfigurációban a központi virtuális hálózatot hozzá kell kapcsolni a privát zónához, de nem lehet egy bejövő végponttovábbítási szabályt tartalmazó továbbítási szabálykészlethez csatolni. Ha egy szabályt tartalmazó továbbítási szabálykészletet célként a bejövő végponttal összekapcsol ugyanahhoz a virtuális hálózathoz, ahol a bejövő végpont ki van építve, DNS-feloldási hurkokat okozhat.

Központosított DNS-architektúra

Fontolja meg az alábbi küllős virtuális hálózat topológiát, amely egy bejövő végpontot hoz létre egyéni DNS-ként a küllős virtuális hálózatban. A küllős virtuális hálózat egy 10.10.0.4-s egyéni DNS-beállítást használ, amely megfelel a központ privát feloldó bejövő végpontjának:

2. ábra: Központosított DNS-architektúra egyéni DNS használatával

• A központi virtuális hálózat a 10.10.0.0/16 címtérrel van konfigurálva.
• A küllős virtuális hálózat a 10.11.0.0/16 címtérrel van konfigurálva.
• Egy privát DNS-zóna azure.contoso.com kapcsolódik a központi virtuális hálózathoz.
• A magánfeloldó a központi virtuális hálózaton található.
  • A privát feloldó egy bejövő végponttal rendelkezik, amelynek IP-címe 10.10.0.4.
  • A privát feloldó egy (nem kötelező) kimenő végpontot és egy társított DNS-továbbítási szabálykészletet tartalmaz.
    • A DNS-továbbítási szabálykészlet a központi virtuális hálózathoz van csatolva.
    • A szabálykészlet-szabályok nincsenek konfigurálva a privát zóna lekérdezéseinek a bejövő végpontra való továbbítására.

DNS-feloldás a központi virtuális hálózatban: A privát zónából a központi virtuális hálózatra mutató virtuális hálózat virtuális hálózatra mutató virtuális hálózati kapcsolata lehetővé teszi, hogy a központi virtuális hálózaton belüli erőforrások automatikusan feloldják azure.contoso.com DNS-rekordjait az Azure által biztosított DNS használatával (168.63.129.16). Ha konfigurálva van, a szabálykészlet szabályai határozzák meg a DNS-nevek továbbításának és feloldásának módját. A szabálykészlet-szabálynak nem megfelelő névterek az Azure által biztosított DNS-sel történő továbbítás nélkül oldódnak fel.

DNS-feloldás a küllős virtuális hálózatban: Ebben a példában a küllős virtuális hálózat az összes DNS-forgalmát a központi virtuális hálózat bejövő végpontjára küldi. Mivel azure.contoso.com virtuális hálózati kapcsolattal rendelkezik a központi virtuális hálózathoz, a központ összes erőforrása feloldhatja a azure.contoso.com, beleértve a bejövő végpontot (10.10.0.4). Így a küllő a központi bejövő végpontot használja a privát zóna feloldásához. A küllős virtuális hálózat egyéb DNS-nevei a továbbítási szabálykészletben kiépített szabályok szerint lesznek feloldva, ha léteznek.

Megjegyzés:

A központosított DNS-architektúra forgatókönyvében a küllős virtuális hálózatok egyaránt használhatják az opcionális központtal társított szabálykészletet a DNS-nevek feloldásakor. Ennek az az oka, hogy a küllő virtuális hálózatról érkező összes DNS-forgalmat a rendszer elküldi a központnak a virtuális hálózat egyéni DNS-beállítása miatt. A központi virtuális hálózathoz nincs szükség kimenő végpontra vagy szabálykészletre, de ha ki van építve és kapcsolódik a központhoz (a 2. ábrán látható módon), akkor a központ és a küllős virtuális hálózatok is a továbbítási szabályokat fogják használni. Ahogy korábban említettük, fontos, hogy a privát zóna továbbítási szabálya ne legyen jelen a szabálykészletben, mert ez a konfiguráció DNS-feloldási ciklust okozhat.

További lépések

• Tekintse át az Azure DNS Private Resolver összetevőit, előnyeit és követelményeit.
• Megtudhatja, hogyan hozhat létre Privát Azure DNS-feloldót az Azure PowerShell vagy az Azure Portal használatával.
• Ismerje meg, hogyan oldhatja fel az Azure-beli és a helyszíni tartományokat az Azure DNS Private Resolver használatával.
• Ismerje meg az Azure DNS Private Resolver végpontjait és szabálykészleteit.
• Megtudhatja, hogyan állíthatja be a DNS-feladatátvételt privát feloldók használatával
• Ebben a dokumentumban az Azure egyéb lényeges hálózat képességeivel ismerkedhet meg.
• Learn modul: Bevezetés az Azure DNS használatába.