Arsitektur resolver privat

Artikel ini membahas dua opsi desain arsitektur yang tersedia untuk mengatasi nama DNS, termasuk zona DNS privat di seluruh jaringan Azure Anda menggunakan Azure DNS Private Resolver. Contoh konfigurasi disediakan dengan rekomendasi desain untuk resolusi DNS terpusat vs terdistribusi dalam topologi VNet hub dan spoke.

• Untuk gambaran umum Azure DNS Private Resolver, lihat Apa itu Azure DNS Private Resolver.
• Untuk informasi selengkapnya tentang komponen penyelesai privat, lihat Titik akhir dan aturan Azure DNS Private Resolver.

Arsitektur DNS terdistribusi

Pertimbangkan topologi VNet hub dan spoke berikut di Azure dengan resolver privat yang terletak di hub dan tautan ruleset ke VNet spoke. Hub dan spoke menggunakan DNS yang disediakan Azure di pengaturan VNet mereka:

Gambar 1: Arsitektur DNS terdistribusi menggunakan tautan set aturan

• VNet hub dikonfigurasi dengan ruang alamat 10.10.0.0/16.
• VNet spoke dikonfigurasi dengan ruang alamat 10.11.0.0/16.
• Zona DNS privat azure.contoso.com ditautkan ke VNet hub.
• Resolver privat disediakan di VNet hub.
  • Resolver privat memiliki satu titik akhir masuk dengan alamat IP 10.10.0.4.
  • Resolver privat memiliki satu titik akhir keluar dan aturan penerusan DNS terkait.
    • Kumpulan aturan penerusan DNS ditautkan ke VNet spoke.
    • Aturan aturan dikonfigurasi untuk meneruskan kueri untuk zona privat ke titik akhir masuk.

Resolusi DNS di VNet hub: Tautan jaringan virtual dari zona privat ke Hub VNet memungkinkan sumber daya di dalam hub VNet untuk secara otomatis menyelesaikan catatan DNS di azure.contoso.com menggunakan DNS yang disediakan Azure (168.63.129.16). Semua namespace lainnya juga diselesaikan menggunakan DNS yang disediakan Azure. VNet hub tidak menggunakan aturan ruleset untuk mengatasi nama DNS karena tidak ditautkan ke ruleset. Untuk menggunakan aturan penerusan di VNet hub, buat dan tautkan set aturan lain ke Hub VNet.

Resolusi DNS di VNet spoke: Tautan jaringan virtual dari set aturan ke VNet spoke memungkinkan VNet spoke menyelesaikan azure.contoso.com menggunakan aturan penerusan yang dikonfigurasi. Tautan dari zona privat ke VNet spoke tidak diperlukan di sini. Spoke VNet mengirimkan kueri untuk azure.contoso.com ke titik akhir masuk hub melalui DNS yang disediakan Azure karena ada aturan yang cocok dengan nama domain ini dalam kumpulan aturan yang ditautkan. Kueri untuk namespace layanan lain juga dapat diteruskan dengan mengonfigurasi aturan tambahan. Kueri DNS yang tidak cocok dengan aturan aturan tidak diteruskan dan diselesaikan menggunakan DNS yang disediakan Azure.

Penting

Dalam contoh konfigurasi ini, VNet hub harus ditautkan ke zona privat, tetapi tidak boleh ditautkan ke aturan penerusan dengan aturan penerusan titik akhir masuk. Menautkan kumpulan aturan penerusan yang berisi aturan dengan titik akhir masuk sebagai tujuan ke VNet yang sama di mana titik akhir masuk disediakan dapat menyebabkan perulangan resolusi DNS.

Arsitektur DNS terpusat

Pertimbangkan topologi VNet hub dan spoke berikut dengan titik akhir masuk yang disediakan sebagai DNS kustom di VNet spoke. VNet spoke menggunakan pengaturan DNS Kustom 10.10.0.4, yang sesuai dengan titik akhir masuk pemecah masalah privat Hub:

Gambar 2: Arsitektur DNS terpusat menggunakan DNS kustom

• VNet hub dikonfigurasi dengan ruang alamat 10.10.0.0/16.
• VNet spoke dikonfigurasi dengan ruang alamat 10.11.0.0/16.
• Zona DNS privat azure.contoso.com ditautkan ke VNet hub.
• Resolver privat terletak di VNet hub.
  • Resolver privat memiliki satu titik akhir masuk dengan alamat IP 10.10.0.4.
  • Resolver privat memiliki satu titik akhir keluar (opsional) dan set aturan penerusan DNS terkait.
    • Kumpulan aturan penerusan DNS ditautkan ke VNet hub.
    • Aturan aturan tidak dikonfigurasi untuk meneruskan kueri untuk zona privat ke titik akhir masuk.

Resolusi DNS di VNet hub: Tautan jaringan virtual dari zona privat ke Hub VNet memungkinkan sumber daya di dalam hub VNet untuk secara otomatis menyelesaikan catatan DNS di azure.contoso.com menggunakan DNS yang disediakan Azure (168.63.129.16). Jika dikonfigurasi, aturan aturan menentukan bagaimana nama DNS diteruskan dan diselesaikan. Namespace yang tidak cocok dengan aturan aturan diselesaikan tanpa meneruskan menggunakan DNS yang disediakan Azure.

Resolusi DNS di VNet spoke: Dalam contoh ini, VNet spoke mengirimkan semua lalu lintas DNS-nya ke titik akhir masuk di Hub VNet. Karena azure.contoso.com memiliki tautan jaringan virtual ke Hub VNet, semua sumber daya di Hub dapat menyelesaikan azure.contoso.com, termasuk titik akhir masuk (10.10.0.4). Dengan demikian, spoke menggunakan titik akhir masuk hub untuk menyelesaikan zona privat. Nama DNS lainnya diselesaikan untuk VNet spoke sesuai dengan aturan yang disediakan dalam ruleset penerusan, jika ada.

Catatan

Dalam skenario arsitektur DNS terpusat, hub dan VNet spoke dapat menggunakan seperangkat aturan yang ditautkan hub opsional saat menyelesaikan nama DNS. Ini karena semua lalu lintas DNS dari VNet spoke sedang dikirim ke hub karena pengaturan DNS kustom VNet. Hub VNet tidak memerlukan titik akhir keluar atau set aturan di sini, tetapi jika disediakan dan ditautkan ke hub (seperti yang ditunjukkan pada Gambar 2), VNet hub dan spoke akan menggunakan aturan penerusan. Seperti disebutkan sebelumnya, penting bahwa aturan penerusan untuk zona privat tidak ada dalam set aturan karena konfigurasi ini dapat menyebabkan perulangan resolusi DNS.

Langkah berikutnya

• Tinjau komponen, keuntungan, dan persyaratan untuk Azure DNS Private Resolver.
• Pelajari cara membuat Azure DNS Private Resolver dengan menggunakan Azure PowerShell atau portal Azure.
• Pahami cara Mengatasi domain lokal dan Azure menggunakan Azure DNS Private Resolver.
• Pelajari Titik akhir dan set aturan Azure DNS Private Resolver.
• Pelajari cara Menyiapkan failover DNS menggunakan penyelesai privat
• Pelajari tentang beberapa kemampuan jaringan utama Azure lainnya.
• Modul pembelajaran: Pengantar Azure DNS.