Scenari di zone di DNS privato di Azure

  • Articolo

Le zone di DNS privato di Azure forniscono la risoluzione dei nomi all'interno di una rete virtuale e tra reti virtuali. In questo articolo verranno esaminati alcuni scenari comuni che possono trarre vantaggio dall'uso di questa funzionalità.

Scenario: risoluzione dei nomi con ambito in una singola rete virtuale

In questo scenario è disponibile una rete virtuale in Azure con molte risorse, incluse le macchine virtuali. Il requisito è risolvere qualsiasi risorsa nella rete virtuale usando un nome di dominio specifico (zona DNS). È inoltre necessario che la risoluzione di denominazione sia privata e non accessibile da Internet. Infine, è necessario Azure per registrare automaticamente le macchine virtuali nella zona DNS.

Questo scenario è illustrato di seguito. È disponibile una rete virtuale denominata "A" contenente due macchine virtuali (VNETA-VM1 e VNETA-VM2). Ogni macchina virtuale ha un indirizzo IP privato associato. Dopo aver creato una zona privata, ad esempio , e collegare la rete virtuale "A" come rete virtuale di registrazione, contoso.comDNS di Azure creerà automaticamente due record A nella zona che fa riferimento alle due macchine virtuali. Le query DNS da VNETA-VM1 possono ora risolvere VNETA-VM2.contoso.com e riceveranno una risposta DNS che contiene l'indirizzo IP privato di VNETA-VM2. È anche possibile eseguire una query DNS inversa (PTR) per l'IP privato di VNETA-VM1 (10.0.0.1) da VNETA-VM2. La risposta DNS conterrà il nome VNETA-VM1, come previsto.

Risoluzione in una singola rete virtuale

Nota

Gli indirizzi IP 10.0.0.1 e 10.0.0.2 sono solo esempi. Poiché Azure riserva i primi quattro indirizzi in una subnet, gli indirizzi .1 e .2 non vengono normalmente assegnati a una macchina virtuale.

Scenario: Risoluzione dei nomi tra reti virtuali

In questo scenario è necessario associare una zona privata a più reti virtuali. È possibile implementare questa soluzione in varie architetture di rete, ad esempio il modello Hub-and-Spoke. Questa configurazione è quando viene usata una rete virtuale hub centrale per connettere più reti virtuali spoke insieme. La rete virtuale dell'hub centrale può essere collegata come rete virtuale di registrazione e le reti virtuali spoke possono essere collegate come reti virtuali di risoluzione.

Il diagramma seguente mostra una versione semplificata di questo scenario con solo due reti virtuali- A e B. Una è definita come rete virtuale di registrazione e B viene definita come rete virtuale di risoluzione. Lo scopo di entrambe le reti virtuali è condividere una zona comune contoso.com. Quando la zona viene creata, le reti virtuali definite come registrazione registrano automaticamente i record DNS per le macchine virtuali nella rete virtuale (VNETA-VM1 e VNETA-VM2). È anche possibile aggiungere manualmente record DNS nella zona per le macchine virtuali nella rete virtuale di risoluzione B. Con questa configurazione si osserverà il comportamento seguente per le query DNS in avanti e inverso:

  • Una query DNS da VNETB-VM1 nella rete virtuale di risoluzione B, per VNETA-VM1.contoso.com, riceverà una risposta DNS che contiene l'IP privato di VNETA-VM1.
  • Una query DNS inversa (PTR) da VNETB-VM2 nella rete virtuale di risoluzione B, per 10.1.0.1, riceverà una risposta DNS che contiene il nome di dominio completo (FQDN) di VNETB-VM1.contoso.com.
  • Una query DNS inversa (PTR) da VNETB-VM3 nella rete virtuale di risoluzione B, per 10.0.0.1, riceverà NXDOMAIN. Il motivo è che le query DNS inverse hanno come ambito solo la stessa rete virtuale.

Risoluzione in più reti virtuali

Scenario: Funzionalità split-horizon

In questo scenario è necessaria una risoluzione di denominazione diversa che dipende dalla posizione in cui si trova il client per la stessa zona DNS. Potrebbe essere disponibile una versione privata e pubblica dell'applicazione con funzionalità o comportamenti diversi. È necessario usare lo stesso nome di dominio per entrambe le versioni. Questo scenario può essere eseguito creando una zona pubblica e privata in DNS di Azure con lo stesso nome.

Il diagramma seguente illustra questo scenario. È disponibile una rete virtuale con due macchine virtuali (VNETA-VM1 e VNETA-VM2). Entrambi hanno un INDIRIZZO IP privato e un INDIRIZZO IP pubblico configurato. È stata creata una zona DNS pubblica denominata contoso.com e registra gli INDIRIZZI IP pubblici per queste macchine virtuali come record DNS all'interno della zona. Viene creata anche una zona DNS privata denominata contoso.com. È stata definita la rete virtuale A come rete virtuale di registrazione. Azure registra quindi automaticamente le macchine virtuali come record A nella zona privata, puntando agli INDIRIZZI IP privati.

Ora quando un client Internet esegue una query DNS per VNETA-VM1.contoso.com, Azure restituirà il record IP pubblico dalla zona pubblica. Se la stessa query DNS viene eseguita da un'altra macchina virtuale (ad esempio, VNETA-VM2) nella stessa rete virtuale A, Azure restituisce il record IP privato dalla zona privata.

Risoluzione split-horizon

Passaggi successivi

Per altre informazioni sulle zone di DNS privato, vedere Uso di DNS di Azure per domini privati.

Informazioni su come creare una zona DNS privato in DNS di Azure.

Informazioni sulle zone e i record DNS visitando: zone DNS e panoramica dei record.

Informazioni su alcune altre funzionalità di rete chiave di Azure.