Implementare il DNS in ambienti ibridi
Attualmente, per implementare il DNS, Contoso usa macchine virtuali di Windows Server nel data center locale. In qualità di responsabile del sistema, è necessario decidere se implementare il servizio DNS di Azure per sostituire la funzionalità di questi carichi di lavoro locali o implementare il DNS in macchine virtuali di Windows Server.
Esistono diversi scenari in cui Contoso può decidere di implementare il DNS usando Windows Server IaaS, oltre al servizio DNS di Azure o al posto di DNS di Azure. Gli scenari possibili sono:
- Configurazione della risoluzione dei nomi tra VM in reti virtuali diverse.
- Configurazione della risoluzione dei nomi di nomi host di Azure da computer locali.
- Implementazione dell'inoltro condizionale.
- Implementazione di trasferimenti di zone DNS.
Panoramica di DNS di Azure
È possibile ospitare le zone DNS nel servizio DNS di Azure. In particolare, DNS di Azure offre servizi DNS autorevoli per le relative zone. Per consentire alle query DNS per le risorse del dominio dell'organizzazione di raggiungere il servizio DNS di Azure, occorre delegare il dominio a DNS di Azure dal dominio padre.
Le zone DNS di cui si esegue la migrazione a DNS di Azure sono ospitate in una rete globale di server DNS in Azure. Poiché DNS di Azure usa le comunicazioni anycast, una query DNS dell'organizzazione viene indirizzata al server DNS di Azure più vicino, contribuendo a garantire buone prestazioni e disponibilità elevata di questo servizio di infrastruttura di importanza cruciale. È possibile usare il controllo degli accessi in base al ruolo per selezionare gli utenti che possono gestire i domini DNS di Azure.
Limitazioni del servizio DNS di Azure e considerazioni
DNS di Azure è una piattaforma in evoluzione a cui vengono aggiunte continuamente nuove caratteristiche e funzionalità. Attualmente, tuttavia, DNS di Azure presenta alcune limitazioni.
- È possibile collegare solo una rete virtuale specifica a una zona DNS privata.
- Il DNS inverso funziona solo per lo spazio indirizzi IP privati nella rete virtuale collegata.
- L'inoltro condizionale al momento non è supportato.
- DNS di Azure attualmente non supporta la funzionalità DNSSEC (Domain Name System Security Extensions).
- DNS di Azure non supporta i trasferimenti di zona.
- Quando si usano zone DNS pubbliche, si applicano diversi limiti relativi al numero di zone e di record per ogni sottoscrizione.
DNS privato di Azure
Il servizio DNS di Azure offre il supporto per il DNS pubblico e privato, come descritto nella tabella seguente.
| Servizio DNS | Descrizione |
|---|---|
| DNS pubblico di Azure | Fornisce la risoluzione dei nomi per i domini DNS con connessione Internet. Il DNS pubblico di Azure viene usato per ospitare i domini DNS dell'organizzazione. |
| DNS privato di Azure | Fornisce la risoluzione dei nomi per le macchine virtuali all'interno di una rete virtuale e tra reti virtuali. Consente di configurare i nomi di zone con una visualizzazione di tipo split-horizon, che permette a una zona DNS privata e a una zona DNS pubblica di condividere lo stesso nome di zona. |
Per risolvere i record di una zona DNS privata dalla rete virtuale, è necessario collegare la rete virtuale alla zona. Le reti virtuali collegate hanno accesso completo e possono risolvere tutti i record DNS pubblicati nella zona privata. È inoltre possibile abilitare la registrazione automatica su un collegamento di rete virtuale. Se si abilita la registrazione automatica, i record DNS per le macchine virtuali in tale rete virtuale vengono registrati nella zona privata. Se è abilitata la registrazione automatica, DNS di Azure aggiorna anche i record di zona ogni volta che una macchina virtuale viene creata o eliminata o quando cambia il relativo indirizzo IP.
La tabella seguente descrive le funzionalità del DNS privato di Azure.
| Funzionalità | Descrizione |
|---|---|
| Abilita la registrazione automatica delle macchine virtuali da una rete virtuale collegata a una zona privata | Le macchine virtuali vengono registrate con la zona privata come record host (A) che si risolvono negli indirizzi IP privati delle macchine virtuali. Dopo aver abilitato la registrazione automatica, quando si elimina una macchina virtuale in una rete virtuale, DNS di Azure rimuove automaticamente il record DNS corrispondente dalla zona privata collegata. |
| Azure supporta la risoluzione DNS diretta tra reti virtuali collegate alla zona privata | Quando si implementa la risoluzione dei nomi DNS tra reti virtuali, non esiste alcun requisito esplicito per eseguire il peering delle reti virtuali. Potrebbe comunque essere opportuno eseguire il peering delle reti virtuali per altri motivi, non correlati al DNS. |
| Azure supporta la ricerca DNS inversa nell'ambito della rete virtuale | La ricerca DNS inversa per un indirizzo IP privato all'interno di una rete virtuale assegnata a una zona privata restituisce il nome di dominio completo (FQDN) dell'host che include il nome host/record e il nome della zona come suffisso. |
Implementare DNS con macchine virtuali IaaS di Azure
I server DNS di Windows Server collegati a una rete virtuale possono inoltrare query DNS ai resolver ricorsivi in Azure. In questo modo è possibile risolvere i nomi host all'interno di tale rete virtuale.
Ad esempio, il team IT di Contoso distribuisce una macchina virtuale del controller di dominio che esegue anche il ruolo server DNS in Azure. In questo caso, la macchina virtuale potrebbe rispondere alle query DNS per il dominio locale. La macchina virtuale potrebbe anche inoltrare tutte le altre query ad Azure. Con l'inoltro delle query, le macchine virtuali di Contoso possono individuare sia le risorse locali (tramite il controller di dominio) che i nomi host forniti da Azure (tramite il server d'inoltro).
Nota
Azure fornisce l'accesso ai resolver DNS ricorsivi tramite l'indirizzo IPv4 virtuale 168.63.129.16 seguente.
È possibile usare l'inoltro DNS per:
- Abilitare la risoluzione DNS tra reti virtuali.
- Consentire ai computer locali di risolvere i nomi host forniti da Azure.
Suggerimento
Per risolvere il nome host di una macchina virtuale, è necessario configurare il server DNS in modo che inoltri le query relative ai nomi host ad Azure.
Poiché il suffisso DNS è diverso in ogni rete virtuale, è necessario usare le regole di inoltro condizionale per inviare le query DNS alla rete virtuale corretta per la risoluzione.
Nota
Quando si usano i propri server DNS, Azure offre la possibilità di specificare più server DNS in ogni rete virtuale.
Il diagramma seguente include due reti virtuali e una rete locale che eseguono la risoluzione DNS tra reti virtuali usando l'invio.
Altre letture
Per altre informazioni, vedere i documenti seguenti: