Progettare la risoluzione dei nomi per la rete virtuale
A seconda di come si usa Azure per ospitare soluzioni IaaS, PaaS e ibride, potrebbe essere necessario consentire alle macchine virtuali e ad altre risorse implementate in una rete virtuale di comunicare tra loro. Anche se è possibile abilitare la comunicazione tramite indirizzi IP, è molto più semplice usare nomi che possono essere facilmente ricordati e che non cambiano.
DNS è suddiviso in due aree: DNS pubblico e privato per le risorse accessibili dalle reti interne.
Servizi DNS pubblici
I servizi DNS pubblici risolvono nomi e indirizzi IP per le risorse e i servizi accessibili tramite Internet, ad esempio i server Web. DNS di Azure è un servizio di hosting per il dominio DNS che fornisce la risoluzione dei nomi usando l'infrastruttura di Microsoft Azure. I domini DNS nel servizio DNS di Azure sono ospitati nella rete globale di Azure dei server dei nomi DNS. DNS di Azure usa le reti Anycast. Ogni query DNS riceve una risposta dal server DNS disponibile più vicino, per assicurare prestazioni e disponibilità elevate per il dominio.
In DNS di Azure è possibile creare manualmente record di indirizzi all'interno delle zone pertinenti. I record usati più di frequente saranno:
- Record host: A/AAAA (IPv4/IPv6)
- Record alias: CNAME
DNS di Azure offre un servizio DNS affidabile e sicuro per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata.
Una zona DNS ospita i record DNS per un dominio. Per iniziare a ospitare il dominio in DNS di Azure, è quindi necessario creare una zona DNS per quel nome di dominio. Ogni record DNS per il dominio viene quindi creato all'interno di questa zona DNS.
Considerazioni
- Il nome della zona deve essere univoco all'interno del gruppo di risorse e la zona non deve esistere già,
- Lo stesso nome di zona può essere usato di nuovo in un gruppo di risorse diverso o in un'altra sottoscrizione di Azure.
- Se più zone condividono lo stesso nome, a ogni istanza vengono assegnati indirizzi di server dei nomi diversi.
- Il dominio radice/padre è registrato nel registrar e punta a DNS di Azure.
- I sottodomini vengono registrati direttamente in DNS di Azure.
Nota
Non è necessario essere proprietari di un dominio per creare una zona DNS con questo nome di dominio in DNS di Azure, È tuttavia necessario essere proprietari del dominio per configurarlo.
Delegare i domini DNS
Per delegare il proprio dominio a DNS di Azure, prima è necessario conoscere i nomi dei server dei nomi per la propria zona. Ogni volta che viene creata una zona DNS, DNS di Azure assegna i server dei nomi da un pool. Dopo aver assegnato i server dei nomi, DNS di Azure crea automaticamente record NS autorevoli nella zona.
Dopo aver creato la zona DNS e quando i server dei nomi sono disponibili, è necessario aggiornare il dominio padre. Ogni registrar prevede i propri strumenti di gestione DNS per modificare i record del server dei nomi per un dominio. Nella pagina di gestione DNS del registrar, modificare i record NS e sostituirli con quelli creati da DNS di Azure.
Nota
Quando si delega un dominio a DNS di Azure, è necessario usare i nomi dei server dei nomi forniti da DNS di Azure. È necessario usare sempre tutti e quattro i nomi dei server dei nomi, indipendentemente dal nome del dominio.
Sottodomini
Se si vuole configurare una zona figlio separata, è possibile delegare un sottodominio in DNS di Azure. Ad esempio, dopo aver configurato contoso.com in DNS di Azure, è possibile configurare una zona figlio separata per partners.contoso.com.
Il processo di configurazione di un sottodominio è lo stesso della delega tipica. L'unica differenza è che è necessario creare i record DNS nella zona padre contoso.com in DNS di Azure invece di configurarli nel registrar.
Nota
Le zone padre e figlio possono trovarsi nello stesso gruppo di risorse o in uno diverso. Si noti che il nome del set di record nella zona padre corrisponde al nome della zona figlio, in questo caso partners.
È importante comprendere la differenza tra i set di record DNS e i singoli record DNS. Un set di record è una raccolta di record con lo stesso nome e lo stesso tipo in una zona.
Un set di record non può contenere due record identici. È possibile creare set di record vuoti, con zero record, che non vengono però visualizzati nei server dei nomi DNS di Azure. I set di record di tipo CNAME possono contenere al massimo un record.
La pagina Aggiungi set di record cambia a seconda del tipo di record selezionato. Per un record A, sono necessari la durata (TTL, Time To Live) e l'indirizzo IP. La durata Time-to-Live o TTL specifica per quanto tempo ogni record viene memorizzato nella cache da parte dei client, prima che venga eseguita nuovamente la query.
Servizi DNS privato
I servizi DNS privato risolvono i nomi e gli indirizzi IP per le risorse e i servizi
Quando le risorse distribuite nelle reti virtuali devono risolvere i nomi di dominio in indirizzi IP interni, possono usare uno dei tre metodi seguenti:
- Zone private di DNS di Azure
- Risoluzione dei nomi fornita da Azure
- Risoluzione dei nomi con l'uso del proprio server DNS
Il tipo di risoluzione dei nomi usato dipende dal modo in cui le risorse devono comunicare tra loro.
Le funzionalità offerte da Azure possono non essere sufficienti a soddisfare le esigenze di risoluzione dei nomi di un utente. Ad esempio, potrebbe essere necessario utilizzare i domini di Active Directory in Microsoft Windows Server, risolvere i nomi DNS tra reti virtuali. Per questi scenari specifici, Azure offre la possibilità di usare i propri server DNS.
I server DNS all'interno di una rete virtuale possono inoltrare query DNS ai resolver ricorsivi di Azure. In questo modo è possibile risolvere i nomi host all'interno di tale rete virtuale. Ad esempio, un controller di dominio in esecuzione in Azure può rispondere a query DNS per i relativi domini e inoltrare tutte le altre query ad Azure. L'inoltro delle query consente alle macchine virtuali di visualizzare sia le risorse locali, tramite il controller di dominio, sia i nomi host forniti da Azure, tramite il server di inoltro. L'accesso ai resolver ricorsivi di Azure viene fornito tramite l'indirizzo IP virtuale 168.63.129.16.
L'inoltro DNS consente anche la risoluzione DNS tra reti virtuali e permette ai computer locali di risolvere i nomi host forniti da Azure. Per risolvere il nome host di una macchina virtuale, la macchina virtuale del server DNS deve trovarsi nella stessa rete virtuale ed essere configurata per l'inoltro di query relative ai nomi host ad Azure. Poiché il suffisso DNS è diverso in ogni rete virtuale, è possibile usare le regole di inoltro condizionale per inviare le query DNS alla rete virtuale corretta per la risoluzione.
DNS fornito da Azure
Azure fornisce il proprio DNS interno predefinito. Fornisce una zona DNS interna che esiste sempre, supporta la registrazione automatica, non richiede la creazione manuale di record e viene creata contestualmente alla rete virtuale. Inoltre è un servizio gratuito. La risoluzione dei nomi fornita da Azure offre solo funzionalità DNS autorevoli di base. Se si usa questa opzione, i nomi e i record delle zone DNS verranno gestiti automaticamente da Azure e non sarà possibile controllare i nomi delle zone DNS o il ciclo di vita dei record DNS.
Il DNS interno definisce uno spazio dei nomi come segue: .internal.cloudapp.net.
Le macchine virtuali create nella rete virtuale vengono registrate nella zona DNS interna e ottengono un nome di dominio DNS come myVM.internal.cloudapp.net. È importante notare che è il nome della risorsa di Azure a essere registrato, non il nome del sistema operativo guest della macchina virtuale.
Limitazioni del DNS interno
- Non può essere risolto tra reti virtuali diverse.
- Registra i nomi delle risorse, non i nomi dei sistemi operativi guest.
- Non consente la creazione manuale di record.
Zone di DNS privato di Azure
Le zone DNS privato in Azure sono disponibili solo per le risorse interne. Sono globali a livello di ambito, quindi è possibile accedervi da qualsiasi area, sottoscrizione, rete virtuale e tenant. Se si ha l'autorizzazione per leggere la zona, è possibile usarla per la risoluzione dei nomi. Le zone DNS privato sono altamente resilienti perché vengono replicate nelle aree di tutto il mondo. Non sono disponibili per le risorse su Internet.
Per gli scenari che richiedono più flessibilità di quella consentita dal DNS interno, è possibile creare le proprie zone DNS privato. Queste zone consentono di:
- Configurare un nome DNS specifico per una zona.
- Creare record manualmente, se necessario.
- Risolvere nomi e indirizzi IP in zone diverse.
- Risolvere nomi e indirizzi IP in reti virtuali diverse.
Creare una zona DNS privato usando il portale
È possibile creare una zona DNS privato usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Quando la nuova zona DNS viene distribuita, è possibile creare manualmente i record di risorse o usare la registrazione automatica, che creerà i record di risorse in base al nome della risorsa di Azure.
Le zone DNS privato supportano l'intera gamma di record, tra cui puntatori, MX, SOA, servizio e record di testo.
Collegare le reti virtuali alle zone DNS privato
In Azure una rete virtuale rappresenta un gruppo di 1 o più subnet, definito da un intervallo CIDR. Le risorse, ad esempio le macchine virtuali, vengono aggiunte alle subnet.
A livello di rete virtuale, la configurazione DNS predefinita fa parte delle assegnazioni DHCP eseguite da Azure, specificando lo speciale indirizzo 168.63.129.16 per usare i servizi di DNS di Azure.
Se necessario, è possibile eseguire l'override della configurazione predefinita configurando un server DNS alternativo nella scheda di interfaccia di rete della macchina virtuale.
Esistono due modi per collegare le reti virtuali a una zona privata:
- Registrazione: ogni rete virtuale può collegarsi a una zona DNS privato per la registrazione, ma fino a 100 reti virtuali possono collegarsi alla stessa zona DNS privato per la registrazione.
- Risoluzione: potrebbero essere presenti molte altre zone DNS privato per spazi dei nomi diversi. È possibile collegare una rete virtuale a ognuna di tali zone per la risoluzione dei nomi. Ogni rete virtuale può collegarsi fino a un massimo di 1000 zone DNS privato per la risoluzione dei nomi.
Integrazione di DNS locale con le reti virtuali di Azure
Se si ha un server DNS esterno, ad esempio un server locale, è possibile usare una configurazione DNS personalizzata nella rete virtuale per integrarli.
Il DNS esterno può essere eseguito in qualsiasi server DNS: BIND in UNIX, DNS di Active Directory Domain Services e così via. Se si vuole usare un server DNS esterno, e non il servizio DNS di Azure predefinito, è necessario configurare i server DNS desiderati.
Le organizzazioni usano spesso una zona DNS privato di Azure interna per la registrazione automatica e quindi usano una configurazione personalizzata per l'inoltro delle query alle zone esterne da un server DNS esterno.
L'inoltro è di due tipi:
- Inoltro - Specifica un altro server DNS (SOA per una zona) per risolvere la query se il server iniziale non ne è in grado.
- Inoltro condizionale - Specifica un server DNS per una zona denominata, in modo che tutte le query per tale zona vengano indirizzate al server DNS specificato.
Nota
Se il server DNS si trova all'esterno di Azure, non ha accesso a DNS di Azure tramite 168.63.129.16. In questo scenario, si configura all'interno della rete virtuale un resolver DNS, a cui vengono inoltrate le query e che a sua volta inoltra le query all'indirizzo 168.63.129.16 (DNS di Azure). In sostanza, si usa l'inoltro perché 168.63.129.16 non è instradabile e quindi non è accessibile ai client esterni.
Verificare le conoscenze
Scegliere la risposta migliore per ogni domanda che segue. Al termine, selezionare Controlla le risposte.