Azure DNS Private Resolver とは
Azure DNS Private Resolver は、VM ベースの DNS サーバーをデプロイすることなく、オンプレミス環境から Azure DNS プライベート ゾーンに対して (またはその逆方向に) クエリを実行できる、新しいサービスです。
それはどのように機能しますか?
Azure DNS Private Resolver には、Azure Virtual Network が必要です。 仮想ネットワーク内に Azure DNS Private Resolver を作成すると、DNS クエリの送信先として使用できる 1 つ以上の受信エンドポイントが確立されます。 リゾルバーの送信エンドポイントでは、構成した DNS 転送ルールセットに基づいて DNS クエリを処理します。 ルールセットにリンクされたネットワークで開始される DNS クエリは、他の DNS サーバーに送信できます。
Azure DNS Private Resolver を使用するために、仮想マシン (VM) の DNS クライアント設定を変更する必要はありません。
以下に、Azure DNS Private Resolver を使用するときの DNS クエリ プロセスの概要を示します。
- 仮想ネットワーク内のクライアントから DNS クエリが発行されます。
- この仮想ネットワークの DNS サーバーがカスタムとして指定されている場合、そのクエリは指定された IP アドレスに転送されます。
- 既定 (Azure 提供) の DNS サーバーが仮想ネットワーク内に構成されており、その同じ仮想ネットワークにリンクされているプライベート DNSゾーンがある場合は、それらのゾーンが参照されます。
- クエリが仮想ネットワークにリンクされているプライベート DNS ゾーンと一致しない場合は、DNS 転送ルールセットの仮想ネットワーク リンクが参照されます。
- ルールセットのリンクが存在しない場合は、クエリの解決に Azure DNS が使用されます。
- ルールセットのリンクが存在する場合は、DNS 転送ルールが評価されます。
- サフィックスの一致が見つかった場合、そのクエリは指定されたアドレスに転送されます。
- 複数の一致が存在する場合は、最も長いサフィックスが使用されます。
- 一致するものが見つからない場合、DNS の転送は行われず、クエリの解決に Azure DNS が使用されます。
次の図に Azure DNS Private Resolver のアーキテクチャがまとめられています。 Azure 仮想ネットワークとオンプレミス ネットワーク間の DNS 解決には、Azure ExpressRoute または VPN が必要です。
図 1: Azure DNS Private Resolver のアーキテクチャ
プライベート DNS リゾルバーの作成の詳細については、次を参照してください。
- クイックスタート: Azure portal を使用して Azure DNS Private Resolver を作成する
- クイックスタート: Azure PowerShell を使用して Azure DNS Private Resolver を作成する
Azure DNS Private Resolver の利点
Azure DNS Private Resolver には次のような利点があります。
- フル マネージド: 組み込みの高可用性、ゾーン冗長。
- コスト削減: 運用コストを削減し、従来の IaaS ソリューションの何分の一の価格で実行する。
- プライベート DNS ゾーンへのプライベート アクセス: オンプレミスとの間で条件付きで転送する。
- スケーラビリティ: エンドポイントごとにハイ パフォーマンスを実現する。
- DevOps フレンドリ: Terraform、ARM、または Bicep を使用してパイプラインを構築する。
リージョン別の提供状況
「リージョン別の Azure 製品 - Azure DNS」を参照してください。
データの保存場所
Azure DNS Private Resolver は、リゾルバーがデプロイされているリージョンの外部に顧客データを移動または格納しません。
DNS リゾルバーのエンドポイントとルールセット
リゾルバー エンドポイントとルールセットの概要については、この記事を参照してください。 エンドポイントとルールセットの詳細については、「Azure DNS Private Resolver エンドポイントとルールセット」を参照してください。
受信エンドポイント
受信エンドポイントを使用すると、プライベート仮想ネットワーク アドレス空間の一部である IP アドレスを介して、オンプレミスまたは別のプライベートの場所からの名前解決を有効にすることができます。 オンプレミスから Azure プライベート DNS ゾーンを解決するには、受信エンドポイントの IP アドレスをオンプレミスの DNS 条件付きフォワーダーに入力します。 オンプレミスの DNS 条件付きフォワーダーには、仮想ネットワークへのネットワーク接続が必要です。
受信エンドポイントには、それがプロビジョニングされている仮想ネットワーク内に 1 つのサブネットが必要です。 サブネットは Microsoft.Network/dnsResolvers にのみ委任可能で、他のサービスには使用できません。 受信エンドポイントで受信した DNS クエリは、Azure で受信します。 名前は、プライベート DNS ゾーン (自動登録が使用されている VM など) や、Private Link が有効なサービスがあるシナリオで解決できます。
Note
受信エンドポイントに割り当てられる IP アドレスは、静的または動的として指定できます。 詳細については、「静的および動的エンドポイントの IP アドレス」を参照してください。
送信エンドポイント
送信エンドポイントを使用すると、Azure からオンプレミス、他のクラウド プロバイダー、または外部 DNS サーバーへの名前解決を条件付きで転送できます。 このエンドポイントには、それがプロビジョニングされている VNet 内に、他のサービスが実行されておらず、Microsoft.Network/dnsResolvers にのみ委任可能な、1 つの専用のサブネットが必要です。 送信エンドポイントに送信された DNS クエリは、Azure から流出します。
仮想ネットワークのリンク
仮想ネットワーク リンクを使用すると、DNS 転送ルールセットが設定された送信エンドポイントにリンクされている仮想ネットワークの名前解決が有効になります。 これは 1 対 1 の関係です。
DNS 転送ルールセット
DNS 転送ルールセットは、1 つ以上の送信エンドポイントに適用したり、1 つ以上の仮想ネットワークにリンクしたりできる、(最大 1,000 個の) DNS 転送ルールのグループです。 これは 1 対 N の関係です。 ルールセットは、特定の送信エンドポイントに関連付けられます。 詳細については、「DNS 転送ルールセット」を参照してください。
DNS 転送ルール
DNS 転送ルールには、条件付き転送に使用する 1 つ以上のターゲット DNS サーバーが含まれ、次のように表されます。
- ドメイン名
- ターゲット IP アドレス
- ターゲット ポートとプロトコル (UDP または TCP)
制限
現在のところ、Azure DNS Private Resolver には、次の制限が適用されています。
DNS Private Resolver1
| リソース | 制限 |
|---|---|
| サブスクリプションごとの DNS Private Resolver の数 | 15 |
| DNS Private Resolver ごとの受信エンドポイントの数 | 5 |
| DNS Private Resolver ごとの送信エンドポイントの数 | 5 |
| DNS 転送ルール セットごとの転送ルールの数 | 1000 |
| DNS 転送ルール セットごとの仮想ネットワーク リンクの数 | 500 |
| DNS 転送ルール セットごとの送信エンドポイントの数 | 2 |
| 送信エンドポイントごとの DNS 転送ルール セットの数 | 2 |
| 転送ルールごとのターゲット DNS サーバーの数 | 6 |
| エンドポイントごとの QPS | 10,000 |
1Azure portal が更新されるまでは、Azure portal によって異なる制限が適用される場合があります。 最新の制限まで要素をプロビジョニングするには、PowerShell を使用してください。
仮想ネットワークの制限
仮想ネットワークに関しては、次の制限が適用されます。
- DNS リゾルバーで参照できるのは、その DNS リゾルバーと同じリージョン内の仮想ネットワークのみです。
- 1 つの仮想ネットワークを複数の DNS リゾルバー間で共有することはできません。 1 つの仮想ネットワークを参照できるのは、1 つの DNS リゾルバーのみです。
サブネットの制限
DNS リゾルバーに使用されるサブネットには、次の制限があります。
- サブネットは、最小で /28 のアドレス空間または最大で /24 のアドレス空間である必要があります。 現在のエンドポイント制限に対応するには /28 のサブネットで十分です。 /27 から /24 のサブネット サイズによって、現在の制限が変更された場合の適応が可能となります。
- 1 つのサブネットを複数の DNS リゾルバー エンドポイント間で共有することはできません。 1 つのサブネットを使用できるのは、1 つの DNS リゾルバー エンドポイントのみです。
- DNS リゾルバーの受信エンドポイントのすべての IP 構成は、同じサブネットを参照する必要があります。 1 つの DNS リゾルバーの受信エンドポイントの IP 構成を複数のサブネットにまたがるようには設定できません。
- DNS リゾルバーの受信エンドポイントに使用されるサブネットは、親 DNS リゾルバーによって参照される仮想ネットワーク内にある必要があります。
- サブネットは Microsoft.Network/dnsResolvers にのみ委任可能で、他のサービスには使用できません。
送信エンドポイントの制限
送信エンドポイントには、次の制限があります。
- DNS 転送ルールセットとその下の仮想ネットワーク リンクが削除されない限り、送信エンドポイントを削除することはできません。
ルールセットの制限
- ルールセットは最大 1,000 個のルールを含むことができます。
その他の制限事項
- IPv6 が有効なサブネットはサポートされていません。
- DNS プライベート リゾルバーでは、Azure ExpressRoute FastPath はサポートされていません。
- DNS Private Resolver の受信エンドポイントのプロビジョニングは、Azure Lighthouse と互換性がありません。
- Azure Lighthouse が使用されているかどうかを確認するには、Azure portal でサービス プロバイダーを検索し、[サービス プロバイダーのオファー] を選びます。
次のステップ
- Azure PowerShell または Azure portal を使用して Azure DNS Private Resolver を作成する方法を確認します。
- Azure DNS Private Resolver を使用して Azure ドメインとオンプレミス ドメインを解決する方法について学習します。
- Azure DNS Private Resolver のエンドポイントとルールセットについて学習します。
- プライベート リゾルバーを使用して DNS フェールオーバーを設定する方法について学習します。
- プライベート リゾルバーを使用してハイブリッド DNS を構成する方法について学習します。
- Azure のその他の重要なネットワーク機能について参照してください。
- Learn モジュール: Azure DNS の概要。