Share via

プライベート リゾルバーのアーキテクチャ

  • [アーティクル]

この記事では、Azure DNS Private Resolver を使用して Azure ネットワーク全体のプライベート DNS ゾーンを含む、DNS 名を解決するために使用できる 2 つのアーキテクチャ設計オプションについて説明します。 構成例には、 ハブ アンド スポーク VNet トポロジでの一元化された DNS 解決対分散 DNS 解決に関する設計上のレコメンデーションが記載されています。

分散 DNS アーキテクチャ

Private Resolver がハブに配置され、ルールセットがスポーク VNet にリンクされている、Azure の次のハブ アンド スポーク VNet トポロジを考えてみましょう。 ハブとスポークの両方の VNet 設定で、Azure が提供する DNS を使用します。

Hub and spoke with ruleset diagram.

図 1: ルールセット リンクを使用した分散 DNS アーキテクチャ

  • ハブ VNet は、アドレス空間 10.10.0.0/16 で構成されます。
  • スポーク VNet は、アドレス空間 10.11.0.0/16 で構成されます。
  • プライベート DNS ゾーン azure.contoso.com はハブ VNet にリンクされます。
  • プライベート リゾルバーは、ハブ VNet にプロビジョニングされます。
    • プライベート リゾルバーには、IP アドレスが 10.10.0.4の受信エンドポイントが 1 つ含まれます。
    • プライベート リゾルバーには、1 つの送信エンドポイントと、関連付けられた DNS 転送ルール セットがあります。
      • DNS 転送ルールセットはスポーク VNet にリンクされます。
      • ルールセット規則は、プライベート ゾーンのクエリを受信エンドポイントに転送するように構成されます。

ハブ VNet の DNS 解決: プライベート ゾーンからハブ VNet への仮想ネットワーク リンクにより、ハブ VNet 内のリソースは、Azure 提供の DNS ( 168.63.129.16 ) を使用して、azure.contoso.com内の DNS レコードを自動的に解決できます。 他のすべての名前空間も、Azure 提供の DNS を使用して解決されます。 ハブ VNet はルールセットにリンクされていないため、DNS 名を解決するためにルールセット ルールを使用しません。 ハブ VNet で転送ルールを使用するには、別のルール セットを作成してハブ VNet にリンクします。

スポーク VNet の DNS 解決: ルールセットからスポーク VNet への仮想ネットワーク リンクにより、スポーク VNet は構成された転送規則を使用して azure.contoso.com 解決できます。 ここでは、プライベート ゾーンからスポーク VNet へのリンクは必要ありません。 リンクされたルールセットに、このドメイン名と一致するルールがあるため、azure.contoso.com に対するクエリは、スポーク VNet によって Azure が提供する DNS 経由でハブの受信エンドポイントに送信されます。 追加のルールを構成すると、他の名前空間に対するクエリも転送できます。 ルールセット ルールに一致しない DNS クエリは転送されず、Azure が提供する DNS を使用して解決されます。

重要

この構成例では、ハブ VNet をプライベート ゾーンにリンクする必要がありますが、受信エンドポイント転送規則を使用して転送ルール セットにリンクすることはできません。 受信エンドポイントを宛先として含む規則を含む転送ルールセットを、受信エンドポイントがプロビジョニングされているのと同じ VNet にリンクすると、DNS 解決ループが発生する可能性があります。

一元化された DNS アーキテクチャ

スポーク VNet でカスタム DNS としてプロビジョニングされた受信エンドポイントを備えた次のハブ アンド スポーク VNet トポロジを考えてみましょう。 スポーク VNet は、ハブのプライベート リゾルバー受信エンドポイントに対応するカスタム DNS 設定 10.10.0.4 を使用します。

Hub and spoke with custom DNS diagram.

図 2: カスタム DNS を使用した一元化された DNS アーキテクチャ

  • ハブ VNet は、アドレス空間 10.10.0.0/16 で構成されます。
  • スポーク VNet は、アドレス空間 10.11.0.0/16 で構成されます。
  • プライベート DNS ゾーン azure.contoso.com はハブ VNet にリンクされます。
  • プライベート リゾルバーはハブ VNet にあります。
    • プライベート リゾルバーには、IP アドレスが 10.10.0.4の受信エンドポイントが 1 つ含まれます。
    • プライベート リゾルバーには、1 つの (省略可能な) 送信エンドポイントと、関連付けられた DNS 転送ルール セットがあります。
      • DNS 転送ルール セットはハブ VNet にリンクされます。
      • プライベート ゾーンのクエリを受信エンドポイントに転送するようにルールセットルールが 構成されていません

ハブ VNet の DNS 解決: プライベート ゾーンからハブ VNet への仮想ネットワーク リンクにより、ハブ VNet 内のリソースは、Azure 提供の DNS ( 168.63.129.16 ) を使用して、azure.contoso.com内の DNS レコードを自動的に解決できます。 構成されている場合、ルールセット ルールにより、DNS 名の転送方法と解決方法が決まります。 ルールセット ルールに一致しない名前空間は、Azure が提供する DNS を使用して転送されずに解決されます。

スポーク VNet の DNS 解決: この例では、スポーク VNet は、そのすべての DNS トラフィックをハブ VNet 内の受信エンドポイントに送信します。 azure.contoso.com にはハブ VNet への仮想ネットワーク リンクがあるため、ハブ内のすべてのリソースで、受信エンドポイント (10.10.0.4) を含む azure.contoso.comを解決できます。 したがって、スポークはハブ受信エンドポイントを使用してプライベート ゾーンを解決します。 スポーク VNet の他の DNS 名は、転送ルールセットでプロビジョニングされたルールに従って解決されます (存在する場合)。

注意

一元化された DNS アーキテクチャ シナリオでは、ハブとスポーク VNet の両方で、DNS 名を解決するときにオプションのハブにリンクされたルールセットを使用できます。 これは、スポーク VNet からのすべての DNS トラフィックが、VNet のカスタム DNS 設定のためにハブに送信されるためです。 ハブ VNet では、ここで送信エンドポイントまたはルールセットは必要ありませんが、ハブがプロビジョニングされてハブにリンクされている場合 (図 2 に示すように)、ハブとスポークの両方の VNet で転送規則が使用されます。 前述のように、プライベート ゾーンの転送規則がルールセットに存在しないことが重要です。この構成により DNS 解決ループが発生する可能性があるためです。

次のステップ