Azure DNS について
Azure DNS は、Azure リソースの名前解決を提供する Azure サービスです。 現在、Contoso では、オンプレミスのデータセンターで Windows Server VM を使用して DNS を実装しています。 これらのオンプレミスのワークロードの機能を置き換えるために、Azure DNS を実装できるかどうかを検討する必要があります。 また、Azure DNS に管理する必要がある制限が現在あるかどうかを判断することも重要です。
概要
DNS ゾーンは Azure DNS でホストできます。 具体的には、Azure DNS は、ゾーンに対して権限のある DNS サービスを提供します。 組織のドメインのリソースに対する DNS クエリが Azure DNS に到達するようにするには、そのドメインを親ドメインから Azure DNS に委任する必要があります。
Azure DNS に移行する DNS ゾーンは、Azure の DNS ネーム サーバーのグローバル ネットワークでホストされます。 Azure DNS はエニーキャスト通信を使用するので、組織からの DNS クエリは、この重要なインフラストラクチャ サービスのパフォーマンスと高可用性を向上させるために最も近い Azure DNS サーバーに送られます。
Note
Azure Traffic Manager は、DNS ベースのネットワーク トラフィックの負荷分散ソリューションです。 Azure Traffic Manager を使用すると、すべての Azure リージョンで Azure リソースにネットワーク トラフィックを分散できます。
ロールベースのアクセス制御 (RBAC) を使用して、Azure DNS ドメインを管理できるユーザーを選択できます。 Azure portal、Azure コマンド ライン インターフェイス (Azure CLI)、および Microsoft Azure PowerShell を使用して、Azure DNS で DNS ドメインを管理できます。
Azure DNS の制限事項と考慮事項
Azure DNS は進化し続けているプラットフォームであり、新しい機能が常に追加されています。 ただし、現時点では、次のようないくつかの制限があります。
- 特定の仮想ネットワーク (VNet) を 1 つのプライベート ゾーンにのみリンクできます (プライベート ゾーンについては、このユニットで後ほど説明します)。
- 逆引き ("逆" と呼ばれることもあります) DNS は、リンクされた VNet のプライベート IP アドレス空間に対してのみ機能します。
- 条件付き転送は、現在サポートされていません。
- 現在、Azure DNS では、ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) はサポートされていません。
Note
DNSSEC を使用すると、DNS ゾーンとゾーン内のすべてのレコードが暗号化技術を使って署名され、クライアント コンピューターが DNS 応答を検証できるようになります。 DNS は、スプーフィングやキャッシュの改ざんなど、さまざまな攻撃の対象となることがよくあります。 DNSSEC は、これらの脅威から保護し、より安全な DNS インフラストラクチャを提供するために役立ちます。 DNSSEC を実装する必要がある場合は、Windows Server DNS を使用して、少なくとも DNS ソリューションの一部を実装する必要があります。
- Azure DNS ではゾーン転送はサポートされません。
- パブリック DNS ゾーンを使用する場合、ゾーンの数と、サブスクリプションごとのレコードの数に関連する制限がいくつかあります。
Azure プライベート DNS
Azure DNS では、次の表に示すように、パブリックとプライベートの両方の DNS がサポートされます。
| DNS サービス | 説明 |
|---|---|
| Azure パブリック DNS | インターネットに接続された DNS ドメインの名前解決を提供します。 組織の DNS ドメインをホストするには、Azure パブリック DNS を使用します。 |
| Azure プライベート DNS | VNet 内の VM と VNet との間の名前解決を提供します。 さらに、スプリットホライズン表示でゾーン名を構成できるので、プライベート DNS ゾーンとパブリック DNS ゾーンで同じ名前を共有することもできます。 |
VNet からプライベート DNS ゾーンのレコードを解決するには、VNet をそのゾーンにリンクする必要があります。 リンクされた VNet はフル アクセス権を持ち、プライベート ゾーンに公開されているすべての DNS レコードを解決できます。 さらに、VNet リンクで自動登録を有効にすることもできます。これにより、プライベート ゾーン内のその VNet にある VM の DNS レコードが登録されます。 また、自動登録を有効にすると、VM の作成または削除、あるいはその IP アドレスの変更を行うたびに、Azure DNS でそのゾーン レコードも更新されます。
次の表では、Azure プライベート DNS の機能について説明します。
| 特徴量 | 説明 |
|---|---|
| プライベート ゾーンにリンクしている VNet からの VM の自動登録 | VM は、VM のプライベート IP アドレスに解決されるホスト (A) レコードとしてプライベート ゾーンに登録されます。 自動登録を有効にした後、VNet リンク内の VM を削除すると、Azure DNS によって、リンクされたプライベート ゾーンから、対応する DNS レコードが自動的に削除されます。 |
| プライベート ゾーンにリンクしている VNet 間で DNS 解決を転送する | VNet 間の DNS 名前解決を実装する場合、VNet をピアリングするための明示的な要件はありません。 DNS に関係なく、他の理由で VNet をピアリングすることもできます。 |
| VNet スコープ内の逆引き DNS 参照 | プライベート ゾーンに割り当てた VNet 内のプライベート IP アドレスの逆引き DNS 参照では、ホストの完全修飾ドメイン名 (FQDN) が返されます。この FQDN には、ホスト名とレコード名、およびゾーン名がサフィックスとして含まれます。 |
追加の参考資料
詳しくは、次のドキュメントをご覧ください。