Azure DNS Private Resolver

Dit artikel bevat een oplossing voor het gebruik van azure DNS Private Resolver om hybride recursieve DNS-omzetting (Domain Name System) te vereenvoudigen. U kunt dns Private Resolver gebruiken voor on-premises workloads en Azure-workloads. Dns Private Resolver vereenvoudigt de privé-DNS-omzetting van on-premises naar de privé-DNS-service van Azure en vice versa.

Architectuur

De volgende secties bevatten alternatieven voor hybride recursieve DNS-omzetting. In de eerste sectie wordt een oplossing besproken die gebruikmaakt van een virtuele DNS-doorstuurmachine (VM). In volgende secties wordt uitgelegd hoe u DNS Private Resolver gebruikt.

Een VIRTUELE DNS-doorstuurserver gebruiken

Voordat DNS Private Resolver beschikbaar was, is er een DNS-doorstuurserver-VM geïmplementeerd, zodat een on-premises server aanvragen voor de privé-DNS-service van Azure kon oplossen. In het volgende diagram ziet u de details van deze naamomzetting. Een voorwaardelijke doorstuurserver op de on-premises DNS-server stuurt aanvragen door naar Azure en er wordt een privé-DNS-zone gekoppeld aan een virtueel netwerk. Aanvragen voor de Azure-service worden vervolgens omgezet in het juiste privé-IP-adres.

In deze oplossing kunt u de openbare DNS-service van Azure niet gebruiken om on-premises domeinnamen op te lossen.

Download een PowerPoint-bestand van deze architectuur.

Workflow

1. Een client-VM verzendt een aanvraag voor naamomzetting voor azsql1.database.windows.net naar een on-premises interne DNS-server.

2. Er wordt een voorwaardelijke doorstuurserver geconfigureerd op de interne DNS-server. De DNS-query database.windows.net wordt doorgestuurd naar 10.5.0.254, het adres van een DNS-doorstuurserver-VM.

3. De VM van de DNS-doorstuurserver verzendt de aanvraag naar 168.63.129.16, het IP-adres van de interne Dns-server van Azure.

4. De Azure DNS-server verzendt een aanvraag voor naamomzetting voor azsql1.database.windows.net naar de recursieve resolvers van Azure. De resolvers reageren met de canonieke naam (CNAME) azsql1.privatelink.database.windows.net.

5. De Azure DNS-server verzendt een aanvraag voor naamomzetting voor azsql1.privatelink.database.windows.net naar de privé-DNS-zone privatelink.database.windows.net. De privé-DNS-zone reageert met het privé-IP-adres 10.5.0.5.

6. Het antwoord dat de CNAME-azsql1.privatelink.database.windows.net koppelt aan de record 10.5.0.5 arriveert bij de DNS-doorstuurserver.

7. Het antwoord arriveert op de on-premises interne DNS-server.

8. Het antwoord arriveert op de client-VM.

9. De client-VM brengt een privéverbinding tot stand met het privé-eindpunt dat gebruikmaakt van het IP-adres 10.5.0.5. Het privé-eindpunt biedt de client-VM een beveiligde verbinding met een Azure-database.

Zie DNS-configuratie voor privé-eindpunten in Azure voor meer informatie.

Dns Private Resolver gebruiken

Wanneer u DNS Private Resolver gebruikt, hebt u geen DNS-doorstuurserver-VM nodig en kan Azure DNS on-premises domeinnamen omzetten.

De volgende oplossing maakt gebruik van DNS Private Resolver in een sternetwerktopologie. Het ontwerppatroon van de Azure-landingszone wordt aanbevolen om dit type topologie te gebruiken. Er wordt een hybride netwerkverbinding tot stand gebracht met behulp van Azure ExpressRoute en Azure Firewall. Deze installatie biedt een beveiligd hybride netwerk. Dns Private Resolver wordt geïmplementeerd in een spoke-netwerk (aangeduid als het Shared Service Network in de diagrammen in dit artikel).

Download een PowerPoint-bestand van deze architectuur.

Onderdelen van de oplossing dns-privé-resolver

De oplossing die gebruikmaakt van DNS Private Resolver bevat de volgende onderdelen:

• Een on-premises netwerk. Dit netwerk van datacenters van klanten is verbonden met Azure via ExpressRoute of een site-naar-site Azure VPN Gateway-verbinding. Netwerkonderdelen omvatten twee lokale DNS-servers. Eén gebruikt het IP-adres 192.168.0.1. De andere gebruikt 192.168.0.2. Beide servers werken als resolvers of doorstuurservers voor alle computers in het on-premises netwerk.

Een beheerder maakt alle lokale DNS-records en Doorstuurservers voor Azure-eindpunten op deze servers. Voorwaardelijke doorstuurservers worden geconfigureerd op deze servers voor de Azure Blob Storage- en Azure API Management-services. Deze doorstuurservers verzenden aanvragen naar de binnenkomende DNS-privéomzettingsverbinding. Het binnenkomende eindpunt gebruikt het IP-adres 10.0.0.8 en wordt gehost in het virtuele netwerk van de Gedeelde service (subnet 10.0.0.0/28).

De volgende tabel bevat de records op de lokale servers.

• Een hubnetwerk.

  • VPN Gateway of een ExpressRoute-verbinding wordt gebruikt voor de hybride verbinding met Azure.
  • Azure Firewall biedt een beheerde firewall als een service. Het firewallexemplaren bevinden zich in een eigen subnet.

• Een gedeeld servicenetwerk.

  • Dns Private Resolver wordt geïmplementeerd in een eigen virtueel netwerk (gescheiden van het hubnetwerk waar de ExpressRoute-gateway wordt geïmplementeerd). De volgende tabel bevat de parameters die zijn geconfigureerd voor DNS Private Resolver. Voor DNS-namen van App1 en App2 is de dns-regelset geconfigureerd.

  Parameter	IP-adres
  Virtueel netwerk	10.0.0.0/24
  Binnenkomend eindpuntsubnet	10.0.0.0/28
  Ip-adres van inkomend eindpunt	10.0.0.8
  Uitgaand eindpuntsubnet	10.0.0.16/28
  IP-adres van uitgaand eindpunt	10.0.0.19

  • Het virtuele netwerk van de gedeelde service (10.0.0.0/24) is gekoppeld aan de privé-DNS-zones voor Blob Storage en de API-service.

• Spoke-netwerken.

  • VM's worden gehost in alle spoke-netwerken voor het testen en valideren van DNS-omzetting.
  • Alle virtuele Netwerken van Azure Spoke gebruiken de standaard Azure DNS-server op het IP-adres 168.63.129.16. En alle virtuele spoke-netwerken worden gekoppeld aan de virtuele hubnetwerken. Al het verkeer, inclusief verkeer van en naar DNS Private Resolver, wordt gerouteerd via de hub.
  • De virtuele spoke-netwerken zijn gekoppeld aan privé-DNS-zones. Met deze configuratie kunt u de namen van privé-eindpuntkoppelingsservices, zoals privatelink.blob.core.windows.net.

Verkeersstroom voor een on-premises DNS-query

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer een on-premises server een DNS-aanvraag uitgeeft.

Download een PowerPoint-bestand van deze architectuur.

1. Een on-premises server voert een query uit op een privé-DNS-servicerecord van Azure, zoals blob.core.windows.net. De aanvraag wordt verzonden naar de lokale DNS-server op IP-adres 192.168.0.1 of 192.168.0.2. Alle on-premises computers verwijzen naar de lokale DNS-server.

2. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net het doorsturen van de aanvraag naar de DNS-resolver op IP-adres 10.0.0.8.

3. De DNS-resolver voert query's uit op Azure DNS en ontvangt informatie over een virtuele netwerkkoppeling van een azure-privé-DNS-service.

4. De privé-DNS-service van Azure lost DNS-query's op die via de openbare Azure DNS-service worden verzonden naar het binnenkomende eindpunt van de DNS-resolver.

Verkeersstroom voor een DNS-query voor een VM

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 een DNS-aanvraag uitgeeft. In dit geval probeert het virtuele spoke-netwerk spoke 1 de aanvraag op te lossen.

Download een PowerPoint-bestand van deze architectuur.

1. VM 1 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn geconfigureerd voor het gebruik van de naamomzetting die Azure biedt. Als gevolg hiervan wordt Azure DNS gebruikt om de DNS-query op te lossen.

2. Als de query een privénaam probeert op te lossen, wordt er contact opgenomen met de privé-DNS-service van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk, maakt Azure DNS verbinding met de privé-resolver van DNS. Het virtuele spoke 1-netwerk heeft een koppeling naar een virtueel netwerk. Dns Private Resolver controleert op een dns-regelset die is gekoppeld aan het virtuele spoke 1-netwerk.

4. Als er een overeenkomst wordt gevonden in de dns-regelset, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als de privé-DNS-service van Azure (2) en de privé-resolver van DNS (3) geen overeenkomende record kunnen vinden, wordt Azure DNS (5) gebruikt om de query op te lossen.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeersstroom voor een VM DNS-query via dns-privé-resolver

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 een DNS-aanvraag uitgeeft via een binnenkomende DNS-resolver-eindpunt. In dit geval probeert het virtuele spoke-netwerk spoke 1 de aanvraag op te lossen.

Download een PowerPoint-bestand van deze architectuur.

1. VM 1 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn geconfigureerd voor gebruik van 10.0.0.8 als dns-server voor naamomzetting. Als gevolg hiervan wordt DNS Private Resolver gebruikt om de DNS-query op te lossen.

2. Als de query een privénaam probeert op te lossen, wordt er contact opgenomen met de privé-DNS-service van Azure.

3. Als de query niet overeenkomt met een privé-DNS-zone die is gekoppeld aan het virtuele netwerk, maakt Azure DNS verbinding met de privé-resolver van DNS. Het virtuele spoke 1-netwerk heeft een koppeling naar een virtueel netwerk. Dns Private Resolver controleert op een dns-regelset die is gekoppeld aan het virtuele spoke 1-netwerk.

4. Als er een overeenkomst wordt gevonden in de dns-regelset, wordt de DNS-query doorgestuurd via het uitgaande eindpunt naar het IP-adres dat is opgegeven in de regelset.

5. Als de privé-DNS-service van Azure (2) en de privé-resolver van DNS (3) geen overeenkomende record kunnen vinden, wordt Azure DNS (5) gebruikt om de query op te lossen.

Elke regel voor het doorsturen van DNS geeft een of meer doel-DNS-servers op die moeten worden gebruikt voor voorwaardelijk doorsturen. De opgegeven informatie bevat de domeinnaam, het doel-IP-adres en de poort.

Verkeersstroom voor een DNS-query van een VIRTUELE machine via een on-premises DNS-server

In het volgende diagram ziet u de verkeersstroom die resulteert wanneer VM 1 een DNS-aanvraag via een on-premises DNS-server uitgeeft. In dit geval probeert het virtuele spoke-netwerk spoke 1 de aanvraag op te lossen.

Download een PowerPoint-bestand van deze architectuur.

1. VM 1 voert een query uit op een DNS-record. De virtuele spoke-netwerken zijn geconfigureerd voor gebruik van 192.168.0.1/2 als dns-server voor naamomzetting. Als gevolg hiervan wordt een on-premises DNS-server gebruikt om de DNS-query op te lossen.

2. De aanvraag wordt verzonden naar de lokale DNS-server op IP-adres 192.168.0.1 of 192.168.0.2.

3. Een voorwaardelijke doorstuurserver op de lokale DNS-server voor blob.core.windows.net het doorsturen van de aanvraag naar de DNS-resolver op IP-adres 10.0.0.8.

4. De DNS-resolver voert query's uit op Azure DNS en ontvangt informatie over een virtuele netwerkkoppeling van een azure-privé-DNS-service.

5. De privé-DNS-service van Azure lost DNS-query's op die via de openbare Azure DNS-service worden verzonden naar het binnenkomende DNS-eindpunt van de DNS-privé-resolver.

Onderdelen

• VPN Gateway is een virtuele netwerkgateway die u kunt gebruiken om versleuteld verkeer te verzenden:

  • Tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.
  • Tussen virtuele Azure-netwerken via het Backbone-netwerk van Azure.

• ExpressRoute breidt on-premises netwerken uit naar de Microsoft-cloud. ExpressRoute brengt privéverbindingen tot stand met cloudonderdelen zoals Azure-services en Microsoft 365 met behulp van een connectiviteitsprovider.

• Azure Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Via virtueel netwerk kunnen Azure-resources zoals VM's veilig communiceren met elkaar, internet en on-premises netwerken.

• Azure Firewall dwingt beleidsregels voor toepassings- en netwerkconnectiviteit af. Deze netwerkbeveiligingsservice beheert het beleid centraal in meerdere virtuele netwerken en abonnementen.

• DNS Private Resolver is een service die een on-premises DNS overbrugt met Azure DNS. U kunt deze service gebruiken om query's uit te voeren op privézones van Azure DNS vanuit een on-premises omgeving en omgekeerd zonder op VM's gebaseerde DNS-servers te implementeren.

• Azure DNS is een hostingservice voor DNS-domeinen. Azure DNS maakt gebruik van de Azure-infrastructuur om naamomzetting te bieden.

• De privé-DNS-service van Azure beheert en lost domeinnamen op in een virtueel netwerk en in verbonden virtuele netwerken. Wanneer u deze service gebruikt, hoeft u geen aangepaste DNS-oplossing te configureren. Wanneer u privé-DNS-zones gebruikt, kunt u aangepaste domeinnamen gebruiken in plaats van de namen die Azure tijdens de implementatie biedt.

• DNS-doorstuurservers zijn DNS-servers die query's doorsturen naar servers die zich buiten het netwerk bevinden. De DNS-doorstuurserver stuurt alleen query's door voor namen die niet kunnen worden omgezet.

Scenariodetails

Azure biedt verschillende DNS-oplossingen:

• Azure DNS is een hostingservice voor DNS-domeinen. Virtuele Azure-netwerken maken standaard gebruik van Azure DNS voor DNS-omzetting. Microsoft beheert en onderhoudt Azure DNS.
• Azure Traffic Manager fungeert als een op DNS gebaseerde taakverdelingsservice. Het biedt een manier om verkeer over Azure-regio's te distribueren naar openbare toepassingen.
• De privé-DNS-service van Azure biedt een DNS-service voor virtuele netwerken. U kunt privé-DNS-servicezones van Azure gebruiken om uw eigen domeinnamen en VM-namen om te zetten zonder dat u een aangepaste oplossing hoeft te configureren en zonder uw eigen configuratie te wijzigen. Tijdens de implementatie kunt u aangepaste domeinnamen gebruiken in plaats van namen die Azure biedt als u privé-DNS-zones gebruikt.
• DNS Private Resolver is een cloudeigen, maximaal beschikbare devOps-service. Het biedt een eenvoudige, nul-onderhoud, betrouwbare en beveiligde DNS-service. U kunt deze service gebruiken om DNS-namen om te zetten die worden gehost in privézones van Azure DNS vanuit on-premises netwerken. U kunt de service ook gebruiken voor DNS-query's voor uw eigen domeinnamen.

Voordat DNS Private Resolver beschikbaar was, moest u aangepaste DNS-servers gebruiken voor DNS-omzetting van on-premises systemen naar Azure en vice versa. Aangepaste DNS-oplossingen hebben veel nadelen:

• Het beheren van meerdere aangepaste DNS-servers voor meerdere virtuele netwerken omvat hoge infrastructuur- en licentiekosten.
• U moet alle aspecten van het installeren, configureren en onderhouden van DNS-servers afhandelen.
• Overheadtaken, zoals het bewaken en patchen van deze servers, zijn complex en gevoelig voor fouten.
• Er is geen DevOps-ondersteuning voor het beheren van DNS-records en doorstuurregels.
• Het is duur om schaalbare DNS-serveroplossingen te implementeren.

Dns Private Resolver overkomt deze obstakels door de volgende functies en belangrijke voordelen te bieden:

• Een volledig beheerde Microsoft-service met ingebouwde hoge beschikbaarheid en zoneredundantie.
• Een schaalbare oplossing die goed werkt met DevOps.
• Kostenbesparingen in vergelijking met aangepaste oplossingen op basis van traditionele infrastructuur als een dienst (IaaS).
• Voorwaardelijk doorsturen voor Azure DNS naar on-premises servers. Het uitgaande eindpunt biedt deze mogelijkheid, die in het verleden niet beschikbaar was. Voor workloads in Azure zijn geen directe verbindingen meer nodig met on-premises DNS-servers. In plaats daarvan maken de Azure-workloads verbinding met het uitgaande IP-adres van dns-privé-resolver.

Potentiële gebruikscases

Deze oplossing vereenvoudigt de privé-DNS-resolutie in hybride netwerken. Dit geldt voor veel scenario's:

• Overgangsstrategieën tijdens langetermijnmigratie naar volledig cloudeigen oplossingen
• Oplossingen voor herstel na noodgevallen en fouttolerantie die gegevens en services tussen on-premises en cloudomgevingen repliceren
• Oplossingen die onderdelen hosten in Azure om de latentie tussen on-premises datacenters en externe locaties te verminderen

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Het is raadzaam om een privé-DNS-resolver te implementeren in een virtueel netwerk dat een ExpressRoute-gateway bevat. Zie Voor meer informatie over virtuele ExpressRoute-netwerkgateways.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie de controlelijst ontwerpbeoordeling voor betrouwbaarheid voor meer informatie.

DNS Private Resolver is een cloudeigen service die maximaal beschikbaar is en DevOps vriendelijk is. Het biedt een betrouwbare en veilige DNS-oplossing, terwijl het eenvoud en nulonderhoud voor gebruikers behouden blijft.

Regionale beschikbaarheid

Zie Regionale beschikbaarheid voor een lijst met regio's waarin DNS Private Resolver beschikbaar is.

Een DNS-resolver kan alleen verwijzen naar een virtueel netwerk dat zich in dezelfde regio bevindt als de DNS-resolver.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie de controlelijst ontwerpbeoordeling voor beveiliging voor meer informatie.

Azure DNS ondersteunt de uitgebreide ASCII-coderingsset voor tekstrecordsets (TXT). Zie De veelgestelde vragen over Azure DNS voor meer informatie.

Azure DNS biedt momenteel geen ondersteuning voor DNS-beveiligingsextensies (DNSSEC). Maar gebruikers vragen deze functie aan.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

• Als oplossing is DNS Private Resolver grotendeels rendabel. Een van de belangrijkste voordelen van DNS Private Resolver is dat deze volledig wordt beheerd, waardoor er geen speciale servers meer nodig zijn.

• Gebruik de Azure-prijscalculator om de kosten van dns Private Resolver te berekenen. Zie Azure DNS-prijzen voor prijsmodellen voor privé-resolvers voor DNS.

• Prijzen omvatten ook functies voor beschikbaarheid en schaalbaarheid.

• ExpressRoute ondersteunt twee factureringsmodellen:

  • Datalimiet, die u per gigabyte in rekening brengt voor uitgaande gegevensoverdracht.
  • Onbeperkte gegevens, die u een vaste maandelijkse overdrachtskosten in rekening brengen die alle binnenkomende en uitgaande gegevensoverdrachten dekken.

  Zie prijzen voor ExpressRoute voor meer informatie.

• Als u VPN Gateway gebruikt in plaats van ExpressRoute, variëren de kosten per product en worden de kosten per uur in rekening gebracht. Zie prijzen voor VPN Gateway voor meer informatie.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.

DNS Private Resolver is een volledig beheerde Microsoft-service die miljoenen aanvragen kan verwerken. Gebruik een subnetadresruimte tussen /28 en /24. Voor de meeste gebruikers werkt /26 het beste. Zie Subnetbeperkingen voor meer informatie.

Netwerken

De volgende bronnen bieden meer informatie over het maken van een privé-DNS-resolver:

• Een privé-DNS-resolver maken met behulp van Azure Portal
• Een privé-DNS-resolver maken met behulp van Azure PowerShell

Omgekeerde DNS-ondersteuning

Dns-records wijzen traditioneel een DNS-naam toe aan een IP-adres. Wordt bijvoorbeeld www.contoso.com omgezet in 42.3.10.170. Met omgekeerde DNS gaat de toewijzing in de tegenovergestelde richting. Een IP-adres wordt weer toegewezen aan een naam. Het IP-adres 42.3.10.170 wordt bijvoorbeeld omgezet in www.contoso.com.

Zie Overzicht van omgekeerde DNS en ondersteuning in Azure voor gedetailleerde informatie over ondersteuning voor Azure voor omgekeerde DNS en hoe omgekeerde DNS werkt.

Beperkingen

Dns Private Resolver heeft de volgende beperkingen:

• Regelsets voor dns-privéomzetting kunnen alleen worden gekoppeld aan virtuele netwerken die zich binnen dezelfde geografische regio bevinden als de resolver.
• Een virtueel netwerk mag niet meer dan één privé-DNS-resolver bevatten.
• U moet een toegewezen subnet toewijzen aan elk binnenkomend en uitgaand eindpunt.

Zie Beperkingen voor virtuele netwerken voor meer informatie.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzender.

Hoofdauteur:

• Moorthy Annadurai | Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Wat is een virtuele netwerkkoppeling?
• Wat is Azure DNS?
• Wat is de privé-DNS-service van Azure?
• Wat is privé-resolver voor DNS?
• Veelgestelde vragen over Azure DNS
• Overzicht van omgekeerde DNS en ondersteuning in Azure

Verwante resources

• Azure-bestanden die on-premises worden geopend en beveiligd door AD DS
• Een hybride DNS-oplossing ontwerpen met Azure
• Azure Enterprise-cloudbestandsshare