DNS voor on-premises en Azure-resources
Domain Name System (DNS) is een kritiek ontwerponderwerp in de algemene architectuur van de landingszone. Sommige organisaties willen mogelijk gebruikmaken van hun bestaande investeringen in DNS. Anderen zien cloudimplementatie mogelijk als een kans om hun interne DNS-infrastructuur te moderniseren en systeemeigen Azure-mogelijkheden te gebruiken.
Ontwerpoverwegingen:
U kunt de Azure DNS Private Resolver-service gebruiken in combinatie met Azure Privé-DNS Zones voor cross-premises naamomzetting.
Mogelijk hebt u het gebruik van bestaande DNS-oplossingen in on-premises en Azure nodig.
Het maximum aantal privé-DNS-zones waaraan een virtueel netwerk kan worden gekoppeld als automatische registratie is ingeschakeld, is één.
Maak uzelf vertrouwd met Azure Privé-DNS zonelimieten.
Ontwerpaanbeveling:
Voor omgevingen waarin naamomzetting in Azure alles is vereist, gebruikt u Azure Privé-DNS zones voor oplossing. Maak een gedelegeerde zone voor naamomzetting (zoals
azure.contoso.com). Schakel automatische registratie in voor Azure Privé-DNS zone om automatisch de levenscyclus van de DNS-records te beheren voor de virtuele machines die zijn geïmplementeerd in een virtueel netwerk.Voor omgevingen waarin naamomzetting in Azure en on-premises is vereist, is het raadzaam om de DNS Private Resolver-service te gebruiken in combinatie met Azure Privé-DNS Zones. Het biedt veel voordelen ten opzichte van een DNS-oplossing op basis van virtuele machines, waaronder kostenbesparing, ingebouwde hoge beschikbaarheid, schaalbaarheid en flexibiliteit.
Als u een bestaande DNS-infrastructuur moet gebruiken (bijvoorbeeld geïntegreerde DNS van Active Directory), moet u ervoor zorgen dat de DNS-serverfunctie op ten minste twee VM's is geïmplementeerd en configureert u DNS-instellingen in virtuele netwerken om deze aangepaste DNS-servers te gebruiken.
Voor omgevingen met Azure Firewall kunt u overwegen deze te gebruiken als DNS-proxy.
U kunt een Azure Privé-DNS-zone koppelen aan de virtuele netwerken en de DNS Private Resolver-service gebruiken met dns-doorstuurregelset die ook is gekoppeld aan de virtuele netwerken:
- Voor DNS-query's die worden gegenereerd in het virtuele Azure-netwerk om on-premises DNS-namen zoals om te zetten, wordt
corporate.contoso.comde DNS-query doorgestuurd naar het IP-adres van on-premises DNS-servers die zijn opgegeven in de regelset. - Voor DNS-query's die worden gegenereerd in het on-premises netwerk om DNS-records in Azure Privé-DNS Zones om te zetten, kunt u on-premises DNS-servers configureren met voorwaardelijke doorstuurservers die verwijzen naar het IP-adres van het binnenkomende eindpunt van de DNS Private Resolver-service in Azure, om de aanvraag door te sturen naar de Azure Privé-DNS zone (bijvoorbeeld
azure.contoso.com).
- Voor DNS-query's die worden gegenereerd in het virtuele Azure-netwerk om on-premises DNS-namen zoals om te zetten, wordt
Speciale werkbelastingen waarvoor een eigen DNS (zoals Red Hat OpenShift) is vereist en geïmplementeerd, moeten de dns-oplossing van hun voorkeur gebruiken.
Maak de Azure Privé-DNS-zones binnen een globaal connectiviteitsabonnement. De Azure Privé-DNS-zones die moeten worden gemaakt,
privatelink.database.windows.netbevatten de zones die vereist zijn voor toegang tot Azure PaaS-services via een privé-eindpunt (bijvoorbeeld ofprivatelink.blob.core.windows.net).