Azure DNS privézones

  • Artikel
  • 3 minuten om te lezen

Azure DNS Private Zones naamresolutie in een virtueel netwerk en tussen virtuele netwerken. In dit artikel bekijken we enkele veelvoorkomende scenario's die kunnen profiteren van het gebruik van deze functie.

Scenario: Naamoplossing voor één virtueel netwerk

In dit scenario hebt u een virtueel netwerk in Azure met veel resources, waaronder virtuele machines. U moet alle resources in het virtuele netwerk oplossen met behulp van een specifieke domeinnaam (DNS-zone). U moet ook de naamgevingsresolutie privé hebben en niet toegankelijk zijn vanaf internet. Ten laatste moet Azure automatisch VM's registreren in de DNS-zone.

Dit scenario wordt hieronder weergegeven. We hebben een virtueel netwerk met de naam 'A' met twee VM's (VNETA-VM1 en VNETA-VM2). Aan elke VM is een privé-IP-adres gekoppeld. Zodra u een privézone hebt maken, bijvoorbeeld en virtueel netwerk contoso.com 'A' als een virtueel registratienetwerk hebt gekoppeld. Azure DNS maakt automatisch twee A-records in de zone die naar de twee VM's verwijzen. DNS-query's van VNETA-VM1 kunnen nu worden opgelost en ontvangen een DNS-antwoord dat het VNETA-VM2.contoso.com privé-IP-adres van VNETA-VM2 bevat. U kunt ook een omgekeerde DNS-query (PTR) uitvoeren voor het privé-IP-adres van VNETA-VM1 (10.0.0.1) van VNETA-VM2. Het DNS-antwoord bevat de naam VNETA-VM1, zoals verwacht.

Resolutie van één virtueel netwerk

Scenario: Naamoplossing in virtuele netwerken

In dit scenario moet u een privézone koppelen aan meerdere virtuele netwerken. U kunt deze oplossing implementeren in verschillende netwerkarchitecten, zoals het Hub-and-Spoke-model. Deze configuratie is wanneer een centraal virtueel hubnetwerk wordt gebruikt om meerdere virtuele spoke-netwerken met elkaar te verbinden. Het virtuele netwerk van de centrale hub kan worden gekoppeld als het virtuele registratienetwerk en de virtuele spoke-netwerken kunnen worden gekoppeld als virtuele resolutienetwerken.

In het volgende diagram ziet u een vereenvoudigde versie van dit scenario met slechts twee virtuele netwerken: A en B. Een wordt gedefinieerd als een virtueel registratienetwerk en B wordt gedefinieerd als een virtueel resolutienetwerk. Het doel is dat beide virtuele netwerken een gemeenschappelijke zone contoso.com delen. Wanneer de zone wordt gemaakt, registreren virtuele netwerken die zijn gedefinieerd als registratie automatisch DNS-records voor virtuele machines in een virtueel netwerk (VNETA-VM1 en VNETA-VM2). U kunt ook handmatig DNS-records toevoegen aan de zone voor VM's in het virtuele resolutienetwerk B. Met deze instelling ziet u het volgende gedrag voor forward- en reverse DNS-query's:

  • Een DNS-query van VNETB-VM1 in het virtuele resolutienetwerk B, voor VNETA-VM1.contoso.com, ontvangt een DNS-antwoord met het privé-IP-adres van VNETA-VM1.
  • Een omgekeerde DNS-query (PTR) van VNETB-VM2 in het virtuele resolutienetwerk B voor 10.1.0.1 ontvangt een DNS-antwoord met de FQDN-VNETB-VM1.contoso.com.
  • Een omgekeerde DNS-query (PTR) van VNETB-VM3 in het virtuele resolutienetwerk B voor 10.0.0.1 ontvangt NXDOMAIN. De reden hiervoor is dat omgekeerde DNS-query's alleen worden beperkt tot hetzelfde virtuele netwerk.

Meerdere resoluties van virtuele netwerken

Scenario: Split-Horizon functionaliteit

In dit scenario hebt u een andere naamgevingsresolutie nodig die afhankelijk is van de locatie van de client voor dezelfde DNS-zone. Mogelijk hebt u een persoonlijke en een openbare versie van uw toepassing met verschillende functionaliteiten of gedragingen. U hebt het gebruik van dezelfde domeinnaam voor beide versies vereist. Dit scenario kan worden bereikt door een openbare en privézone te maken in Azure DNS met dezelfde naam.

In het volgende diagram wordt dit scenario gedemonstreerd. U hebt een virtueel netwerk A met twee VM's (VNETA-VM1 en VNETA-VM2). Beide hebben een privé-IP-adres en een openbaar IP-adres geconfigureerd. Er is een openbare DNS-zone met de naam gemaakt en de openbare IPs voor deze VM's worden geregistreerd contoso.com als DNS-records in de zone. Er wordt ook een privé-DNS-zone gemaakt met de naam contoso.com . U hebt virtueel netwerk A gedefinieerd als een virtueel registratienetwerk. Azure registreert de VM's vervolgens automatisch als A-records in de privézone en wijst naar hun privé-IP's.

Wanneer een internetclient nu een DNS-query voor VNETA-VM1.contoso.com uitvoert, retournt Azure de openbare IP-record uit de openbare zone. Als dezelfde DNS-query wordt uitgegeven vanuit een andere VM (bijvoorbeeld VNETA-VM2) in hetzelfde virtuele netwerk A, retourneren Azure de privé-IP-record uit de privézone.

Brian-oplossing splitsen

Volgende stappen

Voor meer informatie over privé-DNS-zones raadpleegt u Using Azure DNS for private domains (Azure DNS gebruiken voor privédomeinen).

Meer informatie over het maken van een privé-DNS-zone in Azure DNS.

Meer informatie over DNS-zones en -records kunt u vinden in: Overzicht van DNS-zones en -records.

Informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure.