Rozwiązywanie problemów z platformą Azure i domenami lokalnymi

Hybrydowe rozpoznawanie nazw DNS

Ten artykuł zawiera wskazówki dotyczące konfigurowania hybrydowego rozpoznawania nazw DNS przy użyciu prywatnego rozpoznawania nazw DNS platformy Azure z zestawem reguł przesyłania dalej DNS. W tym scenariuszu zasoby usługi Azure DNS są połączone z siecią lokalną przy użyciu połączenia sieci VPN lub usługi ExpressRoute.

W tym miejscu zdefiniowano hybrydowe rozpoznawanie nazw DNS jako umożliwienie zasobom platformy Azure rozpoznawania domen lokalnych i lokalnego systemu DNS w celu rozpoznawania prywatnych stref DNS platformy Azure.

Azure DNS Private Resolver

Prywatny rozpoznawanie nazw dns platformy Azure to usługa, która może rozpoznawać lokalne zapytania DNS dotyczące stref prywatnych usługi Azure DNS. Wcześniej konieczne było wdrożenie niestandardowego rozpoznawania NAZW DNS opartego na maszynie wirtualnej lub użycie rozwiązań INNYCH niż Microsoft DNS, DHCP i IPAM (DDI), aby wykonać tę funkcję.

Zalety korzystania z usługi rozpoznawania prywatnego usługi Azure DNS a rozwiązań rozpoznawania nazw opartych na maszynach wirtualnych lub DDI obejmują:

• Bez konserwacji: w przeciwieństwie do rozwiązań opartych na maszynie wirtualnej lub sprzęcie prywatny program rozpoznawania nie wymaga aktualizacji oprogramowania, skanowania luk w zabezpieczeniach ani poprawek zabezpieczeń. Prywatna usługa rozpoznawania nazw jest w pełni zarządzana.
• Obniżenie kosztów: Prywatny program rozpoznawania nazw DNS platformy Azure jest usługą wielodostępną i może kosztować ułamek wydatków, które są wymagane do używania i licencjonowania wielu rozpoznawania nazw DNS opartych na maszynach wirtualnych.
• Wysoka dostępność: usługa rozpoznawania prywatnego usługi Azure DNS ma wbudowane funkcje wysokiej dostępności. Usługa jest świadoma strefy dostępności, co zapewnia wysoką dostępność i nadmiarowość rozwiązania DNS przy znacznie mniejszym wysiłku. Aby uzyskać więcej informacji na temat konfigurowania trybu failover DNS przy użyciu usługi prywatnego rozpoznawania nazw, zobacz Samouczek: konfigurowanie trybu failover DNS przy użyciu prywatnych rozpoznawania nazw.
• Przyjazny metodyka DevOps: tradycyjne rozwiązania DNS są trudne do zintegrowania z przepływami pracy Metodyki DevOps, ponieważ często wymagają ręcznej konfiguracji dla każdej zmiany DNS. Prywatny program rozpoznawania nazw usługi Azure DNS udostępnia w pełni funkcjonalny interfejs usługi ARM, który można łatwo zintegrować z przepływami pracy devOps.

Zestaw reguł przesyłania dalej DNS

Zestaw reguł przesyłania dalej DNS to grupa reguł, które określają jeden lub więcej niestandardowych serwerów DNS do odpowiadania na zapytania dotyczące określonych przestrzeni nazw DNS. Aby uzyskać więcej informacji, zobacz Azure DNS Private Resolver endpoints and rulesets (Punkty końcowe i zestawy reguł usługi Rozpoznawanie prywatne w usłudze Azure DNS).

Porcedury

Poniższe procedury opisane w tym artykule służą do włączania i testowania hybrydowego systemu DNS:

• Tworzenie strefy prywatnej usługi Azure DNS
• Tworzenie prywatnego rozpoznawania nazw dns platformy Azure
• Konfigurowanie zestawu reguł przesyłania dalej usługi Azure DNS
• Konfigurowanie lokalnych usług przesyłania dalej warunkowego DNS
• Demonstruj hybrydową usługę DNS

Tworzenie strefy prywatnej usługi Azure DNS

Utwórz strefę prywatną z co najmniej jednym rekordem zasobu do użycia na potrzeby testowania. Dostępne są następujące przewodniki Szybki start ułatwiające tworzenie strefy prywatnej:

• Tworzenie strefy prywatnej — portal
• Tworzenie strefy prywatnej — PowerShell
• Tworzenie strefy prywatnej — interfejs wiersza polecenia

W tym artykule używana jest strefa prywatna azure.contoso.com i test rekordów zasobów. Funkcja automatycznego wyrejestrowania nie jest wymagana dla bieżącej demonstracji.

Ważne

W tym przykładzie serwer rekursywny służy do przesyłania dalej zapytań ze środowiska lokalnego do platformy Azure. Jeśli serwer jest autorytatywny dla strefy nadrzędnej (contoso.com), przekazywanie dalej nie jest możliwe, chyba że najpierw utworzysz delegowanie dla azure.contoso.com.

Wymaganie: musisz utworzyć link sieci wirtualnej w strefie do sieci wirtualnej, w której wdrażasz prywatny program rozpoznawania nazw usługi Azure DNS. W poniższym przykładzie strefa prywatna jest połączona z dwiema sieciami wirtualnymi: myeastvnet i mywestvnet. Wymagane jest co najmniej jedno łącze.

Tworzenie prywatnego rozpoznawania nazw dns platformy Azure

Poniższe przewodniki Szybki start ułatwiają tworzenie prywatnego narzędzia rozpoznawania nazw. Te przewodniki Szybki start przeprowadzi Cię przez proces tworzenia grupy zasobów, sieci wirtualnej i prywatnego rozpoznawania nazw usługi Azure DNS. Dostępne są kroki konfigurowania przychodzącego punktu końcowego, wychodzącego punktu końcowego i zestawu reguł przesyłania dalej DNS:

• Tworzenie prywatnego rozpoznawania nazw — portal
• Tworzenie prywatnego rozpoznawania nazw — PowerShell

Po zakończeniu zapisz adres IP przychodzącego punktu końcowego dla prywatnego rozpoznawania nazw usługi Azure DNS. W tym przykładzie adres IP to 10.10.0.4. Ten adres IP jest używany później do konfigurowania lokalnych usług przesyłania dalej warunkowego DNS.

Konfigurowanie zestawu reguł przesyłania dalej usługi Azure DNS

Utwórz zestaw reguł przesyłania dalej w tym samym regionie co prywatny program rozpoznawania nazw. W poniższym przykładzie przedstawiono dwa zestawy reguł. Zestaw reguł regionu Wschodnie stany USA jest używany na potrzeby pokazu hybrydowego systemu DNS.

Wymaganie: musisz utworzyć połączenie sieci wirtualnej z siecią wirtualną, w której wdrożono prywatny program rozpoznawania nazw. W poniższym przykładzie istnieją dwa łącza sieci wirtualnej. Link myeastvnet-link jest tworzony z siecią wirtualną piasty, w której aprowizowany jest prywatny program rozpoznawania nazw. Istnieje również link do sieci wirtualnej myeastspoke-link, który zapewnia hybrydowe rozpoznawanie DNS w sieci wirtualnej szprychy, która nie ma własnego prywatnego rozpoznawania nazw. Sieć szprych może używać prywatnego rozpoznawania nazw, ponieważ jest ona równorzędna z siecią piasty. Połączenie sieci wirtualnej będącej szprychą nie jest wymagane dla bieżącej demonstracji.

Następnie utwórz regułę w zestawie reguł dla domeny lokalnej. W tym przykładzie używamy contoso.com. Ustaw docelowy adres IP reguły jako adres IP lokalnego serwera DNS. W tym przykładzie lokalny serwer DNS znajduje się pod adresem 10.100.0.2. Sprawdź, czy reguła jest włączona.

Uwaga

Nie zmieniaj ustawień DNS dla sieci wirtualnej, aby używać adresu IP przychodzącego punktu końcowego. Pozostaw domyślne ustawienia DNS.

Konfigurowanie lokalnych usług przesyłania dalej warunkowego DNS

Procedura konfigurowania lokalnego systemu DNS zależy od typu używanego serwera DNS. W poniższym przykładzie serwer DNS systemu Windows o adresie 10.100.0.2 jest skonfigurowany z warunkowym usługą przesyłania dalej dla prywatnej strefy DNS azure.contoso.com. Warunkowy usług przesyłania dalej jest ustawiony na przekazywanie zapytań do adresu 10.10.0.4, który jest adresem IP przychodzącego punktu końcowego dla prywatnego rozpoznawania nazw usługi Azure DNS. Istnieje również inny adres IP skonfigurowany tutaj, aby włączyć tryb failover DNS. Aby uzyskać więcej informacji na temat włączania trybu failover, zobacz Samouczek: konfigurowanie trybu failover DNS przy użyciu prywatnych rozpoznawania nazw. Na potrzeby tej demonstracji wymagany jest tylko punkt końcowy przychodzący 10.10.0.4 .

Demonstruj hybrydową usługę DNS

Korzystając z maszyny wirtualnej znajdującej się w sieci wirtualnej, w której jest aprowizowany prywatny program rozpoznawania nazw DNS, należy wysłać zapytanie DNS dotyczące rekordu zasobu w domenie lokalnej. W tym przykładzie zapytanie jest wykonywane dla rekordu testdns.contoso.com:

Ścieżka zapytania to: Reguła zestawu reguł ruchu wychodzącego przychodzącego punktu końcowego >> usługi Azure DNS > dla lokalnego systemu DNS contoso.com > (10.100.0.2). Serwer DNS o adresie 10.100.0.2 jest lokalnym programem rozpoznawania nazw DNS, ale może być również autorytatywnym serwerem DNS.

Korzystając z lokalnej maszyny wirtualnej lub urządzenia, wyślij zapytanie DNS dotyczące rekordu zasobu w prywatnej strefie DNS platformy Azure. W tym przykładzie zapytanie jest wykonywane dla rekordu test.azure.contoso.com:

Ścieżka dla tego zapytania to: domyślny program rozpoznawania nazw DNS klienta (10.100.0.2) > dla lokalnej reguły przesyłania dalej warunkowego dla punktu końcowego ruchu przychodzącego azure.contoso.com > (10.10.0.4)

Następne kroki

• Zapoznaj się ze składnikami, korzyściami i wymaganiami dotyczącymi usługi Rozpoznawanie prywatne usługi Azure DNS.
• Dowiedz się, jak utworzyć prywatny program rozpoznawania nazw DNS platformy Azure przy użyciu programu Azure PowerShell lub witryny Azure Portal.
• Dowiedz się, jak rozwiązywać problemy z platformą Azure i domenami lokalnymi przy użyciu prywatnego rozpoznawania nazw usługi Azure DNS.
• Dowiedz się więcej na temat prywatnych punktów końcowych i zestawów reguł usługi Azure DNS.
• Dowiedz się, jak skonfigurować tryb failover DNS przy użyciu prywatnych rozpoznawania nazw.
• Poznaj inne kluczowe możliwości sieciowe platformy Azure.
• Moduł szkoleniowy: wprowadzenie do usługi Azure DNS.