Интеграция DNS центра обработки данных в Azure Stack Hub
Чтобы иметь возможность доступа к конечным точкам Azure Stack Hub (portal, adminportal, management и adminmanagement) за пределами Azure Stack Hub, необходимо интегрировать службы DNS Azure Stack Hub с DNS-серверами, на которых размещаются зоны DNS, которые нужно использовать в Azure Stack Hub.
Пространство имен DNS для Azure Stack Hub
При развертывании Azure Stack Hub необходимо ввести некоторые важные сведения, связанные с DNS.
| Поле | Описание | Пример |
|---|---|---|
| Регион | Географическое расположение развертывания Azure Stack Hub. | east |
| Имя внешнего домена | Имя зоны, которую необходимо использовать для развертывания Azure Stack Hub. | cloud.fabrikam.com |
| Имя внутреннего домена | Имя внутренней зоны, используемой службами инфраструктуры в Azure Stack Hub. Это интегрированная со службой каталогов закрытая зона (недоступная за пределами развертывания Azure Stack Hub). | azurestack.local |
| DNS-серверы пересылки | DNS-серверы, которые используются для перенаправления запросов DNS, зон и записей DNS, размещенных за пределами Azure Stack Hub (в корпоративной интрасети или Интернете). Значение сервера пересылки DNS можно изменить с помощью командлета Set-AzSDnsForwarder после развертывания. | |
| Префикс имени (необязательно) | Префикс, который будет включать имя компьютера экземпляра роли инфраструктуры Azure Stack Hub. Если не указано, значение по умолчанию — azs. |
azs |
Полное доменное имя (FQDN) развертывания Azure Stack Hub и конечных точек включает такие параметры, как регион и имя внешнего домена. Учитывая значения из примеров в предыдущей таблице, полное доменное имя (FQDN) для этого развертывания Azure Stack Hub будет таким:
east.cloud.fabrikam.com
Таким образом примеры некоторых конечных точек для этого развертывания будут выглядеть как следующие URL-адреса:
https://portal.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
Чтобы использовать этот пример пространства имен DNS для развертывания Azure Stack Hub, должны быть выполнены следующие условия:
- Зона
fabrikam.comзарегистрирована с помощью регистратора доменных имен, внутреннего корпоративного DNS-сервера или обоих, в зависимости от требований разрешения имен. - В зоне
fabrikam.comимеется дочерний доменcloud.fabrikam.com. - К DNS-серверам, на которых размещаются зоны
fabrikam.comиcloud.fabrikam.com, можно получить доступ из Azure Stack Hub.
Чтобы иметь возможность разрешать DNS-имена конечных точек и экземпляров Azure Stack Hub извне Azure Stack Hub, необходимо интегрировать DNS-серверы, где размещена внешняя зона DNS для Azure Stack Hub, с DNS-серверами, где размещена родительская зона, которую требуется использовать.
Метки DNS-имен
Azure Stack Hub поддерживает добавление метки DNS-имени для общедоступного IP-адреса, чтобы обеспечить разрешение имен для общедоступных IP-адресов. Метки DNS — это удобный способ обращаться по имени к приложениям и службам, размещенным в Azure Stack Hub. Метка DNS-имени использует пространство имен, которое немного отличается от конечных точек инфраструктуры. В соответствии с предыдущим примером пространство имен для меток DNS-имен выглядит следующим образом.
*.east.cloudapp.cloud.fabrikam.com
Таким образом, если клиент указывает значение Myapp в поле метки DNS-имени ресурса общедоступного IP-адреса, на внешнем DNS-сервере Azure Stack Hub в зоне east.cloudapp.cloud.fabrikam.com создается запись A для myapp. Полученное полное доменное имя выглядит следующим образом.
myapp.east.cloudapp.cloud.fabrikam.com
Если вы хотите использовать эту функцию и это пространство имен, необходимо интегрировать DNS-серверы, на которых размещена внешняя зона DNS для Azure Stack Hub, с DNS-серверами, на которых размещена родительская зона, которую вы также хотите использовать. Это пространство имен, которое отличается от пространства имен для конечных точек службы Azure Stack Hub, поэтому необходимо создать дополнительное правило делегирования или условного перенаправления.
См. сведения о том, как работает метка DNS-имени в Azure Stack Hub.
Разрешение и делегирование
Существует два следующих типа DNS-серверов.
- Полномочный DNS-сервер содержит зоны DNS. Он отвечает на запросы DNS для записей только в этих зонах.
- Рекурсивный DNS-сервер не содержит зоны DNS. Он отвечает на все запросы DNS, вызывая полномочные DNS-серверы для сбора необходимых данных.
Azure Stack Hub содержит и полномочный, и рекурсивный DNS-серверы. Рекурсивные серверы используются для разрешения любых имен, за исключением внутренней зоны и внешней общей зоны DNS для развертывания Azure Stack Hub.
Разрешение внешних DNS-имен из Azure Stack Hub
Чтобы разрешить DNS-имена конечных точек за пределами Azure Stack Hub (например, www.bing.com), необходимо предоставить DNS-серверы, которые Azure Stack Hub может использовать для пересылки ЗАПРОСОВ DNS, для которых Azure Stack Hub не является заслуживающим доверия. DNS-серверы, на которые перенаправляются запросы из Azure Stack Hub, необходимо ввести в лист развертывания (в поле "DNS-сервер перенаправления"). Для обеспечения отказоустойчивости укажите по крайней мере два сервера в этом поле. Без этих значений развертывание Azure Stack Hub завершается сбоем. После развертывания значения DNS-сервера пересылки можно изменить с помощью командлета Set-AzSDnsForwarder.
Настройка условного перенаправления DNS
Важно!
Это применяется только к развертываниям AD FS.
Чтобы включить разрешение имен с помощью имеющейся инфраструктуры DNS, настройте условное перенаправление.
Для добавления сервера условного перенаправления необходимо использовать привилегированную конечную точку.
Для выполнения этой процедуры используйте компьютер в сети центра обработки данных, который может взаимодействовать с привилегированной конечной точкой в Azure Stack Hub.
Откройте сеанс Windows PowerShell с повышенными правами (запуск от имени администратора) и подключитесь к IP-адресу привилегированной конечной точки. Используйте учетные данные для проверки подлинности администратора облака.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credПосле подключения к привилегированной конечной точке выполните следующую команду PowerShell. Замените предоставленные примеры значений именем домена и IP-адресами DNS-серверов, которые необходимо использовать.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Разрешение имен DNS Azure Stack Hub за пределами Azure Stack Hub
Полномочные серверы — это серверы, которые содержат данные внешней зоны DNS и все созданные пользователем зоны. Выполните интеграцию с этими серверами для разрешения делегирования зоны или условного перенаправления, чтобы иметь возможность разрешать имена DNS Azure Stack Hub за пределами Azure Stack Hub.
Получение сведений о внешней конечной точке DNS-сервера
Чтобы интегрировать развертывание Azure Stack Hub с инфраструктурой DNS, необходимой указать следующие сведения:
- полные доменные имена DNS-серверов;
- IP-адреса DNS-серверов.
Полные доменные имена DNS-серверов Azure Stack Hub имеют следующий формат:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
При использовании примеров значений полные доменные имена для DNS-серверов будут такими:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Эти сведения также создаются во время завершения всех развертываний Azure Stack Hub в файле с именем AzureStackStampInformation.json. Этот файл находится в папке C:\CloudDeployment\logs на виртуальной машине развертывания. Если вы не знаете, какие значения были использованы для развертывания Azure Stack Hub, эти значения можно получить здесь.
Если виртуальная машина развертывания недоступна, значения можно получить, подключившись к привилегированной конечной точке и выполнив командлет PowerShell Get-AzureStackStampInformation. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.
Настройка условного перенаправления в Azure Stack Hub
Самый простой и безопасный способ интеграции Azure Stack Hub с инфраструктурой DNS — это условное перенаправление зоны с сервера, на котором размещена родительская зона. Мы рекомендуем использовать этот метод, если у вас есть прямой контроль над DNS-серверами, на которых размещается родительская зона внешнего пространства имен DNS Azure Stack Hub.
Если вы не знаете, как выполнять условную пересылку с помощью DNS, см. следующую статью TechNet: назначение условного сервера пересылки для доменного имени или документацию, относяющуюся к решению DNS.
Условное перенаправление не может быть использовано в сценариях, в которых внешняя зона DNS Azure Stack Hub указана в качестве дочернего домена для корпоративного доменного имени. Необходимо настроить делегирование DNS.
Пример.
- Имя корпоративного домена DNS:
contoso.com. - Имя внешнего домена DNS Azure Stack Hub:
azurestack.contoso.com.
Изменение IP-адресов DNS-сервера пересылки
IP-адреса DNS-сервера пересылки устанавливаются во время развертывания Azure Stack Hub. Однако, если по какой-либо причине требуется обновление IP-адресов сервера пересылки, вы можете изменить значения, подключившись к привилегированной конечной точке и выполнив командлеты PowerShell Get-AzSDnsForwarder и Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>]. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.
Делегирование внешней зоны DNS в Azure Stack Hub
Чтобы включить разрешение имен DNS за пределами развертывания Azure Stack Hub, вам нужно настроить делегирование DNS.
У каждого регистратора есть собственные средства управления DNS для изменения записей серверов имен домена. На странице управления регистратора DNS измените записи NS для зоны на те, которые вы создали в Azure Stack Hub.
Большинству регистраторов DNS требуется предоставить как минимум два DNS-сервера для выполнения делегирования.