Arkitektur för privat lösning

I den här artikeln beskrivs två designalternativ för arkitektur som är tillgängliga för att matcha DNS-namn, inklusive privata DNS-zoner i ditt Azure-nätverk med hjälp av en privat Lösning för Azure DNS. Exempelkonfigurationer tillhandahålls med designrekommendationer för centraliserad eller distribuerad DNS-matchning i en nav- och eker-VNet-topologi.

• En översikt över azure DNS Private Resolver finns i Vad är Privat Lösning för Azure DNS.
• Mer information om komponenter i den privata matcharen finns i Azure DNS Private Resolver-slutpunkter och regeluppsättningar.

Distribuerad DNS-arkitektur

Överväg följande nav- och eker-VNet-topologi i Azure med en privat lösning som finns i hubben och en regeluppsättningslänk till det virtuella ekernätverket. Både hubben och ekern använder Azure-tillhandahållen DNS i sina VNet-inställningar:

Bild 1: Distribuerad DNS-arkitektur med hjälp av regeluppsättningslänkar

• Ett virtuellt hubbnätverk konfigureras med adressutrymmet 10.10.0.0/16.
• Ett virtuellt ekernätverk har konfigurerats med adressutrymmet 10.11.0.0/16.
• En privat DNS-zon azure.contoso.com är länkad till det virtuella hubbnätverket.
• En privat matchare etableras i det virtuella hubbnätverket.
  • Den privata matcharen har en inkommande slutpunkt med en IP-adress på 10.10.0.4.
  • Den privata matcharen har en utgående slutpunkt och en associerad regeluppsättning för DNS-vidarebefordran.
    • Regeluppsättningen dns-vidarebefordran är länkad till det virtuella ekernätverket.
    • En regeluppsättningsregel konfigureras för att vidarebefordra frågor för den privata zonen till den inkommande slutpunkten.

DNS-matchning i det virtuella hubbnätverket: Länken för det virtuella nätverket från den privata zonen till det virtuella hubbnätverket gör det möjligt för resurser i det virtuella hubbnätverket att automatiskt matcha DNS-poster i azure.contoso.com med hjälp av Azure-tillhandahållen DNS (168.63.129.16). Alla andra namnområden matchas också med hjälp av Azure-tillhandahållen DNS. Det virtuella hubbnätverket använder inte regeluppsättningsregler för att matcha DNS-namn eftersom det inte är länkat till regeluppsättningen. Om du vill använda vidarebefordransregler i det virtuella hubbnätverket skapar och länkar du en annan regeluppsättning till det virtuella hubbnätverket.

DNS-matchning i det virtuella ekernätverket: Den virtuella nätverkslänken från regeluppsättningen till det virtuella ekernätverket gör det möjligt för det virtuella ekernätverket att lösa azure.contoso.com med hjälp av den konfigurerade vidarebefordringsregeln. En länk från den privata zonen till det virtuella ekernätverket krävs inte här. Det virtuella ekernätverket skickar frågor för azure.contoso.com till hubbens inkommande slutpunkt via Azure-tillhandahållen DNS eftersom det finns en regel som matchar det här domännamnet i den länkade regeluppsättningen. Frågor för andra namnområden kan också vidarebefordras genom att konfigurera ytterligare regler. DNS-frågor som inte matchar en regeluppsättningsregel vidarebefordras inte och löses med hjälp av Azure-tillhandahållen DNS.

Viktigt!

I den här exempelkonfigurationen måste det virtuella hubbnätverket länkas till den privata zonen, men får inte länkas till en regeluppsättning för vidarebefordran med en regel för vidarebefordran av inkommande slutpunkter. Att länka en regeluppsättning för vidarebefordran som innehåller en regel med den inkommande slutpunkten som mål till samma virtuella nätverk där den inkommande slutpunkten etableras kan orsaka DNS-matchningsloopar.

Centraliserad DNS-arkitektur

Överväg följande hubb- och eker-VNet-topologi med en inkommande slutpunkt etablerad som anpassad DNS i det virtuella ekernätverket. Det virtuella ekernätverket använder en anpassad DNS-inställning på 10.10.0.4, vilket motsvarar hubbens inkommande slutpunkt för den privata matcharen:

Bild 2: Centraliserad DNS-arkitektur med anpassad DNS

• Ett virtuellt hubbnätverk konfigureras med adressutrymmet 10.10.0.0/16.
• Ett virtuellt ekernätverk har konfigurerats med adressutrymmet 10.11.0.0/16.
• En privat DNS-zon azure.contoso.com är länkad till det virtuella hubbnätverket.
• En privat lösning finns i det virtuella hubbnätverket.
  • Den privata matcharen har en inkommande slutpunkt med en IP-adress på 10.10.0.4.
  • Den privata matcharen har en (valfri) utgående slutpunkt och en associerad regeluppsättning för DNS-vidarebefordran.
    • Regeluppsättningen för DNS-vidarebefordran är länkad till det virtuella hubbnätverket.
    • En regeluppsättningsregel har inte konfigurerats för att vidarebefordra frågor för den privata zonen till den inkommande slutpunkten.

DNS-matchning i det virtuella hubbnätverket: Länken för det virtuella nätverket från den privata zonen till det virtuella hubbnätverket gör det möjligt för resurser i det virtuella hubbnätverket att automatiskt matcha DNS-poster i azure.contoso.com med hjälp av Azure-tillhandahållen DNS (168.63.129.16). Om det konfigureras avgör regeluppsättningsregler hur DNS-namn vidarebefordras och matchas. Namnområden som inte matchar en regeluppsättningsregel löses utan vidarebefordring med hjälp av Azure-tillhandahållen DNS.

DNS-matchning i det virtuella ekernätverket: I det här exemplet skickar det virtuella ekernätverket all sin DNS-trafik till den inkommande slutpunkten i det virtuella hubbnätverket. Eftersom azure.contoso.com har en virtuell nätverkslänk till det virtuella hubbnätverket kan alla resurser i hubben lösa azure.contoso.com, inklusive den inkommande slutpunkten (10.10.0.4). Ekern använder alltså hubbens inkommande slutpunkt för att lösa den privata zonen. Andra DNS-namn matchas för det virtuella ekernätverket enligt regler som etablerats i en regeluppsättning för vidarebefordran, om de finns.

Kommentar

I det centraliserade DNS-arkitekturscenariot kan både hubben och de virtuella ekernätverken använda den valfria hubblänkade regeluppsättningen vid matchning av DNS-namn. Det beror på att all DNS-trafik från det virtuella ekernätverket skickas till hubben på grund av det virtuella nätverkets anpassade DNS-inställning. Det virtuella hubbnätverket kräver inte någon utgående slutpunkt eller regeluppsättning här, men om en är etablerad och länkad till hubben (som visas i bild 2) använder både de virtuella hubb- och ekernätverken vidarebefordringsreglerna. Som tidigare nämnts är det viktigt att en vidarebefordransregel för den privata zonen inte finns i regeluppsättningen eftersom den här konfigurationen kan orsaka en DNS-matchningsloop.

Nästa steg

• Granska komponenter, fördelar och krav för Azure DNS Private Resolver.
• Lär dig hur du skapar en privat Lösning för Azure DNS med hjälp av Azure PowerShell eller Azure-portalen.
• Förstå hur du löser Azure och lokala domäner med hjälp av Azure DNS Private Resolver.
• Lär dig mer om Slutpunkter och regeluppsättningar för privat matchning i Azure DNS.
• Lär dig hur du konfigurerar DNS-redundans med hjälp av privata matchare
• Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.
• Learn-modul: Introduktion till Azure DNS.