Azure Stack Hub 資料中心 DNS 整合
若要能夠從 Azure Stack Hub 外部存取 Azure Stack Hub 端點 (例如 portal、adminportal、management 與 adminmanagement 等),您必須整合 Azure Stack Hub DNS 服務與您想要在 Azure Stack Hub 中使用的 DNS 區域裝載所在的 DNS 伺服器。
Azure Stack Hub DNS 命名空間
部署 Azure Stack Hub 時,您必須提供一些與 DNS 相關的重要資訊。
| 欄位 | 描述 | 範例 |
|---|---|---|
| 區域 | Azure Stack Hub 部署的地理位置。 | east |
| 外部網域名稱 | 要用於 Azure Stack Hub 部署的區域名稱。 | cloud.fabrikam.com |
| 內部網域名稱 | Azure Stack Hub 中的基礎結構服務所使用的內部區域名稱。 這是「目錄服務」整合的,且是私人的 (無法從 Azure Stack Hub 部署外部連線)。 | azurestack.local |
| DNS 轉送 | 用來轉送裝載於 Azure Stack Hub 外部 (公司內部網路或公用網際網路) 的 DNS 查詢、DNS 區域及記錄的 DNS 伺服器。 您可以在部署之後,使用 Set-AzSDnsForwarder cmdlet 來編輯 DNS 轉寄站值。 | |
| 命名前置詞 (選擇性) | 您想要讓 Azure Stack Hub 基礎結構角色執行個體電腦名稱擁有的命名首碼。 如果未提供,則預設值為 azs。 |
azs |
您的 Azure Stack Hub 部署和端點的完整網域名稱 (FQDN) 是「區域」參數和「外部網域名稱」參數的組合。 使用上表中的範例值時,此 Azure Stack Hub 部署的 FQDN 會是以下名稱:
east.cloud.fabrikam.com
因此,此部署的一些端點範例會類似下列 URL:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
若要將此範例 DNS 命名空間用於 Azure Stack Hub 部署,必須符合下列條件:
fabrikam.com區域已向網域註冊機構、內部公司 DNS 伺服器或這兩者註冊 (視您的名稱解析需求而定)。- 子網域
cloud.fabrikam.com存在於fabrikam.com區域底下。 - 從 Azure Stack Hub 部署可以連線至裝載
fabrikam.com和cloud.fabrikam.com區域的 DNS 伺服器。
若要能夠從 Azure Stack Hub 外部解析 Azure Stack Hub 端點和執行個體的 DNS 名稱,您必須將裝載 Azure Stack Hub 外部 DNS 區域的 DNS 伺服器與裝載所要使用之上層區域的 DNS 伺服器整合。
DNS 名稱標籤
Azure Stack Hub 支援將 DNS 名稱標籤新增至公用 IP 位址,讓公用 IP 位址可以解析名稱。 DNS 標籤可讓使用者依名稱快速找到裝載在 Azure Stack Hub 中的應用程式和服務。 DNS 名稱標籤使用的命名空間與基礎結構端點的命名空間有些許不同。 依照之前的範例命名空間,DNS 命名空間標籤會如下所示:
*.east.cloudapp.cloud.fabrikam.com
因此,若租用戶在公用 IP 位址資源的 DNS 名稱標籤欄位中指出值 Myapp,系統會針對 Azure Stack Hub 外部 DNS 伺服器的 east.cloudapp.cloud.fabrikam.com 區域中的 myapp 建立 A 記錄。 因此,得到的完整網域名稱會如下所示:
myapp.east.cloudapp.cloud.fabrikam.com
如果您想要使用此功能和命名空間,您必須將裝載 Azure Stack Hub 外部 DNS 區域的 DNS 伺服器與裝載您想要使用之父區域的 DNS 伺服器整合。 此命名空間與 Azure Stack Hub 服務端點的命名空間不同,因此您必須建立另一個委派或條件式轉送規則。
如需更多關於 DNS 名稱標籤如何運作的詳細資訊,請參閱在 Azure Stack Hub 中使用 DNS。
解析和委派
有兩種類型的 DNS 伺服器:
- 權威 DNS 伺服器會裝載 DNS 區域。 它只會回答這些區域中的 DNS 記錄查詢。
- 遞迴 DNS 伺服器不會裝載 DNS 區域。 它會呼叫授權 DNS 伺服器來收集所需的資料,以回答所有 DNS 查詢。
Azure Stack Hub 同時包含權威和遞迴 DNS 伺服器。 遞迴伺服器可用來解析所有項目的名稱,但該 Azure Stack Hub 部署的內部私人區域和外部公用 DNS 區域除外。
從 Azure Stack Hub 解析外部 DNS 名稱
若要解析 Azure Stack Hub 外部端點的 DNS 名稱, (例如: www.bing.com) ,您必須提供 Azure Stack Hub 可用來轉送 Azure Stack Hub 未授權 DNS 要求的 DNS 伺服器。 針對部署,Azure Stack Hub 轉送要求的 DNS 伺服器必須在部署工作表中 ([ DNS 轉寄站 ] 欄位中) 。 請至少在此欄位中提供兩個伺服器以供容錯使用。 如果沒有這些值,Azure Stack Hub 部署將會失敗。 部署之後,您可以使用 Cmdlet 編輯 DNS 轉寄站值 Set-AzSDnsForwarder 。
如果外部 DNS 轉寄站伺服器無法解析從 Azure Stack Hub 轉送的 DNS 要求,則內部 DNS 遞迴解析程式服務預設會嘗試連絡 DNS 根提示伺服器。 此後援行為與 DNS 伺服器名稱解析標準一致。 當 DNS 轉寄站伺服器無法從託管區域或 DNS 伺服器快取本機解析查詢時,網際網路根提示伺服器可用來協助解析 DNS 位址資訊。
若要管理 Azure Stack Hub 中內部 DNS 名稱解析服務的 DNS 根提示 設定,請使用 Get-AzSDnsServerSettings Cmdlet 來檢視目前的組態;預設設定已啟用。 Cmdlet Set-AzSDnsServerSettings 會啟用或停用內部 DNS 伺服器的 -UseRootHint 組態。
注意
對於 Azure Stack Hub 無法連絡網際網路 DNS 根提示伺服器的情況,例如 UDP 埠 53 (DNS) ,其中網路存取會永久封鎖或完全中斷連線/無線距離,建議您停用 -UseRootHint 設定,以避免 DNS 名稱解析中的延伸逾時。 Set-AzSDnsServerSettings使用 Cmdlet 來控制此設定。
設定條件式 DNS 轉送
重要
這僅適用 AD FS 部署。
若要使用現有的 DNS 基礎結構啟用名稱解析,請設定條件式轉送。
若要新增條件式轉寄站,您必須使用特殊權限端點。
針對此程序,請使用您資料中心網路內能夠與 Azure Stack Hub 中具特殊權限端點通訊的電腦。
開啟一個已提高權限的 Windows PowerShell 工作階段 (以系統管理員身分執行),然後連線到具特殊權限端點的 IP 位址。 使用適用於 CloudAdmin 驗證的認證。
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred連線到具特殊權限的端點之後,執行下列 PowerShell 命令。 使用您想要使用之 DNS 伺服器的網域名稱和 IP 位址取代所提供的範例值。
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
從 Azure Stack Hub 外部解析 Azure Stack Hub DNS 名稱
權威伺服器是保存外部 DNS 區域資訊及任何使用者建立之區域的伺服器。 請與這些伺服器整合以啟用區域委派或條件式轉送功能,以從 Azure Stack Hub 外部解析 Azure Stack Hub DNS 名稱。
取得 DNS 伺服器外部端點資訊
若要將您的 Azure Stack Hub 部署與 DNS 基礎結構整合,您需要下列資訊:
- DNS 伺服器 FQDN
- DNS 伺服器 IP 位址
Azure Stack Hub DNS 伺服器的 FQDN 具有下列格式:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
如果您使用範例值,DNS 伺服器的 FQDN 為:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
在所有 Azure Stack Hub 部署結束時,名為 AzureStackStampInformation.json 的檔案中也會建立此資訊。 此檔案位於部署虛擬機器的 C:\CloudDeployment\logs 資料夾中。 如果您不確定用於 Azure Stack Hub 部署的值,您可以從該處取得這些值。
如果部署虛擬機器已不再可供使用或無法存取,則您可以連線到具特殊權限的端點並執行 Get-AzureStackStampInformation PowerShell Cmdlet 來取得那些值。 如需詳細資訊,請參閱 具特殊權限的端點。
設定轉送至 Azure Stack Hub 的條件式轉送
要整合 Azure Stack Hub 與 DNS 基礎結構,最簡單且最安全的方式是從裝載上層區域的伺服器執行條件式區域轉送。 如果您可以直接控制裝載 Azure Stack Hub 外部 DNS 命名空間之上層區域的 DNS 伺服器,便建議使用此方法。
如果您不熟悉如何使用 DNS 來進行條件式轉送,請參閱下列 TechNet 文章:指派網域名稱的條件式轉寄站 (英文),或您 DNS 解決方案的專屬文件。
如果您將外部「Azure Stack Hub DNS 區域」指定成類似於公司網域名稱的子網域,就無法使用條件式轉送。 必須設定 DNS 委派。
範例:
- 公司 DNS 網域名稱:
contoso.com - Azure Stack Hub 外部 DNS 網域名稱:
azurestack.contoso.com
編輯 DNS 轉寄站 IP
AZURE Stack Hub 部署期間會設定 DNS 轉寄站 IP。 不過,如果基於任何原因需要更新轉寄站 IP,您可以連線到具特殊許可權的端點並執行 Get-AzSDnsForwarder 和 Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell Cmdlet 來編輯值。 如需詳細資訊,請參閱 具特殊權限的端點。
將外部 DNS 區域委派給 Azure Stack Hub
若要能夠從 Azure Stack Hub 部署外部解析 DNS 名稱,您必須設定 DNS 委派。
每個註冊機構都有自己的 DNS 管理工具,可變更網域的名稱伺服器記錄。 請在註冊機構的 DNS 管理頁面中,編輯 NS 記錄,然後以 Azure Stack Hub 中的 NS 記錄取代區域的 NS 記錄。
大多數 DNS 註冊機構會要求您至少要提供兩個 DNS 伺服器,才能完成委派。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應