什麼是 Azure DNS 私人解析器?
Azure DNS 私人解析器是一項新服務,可讓您從內部部署環境查詢 Azure DNS 私人區域 (反之亦然),而且不需要部署以 VM 為基礎的 DNS 伺服器。
如何運作?
Azure DNS 私人解析器需要 Microsoft Azure 虛擬網路。 當您在虛擬網路內建立 Azure DNS 私人解析器時,系統會建立一或多個輸入端點以作為 DNS 查詢的目的地。 解析程式的輸出端點會根據您設定的 DNS 轉送規則集來處理 DNS 查詢。 由連結至規則集的網路所起始的 DNS 查詢可以傳送至其他 DNS 伺服器。
您不需要變更虛擬機器 (VM) 上的任何 DNS 用戶端設定,即可使用 Azure DNS 私人解析器。
使用 Azure DNS 私人解析器時的 DNS 查詢程序摘要如下:
- 虛擬網路中的用戶端會發出 DNS 查詢。
- 如果此虛擬網路的 DNS 伺服器指定為自訂,則會將查詢轉送到指定的 IP 位址。
- 如果虛擬網路中已設定預設 (由 Azure 提供) DNS 伺服器,而且有連結至相同虛擬網路的私人 DNS 區域,則會參閱這些區域。
- 如果查詢不符合連結至虛擬網路私人 DNS 區域,則會參考 DNS 轉送規則集的虛擬網路連結。
- 如果沒有規則集連結,則會使用 Azure DNS 來解析查詢。
- 如果規則集連結存在,則會評估 DNS 轉送規則。
- 如果找到相符的尾碼,查詢會轉送至指定的位址。
- 如果存在多個相符的項目,則會使用最長的尾碼。
- 如果找不到相符項目,則不會發生 DNS 轉送,並會使用 Azure DNS 解析查詢。
下圖摘要說明 Azure DNS 私人解析器的架構。 Azure 虛擬網路與內部部署網路之間的 DNS 解析需要 Azure ExpressRoute 或 VPN。
圖 1:Azure DNS 私人解析器架構
如需建立私人 DNS 解析器的詳細資訊,請參閱:
Azure DNS 私人解析器的優點
Azure DNS 私人解析器具有下列優點:
- 完全受控:內建高可用性、區域備援。
- 節省成本:降低營運成本,只需傳統 IaaS 解決方案一小部分的價格即可運行。
- 私人存取您的私用 DNS 區域:依條件地轉送至/轉出自內部部署。
- 可擴縮性:依據端點提供的高效能。
- DevOps 易用性:使用 Terraform、ARM 或 Bicep 建置管線。
區域可用性
資料落地
Azure DNS 私人解析器不會將客戶資料移出或儲存到部署解析器的區域之外。
DNS 解析器端點和規則集
本文提供解析器端點和規則集的摘要。 如需關於端點和規則集的詳細資訊,請參閱 Azure DNS 私人解析器端點和規則集。
輸入端點
輸入端點會透過屬於私人虛擬網路位址空間的 IP 位址,從內部部署或其他私人位置啟用名稱解析。 若要從內部部署解析 Azure 私人 DNS 區域,請在內部部署 DNS 條件轉寄站內輸入輸入端點的 IP 位址。 內部部署 DNS 條件轉寄站必須具有虛擬網路的網路連線。
輸入端點需要在 VNet 中佈建子網路。 該子網路只能委派給 Microsoft.Network/dnsResolvers,且無法用於其他服務。 輸入端點收到的 DNS 查詢會輸入至 Azure。 您可以在具有私人 DNS 區域的情況下解析名稱,包括使用自動註冊的 VM 或啟用 Private Link 的服務。
注意
指派給輸入端點的 IP 位址可以指定為靜態或動態。 如需詳細資訊,請參閱靜態與動態端點公用 IP 位址。
輸出端點
輸出端點會啟用從 Azure 到內部部署、其他雲端提供者或外部 DNS 伺服器的條件式轉送名稱解析。 此端點需要所佈建 VNet 中的專屬子網路,該子網路中不可執行任何其他服務,而且其只能委派給 Microsoft.Network/dnsResolvers。 傳送至輸出端點的 DNS 查詢會從 Azure 輸出。
虛擬網路連結
虛擬網路連結可針對連結至輸出端點 (其中包含 DNS 轉送規則集) 的虛擬網路啟用名稱解析。 這是 1:1 關聯性。
DNS 轉送規則集
DNS 轉送規則集是一組 DNS 轉送規則 (最多 1,000 個),可套用至一或多個輸出端點,或連結至一或多個虛擬網路。 這是 1 對 N 的關聯性。 規則集會與特定的輸出端點建立關聯。 如需詳細資訊,請參閱 DNS 轉接規則集。
DNS 轉送規則
DNS 轉送規則包含一或多個用於條件式轉送的目標 DNS 伺服器,資訊包括:
- 網域名稱
- 目標 IP 位址
- 目標連接埠和通訊協定 (UDP 或 TCP)
限制
下列限制目前適用於 Azure DNS 私人解析器:
DNS 私人解析器1
| 資源 | 限制 |
|---|---|
| 每個訂閱的 DNS 私人解析器 | 15 |
| 每個 DNS 私人解析器的輸入端點 | 5 |
| 每個 DNS 私人解析器的輸出端點 | 5 |
| 每個 DNS 轉送規則集的轉送規則 | 1000 |
| 每個 DNS 轉送規則集的虛擬網路連結 | 500 |
| 每個 DNS 轉送規則集的輸出端點 | 2 |
| 每個輸出端點的 DNS 轉送規則集 | 2 |
| 每個轉送規則的目標 DNS 伺服器 | 6 |
| 每個端點的 QPS | 10,000 |
1Azure 入口網站可能會強制執行不同的限制,直到更新入口網站為止。 使用 PowerShell 將元素佈建到最新的限制。
虛擬網路限制
下列限制適用於虛擬網路:
- DNS 解析器只能參考與 DNS 解析器相同區域中的虛擬網路。
- 多個 DNS 解析程式之間無法共用虛擬網路。 單一虛擬網路只能由單一 DNS 解析器參考。
子網路限制
用於 DNS 解析器的子網路有下列限制:
- 子網路必須至少為 /28 位址空間,或上限為 /24 位址空間。 /28 子網路足以容納目前的端點限制。 如果這些限制有所變更,則 /27 到 /24 的子網路大小可提供彈性。
- 多個 DNS 解析器端點之間無法共用子網路。 單一子網路只能由單一 DNS 解析器端點使用。
- DNS 解析器輸入端點的所有 IP 組態都必須參考相同的子網路。 不允許在單一 DNS 解析器輸入端點的 IP 組態中跨越多個子網路。
- 用於 DNS 解析器輸入端點的子網路必須位於父 DNS 解析器所參考的虛擬網路內。
- 該子網路只能委派給 Microsoft.Network/dnsResolvers,且無法用於其他服務。
輸出端點限制
輸出端點有下列限制:
- 除非刪除 DNS 轉送規則集及其下的虛擬網路連結,否則無法刪除輸出端點。
規則集限制
- 規則集最多可以有 1,000 個規則。
其他限制
- 不支援啟用 IPv6 的子網路。
- DNS 私人解析器不支援 Azure ExpressRoute FastPath。
- DNS 私人解析器輸入端點佈建與 Azure Lighthouse 不相容。
- 若要查看 Azure Lighthouse 是否正在使用中,請在 Azure 入口網站中搜尋 [服務提供者],然後選取 [服務提供者供應項目]。
下一步
- 了解如何使用 Azure PowerShell 或 Azure 入口網站來建立 Azure DNS 私人解析器。
- 了解如何使用 Azure DNS 私人解析器來解析 Azure 和內部部署網域。
- 了解 Azure DNS 私人解析器端點和規則集。
- 了解如何使用私人解析器設定 DNS 容錯移轉
- 了解如何使用私人解析器來設定混合式 DNS。
- 了解 Azure 的一些其他重要網路功能。
- Learn 課程模組:Azure DNS 簡介。