专用解析程序体系结构

本文讨论可用于解析 DNS 名称的两个体系结构设计选项,包括 Azure 网络中使用 Azure DNS 专用解析程序的专用 DNS 区域。 为示例配置提供了针对中心辐射型 VNet 拓扑中的集中式与分布式 DNS 解析的设计建议。

分布式 DNS 体系结构

请考虑 Azure 中的以下中心辐射型 VNet 拓扑,其中包含位于中心的专用解析程序,以及指向分支 VNet 的规则集链接。 中心和辐射在 VNet 设置中都使用 Azure 提供的 DNS:

Hub and spoke with ruleset diagram.

图 1:使用规则集链接的分布式 DNS 体系结构

  • 中心 VNet 配置了地址空间 10.10.0.0/16。
  • 分支 VNet 配置了地址空间 10.11.0.0/16。
  • 专用 DNS 区域 azure.contoso.com 链接到中心 VNet。
  • 专用解析程序在中心 VNet 中预配。
    • 专用解析程序有一个 IP 地址为 10.10.0.4 的入站终结点。
    • 专用解析程序有一个出站终结点和一个关联的 DNS 转发规则集。
      • DNS 转发规则集链接到分支 VNet。
      • 规则集规则配置为将专用区域的查询转发到入站终结点。

中心 VNet 中的 DNS 解析:从专用区域到中心 VNet 的虚拟网络链接使中心 VNet 内的资源能够使用 Azure 提供的 DNS (168.63.129.16) 自动解析 azure.contoso.com 中的 DNS 记录。 所有其他命名空间也使用 Azure 提供的 DNS 进行解析。 中心 VNet 不使用规则集规则来解析 DNS 名称,因为未链接到规则集。 若要在中心 VNet 中使用转发规则,请创建另一个规则集并将其链接到中心 VNet。

分支 VNet 中的 DNS 解析:从规则集到分支 VNet 的虚拟网络链接使分支 VNet 能够使用配置的转发规则解析 azure.contoso.com。 此处不需要从专用区域到分支 VNet 的链接。 辐射 VNet 通过 Azure 提供的 DNS 将 azure.contoso.com 查询发送到中心的入站终结点,因为链接规则集中存在匹配此域名的规则。 还可以通过配置其他规则转发其他命名空间的查询。 与规则集规则不匹配的 DNS 查询不会转发,并使用 Azure 提供的 DNS 进行解析。

重要

在此示例配置中,中心 VNet 必须链接到专用区域,但不得链接到具有入站终结点转发规则的转发规则集。 将转发规则集(其中包含以入站终结点作为目标的规则)链接到预配入站终结点所在的 VNet 可能会导致 DNS 解析循环。

集中式 DNS 体系结构

请考虑以下中心辐射型 VNet 拓扑,其中的入站终结点在分支 VNet 中预配为自定义 DNS。 辐射 VNet 使用与中心专用解析程序入站终结点对应的自定义 DNS 设置 10.10.0.4:

Hub and spoke with custom DNS diagram.

图 2:使用自定义 DNS 的集中式 DNS 体系结构

  • 中心 VNet 配置了地址空间 10.10.0.0/16。
  • 分支 VNet 配置了地址空间 10.11.0.0/16。
  • 专用 DNS 区域 azure.contoso.com 链接到中心 VNet。
  • 专用解析程序位于中心 VNet 中。
    • 专用解析程序有一个 IP 地址为 10.10.0.4 的入站终结点。
    • 专用解析程序有一个(可选的)出站终结点和一个关联的 DNS 转发规则集。
      • DNS 转发规则集链接到中心 VNet。
      • 规则集规则未配置为将专用区域的查询转发到入站终结点。

中心 VNet 中的 DNS 解析:从专用区域到中心 VNet 的虚拟网络链接使中心 VNet 内的资源能够使用 Azure 提供的 DNS (168.63.129.16) 自动解析 azure.contoso.com 中的 DNS 记录。 如何转发和解析 DNS 名称取决于规则集规则(如果已配置)。 与规则集规则不匹配的命名空间使用 Azure 提供的 DNS 进行解析,无需转发。

分支 VNet 中的 DNS 解析:在此示例中,分支 VNet 将其所有 DNS 流量发送到中心 VNet 中的入站终结点。 由于 azure.contoso.com 有到中心 VNet 的虚拟网络链接,因此中心内的所有资源都可以解析 azure.contoso.com,其中包括入站终结点 (10.10.0.4)。 因此,分支使用中心入站终结点来解析专用区域。 分支 VNet 的其他 DNS 名称将根据转发规则集中预配的规则(如果存在)进行解析。

注意

在集中式 DNS 体系结构方案中,中心 VNet 和分支 VNet 在解析 DNS 名称时都可以使用可选的中心链接规则集。 这是因为,由于 VNet 的自定义 DNS 设置,来自分支 VNet 的所有 DNS 流量都会发送到中心。 中心 VNet 在这里不需要出站终结点或规则集,但如果已经预配了一个并将其链接到中心(如图 2 所示),则中心 VNet 和分支 VNet 都将使用转发规则。 如前所述,规则集中不得存在专用区域的转发规则,因为该配置可能会导致 DNS 解析循环。

后续步骤