Azure DNS 专用解析程序终结点和规则集

本文将介绍 Azure DNS 专用解析程序的组件。 将讨论入站终结点、出站终结点和 DNS 转发规则集。 将介绍这些组件的属性和设置,并提供有关如何使用这些组件的示例。

下图总结了 Azure DNS 专用解析程序的体系结构。 在此示例网络中,DNS 解析程序部署在与分支 VNet 对等互连的中心 VNet 中。

显示专用解析程序体系结构的示意图

图 1:使用 DNS 解析程序的中心辐射型网络示例

  • DNS 转发规则集中将规则集链接预配到中心 VNet 和分支 VNet,使两个 VNet 中的资源能够使用 DNS 转发规则解析自定义 DNS 命名空间。
  • 另外,将专用 DNS 区域部署并链接到中心 VNet,使中心 VNet 中的资源能够解析区域中的记录。
  • 分支 VNet 使用 DNS 转发规则解析专用区域中的记录,该规则将专用区域查询转发到中心 VNet 中的入站终结点 VIP。
  • 图中还显示了与 ExpressRoute 连接的本地网络,其 DNS 服务器配置为将 Azure 专用区域的查询转发到入站终结点 VIP。 有关使用 Azure DNS 专用解析程序启用混合 DNS 解析的详细信息,请参阅解析 Azure 和本地域

备注

名称解析不需要图中所示的对等互连连接。 从 DNS 转发规则集链接的 VNet 在执行名称解析时将使用该规则集,无论链接的 VNet 是否与规则集 VNet 对等互连。

入站终结点

顾名思义,入站终结点会流入 Azure。 入站终结点提供 IP 地址以转发来自本地和虚拟网络外部其他位置的 DNS 查询。 使用 Azure DNS 解析发送到入站终结点的 DNS 查询。 链接到预配入站终结点的虚拟网络的专用 DNS 区域由入站终结点解析。

与入站终结点关联的 IP 地址始终是部署专用解析程序的专用虚拟网络地址空间的一部分。 包含入站终结点的同一子网中不能存在其他资源。

静态和动态终结点 IP 地址

分配给入站终结点的 IP 地址可以是静态的或动态的。 如果选择静态,则无法选择子网中的保留 IP 地址。 如果选择动态 IP 地址,则会分配子网中的第五个可用 IP 地址。 例如,10.10.0.4 是 10.10.0.0/28 子网中的第五个 IP 地址(.0、.1、.2、.3、.4)。 如果重新预配入站终结点,则此 IP 地址可能会更改,但通常会再次使用子网中的第 5 个 IP 地址。 除非重新预配入站终结点,否则动态 IP 地址不会更改。 以下示例指定静态 IP 地址:


屏幕截图显示如何选择静态 IP 地址。

以下示例演示了如何预配虚拟 IP 地址 (VIP) 为 10.10.0.4 的入站终结点,该地址包含在地址空间为 10.10.0.0/16 的虚拟网络内的子网 snet-E-inbound

屏幕截图显示入站终结点。

出站终结点

出站终结点从 Azure 传出,并且可以链接到 DNS 转发规则集

出站终结点也是部署专用解析程序的专用虚拟网络地址空间的一部分。 出站终结点与子网相关联,但未预配有 IP 地址(如入站终结点)。 包含出站终结点的同一子网中不能存在其他资源。 以下屏幕截图显示了子网 snet-E-outbound 内的出站终结点。

查看出站终结点

DNS 转发规则

通过 DNS 转发规则集,可以指定一个或多个自定义 DNS 服务器来回答特定 DNS 命名空间的查询。 规则集中的各条规则确定如何解析这些 DNS 名称。 规则集也可以链接一个或多个虚拟网络,使 VNet 中的资源能够使用配置的转发规则。

规则集具有以下关联:

  • 单个规则集最多可以与属于同一 DNS 专用解析程序实例的 2 个出站终结点相关联。 它不能与两个不同的 DNS 专用解析程序实例中的 2 个出站终结点相关联。
  • 一个规则集最多可以有 1000 条 DNS 转发规则。
  • 一个规则集最多可以链接到同一区域中的 500 个虚拟网络。

规则集不能链接到另一个区域中的虚拟网络。 有关规则集和其他专用解析程序限制的详细信息,请参阅 Azure DNS 的使用限制是什么?

将规则集链接到虚拟网络时,该虚拟网络中的资源使用规则集中启用的 DNS 转发规则。 链接的虚拟网络不需要与出站终结点所在的虚拟网络对等互连,但可以将这些网络配置为对等互连网络。 此配置在中心辐射型设计中很常见。 在此中心辐射型方案中,分支 Vnet 无需链接到专用 DNS 区域即可解析区域中的资源记录。 在这种情况下,专用区域的转发规则集规则会将查询发送到中心 Vnet 的入站终结点。 例如:从 azure.contoso.com 发送到 10.10.0.4。

以下屏幕截图显示了链接到辐射虚拟网络 myeastspoke 的 DNS 转发规则集。

查看规则集链接

DNS 转发规则集的虚拟网络链接使其他 VNet 中的资源能够在解析 DNS 名称时使用转发规则。 具有专用解析程序的 VNet 还必须从存在其规则集规则的任何专用 DNS 区域进行链接。

例如,在以下情况下,Vnet myeastspoke 中的资源可以解析专用 DNS 区域 azure.contoso.com 中的记录:

  • myeastvnet 中预配的规则集链接到 myeastspoke
  • 在链接规则集中配置并启用了规则集规则,以使用 myeastvnet 中的入站终结点解析 azure.contoso.com

注意

还可以将规则集链接到另一个 Azure 订阅中的虚拟网络。 但是,指定的资源组必须与专用解析程序位于同一区域中。

规则

DNS 转发规则(规则集规则)具有以下属性:

属性 说明
规则名称 规则的名称。 名称必须以字母开头并且只能包含字母、数字、下划线和短划线。
域名 规则适用的点终止 DNS 命名空间。 命名空间必须有 0 个标签(用于通配符)或 1 到 34 个标签。 例如,contoso.com. 有两个标签。1
目标 IP:端口 转发目标。 用于解析指定命名空间中的 DNS 查询的 DNS 服务器的一个或多个 IP 地址和端口。
规则状态 规则状态:已启用或已禁用。 如果规则已禁用,则忽略该规则。

1支持单标签域名。

如果匹配多条规则,则使用最长的前缀匹配。

例如,如果具有下面的规则:

规则名称 域名 目标 IP:端口 规则状态
Contoso contoso.com。 10.100.0.2:53 已启用
AzurePrivate azure.contoso.com。 10.10.0.4:53 已启用
通配符 10.100.0.2:53 已启用

secure.store.azure.contoso.com 的查询匹配 azure.contoso.comAzurePrivate 规则和 contoso.comContoso 规则,但 AzurePrivate 规则优先,因为前缀 azure.contosocontoso 长。

重要

如果规则集中存在一个规则,该规则的目标为专用解析程序入站终结点,请勿将规则集链接到预配了入站终结点的 VNet。 此配置可能会导致 DNS 解析循环。 例如:在前面的方案中,不应将规则集链接添加到 myeastvnet,因为 myeastvnet 中预配了 10.10.0.4 处的入站终结点,并且存在使用入站终结点解析 azure.contoso.com 的规则。

本文中显示的规则是可用于特定场景的规则示例。 使用的示例不是必需的。 测试转发规则时要小心。

如果在规则集中包括通配符规则,请确保目标 DNS 服务可以解析公共 DNS 名称。 某些 Azure 服务依赖于公共名称解析。

规则处理

  • 如果输入了多个 DNS 服务器作为规则的目标,则使用输入的第一个 IP 地址,除非它不响应。 指数退避算法用于确定目标 IP 地址是否有响应。
  • 使用通配符规则进行 DNS 解析时,某些域会被忽略,因为它们是为 Azure 服务保留的。 有关保留域的列表,请参阅 Azure 服务 DNS 区域配置。 本文中列出的双标签 DNS 名称(例如:chinacloudapi.cn、azure.cn)为 Azure 服务保留。

重要

  • 无法输入 Azure DNS IP 地址 168.63.129.16 作为规则的目标 IP 地址。 尝试添加此 IP 地址会输出错误:发出规则添加请求时出现异常。
  • 对于未链接到预配了专用解析器的虚拟网络的区域,请勿将专用解析器的入站终结点 IP 地址用作转发目标。

设计选项

理想情况下,如何在中心辐射型体系结构中部署转发规则集和入站终结点取决于网络设计。 以下部分简要讨论了两个配置选项。 有关配置示例的更详细讨论,请参阅专用解析程序体系结构

将转发规则集链接到 VNet 可启用该 VNet 中的 DNS 转发功能。 例如,如果规则集包含一条将查询转发到专用解析程序的入站终结点的规则,则这种类型的规则可用于启用链接到入站终结点 VNet 的专用区域的解析。 如果中心 VNet 链接到专用区域,而你希望在未链接到专用区域的分支 VNet 中解析专用区域,则可使用此配置。 在此方案中,对专用区域进行的 DNS 解析由中心 VNet 中的入站终结点执行。

规则集链接设计方案最适合分布式 DNS 体系结构,其中网络流量分布在 Azure 网络中,在某些位置可能是独一无二的。 使用此设计,可以通过修改单个规则集来控制链接到规则集的所有 VNet 中的 DNS 解析。

注意

如果使用规则集链接选项并且存在以入站终结点为目标的转发规则,请不要将转发规则集链接到中心 VNet。 将此类型的规则集链接到预配入站终结点所在的 VNet 可能会导致 DNS 解析循环。

作为自定义 DNS 的入站终结点

入站终结点能够处理入站 DNS 查询,可以配置为 VNet 的自定义 DNS。 此配置可以替换你使用自己的 DNS 服务器作为 VNet 中的自定义 DNS 的实例。

自定义 DNS 设计方案最适合集中式 DNS 体系结构,其中 DNS 解析和网络通信流主要流向中心 VNet,是从中央位置进行控制的。

若要使用此方法从分支 VNet 解析专用 DNS 区域,入站终结点所在的 VNet 必须链接到专用区域。 可以选择将中心 VNet 链接到转发规则集。 如果规则集链接到中心,则发送到入站终结点的所有 DNS 流量由规则集处理。

后续步骤