次の方法で共有

オンプレミスおよび Azure リソースの DNS

  • [アーティクル]

ドメイン ネーム システム (DNS) は、ランディング ゾーン アーキテクチャ全体の重要な設計トピックです。 一部の組織では、DNS への既存の投資を使用したい場合があります。 クラウド導入は、内部 DNS インフラストラクチャを最新化し、ネイティブの Azure 機能を使用する機会と見なされる場合があります。

設計に関する考慮事項

  • クロスプレミスの名前解決には、Azure プライベート DNS ゾーンで Azure DNS プライベート リゾルバーを使用できます。

  • オンプレミスと Azure の間で既存の DNS ソリューションを使用することが必要になる場合があります。

  • 仮想ネットワークは、自動登録が有効になっている 1 つのプライベート DNS ゾーンにのみリンクできます。

  • Azure プライベート DNS ゾーンの制限を把握してください

設計に関する推奨事項

  • Azure での名前解決のみが必要な環境の場合は、解決に Azure プライベート DNS ゾーンを使用します。 azure.contoso.comなど、名前解決用の委任されたゾーンを作成します。 Azure プライベート DNS ゾーンの自動登録を有効にして、仮想ネットワーク内にデプロイされている仮想マシンの DNS レコードのライフサイクルを自動的に管理します。

  • Azure とオンプレミスの間で名前解決が必要な環境では、DNS プライベート リゾルバーと Azure プライベート DNS ゾーンを使用します。 DNS プライベート リゾルバーは、コスト削減、組み込みの高可用性、スケーラビリティ、柔軟性など、仮想マシンベースの DNS ソリューションよりも多くの利点を提供します。

    Windows Server Active Directory 統合 DNS などの既存の DNS インフラストラクチャを使用する必要がある場合は、DNS サーバーの役割が少なくとも 2 つの仮想マシンにデプロイされていることを確認し、これらのカスタム DNS サーバーを使用するように仮想ネットワークの DNS 設定を構成します。

  • Azure Firewall がある環境では、DNS プロキシとして使用することを検討してください。

  • Azure プライベート DNS ゾーンを仮想ネットワークにリンクできます。 仮想ネットワークにも関連付けられている DNS 転送ルール セットで DNS プライベート リゾルバーを使用します。

    • corporate.contoso.comなどのオンプレミスの DNS 名を解決するために Azure 仮想ネットワークで生成された DNS クエリの場合、DNS クエリはルールセットで指定されたオンプレミス DNS サーバーの IP アドレスに転送されます。

    • オンプレミス ネットワークで生成された DNS クエリで Azure プライベート DNS ゾーンの DNS レコードを解決する場合は、Azure の DNS プライベート リゾルバー受信エンドポイント IP アドレスを指す条件付きフォワーダーを使用してオンプレミスの DNS サーバーを構成できます。 この構成では、要求が Azure プライベート DNS ゾーン (azure.contoso.comなど) に転送されます。

  • 接続サブスクリプションのハブ仮想ネットワークに DNS プライベート リゾルバー用の専用サブネットを 2 つ作成します。 受信エンドポイント用に 1 つのサブネットを作成し、送信エンドポイント用に 1 つのサブネットを作成します。 両方のサブネットの最小サイズは /28である必要があります。

    • ExpressRoute ゲートウェイと共に DNS リゾルバーをデプロイする場合は、パブリック FQDN の解決が許可され、DNS 転送ルール セットルールを介して有効な応答で対象の DNS サーバーに応答するようにする必要があります。 一部の Azure サービスは、パブリック DNS 名を機能させるために解決する機能に依存しています。 詳細については、「DNS 転送ルール セットルールを参照してください。

    • 受信エンドポイントは、Azure またはオンプレミスの内部プライベート ネットワーク内のクライアントから受信解決要求を受け取ります。 最大 5 つの受信エンドポイントを使用できます。

    • 送信エンドポイントは、Azure DNS プライベート ゾーンでは解決できない内部プライベート ネットワーク (Azure またはオンプレミス) 内の宛先に解決要求を転送します。 最大 5 つの送信エンドポイントを使用できます。

    • オンプレミスの DNS ドメインと名前空間への DNS 転送を許可する適切なルールセットを作成します。

  • Red Hat OpenShift など、独自の DNS を必要とし、デプロイするワークロードでは、優先 DNS ソリューションを使用する必要があります。

  • グローバル接続サブスクリプション内に Azure プライベート DNS ゾーンを作成します。 作成する必要がある Azure プライベート DNS ゾーンには、プライベート エンドポイント経由でサービス ソリューションとして Azure プラットフォームにアクセスするために必要なゾーンが含まれます。 例としては、privatelink.database.windows.netprivatelink.blob.core.windows.netなどがあります。