ハイブリッド環境で DNS を実装する
現在、Contoso では、オンプレミスのデータセンターで Windows Server VM を使用して DNS を実装しています。 リード システム エンジニアであるあなたは、Azure DNS を実装してこれらのオンプレミスのワークロードの機能を置き換えるか、Windows Server VM に DNS を実装するかを決定する必要があります。
Contoso が Windows Server IaaS を使用して DNS を実装する場合には、Azure DNS に追加する、または Azure DNS の代わりにするなどの、いくつかのシナリオが考えられます。 これらのシナリオには、次のようなものがあります。
- 異なる VNet 内の VM 間での名前解決の構成。
- オンプレミスのコンピューターから Azure のホスト名の名前解決の構成。
- 条件付き転送の実装。
- DNS ゾーン転送の実装。
Azure DNS の概要
DNS ゾーンは Azure DNS でホストできます。 具体的には、Azure DNS は、ゾーンに対して権限のある DNS サービスを提供します。 組織のドメインのリソースに対する DNS クエリが Azure DNS に到達するようにするには、そのドメインを親ドメインから Azure DNS に委任する必要があります。
Azure DNS に移行する DNS ゾーンは、Azure の DNS ネーム サーバーのグローバル ネットワークでホストされます。 Azure DNS はエニーキャスト通信を使用するので、組織からの DNS クエリは、最も近い Azure DNS サーバーに送られます。その結果、この重要なインフラストラクチャ サービスに優れたパフォーマンスと高可用性が提供されます。 ロールベースのアクセス制御 (RBAC) を使用して、Azure DNS ドメインを管理できるユーザーを選択できます。
Azure DNS の制限事項と考慮事項
Azure DNS は進化し続けているプラットフォームであり、新しい機能が常に追加されています。 ただし現時点では、Azure DNS にはいくつかの制限があります。
- 特定の VNet を 1 つのプライベート DNS ゾーンにのみリンクできます。
- 逆引き ("逆" と呼ばれることもあります) DNS は、リンクされた VNet のプライベート IP アドレス空間に対してのみ機能します。
- 条件付き転送は、現在サポートされていません。
- 現在、Azure DNS では、ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) はサポートされていません。
- Azure DNS ではゾーン転送はサポートされません。
- パブリック DNS ゾーンを使用する場合、サブスクリプションごとのゾーンとレコードの数に関連する制限がいくつかあります。
Azure プライベート DNS
Azure DNS では、次の表に示すように、パブリック DNS とプライベート DNS の両方がサポートされます。
| DNS サービス | 説明 |
|---|---|
| Azure パブリック DNS | インターネットに接続された DNS ドメインの名前解決を提供します。 組織の DNS ドメインをホストするには、Azure パブリック DNS を使用します。 |
| Azure プライベート DNS | VNet 内の VM 間、および VNet 間の名前解決を提供します。 スプリットホライズン ビューでゾーン名を構成できるので、プライベート DNS ゾーンとパブリック DNS ゾーンで同じ名前を共有できます。 |
VNet からプライベート DNS ゾーンのレコードを解決するには、VNet をそのゾーンにリンクする必要があります。 リンクされた VNet はフル アクセス権を持ち、プライベート ゾーンに公開されているすべての DNS レコードを解決できます。 さらに、VNet リンク上で自動登録を有効にすることもできます。 自動登録を有効にすると、その VNet の VM の DNS レコードがプライベート ゾーンに登録されます。 また、自動登録を有効にすると、VM の作成または削除、あるいはその IP アドレスの変更を行うたびに、Azure DNS でそのゾーン レコードも更新されます。
次の表では、Azure プライベート DNS の機能について説明します。
| 機能 | 説明 |
|---|---|
| プライベート ゾーンにリンクしている VNet からの VM の自動登録の有効化 | VM は、VM のプライベート IP アドレスに解決されるホスト (A) レコードとしてプライベート ゾーンに登録されます。 自動登録を有効にした後、VNet 内の VM を削除すると、Azure DNS によって、リンクされたプライベート ゾーンから、対応する DNS レコードが自動的に削除されます。 |
| プライベート ゾーンにリンクしている VNet 間での DNS 解決転送の Azure サポート | VNet 間の DNS 名前解決を実装する場合、VNet をピアリングするための明示的な要件はありません。 DNS に関係なく、他の理由で VNet をピアリングすることもできます。 |
| VNet スコープ内の逆引き DNS 参照への Azure サポート | プライベート ゾーンに割り当てた VNet 内のプライベート IP アドレスの逆引き DNS 参照では、ホストの完全修飾ドメイン名 (FQDN) が返されます。この FQDN には、ホスト名とレコード名、およびゾーン名がサフィックスとして含まれます。 |
Azure IaaS VM を使用して DNS を実装する
VNet に接続されている Windows Server DNS サーバーは、Azure の再帰的リゾルバーに DNS クエリを転送できます。 これにより、その VNet 内のホスト名を解決することができます。
たとえば、Contoso IT チームは、DNS サーバーの役割も実行するドメイン コントローラー VM を Azure にデプロイします。 この場合、VM がオンプレミス ドメインの DNS クエリに応答する可能性があります。 VM では、他のすべてのクエリを Azure に転送することもできます。 Contoso の VM は、クエリを転送することによって、オンプレミスのリソース (ドメイン コントローラー経由) と Azure で提供されるホスト名 (フォワーダー経由) の両方を特定できます。
Note
Azure では、仮想 IPv4 アドレス 168.63.129.16 を使用して再帰的 DNS リゾルバーにアクセスできます。
DNS 転送は、次の場合に使用できます。
- VNet 間の DNS 解決を有効にします。
- オンプレミスのマシンが Azure で提供されているホスト名を解決できるようにします。
ヒント
VM のホスト名を解決するには、ホスト名のクエリを Azure に転送するように DNS サーバーを構成する必要があります。
DNS サフィックスは VNet ごとに異なるため、条件付き転送ルールを使用して、解決のための正しい VNet に DNS クエリを送信できます。
Note
独自の DNS サーバーを使用する場合、Azure では、各 VNet ごとに複数の DNS サーバーを指定できます。
次の図には、2 つの VNet と、転送を使用して VNet 間の DNS 解決を実行するオンプレミス ネットワークがあります。
追加の参考資料
詳しくは、次のドキュメントをご覧ください。