Konfigurieren privater und öffentlicher DNS-Forward-Lookupzonen

In diesem Artikel erfahren Sie, wie Sie DNS-Forward-Lookup-Zonen (Domain Name System) für private Clouds der 2. Generation (Gen 2) von Azure-VMware-Lösung konfigurieren. Darin werden die Optionen und Verhaltensweisen für die Auflösung von Domänennamen in einem virtuellen Azure-Netzwerk erläutert.

Voraussetzung

Die private Cloud der Generation 2 wird erfolgreich bereitgestellt.

Konfigurationsoptionen für DNS-Forward-Lookupzonen

Mit azure VMware Solution können Sie DNS-Forward-Lookupzonen auf zwei Arten konfigurieren: öffentlich oder privat. Diese Konfiguration definiert, wie die DNS-Namensauflösung für Azure VMware-Lösungskomponenten wie vCenter Server, ESX-Hosts und NSX Manager ausgeführt wird.

Öffentlich: Die öffentliche DNS-Forward-Lookupzone ermöglicht die Auflösung von Domänennamen mit allen öffentlichen DNS-Servern.

Privat: Die Forward-Lookupzone des privaten Domain Name System (DNS) stellt sicher, dass Namen nur innerhalb der privaten Umgebung eines Kunden aufgelöst werden können, was die Sicherheits- und Complianceanforderungen unterstützt. Wenn ein Kunde eine private Forward-Lookupzone auswählt, können die vollqualifizierten Domänennamen (FQDNs) der privaten SDDC-Cloud (Software-Defined Data Center) über das virtuelle Azure-Netzwerk aufgelöst werden, in dem die private Cloud bereitgestellt wird.

Wenn diese Namen außerhalb des virtuellen Netzwerks aufgelöst werden müssen (z. B. in einer lokalen Umgebung), müssen Sie entweder eine Instanz von Azure DNS Private Resolver konfigurieren oder Ihren eigenen DNS-Server innerhalb desselben virtuellen Netzwerks bereitstellen, in dem sich auch Ihre private Azure-VMware-Lösung-Cloud befindet. Der DNS-Server muss dann den Azure DNS-Dienst (168.63.129.16) als Weiterleitung verwenden, um die FQDNs der privaten Cloud aufzulösen.

Die DNS-Forward-Lookupzone kann zum Zeitpunkt der Erstellung oder Änderung konfiguriert werden, nachdem die private Cloud erstellt wurde. Das folgende Diagramm zeigt die Konfigurationsseite für die DNS-Forward-Lookupzone.

Verwendung der öffentlichen DNS-Auflösung mit Azure-VMware-Lösung Gen 2

Azure-VMware-Lösung Gen 2 ermöglicht es Ihnen, das öffentliche Domain Name System (DNS) für vollqualifizierte Domänennamen, wie die öffentlichen Endpunkte des VMware vCenter Servers oder des NSX Managers, zu verwenden. Mit der öffentlichen DNS-Auflösung können Sie diese Namen in ihre entsprechenden privaten IP-Adressen auflösen.

Funktionsweise öffentlicher DNS-Resolver

Öffentliche DNS-Einträge werden erfolgreich an jedem Ort mit Internetzugang aufgelöst, einschließlich:

• Virtuelle Computer in der privaten Cloud
• Lokale Netzwerke
• Externe Netzwerke

Wenn Sie die Namensauflösung aus einem Workload-Segment innerhalb der Azure-VMware-Lösung testen, stellen Sie sicher, dass der Internetzugriff für die Private Cloud für Workloadnetzwerke aktiviert ist, besonders unter Verwendung der Subnetze „nsx-gw“ und „nsx-gw-1“. Ohne ausgehenden Internetzugriff sind DNS-Auflösungen für öffentliche DNS-Server nicht erfolgreich.

Überprüfen der DNS-Auflösung

So überprüfen Sie, ob die öffentliche DNS-Auflösung funktioniert:

1. Öffnen Sie ein Terminal oder eine Eingabeaufforderung von einem beliebigen Computer mit Internetzugang.
2. Führen Sie den folgenden Befehl aus:"nslookup vc123.eastus.avs.azure.com".

Wenn die DNS-Auflösung erfolgreich ist, gibt der Befehl eine private IP-Adresse zurück. Wenn der Befehl keine IP-Adresse zurückgibt, ist entweder die DNS-Zone privat oder der verwendete DNS-Server kann das Internet nicht erreichen.

Konfigurieren Sie das private DNS für Ihre Azure-VMware-Lösung Generation 2-Cloud.

Wenn Sie die Option Privates DNS auswählen, kann die private Cloud aus dem Virtual Network aufgelöst werden, in dem die private Cloud bereitgestellt wird. Verknüpfen Sie die private DNS-Zone mit Ihrem Virtual Network. Wenn Sie die Auflösung der Zone außerhalb Ihrer Virtual Network aktivieren müssen, z. B. in Ihrer lokalen Umgebung, müssen Sie einen Azure DNS privaten Resolver konfigurieren oder Ihren eigenen DNS-Server in Ihrem Virtual Network bereitstellen. Privates DNS verwendet den Azure DNS-Dienst (168.63.129.16), um Ihre private Cloud-FQDNs aufzulösen. In diesem Abschnitt wird das Konfigurieren eines Azure DNS Private Resolver erläutert.

Voraussetzung

Erstellen Sie zwei /28 Subnetze, die an den Azure DNS Private Resolver-Dienst delegiert werden sollen. Als Beispiel können sie benannt werden, zum Beispiel dns-in und dns-out.

Bereitstellen von Azure DNS Private Resolver

Stellen Sie in der Ressourcengruppe den privaten DNS-Resolver bereit.

1. Wählen Sie "Erstellen" aus.

2. Geben Sie im Feld "Marketplace suchen" den Text "Privates DNS Resolver" ein, und drücken Sie enter.

3. Wählen Sie Create für den Privates DNS Resolver aus.

4. Stellen Sie sicher, dass die Felder "Abonnement", "Ressource" und "Region" korrekt sind. Geben Sie einen Namen ein, und wählen Sie Ihr virtuelles Netzwerk aus. Dieses virtuelle Netzwerk muss mit dem identisch sein, in dem Sie Ihre private Cloud bereitgestellt haben.

5. Wählen Sie „Weiter: Eingehende Endpunkte“ aus.

6. Wählen Sie "Endpunkt hinzufügen" aus, geben Sie einen Namen für den eingehenden Endpunkt ein, z. B. dns-in. Wählen Sie das Subnetz für den eingehenden DNS-Endpunkt und dann "Speichern" aus.

7. Wählen Sie "Weiter" aus: ausgehende Endpunkte.

8. Wählen Sie "Endpunkt hinzufügen" aus, geben Sie einen Namen für den ausgehenden Endpunkt ein, z. B. dns-out. Wählen Sie das Subnetz für den ausgehenden DNS-Endpunkt und dann "Speichern" aus.

9. Wählen Sie "Weiter" aus: Regelsatz.

10. Wählen Sie "Weiter" aus: Tags.

11. Wählen Sie "Weiter" aus: Überprüfen + Erstellen.

12. Wenn die Überprüfung erfolgreich ist, wählen Sie "Erstellen" aus.

Weitere Informationen zur Bereitstellung von Azure DNS Private Resolver finden Sie auf dieser Seite.

Sie können jetzt private Cloud-DNS-Einträge von jeder Workload auflösen, indem Sie den eingehenden Endpunkt des Azure DNS Private Resolver als DNS-Server verwenden. Sie sollten jetzt eine bedingte Weiterleitung auf Ihrem lokalen DNS-Server erstellen und auf den eingehenden Endpunkt des Azure DNS Private Resolver verweisen, um die DNS-Auflösung der privaten Cloud aus Ihrem Unternehmensnetzwerk zuzulassen.

Aktivieren der Auflösung für virtuelle Computer mit privater Cloud-Workload

Wenn Workload-VMs in Ihrer privaten Cloud bereitgestellt werden müssen, um die Verwaltungskomponenten der privaten Cloud zu verwalten, müssen Sie eine Weiterleitung zu VMware NSX hinzufügen.

1. Öffnen Sie in Ihrer Ressourcengruppe Ihre private Cloud.
2. Erweitern Sie Workload Networking , und wählen Sie dann DNS aus.
3. Wählen Sie die Schaltfläche "Hinzufügen " aus, wählen Sie die FQDN-Zone aus, und geben Sie dann den DNS-Zonennamen und die Domäne Ihrer privaten Cloud ein. Geben Sie für IP-Adresse die IP-Adresse des eingehenden Endpunkts Ihres Azure DNS Private Resolver ein, und wählen Sie 'OK' aus.
4. Wählen Sie "DNS-Dienst" aus.
5. Wählen Sie Bearbeiten aus.
6. Wählen Sie die Zone aus, die Sie im Dropdownmenü "FQDN-Zonen" erstellt haben, und wählen Sie "OK" aus.

Ihre Arbeitslast-VMs können jetzt die Verwaltungskomponenten der Private Cloud auflösen.

Konfigurieren einer Forward-Lookupzone für Ihre private Cloud

Nach der Bereitstellung von Azure DNS Private Resolver müssen Sie eine Forward-Lookupzone erstellen, damit Abfragen für die Verwaltungskomponenten der privaten Cloud (z. B. vCenter Server, ESXi-Hosts und NSX Manager) ordnungsgemäß aufgelöst werden.

So konfigurieren Sie die Forward-Lookupzone

1. Identifizieren Sie den DNS-Zonennamen für Ihre private Cloud. Die Zone wird in der Regel vom vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von vCenter Server abgeleitet. Wenn die vCenter Server-URL beispielsweise https://vc123.avs.azure.com lautet, lautet der DNS-Zonenname avs.azure.com (alles nach vc123).

2. Erstellen Sie eine Forward-Lookupzone in Ihrer DNS-Lösung (entweder lokaler DNS-Server oder ein DNS-Server, den Sie im virtuellen Azure-Netzwerk der privaten Cloud bereitgestellt haben). Verwenden Sie den DNS-Zonennamen, den Sie im vorherigen Schritt identifiziert haben.

3. Konfigurieren Sie eine Weiterleitung in dieser Lookupzone. Verweisen Sie die Zone auf die IP-Adresse des eingehenden Endpunkts der Azure DNS Private Resolver-Instanz, die Sie im virtuellen Netzwerk der privaten Cloud bereitgestellt haben. Diese Aktion stellt sicher, dass alle DNS-Abfragen für private Cloud-FQDNs an den Azure DNS Privaten Resolver weitergeleitet werden.

Beispiel:

vCenter Server-URL: https://vc123.avs.azure.com

Forward-Lookupzone, die erstellt werden soll: avs.azure.com

Weiterleitungsziel: IP-Adresse des eingehenden Azure DNS Private Resolver-Endpunkts

Nach der Fertigstellung werden DNS-Abfragen für Verwaltungskomponenten in Ihrer Private Cloud sowohl von Workloads innerhalb Ihres Azure Virtual Network als auch aus Ihrer lokalen Umgebung heraus korrekt aufgelöst.

Verwandte Artikel

• Konnektivität mit einem virtuellen Azure-Netzwerk
• Herstellen einer Verbindung mit einer lokalen Umgebung
• Internetkonnektivitätsoptionen
• Verbinden mehrerer privater Clouds der Generation 2
• Verbinden von privaten Clouds der Generation 2 und Gen 1