Konfigurieren privater und öffentlicher DNS-Forward-Lookupzonen

In diesem Artikel erfahren Sie, wie Sie DNS-Forward-Lookup-Zonen (Domain Name System) für private Clouds der 2. Generation (Gen 2) von Azure VMware Solution konfigurieren. Darin werden die Optionen und Verhaltensweisen für die Auflösung von Domänennamen in einem virtuellen Azure-Netzwerk erläutert.

Voraussetzung

Die private Cloud der Generation 2 wird erfolgreich bereitgestellt.

Konfigurationsoptionen für DNS-Forward-Lookupzonen

Mit azure VMware Solution können Sie DNS-Forward-Lookupzonen auf zwei Arten konfigurieren: öffentlich oder privat. Diese Konfiguration definiert, wie die DNS-Namensauflösung für Azure VMware-Lösungskomponenten wie vCenter Server, ESX-Hosts und NSX Manager ausgeführt wird.

Öffentlich: Die öffentliche DNS-Forward-Lookupzone ermöglicht die Auflösung von Domänennamen mit allen öffentlichen DNS-Servern.

Privat: Die Forward-Lookupzone des privaten Domain Name System (DNS) stellt sicher, dass Namen nur innerhalb der privaten Umgebung eines Kunden aufgelöst werden können, was die Sicherheits- und Complianceanforderungen unterstützt. Wenn ein Kunde eine private Forward-Lookupzone auswählt, können die vollqualifizierten Domänennamen (FQDNs) der privaten SDDC-Cloud (Software-Defined Data Center) über das virtuelle Azure-Netzwerk aufgelöst werden, in dem die private Cloud bereitgestellt wird.

Wenn diese Namen außerhalb des virtuellen Netzwerks aufgelöst werden müssen (z. B. in einer lokalen Umgebung), müssen Sie entweder eine Instanz von Azure DNS Private Resolver konfigurieren oder Ihren eigenen DNS-Server innerhalb desselben virtuellen Netzwerks bereitstellen, in dem sich auch Ihre private Azure VMware Solution-Cloud befindet. Der DNS-Server muss dann den Azure DNS-Dienst (168.63.129.16) als Weiterleitung verwenden, um die FQDNs der privaten Cloud aufzulösen.

Die DNS-Forward-Lookupzone kann zum Zeitpunkt der Erstellung oder Änderung konfiguriert werden, nachdem die private Cloud erstellt wurde. Das folgende Diagramm zeigt die Konfigurationsseite für die DNS-Forward-Lookupzone.

Verwendung der öffentlichen DNS-Auflösung mit Azure VMware Solution Gen 2

Azure VMware Solution Gen 2 ermöglicht es Ihnen, das öffentliche Domain Name System (DNS) für vollqualifizierte Domänennamen, wie die öffentlichen Endpunkte des VMware vCenter Servers oder des NSX Managers, zu verwenden. Mit der öffentlichen DNS-Auflösung können Sie diese Namen in ihre entsprechenden privaten IP-Adressen auflösen.

Funktionsweise öffentlicher DNS-Resolver

Öffentliche DNS-Einträge werden erfolgreich an jedem Ort mit Internetzugang aufgelöst, einschließlich:

• Virtuelle Computer in der privaten Cloud
• Lokale Netzwerke
• Externe Netzwerke

Wenn Sie die Namensauflösung aus einem Workloadsegment innerhalb von Azure VMware Solution testen, stellen Sie sicher, dass der Internetzugriff für die private Cloud für das Workloadnetzwerk aktiviert ist, insbesondere bei Verwendung der Subnetze „nsx-gw“ und „nsx-gw-1“. Ohne ausgehenden Internetzugriff ist die DNS-Auflösung für öffentliche DNS-Server nicht erfolgreich.

Überprüfen der DNS-Auflösung

So überprüfen Sie, ob die öffentliche DNS-Auflösung funktioniert:

1. Öffnen Sie ein Terminal oder eine Eingabeaufforderung von einem beliebigen Computer mit Internetzugang.
2. Führen Sie den folgenden Befehl aus:"nslookup vc123.eastus.avs.azure.com".

Wenn die DNS-Auflösung erfolgreich ist, gibt der Befehl eine private IP-Adresse zurück. Wenn der Befehl keine IP-Adresse zurückgibt, ist entweder die DNS-Zone privat oder der verwendete DNS-Server kann das Internet nicht erreichen.

Konfigurieren Sie das private DNS für Ihre Azure VMware Solution Generation 2-Cloud.

Wenn Sie die Option "Privates DNS" auswählen, kann die private Cloud aus dem virtuellen Netzwerk aufgelöst werden, in dem die private Cloud bereitgestellt wird. Dazu wird die private DNS-Zone mit Ihrem virtuellen Netzwerk verknüpft. Wenn Sie diese Zone außerhalb dieses virtuellen Netzwerks, z. B. in Ihrer lokalen Umgebung, auflösbar machen müssen, müssen Sie einen Azure DNS Private Resolver konfigurieren oder Ihren eigenen DNS-Server in Ihrem virtuellen Netzwerk bereitstellen. Private DNS verwendet den Azure DNS-Dienst (168.63.129.16), um Ihre privaten Cloud-FQDNs aufzulösen. In diesem Abschnitt wird das Konfigurieren eines Azure DNS Private Resolver erläutert.

Voraussetzung

Erstellen Sie zwei /28 Subnetze, die an den Azure DNS Private Resolver-Dienst delegiert werden sollen. Als Beispiel können sie benannt werden, zum Beispiel dns-in und dns-out.

Bereitstellen von Azure DNS Private Resolver

Stellen Sie in der Ressourcengruppe den privaten DNS-Resolver bereit.

1. Klicken Sie auf „Erstellen“.

2. Geben Sie im Feld "Marketplace durchsuchen" die Eingabe "Private DNS Resolver" ein, und drücken Sie die Enter-Taste.

3. Wählen Sie "Erstellen" für den privaten DNS-Resolver aus.

4. Stellen Sie sicher, dass die Felder "Abonnement", "Ressource" und "Region" korrekt sind. Geben Sie einen Namen ein, und wählen Sie Ihr virtuelles Netzwerk aus. Dieses virtuelle Netzwerk muss mit dem identisch sein, in dem Sie Ihre private Cloud bereitgestellt haben.

5. Wählen Sie „Weiter: Eingehende Endpunkte“ aus.

6. Wählen Sie "Endpunkt hinzufügen", geben Sie einen Namen für den eingehenden Endpunkt ein, z. B. dns-in, und wählen Sie das Subnetz für den DNS-eingehenden Endpunkt aus, und wählen Sie "Speichern" aus.

7. Wählen Sie "Weiter" aus: ausgehende Endpunkte.

8. Wählen Sie "Endpunkt hinzufügen", geben Sie einen Namen für den ausgehenden Endpunkt ein, z. B. dns-out, und wählen Sie das Subnetz für den ausgehenden DNS-Endpunkt aus, und wählen Sie "Speichern" aus.

9. Wählen Sie Weiter: Regelsatz.

10. Wählen Sie "Weiter" aus: Tags.

11. Wählen Sie "Weiter" aus: Überprüfen + Erstellen.

12. Wenn die Überprüfung erfolgreich ist, wählen Sie "Erstellen" aus.

Weitere Informationen zur Bereitstellung von Azure DNS Private Resolver finden Sie auf dieser Seite.

Sie können jetzt private Cloud-DNS-Einträge von jeder Workload auflösen, indem Sie den eingehenden Endpunkt des Azure DNS Private Resolver als DNS-Server verwenden. Sie sollten jetzt eine bedingte Weiterleitung auf Ihrem lokalen DNS-Server erstellen und auf den eingehenden Endpunkt des Azure DNS Private Resolver verweisen, um die DNS-Auflösung der privaten Cloud aus Ihrem Unternehmensnetzwerk zuzulassen.

Aktivieren der Auflösung für virtuelle Computer mit privater Cloud-Workload

Wenn Sie in Ihrer privaten Cloud Workload-VMs benötigen, um die Verwaltungskomponenten der privaten Cloud zu konfigurieren, müssen Sie einen Forwarder zu VMware NSX hinzufügen.

1. Öffnen Sie in Ihrer Ressourcengruppe Ihre private Cloud.
2. Erweitern Sie Workload Networking, und wählen Sie DNS aus.
3. Wählen Sie die Schaltfläche "Hinzufügen" aus, wählen Sie die FQDN-Zone aus, geben Sie den DNS-Zonennamen und die Domäne Ihrer privaten Cloud ein. Geben Sie für IP-Adresse die IP-Adresse des eingehenden Endpunkts Ihres Azure DNS Private Resolver ein, und wählen Sie "OK" aus.
4. Wählen Sie "DNS-Dienst" aus.
5. Wählen Sie „Bearbeiten“ aus.
6. Wählen Sie die Zone aus, die Sie soeben in der Dropdownliste für FQDN-Zonen erstellt haben, und wählen Sie "OK" aus.

Ihre Arbeitslast-VMs können jetzt die Verwaltungskomponenten der Private Cloud auflösen.

Konfigurieren einer Forward-Lookupzone für Ihre private Cloud

Nach der Bereitstellung von Azure DNS Private Resolver müssen Sie eine Forward-Lookupzone erstellen, damit Abfragen für die Verwaltungskomponenten der privaten Cloud (z. B. vCenter Server, ESXi-Hosts und NSX Manager) ordnungsgemäß aufgelöst werden.

So konfigurieren Sie die Forward-Lookupzone

1. Identifizieren Sie den DNS-Zonennamen für Ihre private Cloud. Die Zone wird in der Regel vom vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von vCenter Server abgeleitet. Wenn die vCenter Server-URL beispielsweise https://vc123.avs.azure.com lautet, lautet der DNS-Zonenname avs.azure.com (alles nach vc123).

2. Erstellen Sie eine Forward-Lookupzone in Ihrer DNS-Lösung (entweder lokaler DNS-Server oder ein DNS-Server, den Sie im virtuellen Azure-Netzwerk der privaten Cloud bereitgestellt haben). Verwenden Sie den oben angegebenen DNS-Zonennamen.

3. Konfigurieren Sie eine Weiterleitung in dieser Lookupzone. Verweisen Sie die Zone auf die IP-Adresse des eingehenden Endpunkts der Azure DNS Private Resolver-Instanz, die Sie im virtuellen Netzwerk der privaten Cloud bereitgestellt haben. Dadurch wird sichergestellt, dass alle DNS-Abfragen für FQDNs der privaten Cloud an Azure DNS Private Resolver weitergeleitet werden.

Beispiel:

vCenter Server-URL: https://vc123.avs.azure.com

Forward-Lookupzone, die erstellt werden soll: avs.azure.com

Weiterleitungsziel: IP-Adresse des eingehenden Azure DNS Private Resolver-Endpunkts

Nach Abschluss werden DNS-Abfragen für Verwaltungskomponenten in Ihrer privaten Cloud von Workloads innerhalb Ihres virtuellen Azure-Netzwerks und aus Ihrer lokalen Umgebung ordnungsgemäß aufgelöst.

Zugehörige Themen

• Konnektivität mit einem virtuellen Azure-Netzwerk
• Herstellen einer Verbindung mit einer lokalen Umgebung
• Internetkonnektivitätsoptionen
• Verbinden mehrerer privater Clouds der Generation 2
• Verbinden von privaten Clouds der Generation 2 und Gen 1