Freigeben über

Grundlegendes zur DNS-Auflösung im Anwendungsgateway

Ein Anwendungsgateway ist eine dedizierte Bereitstellung innerhalb Ihres virtuellen Netzwerks. Die DNS-Auflösung für Instanzen Ihrer Anwendungsgatewayressource, die eingehenden Datenverkehr verarbeitet, wird auch von Ihren konfigurationen für virtuelle Netzwerke beeinflusst. In diesem Artikel werden die DNS-Konfigurationen (Domain Name System) und deren Auswirkungen auf die Namensauflösung erläutert.

Notwendigkeit der Namensauflösung

Das Anwendungsgateway führt DNS-Auflösung für die vollqualifizierten Domänennamen (FQDN) von

  • Vom Kunden bereitgestellte FQDNs, z. B.

    • Domänennamebasierter Back-End-Server
    • Key Vault-Endpunkt für Listenerzertifikat durch
    • URL der benutzerdefinierten Fehlerseite
    • OCSP-Überprüfungs-URL (Online Certificate Status Protocol)

  • Verwaltungs-FQDNs , die für verschiedene Azure-Infrastrukturendpunkte (Kontrollebene) verwendet werden. Dies sind die Bausteine, die eine vollständige Application Gateway-Ressource bilden. Die Kommunikation mit Überwachungsendpunkten ermöglicht beispielsweise den Ablauf von Protokollen und Metriken. Daher ist es wichtig, dass Anwendungsgateways intern mit den Endpunkten anderer Azure-Dienste kommunizieren, die Suffixe wie .windows.net, .azure.netusw. haben.

Von Bedeutung

Die Domänennamen des Verwaltungsendpunkts, mit denen eine Application Gateway-Ressource interagiert, werden hier aufgeführt. Je nach Typ der Anwendungsgatewaybereitstellung (ausführliche Informationen in diesem Artikel) kann jedes Namensauflösungsproblem für diese Azure-Domänennamen zu einem teilweisen oder vollständigen Verlust der Ressourcenfunktionalität führen.

  • .windows.net
  • .chinacloudapi.cn
  • .azure.net
  • .azure.cn
  • .usgovcloudapi.net
  • .azure.us
  • .microsoft.scloud
  • .msftcloudes.com
  • .microsoft.com

Kurze Namen und mit einer Kennzeichnung versehene Domänen

Das Anwendungsgateway unterstützt Kurznamen (z. B. server1, webserver) in Back-End-Pools. Die Auflösung hängt von Ihrer DNS-Konfiguration ab:

  • Azure DNS (168.63.129.16): Löst Kurznamen nur innerhalb desselben virtuellen Netzwerks auf.
  • Benutzerdefinierte DNS-Server: Erfordert suchdomänenkonfiguration
  • Lokales DNS (über VPN/ExpressRoute): Löst interne Hostnamen auf

Hinweis

Wenn der Zustand des Backends DNS-Auflösungsfehler bei Kurznamen anzeigt, überprüfen Sie die Auflösung von einer VM im selben virtuellen Netzwerk.

DNS-Konfigurationstypen

Kunden haben unterschiedliche Infrastrukturanforderungen, die verschiedene Ansätze zur Namensauflösung erfordern. Dieses Dokument beschreibt allgemeine DNS-Implementierungsszenarien und bietet Empfehlungen für den effizienten Betrieb von Anwendungsgatewayressourcen.

Gateways mit öffentlicher IP-Adresse (networkIsolationEnabled: False)

Für öffentliche Gateways erfolgt die gesamte Steuerungsebenenkommunikation mit Azure-Domänen über den Standardmäßigen Azure DNS-Server bei 168.63.129.16. In diesem Abschnitt untersuchen wir die potenzielle DNS-Zonenkonfiguration mit öffentlichen Anwendungsgateways und wie Konflikte mit der Lösung von Azure-Domänennamen vermieden werden.

Verwenden des von Azure bereitgestellten Standard-DNS

Das von Azure bereitgestellte DNS ist eine Standardeinstellung für alle virtuellen Netzwerke in Azure und verfügt über eine IP-Adresse 168.63.129.16. Zusammen mit der Auflösung aller öffentlichen Domänennamen stellt das von Azure bereitgestellte DNS die interne Namensauflösung für virtuelle Computer bereit, die sich im selben virtuellen Netzwerk befinden. In diesem Szenario stellen alle Instanzen des Anwendungsgateways eine Verbindung mit 168.63.129.16 für die DNS-Auflösung her.

Ein Diagramm, das die DNS-Auflösung für von Azure bereitgestellte DNS zeigt.

Fließt:

  • In diesem Diagramm sieht man, dass die Application Gateway-Instanz mit dem von Azure bereitgestellten DNS (168.63.129.16) für die Namensauflösung der FQDN der Back-End-Server "server1.contoso.com" und "server2.contoso.com" kommuniziert, wie durch die blaue Linie dargestellt.
  • Ebenso fragt die Instanz 168.63.129.16 für die DNS-Auflösung der privaten linkfähigen Key Vault-Ressource ab, wie in der orangefarbenen Linie angegeben. Damit ein Anwendungsgateway den Key Vault-Endpunkt mit seiner privaten IP-Adresse auflösen kann, ist es wichtig, die private DNS-Zone mit dem virtuellen Netzwerk dieses Anwendungsgateways zu verknüpfen.
  • Nach erfolgreicher DNS-Auflösung für diese FQDNs kann die Instanz mit den Key Vault- und Back-End-Serverendpunkten kommunizieren.

Betrachtungen:

  • Erstellen und verknüpfen Sie keine privaten DNS-Zonen für Azure-Domänennamen der obersten Ebene. Sie müssen eine DNS-Zone für eine Subdomäne so spezifisch wie möglich erstellen. Beispielsweise funktioniert das Vorhandensein einer privaten DNS-Zone für privatelink.vaultcore.azure.net den privaten Endpunkt eines Schlüsseltresors in allen Fällen besser als das Vorhandensein einer Zone für vaultcore.azure.net oder azure.net.
  • Stellen Sie sicher, dass zur Kommunikation mit Backend-Servern oder Diensten, die einen privaten Endpunkt verwenden, die DNS-Zone für private Endpunkte mit dem virtuellen Netzwerk Ihres Anwendungsgateways verknüpft ist.

Verwenden von benutzerdefinierten DNS-Servern

In Ihrem virtuellen Netzwerk ist es möglich, benutzerdefinierte DNS-Server zu bestimmen. Diese Konfiguration kann für die unabhängige Verwaltung von Zonen für bestimmte Domänennamen erforderlich sein. Eine solche Anordnung veranlasst die Anwendungsgateway-Instanzen innerhalb des virtuellen Netzwerks ebenfalls, die angegebenen benutzerdefinierten DNS-Server zur Auflösung von Nicht-Azure-Domänennamen zu verwenden.

Ein Diagramm, das die DNS-Auflösung mit benutzerdefinierten DNS-Servern zeigt.

Fließt:

  • Das Diagramm zeigt, dass die Anwendungsgateway-Instanz azure-bereitgestelltes DNS (168.63.129.16) für die Namensauflösung des Privaten Link Key Vault-Endpunkts „contoso.privatelink.vaultcore.azure.net" verwendet. Die DNS-Abfragen für Azure-Domänennamen, die enthalten azure.net, werden an azure-bereitgestelltes DNS umgeleitet (in oranger Linie dargestellt).
  • Bei der DNS-Auflösung von "server1.contoso.com" berücksichtigt die Instanz das benutzerdefinierte DNS-Setup (wie in blauer Linie dargestellt).

Betrachtungen:

Wenn Sie benutzerdefinierte DNS-Server im virtuellen Netzwerk des Anwendungsgateways verwenden, müssen Sie die folgenden Maßnahmen ergreifen, um sicherzustellen, dass keine Auswirkungen auf das Funktionieren des Anwendungsgateways auftreten.

  • Nachdem Sie die DNS-Server geändert haben, die dem virtuellen Anwendungsgateway zugeordnet sind, müssen Sie Ihr Anwendungsgateway neu starten (Beenden und Starten), damit diese Änderungen für die Instanzen wirksam werden.
  • Wenn Sie einen privaten Endpunkt im virtuellen Netzwerk des Anwendungsgateways verwenden, muss die private DNS-Zone mit dem virtuellen Anwendungsgateway-Netzwerk verknüpft bleiben, um die Auflösung für private IP zu ermöglichen. Diese DNS-Zone muss für eine Subdomäne so spezifisch wie möglich sein.
  • Wenn sich die benutzerdefinierten DNS-Server in einem anderen virtuellen Netzwerk befinden, stellen Sie sicher, dass sie mit dem virtuellen Netzwerk des Anwendungsgateways verknüpft sind und nicht durch eine Netzwerksicherheitsgruppe oder Routingtabellenkonfiguration beeinträchtigt werden.

Gateways mit nur privater IP-Adresse (networkIsolationEnabled: True)

Die Bereitstellung des privaten Anwendungsgateways ist darauf ausgelegt, den Datenverkehr zwischen der Nutzerebene und der Verwaltungsebene des Kunden zu trennen. Daher hat das Vorhandensein von Standardmäßigen Azure DNS- oder benutzerdefinierten DNS-Servern keine Auswirkungen auf die Namensauflösungen kritischer Verwaltungsendpunkte. Wenn Sie jedoch benutzerdefinierte DNS-Server verwenden, müssen Sie sich um die Namenauflösungen kümmern, die für alle Datenpfadvorgänge erforderlich sind.

Ein Diagramm, das die DNS-Auflösung für das private Gateway zeigt.

Fließt:

  • Die DNS-Abfragen für „contoso.com" erreichen die benutzerdefinierten DNS-Server über die Kundendatenverkehrsebene.
  • Die DNS-Abfragen für "contoso.privatelink.vaultcore.azure.net" erreichen auch die benutzerdefinierten DNS-Server. Da der DNS-Server jedoch keine autorisierende Zone für diesen Domänennamen ist, leitet er die Abfrage rekursiv an Azure DNS 168.63.129.16 weiter. Eine solche Konfiguration ist wichtig, um die Namensauflösung über eine private DNS-Zone zuzulassen, die mit dem virtuellen Netzwerk verknüpft ist.
  • Die Auflösung aller Verwaltungsendpunkte erfolgt über den Verwaltungsebenendatenverkehr, der direkt mit dem von Azure bereitgestellten DNS interagiert.

Betrachtungen:

  • Nachdem Sie die DNS-Server geändert haben, die dem virtuellen Anwendungsgateway zugeordnet sind, müssen Sie Ihr Anwendungsgateway neu starten (Beenden und Starten), damit diese Änderungen für die Instanzen wirksam werden.
  • Sie müssen Weiterleitungsregeln festlegen, um alle anderen Domänenauflösungsabfragen an Azure DNS 168.63.129.16 zu senden. Diese Konfiguration ist besonders wichtig, wenn Sie über eine private DNS-Zone für die Auflösung privater Endpunkte verfügen.
  • Bei Verwendung eines privaten Endpunkts muss die private DNS-Zone mit dem virtuellen Anwendungsgateway-Netzwerk verknüpft bleiben, um die Auflösung für private IP zu ermöglichen.
  • Last updated on