Azure DNS プライベート リゾルバーは、Azure 仮想ネットワークとオンプレミス環境の間でセキュリティで保護されたシームレスな DNS 解決を可能にする、フル マネージドの高可用性サービスです。カスタム DNS サーバーのデプロイ、管理、修正プログラムの適用は必要ありません。 このサービスを使用すると、どこからでもプライベート DNS ゾーンの DNS クエリを解決できます。 ハイブリッド ネットワーク接続を容易にし、エンタープライズ シナリオのネットワーク管理を簡素化します。
Azure DNS プライベート リゾルバーのしくみ
Azure DNS Private Resolver には、Azure Virtual Network が必要です。 仮想ネットワーク内に Azure DNS プライベート リゾルバーを作成するときは、DNS クエリの宛先として使用できる 受信エンドポイント を 1 つ以上作成します。 リゾルバーの送信エンドポイントでは、構成した DNS 転送ルールセットに基づいて DNS クエリを処理します。 ルールセットにリンクされたネットワークで開始された DNS クエリを他の DNS サーバーに送信できます。
Azure DNS Private Resolver を使用するために、仮想マシン (VM) の DNS クライアント設定を変更する必要はありません。
次の一覧は、Azure DNS プライベート リゾルバーを使用する場合の DNS クエリ プロセスをまとめたものです。
- 仮想ネットワーク内のクライアントから DNS クエリが発行されます。
- この仮想ネットワークにカスタム DNS サーバーを 指定 した場合、クエリは指定された IP アドレスに転送されます。
- 仮想ネットワークで Default (Azure 提供) DNS サーバーを構成し、 同じ仮想ネットワークにリンクされているプライベート DNS ゾーンがある場合は、これらのゾーンが参照されます。
- クエリが仮想ネットワークにリンクされているプライベート DNS ゾーンと一致しない場合は、DNS 転送ルールセットの仮想ネットワーク リンクが参照されます。
- ルールセットのリンクが存在しない場合は、クエリの解決に Azure DNS が使用されます。
- ルールセットのリンクが存在する場合は、DNS 転送ルールが評価されます。
- サフィックスの一致が見つかった場合、そのクエリは指定されたアドレスに転送されます。
- 複数の一致が存在する場合は、最も長いサフィックスが使用されます。
- 一致するものが見つからない場合、DNS の転送は行われず、クエリの解決に Azure DNS が使用されます。
次の図に Azure DNS Private Resolver のアーキテクチャがまとめられています。 Azure 仮想ネットワークとオンプレミス ネットワーク間の DNS 解決には、Azure ExpressRoute または VPN が必要です。
図 1: Azure DNS プライベート リゾルバーのアーキテクチャ。
プライベート DNS リゾルバーの作成の詳細については、次を参照してください。
- クイックスタート: Azure portal を使用して Azure DNS Private Resolver を作成する
- クイックスタート: Azure PowerShell を使用して Azure DNS Private Resolver を作成する
Azure DNS プライベート リゾルバーの利点
Azure DNS Private Resolver には次のような利点があります。
- フル マネージド: 組み込みの高可用性とゾーン冗長性。
- コスト削減: 運用コストを削減し、従来の IaaS ソリューションの何分の一の価格で実行する。
- プライベート DNS ゾーンへのプライベート アクセス: オンプレミスとの間で条件付きで転送する。
- スケーラビリティ: エンドポイントごとにハイ パフォーマンスを実現する。
- DevOps Friendly: Terraform、ARM テンプレート、または Bicep を使用してパイプラインを構築します。
リージョン別の提供状況
「リージョン別の Azure 製品 - Azure DNS」を参照してください。
データの保存場所
Azure DNS プライベート リゾルバーは、リゾルバーがデプロイされているリージョンの外部で顧客データを移動または格納しません。
DNS リゾルバーのエンドポイントとルールセット
この記事では、リゾルバー エンドポイントとルールセットの概要について説明します。 エンドポイントとルールセットの詳細については、「Azure DNS Private Resolver エンドポイントとルールセット」を参照してください。
受信エンドポイント
受信エンドポイントを使用すると、プライベート仮想ネットワーク のアドレス空間の一部である IP アドレスを介して、オンプレミスまたはその他のプライベートの場所から名前解決を行うことができます。 オンプレミスから Azure プライベート DNS ゾーンを解決するには、受信エンドポイントの IP アドレスをオンプレミスの DNS 条件付きフォワーダーに入力します。 オンプレミスの DNS 条件付きフォワーダーには、仮想ネットワークへのネットワーク接続が必要です。
受信エンドポイントには、デプロイする仮想ネットワーク内のサブネットが必要です。 サブネットは Microsoft.Network/dnsResolvers にのみ委任でき、他のサービスには使用できません。 受信エンドポイントは、Azure にイングレスする DNS クエリを受け取ります。 名前は、プライベート DNS ゾーン (自動登録が使用されている VM など) や、Private Link が有効なサービスがあるシナリオで解決できます。
Note
受信エンドポイントに割り当てられた IP アドレスを 静的 または 動的として指定できます。 詳細については、「静的および動的エンドポイントの IP アドレス」を参照してください。
送信エンドポイント
送信エンドポイントを使用すると、Azure からオンプレミス、他のクラウド プロバイダー、または外部 DNS サーバーへの名前解決を条件付きで転送できます。 このエンドポイントには、デプロイする仮想ネットワーク内に専用のサブネットが必要であり、サブネット内で他のサービスは実行されません。 このサブネットは 、Microsoft.Network/dnsResolvers にのみ委任できます。 Azure から外部エンドポイントに送信される DNS クエリは、エグレスします。
仮想ネットワークのリンク
仮想ネットワーク リンクを使用すると、DNS 転送ルールセットが設定された送信エンドポイントにリンクされている仮想ネットワークの名前解決が有効になります。 このリンクは 1 対 1 のリレーションシップです。
DNS 転送ルールセット
DNS 転送ルール セットは、1 つ以上の送信エンドポイントに適用したり、1 つ以上の仮想ネットワークにリンクしたりできる最大 1,000 個の DNS 転送規則のグループです。 この構成は、一対多リレーションシップです。 ルールセットを特定の送信エンドポイントに関連付けます。 詳細については、「DNS 転送ルールセット」を参照してください。
DNS 転送ルール
DNS 転送規則には、条件付き転送に使用する 1 つ以上のターゲット DNS サーバーが含まれます。 次の項目はルールを表します。
- ドメイン名
- ターゲット IP アドレス
- ターゲット ポートとプロトコル (UDP または TCP)
制限
現在のところ、Azure DNS Private Resolver には、次の制限が適用されています。
DNS Private Resolver1
| リソース | 制限 |
|---|---|
| サブスクリプションごとの DNS Private Resolver の数 | 15 |
| DNS Private Resolver ごとの受信エンドポイントの数 | 5 |
| DNS Private Resolver ごとの送信エンドポイントの数 | 5 |
| DNS 転送ルール セットごとの転送ルールの数 | 1000 |
| DNS 転送ルール セットごとの仮想ネットワーク リンクの数 | 500 |
| DNS 転送ルール セットごとの送信エンドポイントの数 | 2 |
| 送信エンドポイントごとの DNS 転送ルール セットの数 | 2 |
| 転送ルールごとのターゲット DNS サーバーの数 | 6 |
| エンドポイントごとの QPS | 10,000 |
1Azure portal が更新されるまでは、Azure portal によって異なる制限が適用される場合があります。 最新の制限まで要素をプロビジョニングするには、PowerShell を使用してください。
仮想ネットワークの制限
仮想ネットワークには、次の制限が適用されます。
- 暗号化が有効な VNet では、Azure DNS Private Resolver はサポートされていません。
- DNS リゾルバーで参照できるのは、その DNS リゾルバーと同じリージョン内の仮想ネットワークのみです。
- 1 つの DNS リゾルバーが参照できる仮想ネットワークは 1 つだけです。 複数の DNS リゾルバーが同じ仮想ネットワークを共有することはできません。
サブネットの制限
DNS リゾルバーに使用されるサブネットには、次の制限があります。
- サブネットは、最小で /28 のアドレス空間または最大で /24 のアドレス空間である必要があります。 現在のエンドポイント制限に対応するには /28 のサブネットで十分です。 /27 から /24 のサブネット サイズによって、現在の制限が変更された場合の適応が可能となります。
- 複数の DNS リゾルバー エンドポイントでサブネットを共有することはできません。 1 つの DNS リゾルバー エンドポイントでは、1 つのサブネットのみを使用できます。
- DNS リゾルバー受信エンドポイントのすべての IP 構成は、エンドポイントがプロビジョニングされる場所と同じサブネットを参照する必要があります。
- DNS リゾルバーの受信エンドポイントに使用されるサブネットは、親 DNS リゾルバーによって参照される仮想ネットワーク内にある必要があります。
- サブネットは Microsoft.Network/dnsResolvers にのみ委任可能で、他のサービスには使用できません。
送信エンドポイントの制限
送信エンドポイントには、次の制限があります。
- 最初に DNS 転送ルールセットとその下の仮想ネットワーク リンクを削除しない限り、送信エンドポイントを削除することはできません。
ルールセットの制限
- ルールセットには、最大 1,000 個のルールを含めることができます。
- ルールセットのテナント間リンクはサポートされていません。
その他の制限事項
- テナント間でルールセットをリンクすることはできません。
- IPv6 が有効なサブネットは使用できません。
- DNS Private Resolver では、Azure ExpressRoute FastPath はサポートされていません。
- DNS Private Resolver は Azure Lighthouse と互換性がありません。
- Azure Lighthouse が使用されているかどうかを確認するには、Azure portal でサービス プロバイダーを検索し、[サービス プロバイダーのオファー] を選びます。
次のステップ
- Azure PowerShell または Azure portal を使用して Azure DNS Private Resolver を作成する方法を確認します。
- Azure DNS Private Resolver を使用して Azure ドメインとオンプレミス ドメインを解決する方法について学習します。
- Azure DNS Private Resolver のエンドポイントとルールセットについて学習します。
- プライベート リゾルバーを使用して DNS フェールオーバーを設定する方法について説明します。
- プライベート リゾルバーを使用してハイブリッド DNS を構成する方法について学習します。
- Azure のその他の重要なネットワーク機能について参照してください。
- Learn モジュール: Azure DNS の概要。