你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何为 Azure VMware 解决方案第 2 代(第 2 代)私有云配置域名系统(DNS)转发查找区域。 其中介绍了 Azure 虚拟网络中域名解析的选项和行为。
先决条件
已成功部署第 2 代私有云。
DNS 正向查找区域配置选项
Azure VMware 解决方案允许通过两种方式配置 DNS 转发查找区域:公共或专用区域。 此配置定义如何执行 Azure VMware 解决方案组件(例如 vCenter Server、ESX 主机和 NSX Manager)的 DNS 名称解析。
公共:公共 DNS 转发查找区域允许使用任何公共 DNS 服务器解析域名。
专用: 专用域名系统(DNS)转发查找区域 可确保名称只能在客户的专用环境中解析,从而支持安全性和合规性要求。 当客户选择私有正向查找区域时,软件定义数据中心(SDDC)私有云的完全限定域名(FQDN)只能在配置该私有云的 Azure 虚拟网络中解析。
如果需要在虚拟网络外部解析这些名称(例如,在本地环境中),则必须配置 Azure DNS 专用解析程序 ,或在与 Azure VMware 解决方案私有云相同的虚拟网络中部署自己的 DNS 服务器。 然后,DNS 服务器必须使用 Azure DNS 服务(168.63.129.16) 作为转发器来解析私有云 FQDN。
可以在创建或更改私有云后配置 DNS 转发查找区域。 下图显示了 DNS 转发查找区域的配置页。
将公共 DNS 解析与 Azure VMware 解决方案第 2 代配合使用
Azure VMware 解决方案第 2 代允许对完全限定的域名(例如 VMware vCenter Server 或 NSX Manager 公共终结点)使用公共域名系统(DNS)解析。 通过公共 DNS 解析,可以将这些名称解析为其相应的专用 IP 地址。
公共 DNS 解析的工作原理
公共 DNS 记录可以从任何有互联网访问的地点成功解析,包括:
- 私有云中的虚拟机
- 本地网络
- 外部网络
在 Azure VMware 解决方案的工作负载段中测试名称解析时,请确认私有云的工作负载网络已启用 Internet 访问,尤其是“nsx-gw”和“nsx-gw-1”子网。 如果没有出站 Internet 访问,对公共 DNS 服务器的 DNS 解析将不会成功。
验证 DNS 解析
验证公共 DNS 解析是否正常工作:
- 从任何具有 Internet 访问权限的计算机打开终端或命令提示符。
- 运行以下命令:“nslookup vc123.eastus.avs.azure.com”。
如果 DNS 解析成功,该命令将返回专用 IP 地址。 如果命令不返回 IP 地址,则 DNS 区域是专用的,或者正在使用的 DNS 服务器无法访问 Internet。
为 Azure VMware 解决方案第 2 代私有云配置专用 DNS
如果选择“专用 DNS”选项,可以从预配私有云的虚拟网络中解析私有云。 这是通过将专用 DNS 区域链接到虚拟网络来完成的。 如果需要使此区域能够在此虚拟网络外部(例如在本地环境中)进行解析,则需要配置 Azure DNS 专用解析程序,或在虚拟网络中部署自己的 DNS 服务器。 专用 DNS 将使用 Azure DNS 服务(168.63.129.16)解析私有云 FQDN。 本部分介绍如何配置 Azure DNS 专用解析程序。
先决条件
创建两个 /28 子网以委托给 Azure DNS 专用解析程序服务。 例如,可以命名 dns-in 和 dns-out。
部署 Azure DNS 专用解析程序
在资源组中,部署专用 DNS 解析程序。
选择创建。
在“搜索市场”字段中,键入专用 DNS 解析程序并选择 Enter。
为专用 DNS 解析程序选择“创建”。
确保订阅、资源组和区域字段正确。 输入名称并选择虚拟网络。 此虚拟网络必须与部署私有云的位置相同。
选择“下一步:入站终结点”。
选择“添加终结点”,输入入站终结点的名称,例如 dns-in,然后选择 DNS 入站终结点的子网,然后选择“保存”。
选择“下一步:出站终结点”。
选择“添加终结点”,输入出站终结点的名称,例如 dns-out,然后选择 DNS 出站终结点的子网,然后选择“保存”。
选择“下一步:规则集”。
选择“下一步:标记”。
选择“下一步:查看 + 创建”。
验证通过时,选择“创建”。
有关部署 Azure DNS 专用解析程序的详细信息,请参阅 此页面。
现在,可以使用 Azure DNS 专用解析程序的入站终结点(作为 DNS 服务器)从任何工作负荷解析私有云 DNS 记录。 现在,应在本地 DNS 服务器中创建条件转发器,并将其指向 Azure DNS 专用解析程序的入站终结点,以允许从企业网络解析私有云。
为私有云工作负载虚拟机启用解析
如果需要在私有云中部署的工作负荷虚拟机来解析私有云管理组件,则必须向 VMware NSX 添加转发器。
- 在资源组中,打开私有云。
- 展开工作负载网络并选择 DNS。
- 选择“添加”按钮,选择 FQDN 区域,输入私有云的 DNS 区域名称和域。 对于 IP 地址,请输入 Azure DNS 专用解析程序的入站终结点的 IP 地址,然后选择“确定”。
- 选择 DNS 服务。
- 选择“编辑”。
- 选择刚在 FQDN 区域下拉列表中创建的区域,然后选择“确定”。
工作负荷虚拟机现在可以解析私有云管理组件。
为私有云配置向前查找区域
部署 Azure DNS 专用解析程序后,必须创建向前查找区域,以便正确解析私有云管理组件(例如 vCenter Server、ESXi 主机和 NSX Manager)的查询。
若要配置正向查找区域,请执行以下步骤:
标识私有云的 DNS 区域名称 。 区域通常派生自 vCenter Server 的完全限定域名(FQDN)。 例如,如果 vCenter Server URL 为
https://vc123.avs.azure.com,则 DNS 区域名称为avs.azure.com(之后vc123的所有内容)。在 DNS 解决方案中创建向前查找区域(本地 DNS 服务器或部署在私有云的 Azure 虚拟网络中的 DNS 服务器)。 使用上面标识的 DNS 区域名称。
在该查找区域中配置转发器。 将区域指向在私有云虚拟网络中部署的 Azure DNS 专用解析程序的入站终结点的 IP 地址。 这可确保将私有云 FQDN 的任何 DNS 查询转发到 Azure DNS 专用解析程序。
示例:
vCenter Server URL: https://vc123.avs.azure.com
要创建的正向查找区域: avs.azure.com
转发器目标:Azure DNS 专用解析程序入站终结点的 IP 地址
完成后,来自 Azure 虚拟网络中的工作负载和本地环境的 DNS 查询将正确解析私有云中的管理组件。