Руководство. Настройка отработки отказа DNS с помощью частных сопоставителей

  • Статья

В этой статье описано, как устранить единую точку отказа в локальных службах DNS с использованием двух или более частных сопоставителей DNS Azure, развернутых в разных регионах. Отработка отказа DNS включается путем назначения локального сопоставителя в качестве основного DNS и сопоставителя в соседнем регионе в качестве дополнительного DNS. Если основной DNS-сервер не отвечает, DNS-клиенты автоматически повторяют попытку с помощью дополнительного DNS-сервера.

Из этого руководства вы узнаете, как выполнять следующие задачи:

  • Разрешать Частные зоны DNS Azure с помощью локальных серверов условной пересылки и частных сопоставителей DNS Azure.
  • Включить локальную отработку отказа DNS для Частных зон DNS Azure.

На следующей схеме показан сценарий отработки отказа, описанный в этой статье.

Архитектура Частного сопоставителя DNS Azure

В этом сценарии у вас есть подключения из двух локальных расположений к двум виртуальным сетям концентратора Azure.

  • В восточном регионе основной путь направлен к восточному концентратору виртуальной сети. У вас есть дополнительное подключение к западному концентратору. Западный регион настраивается в обратном направлении.
  • Из-за проблемы с подключением к Интернету подключение к одной виртуальной сети (западной) временно нарушено.
  • Доступ к службе сохраняется в обоих регионах благодаря архитектуре с поддержкой избыточности.

Путь разрешения DNS таков:

  1. Избыточные локальные серверы условной пересылки DNS отправляют запросы DNS во входящие конечные точки.
  2. Входящие конечные точки получают запросы DNS из локальной среды.
  3. Исходящие конечные точки и наборы правил пересылки DNS обрабатывают запросы DNS и возвращают ответы на локальные ресурсы.

Исходящие конечные точки и наборы правил пересылки DNS не требуются для сценария отработки отказа, но включены в настоящую статью для полноты описания. Наборы правил можно использовать для разрешения локальных доменов из Azure. Дополнительные сведения см. в разделах Конечные точки и наборы правил Частного сопоставителя DNS Azure и Разрешение доменов Azure и локальных доменов.

Предварительные требования

Примечание

В этом руководстве используется частная зона DNS Azure azure.contoso.com. Измените azure.contoso.com на имя вашей частной зоны DNS.

Вход в Azure

Войдите на портал Azure.

Определение IP-адресов входящей конечной точки

Запишите IP-адреса, назначенные входящим конечным точкам частных сопоставителей DNS. Эти IP-адреса будут использоваться для настройки локальных серверов пересылки DNS.

В этом примере существует имеются две виртуальные сети в двух регионах:

  • myeastvnet находится в регионе "Восточная часть США", ей назначено адресное пространство 10.10.0.0/16
  • mywestvnet находится в регионе "Центрально-западная часть США", ей назначено адресное пространство 10.20.0.0/16

  1. Выполните поиск по запросу Частные сопоставители DNS и выберите частный сопоставитель из первого региона. Например, myeastresolver.

  2. В разделе Параметры выберите Входящие конечные точки и запишите параметр IP-адрес. Например, 10.10.0.4.

    Просмотр входящей конечной точки

  3. Вернитесь в список Частных сопоставителей DNS и выберите сопоставитель из другого региона. Например, mywestresolver.

  4. В разделе Параметры выберите Входящие конечные точки и запишите IP-адрес этого сопоставителя. Например, 10.20.0.4.

Чтобы разрешить записи DNS в частной зоне DNS Azure, необходимо связать зону с виртуальной сетью. В этом примере зона azure.contoso.com связана с виртуальными сетями myeastvnet и mywestvnet. Зона также может быть связана с другими виртуальными сетями.

  1. Выполните поиск по запросу Частные зоны DNS и выберите свою частную зону. Например, azure.contoso.com.

  2. В разделе Параметры выберите Связи виртуальной сети и убедитесь, что виртуальные сети, используемые для входящих конечных точек в предыдущей процедуре, также перечислены в разделе "Виртуальная сеть". Например, myeastvnet and mywestvnet.

    Просмотр связей виртуальной сети

  3. Если одна или несколько виртуальных сетей еще не связаны, их можно указать здесь. Для этого нажмите кнопку Добавить, укажите Имя связи, выберите свою Подписку и выберите Виртуальную сеть.

Совет

Для разрешения записей в частных зонах DNS также можно использовать пиринг. Дополнительные сведения см. в разделе Конечные точки и наборы правил Частного сопоставителя DNS Azure.

Проверка разрешения записей для Azure DNS

Убедитесь, что для параметров DNS виртуальных сетей задано значение "По умолчанию (предоставляется Azure)".

  1. Выполните поиск по запросу Виртуальные сети и выберите первую виртуальную сеть. Например, myeastvnet.

  2. В разделе Параметры выберите DNS-серверы и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

  3. Выберите следующую виртуальную сеть (например, mywestvnet) и убедитесь, что выбран параметр По умолчанию (предоставляется Azure).

    Примечание

    Также можно настроить пользовательские параметры DNS, но это не относится к текущему сценарию.

  4. Выполните поиск по запросу Частные зоны DNS и выберите имя своей частной зоны. Например, azure.contoso.com.

  5. Создайте тестовую запись в зоне, выбрав + Набор записей и добавив новую запись A. Например, test.

    Создание тестовой записи A

  6. Откройте командную строку на локальном клиенте и выполните команду nslookup для поиска тестовой записи с использованием IP-адреса первого записанного частного сопоставителя (например, 10.10.0.4). См. следующий пример.

    nslookup test.azure.contoso.com 10.10.0.4

    Запрос должен возвратить IP-адрес, назначенный тестовой записи. Результаты выполнения команды nslookup — восточная виртуальная сеть

  7. Повторите этот запрос nslookup, используя IP-адрес второго частного сопоставителя (например, 10.20.0.4).

    Результаты выполнения команды nslookup — западная виртуальная сеть

    Примечание

    Если разрешение DNS для частной зоны не работает, убедитесь, что локальные ссылки на виртуальные сети Azure работают.

Настройка локальной пересылки DNS

Теперь, когда разрешение записей DNS работает из локальной среды в Azure с использованием двух разных частных сопоставителей DNS Azure, мы можем настроить пересылку так, чтобы она использовала оба эти адреса. Это позволит обеспечить избыточность в случае, если одно из подключений к Azure будет прервано. Процедура настройки серверов пересылки будет зависеть от типа используемого DNS-сервера. В следующем примере используется сервер Windows Server с IP-адресом 10.100.0.2, на котором запущена служба ролей DNS-сервера.

Примечание

DNS-сервер, используемый для настройки пересылки, должен быть сервером, который клиентские устройства в вашей сети будут использовать для разрешения записей DNS. Если настраиваемый сервер не используется по умолчанию, то после настройки пересылки потребуется запросить его IP-адрес напрямую (например, выполнив команду nslookup test.azure.contoso.com 10.100.0.2).

  1. Откройте командную строку Windows PowerShell с повышенными привилегиями и выполните следующую команду. Замените azure.contoso.com именем частной зоны, а IP-адреса, указанные ниже, — IP-адресами частных сопоставителей.

    Add-DnsServerConditionalForwarderZone -Name "azure.contoso.com" -MasterServers 10.20.0.4,10.10.0.4

  2. При желании вы также можете использовать консоль DNS для указания серверов условной пересылки. См. следующий пример.

    Просмотр DNS-серверов пересылки

  3. Теперь, когда пересылка выполняется, выполните тот же запрос DNS, который использовался в предыдущей процедуре. Однако на этот раз не указывайте IP-адрес назначения для запроса. Запрос будет использовать DNS-сервер клиента по умолчанию.

    Результаты выполнения команды nslookup

Демонстрация устойчивости (необязательно)

Теперь вы можете продемонстрировать, что разрешение записей DNS работает, когда одно из подключений разорвано.

  1. Разорвите подключение из локальной среды к одной из виртуальных сетей путем отключения интерфейса или сетевого кабеля. Убедитесь, что автоматическое повторное подключение по запросу не выполняется.

  2. Выполните запрос nslookup с использованием частного сопоставителя из виртуальной сети, которая больше не подключена, и убедитесь, что этот запрос завершается сбоем (см. ниже).

  3. Запустите запрос nslookup с помощью DNS-сервера по умолчанию (для которого настроены сервера пересылки) и убедитесь, что он по-прежнему выполняется благодаря настроенной вами избыточности.

    Результаты выполнения команды nslookup — отработка отказа

Дальнейшие действия