モチベ
- Azure DNS Private ResolverはIaaSベースのDNSフォワーダに代わるPaaSのDNSフォワーダ
- 受信エンドポイントでオンプレからAzureへの名前解決を受け付けることはイメージがつく
- じゃあ送信側も触ってみよう
理解
- Azure DNS Private Resolverの真価は送信エンドポイントにありそう
- オンプレ->Azureの名前解決はAレコード追加、Azure Firewallに飛ばす、IaaSでDNSサーバ立てる、といった選択肢がある
- しかし、Azure->オンプレはIaaSでしか無しえなかった
- オンプレのDNSにフォワードするとAzure DNSを叩けないため
使ってみる
とりあえず触ろう
ネットワーク構成イメージ
- 大枠はこちらのbicepから展開
- 省略してる部分もあるが以下構成
Azure DNS Private Resolver設定
-
概要
-
受信エンドポイント
- 専用Subnetのアドレス空間に注意
- 専用Subnetのアドレス空間に注意
-
送信エンドポイント
- 専用Subnetのアドレス空間に注意
- 専用Subnetのアドレス空間に注意
DNS転送ルールセット
-
ルールとしては、オンプレミスのドメインに対するフォワード先をオンプレDNS(AD DS)のプライベートIPを指定する
- サーバ名は
clientwin - もともとWindowsのクライアント想定のVMだったので、、、
- サーバ名は
-
ここでは敢えて.localドメインをオンプレ想定VNETで事前構築しており、そこに飛ばす
-
DNSのレコードも
clientwinしかいない
挙動確認
-
cloud-ubuntuからnslookupで名前解決要求
-
.localのドメインの名前解決ができている=Azure->オンプレの名前解決に成功
おわり
- 今までオンプレ->AzureおよびAzure->オンプレの名前解決をするにはVMでDNSサーバ立てるしかなかった
- そこにマネージドなAzure DNS Private Resolverが入ってきたことの価値は大きいのでは
GitHubで編集を提案
Discussion