整理

• Private Endpointを利用している環境を前提とする

• Azure > オンプレへの名前解決をする際にどうするか迷う

  • Cloud Adoption Framework的にはAzure DNS Private Resolverが推奨

  https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/azure-best-practices/dns-for-on-premises-and-azure-resources

  • ただ、金額もそれなりにするので迷う

• Azure側にIaaSのDNSフォワーダを置いていて、オンプレからPrivate DNSゾーンを参照する場合はそこを指定する

• なので、逆にオンプレのドメインへのDNS要求をオンプレのDNSサーバに転送するようにIaaSのDNSフォワーダ上で構築すればいいのでは？

• オンプレにADがある環境においてはAzureのVMが参加するドメインはオンプレADのドメインになるはずなので、そこで一貫して名前い解決はできるはず

• そもそもネットワーク的に疎通が取れているのであれば、VMからオンプレのDNSサーバを直接見に行けば済む話

• その場合は、Private DNSゾーンへのDNS要求は「AzureVM > オンプレDNS > Azure DNS > Private DNSゾーン」となり遠回り感がある

• このAzure VMのカスタムDNSをオンプレのDNSに向けるパターンは少し考慮が必要

  • VMと「オンプレ > Private DNSゾーン解決用フォワーダVM」が同じVNETにいる場合
  • VNETレベルでのDNSサーバの指定をすると、フォワーダ用VMが参照するDNSサーバにも影響が出る
  • NICレベルでのDNSサーバの設定が必要

• AzureはVNETとNICどちらのレベルでもDNS設定ができる

  • NICレベルでDNSサーバを指定するときは、「仮想ネットワークから継承」or「カスタム」で指定する形になる
  • よって、フォワーダVMのNICでAzureDNSを明示的に指定する(VNETレベルでは「既定(AzureDNS)」or「カスタム」の指定なのでややこしい)
    

reference

https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/networking/azure-dns-private-resolver