Blog
DNS-Domänen sicher verwalten mit Azure DNS Revolver
Mit Azure DNS Private Resolver können in Zukunft private Azure DNS-Zonen aus einer lokalen Umgebung und lokale DNS-Zonen aus Azure abgefragt werden – ohne VM-basierte DNS-Server bereitzustellen. Der Vorteil: Nutzer*innen müssen keine IaaS-basierten Lösungen mehr in ihren virtuellen Netzwerken bereitstellen, um Namen aufzulösen, die in Azure Private DNS-Zonen registriert sind. Außerdem können sie Domänen kontrolliert an lokale, Multicloud-Anbieter und öffentliche DNS-Server zurückleiten. Ein genauer Blick auf die neue Lösung:
Ein Service in Azure DNS
Private Resolver ist aktuell im Public Preview verfügbar und ist Teil vom Azure Domain Name System (DNS) Service. Das ist ein Dienst für DNS-Domänen, der die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur bereitstellt. Es können eigene private oder öffentliche DNS-Domänen hochverfügbar direkt in Azure verwaltet werden. Bestehende Domänennamen von Drittanbietern sind kompatibel.
Der Azure Domain Name Service ist hochverfügbar und bietet eine Microsoft Azure SLA von nicht-gerundeten: 100%.
Arbeiten mit dem Azure DNS Private Resolver
Voraussetzung zur Nutzung ist ein Azure Virtual Network. Bei der Erstellung des Private Resolvers werden ein oder mehrere eingehende Endpunkte eingerichtet, die als Ziel für DNS-Abfragen verwendet werden können. Der ausgehende Endpunkt des Resolvers verarbeitet DNS-Abfragen basierend auf einem DNS-Weiterleitungsregelsatz, den der User selbst konfigurieren kann. DNS-Abfragen, die in Netzwerken mit einem verknüpften Regelsatz gestartet werden, können an andere DNS-Server gesendet werden. DNS Client-Einstellungen auf Standard virtuellen Computern (VMs) in Azure müssen für die Verwendung von Private Resolver nicht geändert werden.
Der DNS-Abfrageprozess läuft so ab: Ein Client in einem virtuellen Netzwerk gibt eine DNS-Abfrage aus. Der DNS-Server antwortet, wie ein Telefonbuch mit der technischen IP-Adresse die vom Client für die Verbindung genutzt werden kann. Die Azure DNS Server einschließlich dem Private Resolver des virtuellen Netzwerks werden hierbei konsultiert.
Besteht kein Eintrag in der verwendeten privaten DNS-Zone, werden erst eigene virtuelle Netzwerkverknüpfungen für DNS-Weiterleitungsregelsätze und anschließend die verbleibenden Azure DNS-Regeln zum Auflösen der Abfrage verwendet. Sind Regelsatzverknüpfungen vorhanden, werden die DNS-Weiterleitungsregeln ausgewertet.
Achtung: Für die DNS-Auflösung zwischen virtuellen Azure-Netzwerken und lokalen Netzwerken ist Azure ExpressRoute oder ein VPN erforderlich!
Regeln und Einschränkungen für die Arbeit mit Resolver
Eine DNS-Weiterleitungsregel umfasst ein oder mehrere Ziel-DNS-Server, die für die bedingte Weiterleitung verwendet und durch Folgendes dargestellt werden: Domain-Name, Target IP-Adresse sowie Target Port und Protokoll (UDP oder TCP). Ein DNS-Resolver kann nur auf ein virtuelles Netzwerk in derselben Region wie der DNS-Resolver verweisen. Ein virtuelles Netzwerk kann auch nicht von mehreren DNS-Resolvern gemeinsam genutzt werden. Auf ein einzelnes virtuelles Netzwerk kann also nur von einem einzelnen DNS-Resolver verwiesen werden.
Ein Subnetz muss mindestens einen Adressraum von /28 oder einen maximalen Adressraum von /24 aufweisen. Ein Subnetz kann auch nicht von mehreren DNS-Resolver Endpoints gemeinsam genutzt werden, sondern immer nur von einem einzelnen Endpunkt. Alle IP-Konfigurationen für den eingehenden Endpunkt müssen dabei auf dasselbe Subnetz verweisen. Das Überschreiten mehrerer Subnetze in der IP-Konfiguration für einen einzelnen eingehenden DNS Resolver ist nicht zulässig. Das für einen eingehenden Resolver verwendete Subnetz muss sich außerdem innerhalb des virtuellen Netzwerks befinden, auf das der übergeordnete DNS-Resolver verweist.
Während des Public Preview dürfen Regelsätze übrigens nicht mehr als 25 Regeln enthalten und nicht über verschiedene Abonnements hinweg verknüpft werden. Auch werden aktuell IPv6-fähige Subnetze nicht unterstützt.
Der Azure DNS Private Resolver bietet als vollständig verwalteter Service mit integrierter Hochverfügbarkeit und Zonenredundanz die Möglichkeit, Betriebskosten und Komplexität zu senken. Der Zugriff auf privaten DNS-Zonen bleibt durch die eingeschränkten Weiterleitungen auch privat. Durch die Skalierbarkeit steht pro Endpunkt eine hohe Leistung zur Verfügung. Azure DNS Private Resolver ist außerdem DevOps-freundlich: Pipelines lassen sich u. a. mit Terraform, ARM oder Bicep erstellen. Klassische IT-Automatisierung via PowerShell und CLI ist ebenfalls möglich. Dadurch ist es ein sinnvolles Tool zum Verwalten und Organisieren der eigenen Domains. Unsere Expert*innen beraten Sie gern näher dazu!