Skip to content
Blog

Azure DNS Private Resolver: jouw hybride oplossing

Laatste update: 4 oktober 2024

Wil jij meer weten over wat DNS is, waarom het belangrijk is en hoe je Azure Private DNS Resolver kunt gebruiken om private DNS records tussen on-premise en Azure omgevingen te synchroniseren? Het blog geeft jou een overzicht van de verschillende modi van Azure Private DNS Resolver en de voordelen ervan.

Het is altijd DNS! Dit is vast een uitdrukking die je wel eens gehoord hebt! DNS is één van de meest ondergewaardeerde diensten op het internet, maar waarschijnlijk ook één van de belangrijkste. Zeker in hybride omgevingen met Private DNS in Azure en meerdere on-premises domeinen, heb je grote kans dat DNS niet werkt zoals bedacht.

DNS, het ‘telefoonboek’ van het internet is iets wat iedereen gebruikt, zelfs zonder het te beseffen. Er zijn publieke DNS records, welke door iedereen kan worden gebruikt en Private DNS records welke alleen binnen een organisatie on-premise of binnen de Azure tenant gebruikt worden.

Het probleem met twee Private DNS systemen

Hiernaast zie je ook hybride DNS waarbij je in Azure private DNS records gebruikt voor bijvoorbeeld Private Endpoints en on-premise binnen de organisatie vaak ook nog een DNS hebben draaien. Het probleem hierbij is dat deze twee Private DNS systemen standaard niet met elkaar kunnen praten. Nu zijn er verschillende mogelijkheden om dit op te lossen. Een van de nieuwe en voorkeur methodes binnen Azure is momenteel de Azure Private DNS Resolver. Het grote voordeel hiervan is dat het een PaaS-dienst is waardoor je zelf niet de onderliggende infrastructuur hoeft te beheren en eventueel bij te werken of op te schalen. Bij het opzetten van de DNS Private Resolver zijn er meerdere mogelijkheden die je kunt doen, afhankelijk van je uiteindelijke doel.

  1. Puur als interne DNS resolver – Deze mode is feitelijk overbodig omdat je hiervoor de standaard Azure DNS servers kunt gebruiken. Deze kan ook gebruikt worden door de on-premise DNS servers om private dns records in Azure op te vragen
  2. Als Hybride DNS Private resolver welke ook verzoeken forward naar de on-premise DNS servers. – Zodra je voor de modus kiest kun je de Private DNS resolver verzoeken voor records vanuit de on-premises DNS resolver forwarden.

De tweede optie (Hybride DNS Private resolver) biedt veel mogelijkheden. Hiermee kun je bepalen welke DNS resolver verantwoordelijk is voor bepaalde verzoeken. Dit is handig als je een split-dns hebt met dezelfde domeinnaam voor intern en extern gebruik, maar met verschillende doeleinden. Je kunt dan vanuit de Azure DNS Resolver de verzoeken voor die domeinnaam doorverwijzen naar de on-premise DNS resolver, die op zijn beurt weer de records die in het externe domein staan doorgeeft.

Voor het opzetten van de Azure DNS resolver dien je er rekening mee te houden dat afhankelijk van de gekozen modus je 1 of 2 subnets nodig hebt, welke toegekend kunnen worden aan de inbound endpoint voor de DNS server of de outbound endpoint.

Wat is een inbound endpoint?

De inbound endpoint is zoals de naam al zegt het subnet waar de verzoeken op binnenkomen. Uit deze reeks zal het eerste adres gebruikt worden om de antwoorden heen te sturen. Dat adres draait feitelijk op een load balancer welke het verzoek vervolgens weer doorstuurt naar een beschikbare instance van de DNS Resolver. Op deze manier hoef je firewall technisch ook maar één adres toe te laten.

Indien bijvoorbeeld ook een Azure Firewall gebruikt wordt, kun je deze als DNS proxy al het verkeer laten doorsturen naar de Azure DNS resolver. Dit geldt voor verkeer binnen Azure, maar ook vanuit on-premise. Op deze manier hoeft alleen je Azure firewall adres bekend te zijn en heb je dus ook de vrijheid om in Azure Firewall het proxyadres te veranderen.

Hoe werkt het voor een outgoing endpoint?

Voor het outgoing endpoint werkt het iets anders, daar kan het verkeer vanaf meerdere instances komen. Voor uitgaand verkeer zal dus altijd het volledige subnet op de firewall toegelaten moeten worden. Op de outgoing endpoint geef je vervolgens precies aan voor welke vermelding een verzoek naar welke DNS server moet worden doorgestuurd. Je kunt dus bijvoorbeeld alle verzoeken naar je interne domeinen laten doorsturen naar je on-premise DNS servers. Maar je zou ook kunnen zeggen dat je een specifiek records altijd door een specifiek externe server wilt laten resolven.

Belangrijk hierbij wel is uiteraard dat TCP/UDP poort 53 vanaf de outgoing endpoint richting de on-premise of externe server toegestaan is, en ook dat on-premise DNS verkeer vanuit het outgoing endpoint subnet toestaat.

Mocht je dus een hybride DNS oplossing hebben en je kunt nog geen afscheid nemen van je lokale DNS dan is Azure DNS Private Resolver zeker een goede oplossing. Het is een schaalbare en makkelijk onderhoudbare oplossing waarmee je relatief simpel de Private DNS records en de eigen on-premise records makkelijk kunt laten resolven door hetzelfde end-point.