Azure Stack Hub データセンターの DNS 統合

Azure Stack Hub の外部からポータル、管理、管理、管理などの Azure Stack Hub エンドポイントにアクセスできるようにするには、Azure Stack Hub DNS サービスを、Azure Stack Hub で使用する DNS ゾーンをホストする DNS サーバーと統合する必要があります。

Azure Stack Hub の DNS 名前空間

Azure Stack Hub をデプロイするときに、DNS に関するいくつかの重要な情報を指定する必要があります。

Azure Stack Hub のデプロイの完全修飾ドメイン名 (FQDN) とエンドポイントは、リージョン パラメーターと外部ドメイン名パラメーターの組み合わせです。 前の表に示した例の値を使用すると、この Azure Stack Hub のデプロイの FQDN は次の名前のようになります。

east.cloud.fabrikam.com

同様に、このデプロイのエンドポイントは次の URL のようになります。

https://portal.east.cloud.fabrikam.com https://management.east.cloud.fabrikam.com

https://adminportal.east.cloud.fabrikam.com https://adminmanagement.east.cloud.fabrikam.com

この例の DNS 名前空間を Azure Stack Hub のデプロイに使用するには、次の条件が必要です。

• fabrikam.comゾーンは、名前解決の要件に応じて、ドメイン レジストラー、社内 DNS サーバー、またはその両方に登録されます。
• 子ドメイン cloud.fabrikam.com は、ゾーン fabrikam.comの下に存在します。
• ゾーン fabrikam.com および cloud.fabrikam.com をホストする DNS サーバーは、Azure Stack Hub デプロイからアクセスできます。

Azure Stack Hub の外部から Azure Stack Hub エンドポイントおよびインスタンスの DNS 名を解決できるようにするには、Azure Stack Hub の外部 DNS ゾーンをホストする DNS サーバーと、使用したい親ゾーンをホストする DNS サーバーを統合する必要があります。

DNS 名ラベル

Azure Stack Hub では、パブリック IP アドレスへの DNS 名ラベルの追加がサポートされており、パブリック IP アドレスの名前解決が可能です。 DNS ラベルは、Azure Stack Hub でホストされているアプリとサービスにユーザーが名前でアクセスできる便利な方法です。 DNS 名ラベルでは、インフラストラクチャ エンドポイントとはわずかに異なる名前空間が使用されます。 前のサンプル名前空間に続いて、DNS 名ラベルの名前空間が次のように表示されます。

*.east.cloudapp.cloud.fabrikam.com

そのため、テナントがパブリック IP アドレス リソースの DNS 名ラベル フィールドで値 Myapp を示す場合、Azure Stack Hub の外部 DNS サーバー上にあるゾーン east.cloudapp.cloud.fabrikam.com で myapp の A レコードが作成されます。 結果として得られる完全修飾ドメイン名は次のようになります。

myapp.east.cloudapp.cloud.fabrikam.com

この機能と名前空間を使用する場合は、Azure Stack Hub の外部 DNS ゾーンをホストする DNS サーバーを、使用する親ゾーンをホストする DNS サーバーと統合する必要があります。 この名前空間は Azure Stack Hub サービス エンドポイントの名前空間とは異なるので、別の委任または条件付き転送規則を作成する必要があります。

DNS 名ラベルのしくみの詳細については、「 Azure Stack Hub での DNS の使用」を参照してください。

解決と委任

DNS サーバーには次の 2 種類があります。

• 権限のある DNS サーバーは DNS ゾーンをホストします。 このサーバーは、これらのゾーン内のレコードに対する DNS クエリのみに応答します。
• 再帰 DNS サーバーは DNS ゾーンをホストしません。 このサーバーは、権限のある DNS サーバーを呼び出して必要なデータを収集することで、すべての DNS クエリに応答します。

Azure Stack Hub には、権限のある DNS サーバーと再帰 DNS サーバーの両方が含まれます。 再帰サーバーは、その Azure Stack Hub のデプロイの内部プライベート ゾーンと外部パブリック DNS ゾーンを除くすべての名前の解決に使用されます。

Azure Stack Hub からの外部 DNS 名の解決

Azure Stack Hub の外部にあるエンドポイントの DNS 名 ( 例:www.bing.com) を解決するには、Azure Stack Hub が権限のない DNS 要求を転送するために Azure Stack Hub が使用できる DNS サーバーを指定する必要があります。 デプロイの場合、Azure Stack Hub が要求を転送する DNS サーバーは、デプロイ ワークシート ( [DNS フォワーダー ] フィールド) で必要です。 フォールト トレランスのために、このフィールドには 2 つ以上のサーバーを入力します。 これらの値がない場合、Azure Stack Hub のデプロイは失敗します。 デプロイ後に、 Set-AzSDnsForwarder コマンドレットを使用して DNS フォワーダーの値を編集できます。

外部 DNS フォワーダー サーバーが Azure Stack Hub から転送された DNS 要求を解決できない場合、既定では、内部 DNS 再帰リゾルバー サービスは DNS ルート ヒント サーバーへの接続を試みます。 このフォールバック動作は、DNS サーバーの名前解決標準と一致します。 インターネット ルート ヒント サーバーは、DNS フォワーダー サーバーがホストゾーンまたは DNS サーバー キャッシュからローカルでクエリを解決できない場合に、DNS アドレス情報を解決するために使用されます。

Azure Stack Hub 内の内部 DNS 名前解決サービスの DNS ルート ヒント 設定を管理するには、 Get-AzSDnsServerSettings コマンドレットを使用して現在の構成を表示します。既定の設定は有効です。 Set-AzSDnsServerSettings コマンドレットは、内部 DNS サーバーの -UseRootHint 構成を有効または無効にします。

条件付き DNS フォワーダーの構成

既存の DNS インフラストラクチャ を使用して名前解決を有効にするには、条件付きフォワーダーを構成します。

条件付きフォワーダーを追加するには、特権エンドポイントを使用する必要が あります。

この手順では、データセンター ネットワーク内の、Azure Stack Hub の特権エンドポイントと通信できるコンピューターを使用します。

1. 管理者特権の Windows PowerShell セッションを開き (管理者として実行)、特権エンドポイントの IP アドレスに接続します。 CloudAdmin 認証の資格情報を使用します。

   $cred=Get-Credential 
   Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred
   

2. 特権エンドポイントに接続したら、次の PowerShell コマンドを実行します。 サンプルの値を、使用する DNS サーバーのドメイン名とアドレスで置き換えてください。

   Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
   

Azure Stack Hub の外部からの DNS 名の解決

権限のあるサーバーは、外部の DNS ゾーンとユーザーが作成したゾーンの情報を保持しています。 これらのサーバーと統合することで、ゾーンの委任または条件付き転送で、Azure Stack Hub の外部から Azure Stack Hub DNS 名を解決できるようになります。

DNS サーバーの外部エンドポイント情報の取得

Azure Stack Hub のデプロイを DNS インフラストラクチャと統合するには、次の情報が必要です。

• DNS サーバーの FQDN
• DNS サーバーの IP アドレス

Azure Stack Hub DNS サーバーの FQDN は、次の形式になります。

<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

サンプル値を使用する場合、DNS サーバーの FQDN は次のようになります。

azs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.com

この情報は、すべての Azure Stack Hub のデプロイの最後に AzureStackStampInformation.json という名前のファイルにも作成されます。 このファイルは、デプロイ仮想マシンの C:\CloudDeployment\logs フォルダー内にあります。 Azure Stack Hub のデプロイに使用された値がわからない場合は、ここからその値を取得できます。

デプロイ仮想マシンが使用できなくなった場合、またはアクセスできない場合は、特権エンドポイントに接続し、 Get-AzureStackStampInformation PowerShell コマンドレットを実行して値を取得できます。 詳細については、「 特権エンドポイント」を参照してください。

Azure Stack Hub への条件付き転送の設定

Azure Stack Hub を DNS インフラストラクチャと統合する最も簡単で最も安全な方法は、親ゾーンをホストするサーバーからゾーンの条件付き転送を行うことです。 この方法は、Azure Stack Hub 外部 DNS 名前空間の親ゾーンをホストする DNS サーバーを直接制御する場合に推奨されます。

DNS で条件付き転送を行う方法に慣れていない場合は、TechNet の記事「 ドメイン名に条件付きフォワーダーを割り当てる」または DNS ソリューションに固有のドキュメントを参照してください。

外部の Azure Stack Hub DNS ゾーンを企業ドメイン名の子ドメインのように指定したシナリオでは、条件付き転送を使用できません。 DNS 委任を構成する必要があります。

例：

• 企業 DNS ドメイン名: contoso.com
• Azure Stack Hub の外部 DNS ドメイン名: azurestack.contoso.com

DNS フォワーダー IP の編集

DNS フォワーダー IP は、Azure Stack Hub のデプロイ中に設定されます。 ただし、何らかの理由でフォワーダー IP を更新する必要がある場合は、特権エンドポイントに接続し、 Get-AzSDnsForwarder と powerShell コマンドレットを実行して値 Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] 編集できます。 詳細については、「 特権エンドポイント」を参照してください。

外部 DNS ゾーンを Azure Stack Hub に委任する

Azure Stack Hub デプロイの外部から DNS 名を解決できるようにするには、DNS 委任を設定する必要があります。

各レジストラーは独自の DNS 管理ツールを所有していて、ドメインのネーム サーバー レコードを変更します。 レジストラーの DNS 管理ページで、NS レコードを編集し、ゾーンの NS レコードを Azure Stack Hub の NS レコードに置き換えます。

ほとんどの DNS レジストラーでは、委任を完了するために少なくとも 2 つの DNS サーバーを提供する必要があります。

次のステップ

ファイアウォールの統合