AZ700-CORE#47
双方向 DNS 解決 (オンプレ↔Azure) を Azure DNS Private Resolver で構築する手順を順序付けてください。
- Azure DNS Private Resolver リソースを Hub VNet に作成
- Inbound Endpoint をデプロイ (専用サブネット /28 必要、IP 自動割り当て)
- Outbound Endpoint をデプロイ (別の専用サブネット /28 必要)
- Forwarding Ruleset を作成し、Outbound Endpoint にリンク
解説
【正しい順序】
- ステップ 1: Resolver リソース作成
- ステップ 2: Inbound Endpoint デプロイ
- ステップ 3: Outbound Endpoint デプロイ
- ステップ 4: Forwarding Ruleset 作成 + Outbound 関連付け
【各ステップの理由】
- ステップ 1: Resolver 作成: すべての Endpoint や Ruleset の親リソースとなる Resolver を最初に作成します。Hub VNet に配置することで集中管理を実現します。
- ステップ 2: Inbound Endpoint: オンプレからのクエリ受信ポイント。専用サブネット (/28、最小 16 IP) が必須で、ここに割り当てられた IP がオンプレ条件付き転送の宛先となります。サブネットには他のリソースを配置不可です。
- ステップ 3: Outbound Endpoint: Azure 側から条件付き転送するときの送信元。Inbound とは別のサブネット必須です。これも /28 専用サブネット。
- ステップ 4: Forwarding Ruleset: 転送ルールのコンテナを作成し、Outbound に関連付け。Ruleset は複数のルールを含む親リソース。
【専用サブネット計画例】
| サブネット名 | CIDR | 用途 |
|---|---|---|
| resolver-inbound-subnet | 10.0.10.0/28 | Inbound Endpoint 専用 |
| resolver-outbound-subnet | 10.0.10.16/28 | Outbound Endpoint 専用 |
【誤った順序の問題点】
- ❌ Ruleset を Outbound 前に作成: Ruleset は Outbound に関連付ける必要があるため、Outbound 未デプロイの状態では関連付けできません。作成自体は可能だが意味をなしません。
- ❌ オンプレ転送を最初に設定: Resolver Inbound IP が確定する前にオンプレ側で転送設定すると、宛先 IP が不明で無効な設定になります。
- ❌ Inbound と Outbound を同じサブネットに配置: 仕様上、それぞれ別の専用サブネット必須です。
コメント