LoginSignup
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yuyanz(yuya)

Azure Firewall DNSプロキシを試す

Last updated at Posted at 2025-03-25

はじめに

本記事ではAzure Firewall DNSプロキシを試します。

登場する単語 意味
名前解決 FQDN(例example.com)をIPアドレスに変換すること
Azure Private Link プライベートにAzureリソースへ接続できるサービス
Azure プライベートDNS プライベートIPアドレスで名前解決するためのDNSサービス

なぜAzure Firewall DNSプロキシが必要なのか

例えば何かのサービスでPrivate Linkを使用することがあるかと思います。
Private Linkを使用する場合、同時にプライベートDNSを使用することになります。

プライベートDNSは通常、Azure内でのみ利用できます。

Learnの図のように通常はVNet内から名前解決をしています。

プライベートDNS.png

しかし、オンプレミス環境から接続する際にもこのプライベートDNSを使用したいケースがあります。オンプレミス環境からプライベートDNSへ名前解決をしたくとも応答してくれません。

そんな時に登場する解決策の一つがAzure Firewall DNSプロキシです。
今回はAzure Firewall DNSプロキシを使用して、オンプレミス環境から名前解決してみます。

構成図

クライアントPCのDNS設定をAzure Firewallにした状態で、プライベートDNSへ名前解決します。

P2S-firewall-simple.png

以下の順に作成します。

  1. 閉域接続設定
  2. プライベートDNS作成
  3. Azure Firewall DNSプロキシの設定

閉域接続設定

クライアントPCからVNetへ通信できる環境であれば何でも大丈夫です。
ExpressRoute、VPNGateway(S2S、P2S)など

私はOpenVPNを使用してP2Sで接続しています↓

雑な記事で申し訳ないですが、VPNGatewayでP2Sする場合はこちら

  • OpenVPNは少々複雑ですが、VMで起動停止が可能です
  • VPNGatewayはMicrosoft純正品なのでお手軽です

プライベートDNS作成

1. プライベートDNS作成

プライベートDNS作成.png

2. Aレコード作成

3.VNetとリンク

プライベートDNSをVNetに紐づける.png
→追加ボタンより、VNetを選択。

Azure Firewall DNSプロキシの設定

こちらを参考に進めます。

VNetのDNSサーバーをカスタムにしてAzure FirewallのプライベートIPアドレスを指定しておきます。

Azure FirewallのDNS設定画面で以下のように設定します
DNSプロキシ.png

DNS設定はAzure Firewallインスタンスの[設定] 画面に[DNS 設定] がない場合はAzure Firewallポリシーの設定画面を確認してみてください

閉域接続せずにnslookupしてみる

自宅PCからインターネット経由で名前解決してみます。

パブリック名前解決.png

パブリックIPアドレスになってます。
プライベートDNSを使用できていません。

閉域接続

OpenVPN接続(P2S)をします。

接続したインターフェースの設定を見てみると、
既にDNSが以下のように設定されていました。

VNetのDNSサーバー設定を入れていると自動で反映されるようです。

nslookupしてみる

プライベート名前解決.png

無事プライベートIPアドレスに名前解決されました

余談

Azure FirewallのDNS設定を以下のようにしてみます。

カスタムDNSにするとどうなるんじゃい?.png

168.63.129.16の機能
168.63.129.16はAzure が提供しているDNS機能というイメージです。
Defaultでも168.63.129.16に向いているはずなので、Customでこういう風に指定してもうまくいくはず。

nslookup!
プライベート名前解決(カスタムDNS後).png

期待通りプライベートIPに名前解決されました!

補足(Private Linkを使用した場合)

Private Linkで作成したプライベートDNSを試した際の話です。
以下構成図でも試してみました。

P2S-firewall.png

通常はPrivate Endpointが作成されたVNet-Spoke-1とプライベートDNSがリンクされます。
しかし、VNet-HUBにはプライベートDNSがリンクされていません。
DNSプロキシを使用する場合はVNet(B)にもリンクしてあげる必要があります。

最後に

通常、プライベートDNSの名前解決をオンプレミスから実施できませんが、
Azure Firewall DNSプロキシを用いることで解決することができました。
あくまでAzure Firewallは解決策の一つの例です。他の方法が気になるかたは参考文献をご参照ください。

参考文献

◆Learn
DNS プロキシの構成

◆ブログ 
今回以外の方法など、網羅的かつ丁寧に解説されておりおすすめです。
Azure Private Endpoint のための DNS 構成パターン

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?