Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’intégration DNS de point de terminaison privé Azure est essentielle pour activer une connectivité privée sécurisée aux services Azure au sein de votre réseau virtuel. Cet article décrit les scénarios de configuration DNS courants pour les points de terminaison privés Azure, notamment les options pour les réseaux virtuels, les réseaux appairés et les environnements locaux. Utilisez ces scénarios et bonnes pratiques pour garantir une résolution de noms fiable et sécurisée pour vos applications et services.
Pour connaître les paramètres de zone DNS privé pour les services Azure qui prennent en charge un point de terminaison privé, consultez les valeurs de zone DNS privée du point de terminaison privé Azure.
Caution
Il n’est pas recommandé de remplacer une zone utilisée activement pour résoudre des problèmes liés à des points de terminaison publics. Les connexions aux ressources ne peuvent pas être résolues correctement sans transfert DNS vers le DNS public. Pour éviter les problèmes, créez un autre nom de domaine ou suivez le nom suggéré pour chaque service répertorié plus loin dans cet article.
Les zones DNS privées existantes liées à un seul service Azure ne doivent pas être associées à deux points de terminaison privés de service Azure différents. Cela entraîne la suppression de l’enregistrement A initial et entraîne des problèmes de résolution lors de la tentative d’accès à ce service à partir de chaque point de terminaison privé respectif. Créez une zone DNS pour chaque point de terminaison privé de services similaires. Ne placez pas d’enregistrements pour plusieurs services dans la même zone DNS.
Scénarios de configuration DNS
Le FQDN du service se résout automatiquement en une adresse IP publique. Pour résoudre l’adresse IP privée du point de terminaison privé, vous devez modifier votre configuration DNS.
DNS est essentiel pour que votre application fonctionne correctement, car elle résout l’adresse IP du point de terminaison privé.
Vous pouvez utiliser les scénarios de résolution DNS suivants :
Charges de travail de réseau virtuel sans Azure Private Resolver
Charges de travail de réseau virtuel appairé sans Azure Private Resolver
Charges de travail locales utilisant un redirecteur DNS sans programme de résolution privé Azure)
Azure DNS Private Resolver pour les charges de travail locales
Azure DNS Private Resolver pour le réseau virtuel et les charges de travail locales
Charges de travail de réseau virtuel sans Azure DNS Private Resolver
Cette configuration est appropriée pour les charges de travail de réseau virtuel sans serveur DNS personnalisé. Dans ce scénario, le client recherche l’adresse IP du point de terminaison privé sur le service DNS fourni par Azure 168.63.129.16. Azure DNS est responsable de la résolution DNS des zones DNS privées.
Remarque
Ce scénario utilise la zone DNS privée recommandée d’Azure SQL Database. Pour les autres services, vous pouvez ajuster le modèle à l’aide de la référence suivante : Configuration de la zone DNS des services Azure
Pour la configurer correctement, vous avez besoin des ressources suivantes :
Réseau virtuel client
Zone DNS privée privatelink.database.windows.net avec Type d’enregistrement A
Informations sur le point de terminaison privé (nom d’enregistrement FQDN et adresse IP privée)
La capture d’écran suivante illustre la séquence de résolution DNS des charges de travail de réseau virtuel à l’aide d’une zone DNS privée :
Charges de travail d’un réseau virtuel appairé sans Azure Private Resolver
Vous pouvez étendre ce modèle à plusieurs réseaux virtuels appairés associés au même point de terminaison privé. Ajouter de nouveaux liens de réseau virtuel à la zone DNS privée pour tous les réseaux virtuels appairés.
Important
Une seule zone DNS privée est requise pour cette configuration. La création de plusieurs zones portant le même nom pour différents réseaux virtuels nécessiterait des opérations manuelles pour fusionner les enregistrements DNS.
Si vous utilisez un point de terminaison privé dans un modèle hub-and-spoke d’un autre abonnement ou même au sein du même abonnement, reliez les mêmes zones DNS privées à tous les spokes et réseaux virtuels hub contenant des clients qui nécessitent une résolution DNS à partir des zones.
Dans ce scénario, il existe une topologie de réseau hub-and-spoke. Les réseaux spoke partagent un point de terminaison privé. Les réseaux virtuels spoke sont liés à la même zone DNS privée.
Charges de travail locales à l’aide d’un redirecteur DNS sans programme de résolution privé Azure
Pour que les charges de travail locales résolvent le nom de domaine complet d’un point de terminaison privé, configurez un redirecteur DNS dans Azure. Le redirecteur DNS doit être déployé dans le réseau virtuel lié à la zone DNS privée de votre point de terminaison privé.
Un redirecteur DNS est généralement une machine virtuelle exécutant des services DNS ou un service géré comme pare-feu Azure. Le redirecteur DNS reçoit des requêtes DNS locales ou d’autres réseaux virtuels et les transfère à Azure DNS.
Remarque
Les requêtes DNS pour les points de terminaison privés doivent provenir du réseau virtuel lié à la zone DNS privée. Le redirecteur DNS l’active en proxyant des requêtes pour le compte de clients locaux. Ce scénario utilise la zone DNS privée recommandée d’Azure SQL Database. Pour les autres services, vous pouvez ajuster le modèle à l’aide de la référence suivante : Configuration de la zone DNS des services Azure
Le scénario suivant concerne un réseau local qui a un redirecteur DNS dans Azure. Ce redirecteur résout les requêtes DNS via un redirecteur au niveau du serveur vers Le DNS fourni par Azure 168.63.129.16.
Pour la configurer correctement, vous avez besoin des ressources suivantes :
- Réseau local avec une solution DNS personnalisée existante
- Réseau virtuel connecté à un site local
- Solution DNS déployée dans votre environnement Azure avec la possibilité de transférer conditionnellement des requêtes DNS
- Zone DNS privée privatelink.database.windows.net avec Type d’enregistrement A
- Informations sur le point de terminaison privé (nom d’enregistrement FQDN et adresse IP privée)
Important
Le transfert conditionnel doit être effectué vers le redirecteur de zone DNS public recommandé. Par exemple : database.windows.net au lieu de privatelink.database.windows.net.
- Étendez cette configuration pour les réseaux locaux qui disposent déjà d’une solution DNS personnalisée.
- Configurez votre solution DNS locale avec un redirecteur conditionnel pour la zone DNS privée. Le redirecteur conditionnel doit pointer vers le redirecteur DNS déployé dans Azure, afin que les requêtes DNS pour les points de terminaison privés soient correctement résolues.
La résolution est effectuée par une zone DNS privée liée à un réseau virtuel :
Azure DNS Private Resolver pour les charges de travail locales
Pour les charges de travail locales, afin de résoudre le FQDN d’un point de terminaison privé, utilisez Azure DNS Private Resolver pour résoudre la zone DNS publique du service Azure dans Azure. Azure DNS Private Resolver est un service managé Azure qui peut résoudre les requêtes DNS sans avoir besoin d’une machine virtuelle agissant en tant que redirecteur DNS.
Le scénario suivant concerne un réseau local configuré pour utiliser un programme Azure DNS Private Resolver. Le programme de résolution privé transfère la requête du point de terminaison privé vers Azure DNS.
Remarque
Ce scénario utilise la zone DNS privée recommandée d’Azure SQL Database. Pour les autres services, vous pouvez ajuster le modèle en utilisant la référence suivante : Valeurs de la zone DNS des services Azure.
Les ressources suivantes sont requises pour une configuration appropriée :
Réseau local
Réseau virtuel connecté à un site local
Zones DNS privées privatelink.database.windows.net avec Type d'enregistrement A
Informations sur le point de terminaison privé (nom d’enregistrement FQDN et adresse IP privée)
Le diagramme suivant illustre la séquence de résolution DNS à partir d’un réseau local. La configuration utilise un programme de résolution privé déployé dans Azure. La résolution est effectuée par une zone DNS privée liée à un réseau virtuel :
Azure DNS Private Resolver avec redirecteur DNS local
Cette configuration peut être étendue à un réseau local qui a déjà une solution DNS en place.
La solution DNS locale est configurée pour transférer le trafic DNS vers Azure DNS via un redirecteur conditionnel. Le redirecteur conditionnel fait référence au programme de résolution privé déployé dans Azure.
Remarque
Ce scénario utilise la zone DNS privée recommandée d’Azure SQL Database. Pour les autres services, vous pouvez ajuster le modèle en utilisant la référence suivante : Valeurs de la zone DNS des services Azure
Pour la configurer correctement, vous avez besoin des ressources suivantes :
Réseau local avec une solution DNS personnalisée existante
Réseau virtuel connecté à un site local
Zones DNS privées privatelink.database.windows.net avec Type d'enregistrement A
Informations sur le point de terminaison privé (nom d’enregistrement FQDN et adresse IP privée)
Le diagramme suivant illustre la résolution DNS à partir d’un réseau local. La résolution DNS est transférée de manière conditionnelle vers Azure. La résolution est effectuée par une zone DNS privée liée à un réseau virtuel.
Important
Le transfert conditionnel doit être effectué vers le redirecteur de la zone DNS public recommandé. Par exemple : database.windows.net au lieu de privatelink.database.windows.net.
Azure DNS Private Resolver pour le réseau virtuel et les charges de travail locales
Pour les charges de travail accédant à un point de terminaison privé à partir de réseaux virtuels et locaux, utilisez Azure DNS Private Resolver pour résoudre le service Azure zone DNS publique déployé dans Azure.
Le scénario suivant concerne un réseau local avec des réseaux virtuels dans Azure. Les deux réseaux accèdent au point de terminaison privé situé dans un réseau hub partagé.
Le programme de résolution privé est chargé de résoudre toutes les requêtes DNS via le service DNS fourni par Azure 168.63.129.16.
Important
Une seule zone DNS privée est requise pour cette configuration. Toutes les connexions client effectuées à partir de réseaux virtuels appairés et locaux doivent également utiliser la même zone DNS privée.
Remarque
Ce scénario utilise la zone DNS privée recommandée d’Azure SQL Database. Pour les autres services, vous pouvez ajuster le modèle à l’aide de la référence suivante : Configuration de la zone DNS des services Azure
Pour la configurer correctement, vous avez besoin des ressources suivantes :
Réseau local
Réseau virtuel connecté à un site local
Programme de résolution privé Azure
Zones DNS privées privatelink.database.windows.net avec Type d'enregistrement A
Informations sur le point de terminaison privé (nom d’enregistrement FQDN et adresse IP privée)
Le diagramme suivant montre la résolution DNS pour les deux types de réseaux, locaux et virtuels. La résolution utilise Azure DNS Private Resolver.
La résolution est effectuée par une zone DNS privée liée à un réseau virtuel :
Groupe de zones DNS privées
Si vous choisissez d’intégrer votre point de terminaison privé à une zone DNS privée, un groupe de zones DNS privées est également créé. Le groupe de zones DNS a une association forte entre la zone DNS privée et le point de terminaison privé. Il permet de gérer les enregistrements de zone DNS privée lorsqu’il existe une mise à jour sur le point de terminaison privé. Par exemple, lorsque vous ajoutez ou supprimez des régions, la zone DNS privée est automatiquement mise à jour avec le nombre d’enregistrements correct.
Auparavant, les enregistrements DNS pour le point de terminaison privé étaient créés via un script (en récupérant certaines informations sur le point de terminaison privé et en les ajoutant ensuite à la zone DNS). Grâce au groupe de zones DNS, il n’est pas nécessaire d’écrire des lignes CLI/PowerShell supplémentaires pour chaque zone DNS. En outre, lorsque vous supprimez le point de terminaison privé, tous les enregistrements DNS du groupe de zones DNS sont supprimés.
Dans une topologie en étoile, un scénario courant permet de créer des zones DNS privées une seule fois dans l'étoile. Cette configuration permet au réseau en étoile de s’enregistrer sur cette zone, au lieu de créer des zones différentes dans chaque ramification.
Remarque
- Chaque groupe de zones DNS peut prendre en charge jusqu’à cinq zones DNS.
- L’ajout de plusieurs groupes de zones DNS à un seul point de terminaison privé n’est pas pris en charge.
- Les opérations de suppression et de mise à jour pour les enregistrements DNS sont visibles par Azure Traffic Manager et DNS. Il s’agit d’une opération de plateforme normale nécessaire à la gestion de vos enregistrements DNS.