Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Integracja usługi DNS prywatnego punktu końcowego platformy Azure jest niezbędna do umożliwienia bezpiecznej, prywatnej łączności z usługami platformy Azure w sieci wirtualnej. W tym artykule opisano typowe scenariusze konfiguracji DNS dla prywatnych punktów końcowych platformy Azure, w tym opcje dla sieci wirtualnych, sieci równorzędnych i środowisk lokalnych. Skorzystaj z tych scenariuszy i najlepszych rozwiązań, aby zapewnić niezawodne i bezpieczne rozpoznawanie nazw dla aplikacji i usług.
Aby uzyskać informacje o ustawieniach prywatnej strefy DNS dla usług platformy Azure, które obsługują prywatny punkt końcowy, zobacz Wartości prywatnej strefy DNS prywatnego punktu końcowego platformy Azure.
Ostrzeżenie
Nie zaleca się zastępowania strefy, która jest aktywnie używana do rozpoznawania publicznych punktów końcowych. Bez przekierowywania DNS do publicznego DNS, połączenia z zasobami nie będą mogły być prawidłowo rozwiązywane. Aby uniknąć problemów, utwórz inną nazwę domeny lub postępuj zgodnie z sugerowaną nazwą dla każdej usługi wymienionej w dalszej części tego artykułu.
Istniejące prywatne strefy DNS połączone z pojedynczą usługą Azure nie powinny być skojarzone z dwoma różnymi prywatnymi punktami końcowymi usług Azure. Spowoduje to usunięcie początkowego rekordu A i rozwiązanie problemów podczas próby uzyskania dostępu do tej usługi z każdego prywatnego punktu końcowego. Utwórz strefę DNS dla każdego prywatnego punktu końcowego takich usług. Nie umieszczaj rekordów dla wielu usług w tej samej strefie DNS.
Scenariusze konfiguracji DNS
Nazwa FQDN usługi automatycznie przekłada się na publiczny adres IP. Aby rozpoznać prywatny adres IP prywatnego punktu końcowego, zmień konfigurację DNS.
System DNS ma kluczowe znaczenie dla prawidłowego działania aplikacji, ponieważ rozpoznaje prywatny adres IP punktu końcowego.
Można użyć następujących scenariuszy rozpoznawania nazw DNS:
Obciążenia sieci wirtualnej bez usługi Azure Private Resolver
Obciążenia równorzędnej sieci wirtualnej bez usługi Azure Private Resolver
Obciążenia lokalne przy użyciu serwera przekazującego DNS bez prywatnego rozwiązywacza Azure)
Obciążenia sieci wirtualnej bez usługi Azure Private Resolver
Ta konfiguracja jest odpowiednia dla obciążeń sieci wirtualnej bez niestandardowego serwera DNS. W tym scenariuszu klient wysyła zapytania dotyczące prywatnego adresu IP punktu końcowego do usługi DNS dostarczonej przez platformę Azure 168.63.129.16. Usługa Azure DNS jest odpowiedzialna za rozpoznawanie nazw DNS prywatnych stref DNS.
Uwaga
W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: Konfiguracja strefy DNS usług platformy Azure.
Do prawidłowego skonfigurowania potrzebne są następujące zasoby:
Sieć wirtualna klienta
Prywatna strefa DNS privatelink.database.windows.net z typem rekordu A
Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Poniższy zrzut ekranu przedstawia sekwencję rozpoznawania nazw DNS z obciążeń sieci wirtualnej przy użyciu prywatnej strefy DNS:
Obciążenia równorzędnej sieci wirtualnej bez usługi Azure Private Resolver
Ten model można rozszerzyć na równorzędne sieci wirtualne skojarzone z tym samym prywatnym punktem końcowym. Dodaj nowe łącza sieci wirtualnej do prywatnej strefy DNS dla wszystkich połączonych sieci wirtualnych.
Ważne
Dla tej konfiguracji wymagana jest jedna prywatna strefa DNS. Utworzenie wielu stref o tej samej nazwie dla różnych sieci wirtualnych wymagałoby ręcznego scalania rekordów DNS.
Jeśli używasz prywatnego punktu końcowego w modelu piasty i szprych z innej subskrypcji, a nawet w ramach tej samej subskrypcji, połącz te same prywatne strefy DNS ze wszystkimi szprychami i sieciami wirtualnymi piasty, które zawierają klientów, którzy potrzebują rozpoznawania nazw DNS ze stref.
W tym scenariuszu istnieje topologia sieci piasty i szprych . Sieci typu szprychowego współużytkują prywatny punkt końcowy. Wirtualne sieci szprychowe są połączone do tej samej prywatnej strefy DNS.
Obciążenia lokalne korzystające z serwera przekazującego DNS bez użycia prywatnego rozwiązania Azure
Aby lokalne obciążenia rozpoznawały nazwę FQDN prywatnego punktu końcowego, skonfiguruj przekazywacz DNS na platformie Azure. Usługę przesyłania dalej DNS należy wdrożyć w sieci wirtualnej połączonej z prywatną strefą DNS dla prywatnego punktu końcowego.
Usługa przesyłania dalej DNS jest zazwyczaj maszyną wirtualną z uruchomionymi usługami DNS lub usługą zarządzaną, na przykład Azure Firewall. Usługa przesyłania dalej DNS odbiera zapytania DNS z lokalnych lub innych sieci wirtualnych i przekazuje je do usługi Azure DNS.
Uwaga
Zapytania DNS dotyczące prywatnych punktów końcowych muszą pochodzić z sieci wirtualnej połączonej z prywatną strefą DNS. Usługa przesyłania dalej DNS umożliwia to poprzez przepuszczanie zapytań w imieniu klientów lokalnych. W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: Konfiguracja strefy DNS usług platformy Azure.
Poniższy scenariusz dotyczy sieci lokalnej z usługą przesyłania dalej DNS na platformie Azure. Ten przekaźnik rozwiązuje zapytania DNS poprzez przekaźnik na poziomie serwera do serwera DNS dostarczonego przez Azure, 168.63.129.16.
Do prawidłowego skonfigurowania potrzebne są następujące zasoby:
- Lokalna sieć z niestandardowym rozwiązaniem DNS
- Sieć wirtualna połączona z środowiskiem lokalnym
- Rozwiązanie DNS wdrożone w środowisku platformy Azure z możliwością warunkowego przekazywania żądań DNS
- Prywatna strefa DNS privatelink.database.windows.net z typem rekordu A
- Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Ważne
Przekazywanie warunkowe musi być skierowane do zalecanego publicznego przekazującego strefy DNS. Na przykład: database.windows.net zamiast privatelink.database.windows.net.
- Rozszerz tę konfigurację dla sieci lokalnych, które mają już niestandardowe rozwiązanie DNS.
- Skonfiguruj lokalne rozwiązanie DNS z użyciem warunkowego przesyłania dalej dla prywatnej strefy DNS. Warunkowy przekaznik DNS powinien wskazywać na usługę przesyłania dalej DNS wdrożony na platformie Azure, aby zapytania DNS dotyczące prywatnych punktów końcowych były prawidłowo rozwiązywane.
Rozpoznawanie jest wykonywane przez prywatną strefę DNS połączoną z siecią wirtualną:
Usługa Azure Private Resolver dla obciążeń lokalnych
Aby lokalne obciążenia mogły rozpoznać FQDN prywatnego punktu końcowego, użyj Azure Private Resolver do rozpoznawania publicznej strefy DNS dla usług platformy Azure. Azure Private Resolver to usługa zarządzana platformy Azure, która umożliwia rozpoznawanie zapytań DNS bez konieczności używania maszyny wirtualnej działającej jako usługa przesyłania dalej DNS.
Poniższy scenariusz dotyczy sieci lokalnej skonfigurowanej do korzystania z usługi Azure Private Resolver. Prywatny program rozpoznawania nazw przekazuje żądanie dla prywatnego punktu końcowego do usługi Azure DNS.
Uwaga
W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: wartości strefy DNS usług platformy Azure.
Do prawidłowej konfiguracji wymagane są następujące zasoby:
Sieć lokalna
prywatne strefy DNS privatelink.database.windows.net z rekordem typu A
Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Na poniższym diagramie przedstawiono sekwencję rozpoznawania nazw DNS z sieci lokalnej. Konfiguracja wykorzystuje Prywatny Resolver wdrożony na platformie Azure. Rozpoznawanie jest wykonywane przez prywatną strefę DNS połączoną z siecią wirtualną:
Usługa Azure Private Resolver z lokalnym serwerem przekazywania DNS
Tę konfigurację można rozszerzyć dla sieci lokalnej, która ma już rozwiązanie DNS.
Lokalne rozwiązanie DNS na miejscu jest skonfigurowane do przekazywania ruchu DNS do usługi Azure DNS przez warunkowe przesyłanie dalej. Przekierowywacz warunkowy odwołuje się do usługi Private Resolver wdrożonej na platformie Azure.
Uwaga
W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: Wartości strefy DNS usług platformy Azure
Do prawidłowego skonfigurowania potrzebne są następujące zasoby:
Lokalna sieć z niestandardowym rozwiązaniem DNS
prywatne strefy DNS privatelink.database.windows.net z rekordem typu A
Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Na poniższym diagramie przedstawiono rozwiązywanie DNS z sieci lokalnej wewnętrznej. Rozpoznawanie nazw DNS jest warunkowo przekazywane do platformy Azure. Rozpoznawanie jest wykonywane przez prywatną strefę DNS połączoną z siecią wirtualną.
Ważne
Przekazywanie warunkowe musi być ustawione na zalecany publiczny serwer przesyłania dalej strefy DNS. Na przykład: database.windows.net zamiast privatelink.database.windows.net.
Prywatny resolver platformy Azure dla obciążeń sieci wirtualnych i obciążeń lokalnych
W przypadku obciążeń, które uzyskują dostęp do prywatnego punktu końcowego z sieci wirtualnych i lokalnych, użyj usługi Azure Private Resolver, aby rozpoznać publiczną strefę DNS usługi platformy Azure.
Poniższy scenariusz dotyczy sieci lokalnej z sieciami wirtualnymi na platformie Azure. Obie sieci uzyskują dostęp do prywatnego punktu końcowego znajdującego się we wspólnej sieci centralnej.
Prywatny resolver jest odpowiedzialny za rozwiązywanie wszystkich zapytań DNS przez usługę DNS dostarczoną przez Azure 168.63.129.16.
Ważne
Dla tej konfiguracji wymagana jest jedna prywatna strefa DNS. Wszystkie połączenia klientów z lokalnych i równorzędnych sieci wirtualnych muszą również używać tej samej prywatnej strefy DNS.
Uwaga
W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: Konfiguracja strefy DNS usług platformy Azure.
Do prawidłowego skonfigurowania potrzebne są następujące zasoby:
Sieć lokalna
Prywatny resolver platformy Azure
prywatne strefy DNS privatelink.database.windows.net z rekordem typu A
Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Na poniższym diagramie przedstawiono rozpoznawanie nazw DNS dla obu sieci, sieci lokalnych i wirtualnych. Rozwiązanie korzysta z usługi Azure Private Resolver.
Rozpoznawanie jest wykonywane przez prywatną strefę DNS połączoną z siecią wirtualną:
Grupa prywatnych stref DNS
Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatną strefą DNS, zostanie również utworzona prywatna grupa stref DNS. Grupa stref DNS ma silne skojarzenie między prywatną strefą DNS a prywatnym punktem końcowym. Ułatwia zarządzanie prywatnymi rekordami strefy DNS w przypadku aktualizacji prywatnego punktu końcowego. Na przykład podczas dodawania lub usuwania regionów prywatna strefa DNS jest automatycznie aktualizowana przy użyciu odpowiedniej liczby rekordów.
Wcześniej rekordy DNS dla prywatnego punktu końcowego zostały utworzone za pośrednictwem skryptów (pobieranie pewnych informacji o prywatnym punkcie końcowym, a następnie dodawanie go do strefy DNS). W przypadku grupy stref DNS nie ma potrzeby pisania dodatkowych wierszy CLI lub PowerShell dla każdej strefy DNS. Ponadto po usunięciu prywatnego punktu końcowego wszystkie rekordy DNS w grupie strefy DNS zostaną usunięte.
W topologii piasty i szprych typowy scenariusz umożliwia tworzenie prywatnych stref DNS tylko raz w centrum. Ta konfiguracja pozwala węzłom zarejestrować się do niej, zamiast tworzyć różne strefy w każdym węźle.
Uwaga
- Każda grupa stref DNS może obsługiwać maksymalnie pięć stref DNS.
- Dodawanie wielu grup stref DNS do jednego prywatnego punktu końcowego nie jest obsługiwane.
- Operacje usuwania i aktualizowania rekordów DNS można wyświetlać w usługach Azure Traffic Manager i DNS. Jest to normalna operacja platformy niezbędna do zarządzania rekordami DNS.