Поделиться через

Интеграция DNS для частной конечной точки Azure

  • Статья

Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. Частная конечная точка использует частный IP-адрес из виртуальной сети, эффективно предоставляя доступ к службе из виртуальной сети. Служба может быть службой Azure, такой как Azure Storage, Azure Cosmos DB, SQL и т. д., или собственной службой Private Link Service. В этой статье описаны сценарии конфигурации DNS для частной конечной точки Azure.

Параметры частной зоны DNS для служб Azure, поддерживающих частную конечную точку, см. в разделе "Значения частной зоны DNS частной конечной точки Azure".

Сценарии настройки DNS

The FQDN of the services resolves automatically to a public IP address. To resolve to the private IP address of the private endpoint, change your DNS configuration.

DNS является критически важным компонентом, обеспечивающим правильную работу приложения за счет правильного разрешения IP-адреса частной конечной точки.

В соответствии с вашими предпочтениями доступны следующие сценарии с интегрированным разрешением DNS:

Рабочие нагрузки виртуальной сети без приватного резолвера Azure

Эта конфигурация подходит для рабочих нагрузок виртуальных сетей без пользовательского DNS-сервера. В этом сценарии клиент запрашивает IP-адрес частной конечной точки для предоставленной Azure службы DNS 168.63.129.16. Azure DNS отвечает за разрешение DNS частных зон DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: конфигурация зоны DNS служб Azure.

Для правильной настройки необходимы следующие ресурсы:

На следующем снимке экрана показана последовательность разрешения DNS для рабочих нагрузок виртуальной сети, с использованием частной DNS-зоны.

Схема одной виртуальной сети и dns, предоставленной Azure.

Peered virtual network workloads without Azure Private Resolver

Эту модель можно расширить на одноранговые виртуальные сети, связанные с той же частной конечной точкой. Добавьте новые ссылки на виртуальную сеть в частную зону DNS для всех одноранговых виртуальных сетей.

Внимание

  • Для этой конфигурации требуется одна частная зона DNS. При создании нескольких зон с одинаковым именем для разных виртуальных сетей потребуется выполнить операции объединения записей DNS вручную.

  • If you're using a private endpoint in a hub-and-spoke model from a different subscription or even within the same subscription, link the same private DNS zones to all spokes and hub virtual networks that contain clients that need DNS resolution from the zones.

In this scenario, there's a hub and spoke networking topology. The spoke networks share a private endpoint. The spoke virtual networks are linked to the same private DNS zone.

Diagram of hub and spoke with Azure-provided DNS.

Azure Private Resolver for on-premises workloads

For on-premises workloads to resolve the FQDN of a private endpoint, use Azure Private Resolver to resolve the Azure service public DNS zone in Azure. Частный резолвер Azure — это управляемая служба Azure, которая может разрешать запросы DNS без необходимости виртуальной машины, выступающей в качестве сервера пересылки DNS.

Следующий сценарий предназначен для локальной сети, настроенной для использования Azure Private Resolver. Частный разрешатель перенаправляет запрос к частной конечной точке в Azure DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: значения зоны DNS служб Azure.

Для правильной настройки требуются следующие ресурсы:

На следующей схеме показана последовательность разрешения DNS из локальной сети. В конфигурации используется Private Resolver, развернутый в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Схема локальной среды с помощью частной зоны DNS Azure.

Azure Private Resolver with on-premises DNS forwarder

Эту конфигурацию можно расширить для локальной сети, в которой уже есть решение DNS.

В локальном решении DNS настроено перенаправление трафика DNS в службу Azure DNS через сервер условного перенаправления. Условный переадресатор ссылается на частный резолвер, развернутый в Azure.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: значения зоны DNS служб Azure

Для правильной настройки необходимы следующие ресурсы:

На следующей схеме демонстрируется разрешение DNS из локальной сети. DNS resolution is conditionally forwarded to Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Внимание

The conditional forwarding must be made to the recommended public DNS zone forwarder. Например, database.windows.net вместо privatelink.database.windows.net.

Схема локальной пересылки в Azure DNS.

Частный резолвер Azure для виртуальной сети и локальных рабочих нагрузок

For workloads accessing a private endpoint from virtual and on-premises networks, use Azure Private Resolver to resolve the Azure service public DNS zone deployed in Azure.

Следующий сценарий подходит для локальной сети с виртуальными сетями в Azure. Обе сети обращаются к частной конечной точке, расположенной в общей центральной сети.

Частный резолвер отвечает за разрешение всех DNS-запросов через службу DNS, предоставленную Azure, 168.63.129.16.

Внимание

Для этой конфигурации требуется одна частная зона DNS. Все клиентские подключения из локальных и пиринговых виртуальных сетей также должны использовать одну частную зону DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: конфигурация зоны DNS служб Azure.

Для правильной настройки необходимы следующие ресурсы:

На следующей схеме демонстрируется разрешение DNS для локальной и виртуальной сетей. Решение использует приватный резолвер Azure.

Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Схема гибридного сценария с частной зоной DNS.

Группа частной зоны DNS

Если вы решили интегрировать закрытую конечную точку с частной зоной DNS, также будет создана группа частной зоны DNS. Группа зон DNS имеет сильную связь между частной зоной DNS и частной конечной точкой. Это помогает управлять записями частной зоны DNS при обновлении частной конечной точки. Например, при добавлении или удалении регионов частная зона DNS автоматически обновляется с правильным количеством записей.

Ранее записи DNS для частной конечной точки создавались с помощью сценариев (получение определенных сведений о частной конечной точке и их добавление в зону DNS). При использовании группы зон DNS не требуется записывать дополнительные строки CLI/PowerShell для каждой зоны DNS. Кроме того, при удалении частной конечной точки удаляются все записи DNS в группе зон DNS.

В топологии концентратора и периферийной топологии распространенный сценарий позволяет создавать частные зоны DNS только один раз в концентраторе. This setup permits the spokes to register to it, instead of creating different zones in each spoke.

Примечание.

  • Каждая группа зон DNS может поддерживать до пяти зон DNS.
  • Добавление нескольких групп зон DNS в одну частную конечную точку не поддерживается.
  • Операции удаления и обновления записей DNS можно просматривать с помощью Диспетчер трафика Azure и DNS. Это обычная операция платформы, необходимая для управления записями DNS.

Следующие шаги