Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеграция DNS частной конечной точки в Azure важна для обеспечения безопасного, приватного подключения к службам Azure в вашей виртуальной сети. В этой статье описываются распространенные сценарии конфигурации DNS для Azure частных конечных точек, включая параметры виртуальных сетей, пиринговых сетей и локальных сред. Используйте эти сценарии и рекомендации, чтобы обеспечить надежное и безопасное разрешение имен для приложений и служб.
См. параметры частной зоны DNS для служб Azure, поддерживающих Azure Private Endpoint, в разделе значения частной зоны DNS для частной конечной точки Azure.
Caution
Мы не рекомендуем изменять зону, которая находится в активном использовании для разрешения общедоступных конечных точек. Подключения к ресурсам не смогут правильно осуществляться без переадресации DNS на общедоступный DNS. Чтобы избежать проблем, создайте другое доменное имя или следуйте предлагаемому имени для каждой службы, указанной далее в этой статье.
Существующие зоны Частная зона DNS, связанные с одной службой Azure, не должны быть связаны с двумя разными Azure частными конечными точками службы. Это приведет к удалению начальной записи A и приведет к проблемам с разрешением при попытке доступа к этой службе из каждой соответствующей частной конечной точки. Создайте зону DNS для каждой частной конечной точки таких служб. Не размещайте записи для нескольких служб в одной зоне DNS.
Сценарии настройки DNS
Полное доменное имя службы автоматически преобразуется в общедоступный IP-адрес. Чтобы выполнить разрешение в частный IP-адрес частной конечной точки, измените соответствующим образом конфигурацию DNS.
DNS крайне важен для правильной работы приложения, так как он разрешает IP-адрес частной конечной точки.
Вы можете использовать следующие сценарии разрешения DNS:
Нагрузки приложений виртуализованной сети без Private Resolver от Azure
Локальные рабочие нагрузки с помощью DNS-пересылки без Azure Private Resolver)
Azure Частный резолвер для виртуальной сети и локальных нагрузок
Нагрузки виртуальной сети без Azure частного резольвера
Эта конфигурация подходит для рабочих нагрузок виртуальных сетей без пользовательского DNS-сервера. В этом сценарии клиент запрашивает IP-адрес частной конечной точки к предоставленной службой DNS Azure 168.63.129.16. Azure DNS отвечает за разрешение DNS частных зон DNS.
Примечание.
В этом сценарии используется рекомендуемая База данных SQL Azure частная зона DNS. Для других служб можно настроить модель, используя следующий справочник: Конфигурация зоны DNS для служб Azure.
Для правильной настройки необходимы следующие ресурсы:
виртуальная сеть клиента;
Частная зона DNS privatelink.database.windows.net с A-записью
сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
На следующем снимке экрана показана последовательность разрешения DNS для рабочих нагрузок виртуальной сети, с использованием частной DNS-зоны.
Связанные рабочие нагрузки виртуальной сети без частного резолвера Azure
Эту модель можно расширить на одноранговые виртуальные сети, связанные с той же частной конечной точкой. Добавьте новые ссылки на виртуальную сеть в частную зону DNS для всех одноранговых виртуальных сетей.
Внимание
Для этой конфигурации требуется одна частная зона DNS. При создании нескольких зон с одинаковым именем для разных виртуальных сетей потребуется выполнить операции объединения записей DNS вручную.
Если вы используете частную конечную точку в звездообразной топологии из другой подписки или даже в той же подписке, свяжите одни и те же зоны DNS со всеми центральными и периферийными виртуальными сетями, в которых есть клиенты с потребностью разрешать адреса DNS в этих зонах.
В этом сценарии используется топология сети «концентратор и спица». Все периферийные сети совместно используют частную конечную точку. Периферийные виртуальные сети связаны с одной частной зоной DNS.
Локальные рабочие нагрузки, использующие DNS-пересылку без Azure Private Resolver
Чтобы локальные рабочие нагрузки разрешали полное доменное имя частной конечной точки, настройте сервер пересылки DNS в Azure. Сервер пересылки DNS должен быть развернут в виртуальной сети, связанной с частной зоной DNS для частной конечной точки.
Сервер пересылки DNS обычно это виртуальная машина под управлением служб DNS или управляемой службы, например Брандмауэр Azure. Сервер пересылки DNS получает запросы DNS из локальных или других виртуальных сетей и пересылает их в Azure DNS.
Примечание.
Запросы DNS для частных конечных точек должны исходить из виртуальной сети, связанной с частной зоной DNS. Сервер пересылки DNS обеспечивает это путем прокси-запросов от имени локальных клиентов. В этом сценарии используется рекомендуемая База данных SQL Azure частная зона DNS. Для других служб можно настроить модель, используя следующий справочник: Конфигурация зоны DNS для служб Azure.
Следующий сценарий предназначен для локальной сети с dns-пересылкой в Azure. Этот сервер пересылки разрешает DNS-запросы через уровень серверного пересылателя к предоставляемому Azure DNS 168.63.129.16.
Для правильной настройки необходимы следующие ресурсы:
- локальная сеть с настраиваемым решением DNS;
- Виртуальная сеть , подключенная к локальной среде
- Решение DNS, развернутое в вашей среде Azure с возможностью условной пересылки DNS-запросов
- Частная зона DNS privatelink.database.windows.net с A-записью
- сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
Внимание
Условное перенаправление должно быть выполнено в рекомендуемый общедоступный сервер пересылки зоны DNS. Например, database.windows.net вместо privatelink.database.windows.net.
- Расширьте эту конфигурацию для локальных сетей, у которых уже есть пользовательское решение DNS.
- Настройте локальное решение DNS с условным сервером пересылки для частной зоны DNS. Условный переадресатор должен указывать на dns-сервер пересылки, развернутый в Azure, поэтому DNS-запросы для частных конечных точек правильно разрешаются.
Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
Azure Приватный резолвер для рабочих нагрузок в локальной инфраструктуре
Для рабочих нагрузок в локальной среде разрешение полного доменного имени частной конечной точки осуществляется с помощью Azure Private Resolver для разрешения публичной DNS-зоны службы Azure в Azure. Azure Частный резолвер — это управляемая служба Azure, которая может разрешать запросы DNS без необходимости в виртуальной машине, выступающей в качестве сервера пересылки DNS.
Следующий сценарий предназначен для внутренней сети, настроенной на использование Azure Private Resolver. "Приватный резолвер перенаправляет запрос частной конечной точки на Azure DNS."
Примечание.
В этом сценарии используется рекомендуемая База данных SQL Azure частная зона DNS. Для других служб можно настроить модель, используя следующую справку: значения зоны DNS служб Azure.
Для правильной настройки требуются следующие ресурсы:
Локальная сеть
Виртуальная сеть , подключенная к локальной среде
Зоны Частная зона DNS privatelink.database.windows.net с записью type A
сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
На следующей схеме показана последовательность разрешения DNS из локальной сети. В конфигурации используется Private Resolver, развернутый в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
Azure частный резолвер с локальным DNS-форвардером
Эту конфигурацию можно расширить для локальной сети, в которой уже есть решение DNS.
Локальное решение DNS настроено для пересылки трафика DNS в Azure DNS через кондиционный сервер пересылки. Условный форвардер ссылается на частный резолвер, развернутый в Azure.
Примечание.
В этом сценарии используется рекомендуемая База данных SQL Azure частная зона DNS. Для других служб можно настроить модель, используя следующую ссылку: значения DNS-зоны для служб Azure
Для правильной настройки необходимы следующие ресурсы:
локальная сеть с настраиваемым решением DNS;
Виртуальная сеть , подключенная к локальной среде
Зоны Частная зона DNS privatelink.database.windows.net с записью type A
сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
На следующей схеме демонстрируется разрешение DNS из локальной сети. Разрешение DNS условно перенаправлено в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
Внимание
Условное перенаправление должно быть выполнено в рекомендуемый общедоступный сервер пересылки зоны DNS. Например, database.windows.net вместо privatelink.database.windows.net.
Azure приватный резолвер для виртуальной сети и локальных нагрузок
Для рабочих нагрузок, обращающихся к частной конечной точке из виртуальных и локальных сетей, используйте Azure Private Resolver для разрешения зоны public DNS службы Azure, развернутой в Azure.
Следующий сценарий предназначен для локальной сети с виртуальными сетями в Azure. Обе сети обращаются к частной конечной точке, расположенной в общей центральной сети.
Частный резолвер отвечает за разрешение всех запросов DNS с помощью службы DNS, предоставленной Azure, 168.63.129.16.
Внимание
Для этой конфигурации требуется одна частная зона DNS. Все клиентские подключения из локальных и пиринговых виртуальных сетей также должны использовать одну частную зону DNS.
Примечание.
В этом сценарии используется рекомендуемая База данных SQL Azure частная зона DNS. Для других служб можно настроить модель, используя следующий справочник: Конфигурация зоны DNS для служб Azure.
Для правильной настройки необходимы следующие ресурсы:
Локальная сеть
Виртуальная сеть , подключенная к локальной среде
Частный резолвер Azure
Зоны Частная зона DNS privatelink.database.windows.net с записью type A
сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
На следующей схеме демонстрируется разрешение DNS для локальной и виртуальной сетей. Решение использует частный резолвер Azure.
Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
группа зон частного DNS
Если вы решили интегрировать закрытую конечную точку с частной зоной DNS, также будет создана группа частной зоны DNS. Группа зон DNS имеет сильную связь между частной зоной DNS и частной конечной точкой. Это помогает управлять записями частной зоны DNS при обновлении частной конечной точки. Например, при добавлении или удалении регионов частная зона DNS автоматически обновляется с правильным количеством записей.
Ранее записи DNS для частной конечной точки создавались с помощью сценариев (получение определенных сведений о частной конечной точке и их добавление в зону DNS). При использовании группы зон DNS не требуется записывать дополнительные строки CLI/PowerShell для каждой зоны DNS. Кроме того, при удалении частной конечной точки удаляются все записи DNS в группе зон DNS.
В топологии концентратора и периферийной топологии распространенный сценарий позволяет создавать частные зоны DNS только один раз в концентраторе. Эта настройка позволяет спицам регистрироваться на себя, а не создавать разные зоны в каждой спице.
Примечание.
- Каждая группа зон DNS может поддерживать до пяти зон DNS.
- Каждая группа зон DNS может включать только одну частную зону DNS на имя зоны DNS. Например, нельзя связать более одного ресурса частной зоны DNS с
privatelink.blob.core.windows.netодной и той же группой зон DNS. - Добавление нескольких групп зон DNS в одну частную конечную точку не поддерживается.
- Операции удаления и обновления записей DNS можно просматривать с помощью Диспетчер трафика Azure и DNS. Это обычная операция платформы, необходимая для управления записями DNS.