Integrace DNS privátního koncového bodu Azure

Privátní koncový bod Azure je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod používá privátní IP adresu vaší virtuální sítě a tím vlastně přináší službu do vaší virtuální sítě. Služba může být služba Azure, jako je Azure Storage, Azure Cosmos DB, SQL atd., nebo vaše vlastní služba Private Link. Tento článek popisuje scénáře konfigurace DNS pro privátní koncový bod Azure.

Nastavení privátní zóny DNS pro služby Azure, které podporují privátní koncový bod, najdete v tématu Hodnoty privátní zóny DNS privátního koncového bodu Azure.

Scénáře konfigurace DNS

Plně kvalifikovaný název domény služeb se automaticky překládá na veřejnou IP adresu. Pokud chcete přeložit privátní IP adresu privátního koncového bodu, změňte konfiguraci DNS.

DNS je důležitá komponenta, aby aplikace správně fungovala tak, že úspěšně přeloží IP adresu privátního koncového bodu.

V závislosti na vašich předvolbách jsou k dispozici následující scénáře s integrovaným překladem DNS:

Úlohy virtuální sítě bez nástroje Azure Private Resolver

Tato konfigurace je vhodná pro úlohy virtuální sítě bez vlastního serveru DNS. V tomto scénáři se klient dotáže na IP adresu privátního koncového bodu na službu DNS poskytovanou Azure 168.63.129.16. Azure DNS zodpovídá za překlad DNS privátních zón DNS.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Ke správné konfiguraci potřebujete následující zdroje informací:

  • Klientská virtuální síť

  • Privátní DNS privatelink.database.windows.net zóny s typem záznamu A

  • Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)

Následující snímek obrazovky znázorňuje posloupnost překladu DNS z úloh virtuální sítě pomocí privátní zóny DNS:

Diagram of single virtual network and Azure-provided DNS.

Partnerské úlohy virtuální sítě bez nástroje Azure Private Resolver

Tento model můžete rozšířit na partnerské virtuální sítě přidružené ke stejnému privátnímu koncovému bodu. Přidejte nové propojení virtuální sítě do privátní zóny DNS pro všechny partnerské virtuální sítě.

Důležité

  • Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Vytvoření více zón se stejným názvem pro různé virtuální sítě by k sloučení záznamů DNS potřebovalo ruční operace.

  • Pokud používáte privátní koncový bod v hvězdicovém modelu z jiného předplatného nebo dokonce v rámci stejného předplatného, propojte stejné privátní zóny DNS se všemi paprsky a centrálními virtuálními sítěmi, které obsahují klienty, kteří potřebují překlad DNS z zón.

V tomto scénáři je hvězdicová síťová topologie. Paprskové sítě sdílejí privátní koncový bod. Paprskové virtuální sítě jsou propojené se stejnou privátní zónou DNS.

Diagram of hub and spoke with Azure-provided DNS.

Privátní překladač Azure pro místní úlohy

Pokud chcete přeložit plně kvalifikovaný název domény privátního koncového bodu v místních úlohách, přeložte veřejnou zónu DNS služby Azure v Azure pomocí nástroje Azure Private Resolver. Azure Private Resolver je spravovaná služba Azure, která dokáže překládat dotazy DNS bez nutnosti virtuálního počítače, který funguje jako předávací nástroj DNS.

Následující scénář je určený pro místní síť nakonfigurovanou tak, aby používala službu Azure Private Resolver. Privátní překladač předá požadavek privátního koncového bodu do Azure DNS.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure.

Pro správnou konfiguraci jsou vyžadovány následující zdroje informací:

Následující diagram znázorňuje posloupnost překladu DNS z místní sítě. Konfigurace používá privátní překladač nasazený v Azure. Překlad provádí privátní zóna DNS propojená s virtuální sítí:

Diagram of on-premises using Azure DNS.

Privátní překladač Azure s místním předáváním DNS

Tuto konfiguraci je možné rozšířit pro místní síť, která už má řešení DNS.

Místní řešení DNS je nakonfigurované tak, aby předával provoz DNS do Azure DNS prostřednictvím podmíněného předávače. Podmíněný předávač odkazuje na privátní překladač nasazený v Azure.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure

Ke správné konfiguraci potřebujete následující zdroje informací:

Následující diagram znázorňuje překlad DNS z místní sítě. Překlad DNS se podmíněně předává do Azure. Překlad provádí privátní zóna DNS propojená s virtuální sítí.

Důležité

Podmíněné předávání musí být provedeno do doporučeného veřejného předávacího modulu zóny DNS. Například: database.windows.net místo privatelink.database.windows.net.

Diagram of on-premises forwarding to Azure DNS.

Privátní překladač Azure pro virtuální síť a místní úlohy

Pro úlohy, které přistupují k privátnímu koncovému bodu z virtuálních a místních sítí, použijte k překladu veřejné zóny DNS služby Azure nasazené v Azure pomocí služby Azure Private Resolver.

Následující scénář je určený pro místní síť s virtuálními sítěmi v Azure. Obě sítě přistupuje k privátnímu koncovému bodu umístěnému ve sdílené síti rozbočovače.

Privátní překladač zodpovídá za překlad všech dotazů DNS prostřednictvím služby DNS poskytované v Azure 168.63.129.16.

Důležité

Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Všechna připojení klientů vytvořená z místních a partnerských virtuálních sítí musí také používat stejnou privátní zónu DNS.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Ke správné konfiguraci potřebujete následující zdroje informací:

Následující diagram znázorňuje překlad DNS pro obě sítě, místní i virtuální sítě. Řešení používá Azure Private Resolver.

Překlad provádí privátní zóna DNS propojená s virtuální sítí:

Diagram of hybrid scenario.

skupina zón Privátní DNS

Pokud se rozhodnete privátní koncový bod integrovat s privátní zónou DNS, vytvoří se také skupina privátních zón DNS. Skupina zón DNS má silné přidružení mezi privátní zónou DNS a privátním koncovým bodem. Pomáhá se správou záznamů privátní zóny DNS při aktualizaci privátního koncového bodu. Když například přidáte nebo odeberete oblasti, privátní zóna DNS se automaticky aktualizuje správným počtem záznamů.

Dříve se záznamy DNS pro privátní koncový bod vytvořily prostřednictvím skriptování (načtení určitých informací o privátním koncovém bodu a jeho následném přidání do zóny DNS). Se skupinou zón DNS nemusíte zapisovat žádné další řádky rozhraní příkazového řádku nebo PowerShellu pro každou zónu DNS. Když odstraníte privátní koncový bod, odstraní se také všechny záznamy DNS ve skupině zón DNS.

V hvězdicové topologii umožňuje běžný scénář vytváření privátních zón DNS pouze jednou v centru. Toto nastavení umožňuje, aby se paprsky zaregistrovaly místo vytváření různých zón v jednotlivých paprskech.

Poznámka:

  • Každá skupina zón DNS může podporovat až 5 zón DNS.
  • Přidání několika skupin zón DNS do jednoho privátního koncového bodu se nepodporuje.
  • Operace odstranění a aktualizace záznamů DNS se dají zobrazit pomocí Azure Traffic Manageru a DNS. Jedná se o normální provoz platformy nezbytný ke správě záznamů DNS.

Další kroky