Integrace privátního koncového bodu s DNS

• 17 min

Privátní DNS zóny se obvykle hostují centrálně ve stejném předplatném Azure, ve kterém je nasazená virtuální síť centra. Tento postup centrálního hostování je řízený překladem názvů DNS mezi místními místy a dalšími potřebami centrálního překladu DNS, jako je Active Directory. Ve většině případů mají oprávnění ke správě záznamů DNS v těchto zónách jenom správci sítí a identit.

Konfigurace DNS privátního koncového bodu v Azure

Následující diagram znázorňuje typickou architekturu vysoké úrovně pro podniková prostředí s centrálním překladem DNS a překlad názvů pro prostředky Private Linku se provádí přes Azure Privátní DNS:

Z předchozího diagramu je důležité zdůraznit, že:

• Místní servery DNS mají nakonfigurované podmíněné předávání pro každý veřejný server DNS privátního koncového bodu odkazující na služby předávání DNS (10.100.2.4 a 10.100.2.5) hostované ve virtuální síti centra.
• Servery DNS 10.100.2.4 a 10.100.2.5 hostované ve virtuální síti centra používají překladač DNS poskytovaný azure (168.63.129.16) jako předávací nástroj.
• Všechny virtuální sítě Azure mají servery pro předávání DNS (10.100.2.4 a 10.100.2.5) nakonfigurované jako primární a sekundární servery DNS.
• Existují dvě podmínky, které musí být splněné, aby aplikačním týmům umožnili vytvářet všechny požadované prostředky Azure PaaS ve svém předplatném:
• Centrální síťový tým nebo centrální tým platformy musí zajistit, aby aplikační týmy mohly nasazovat a přistupovat ke službám Azure PaaS pouze prostřednictvím privátních koncových bodů.
• Centrální síťové týmy a/nebo centrální platformy musí zajistit, aby se při každém vytvoření privátních koncových bodů automaticky vytvořily odpovídající záznamy v centralizované privátní zóně DNS, která odpovídá vytvořené službě.
• Záznam DNS musí dodržovat životní cyklus privátního koncového bodu a po odstranění privátního koncového bodu automaticky odebrat záznam DNS.

Význam IP adresy 168.63.129.16

IP adresa 168.63.129.16 je virtuální veřejná IP adresa, která se používá k usnadnění komunikačního kanálu s prostředky platformy Azure. Zákazníci můžou definovat libovolný adresní prostor pro svou privátní virtuální síť v Azure. Prostředky platformy Azure musí být prezentovány jako jedinečná veřejná IP adresa. Tato virtuální veřejná IP adresa usnadňuje následující věci:

• Umožňuje agentu virtuálního počítače komunikovat s platformou Azure, aby signalizoval, že je ve stavu Připraveno.
• Umožňuje komunikaci s virtuálním serverem DNS tak, aby poskytovala filtrované překlady ip adres prostředkům (například virtuálnímu počítači), které nemají vlastní server DNS. Toto filtrování zajišťuje, aby zákazníci mohli přeložit pouze názvy hostitelů svých prostředků.
• Umožňuje sondám stavu z Nástroje pro vyrovnávání zatížení Azure určit stav virtuálních počítačů.
• Umožňuje virtuálnímu počítači získat dynamickou IP adresu ze služby DHCP v Azure.
• Povolí prezenčních zpráv agenta hosta pro roli PaaS.

Příklady konfigurace služeb Azure Privátní DNS zóny

Azure ve veřejném DNS vytvoří kanonický záznam DNS (CNAME). Záznam CNAME přesměruje překlad na název privátní domény. Překlad můžete přepsat privátní IP adresou privátních koncových bodů.

Vaše aplikace nemusí měnit adresu URL připojení. Při překladu do veřejné služby DNS se server DNS přeloží na vaše privátní koncové body. Tento proces nemá vliv na vaše stávající aplikace.

Privátní sítě, které už pro daný typ používají privátní zónu DNS, se můžou připojit jenom k veřejným prostředkům, pokud nemají připojení privátního koncového bodu, jinak se v privátní zóně DNS vyžaduje odpovídající konfigurace DNS, aby bylo možné dokončit pořadí překladu DNS.

Pro služby Azure použijte doporučené názvy zón, které najdete v dokumentaci.

Scénáře konfigurace DNS

Plně kvalifikovaný název domény služeb se automaticky překládá na veřejnou IP adresu. Pokud chcete přeložit privátní IP adresu privátního koncového bodu, změňte konfiguraci DNS.

DNS je kritická komponenta, aby aplikace správně fungovala tak, že úspěšně přeloží IP adresu privátního koncového bodu.

V závislosti na vašich předvolbách jsou k dispozici následující scénáře s integrovaným překladem DNS:

• Úlohy virtuální sítě bez vlastního serveru DNS
• Místní úlohy s využitím služby předávání DNS
• Virtuální síť a místní úlohy s využitím služby předávání DNS
• skupina zón Privátní DNS

Místní úlohy s využitím služby předávání DNS

Pro místní úlohy k překladu plně kvalifikovaného názvu domény privátního koncového bodu použijte předávací nástroj DNS k překladu veřejné zóny DNS služby Azure v Azure. Modul pro předávání DNS je virtuální počítač spuštěný ve virtuální síti propojené se zónou privátního DNS, který může předávat dotazy DNS přicházející z jiných virtuálních sítí nebo z místního prostředí. To je potřeba proto, že dotaz na Azure DNS musí pocházet z virtuální sítě. Několik možností proxy serverů DNS je: Windows se službami DNS, linuxovými službami DNS a službou Azure Firewall.

Následující scénář je určený pro místní síť, která má službu předávání DNS v Azure. Tento předávací nástroj překládá dotazy DNS prostřednictvím služby předávání na úrovni serveru do Azure poskytnutého DNS 168.63.129.16.

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Ke správné konfiguraci potřebujete následující zdroje informací:

• Místní síť
• Virtuální síť připojená k místnímu prostředí
• Předávání DNS nasazené v Azure
• Privátní DNS zón privatelink.database.windows.net s typem záznamu A
• Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)

Následující diagram znázorňuje posloupnost překladu DNS z místní sítě. Konfigurace používá službu předávání DNS nasazenou v Azure. Překlad provádí privátní zóna DNS propojená s virtuální sítí:

Virtuální síť a místní úlohy s využitím privátního překladače Azure DNS

Pokud používáte privátní překladač DNS, nepotřebujete virtuální počítač pro předávání DNS a Azure DNS dokáže přeložit místní názvy domén.

Následující diagram používá privátní překladač DNS v hvězdicové síťové topologii. Osvědčeným postupem je, že vzor návrhu cílové zóny Azure doporučuje použít tento typ topologie. Hybridní síťové připojení se naváže pomocí Azure ExpressRoute a služby Azure Firewall. Toto nastavení poskytuje zabezpečenou hybridní síť. Privátní překladač DNS se nasadí v centrální síti.

• Kontrola komponent řešení privátního překladače DNS
• Kontrola toku provozu pro místní dotaz DNS
• Kontrola toku provozu pro dotaz DNS virtuálního počítače
• Kontrola toku provozu pro dotaz DNS virtuálního počítače prostřednictvím privátního překladače DNS
• Kontrola toku provozu pro dotaz DNS virtuálního počítače prostřednictvím místního serveru DNS

Kontrola znalostí

1.

Jaký prostředek je přidružený k privátnímu koncovému bodu, který obsahuje informace pro konfiguraci DNS privátního koncového bodu?

Virtuální síť

Síťové rozhraní

Privátní zóna DNS

2.

Jaký je význam IP adresy 168.63.129.16?

Jedná se o nevirtuální veřejnou IP adresu, která se používá k usnadnění komunikačního kanálu s prostředky platformy Azure.

Jedná se o statickou adresu služby předávání DNS.

Jedná se o virtuální veřejnou IP adresu, která se používá k usnadnění komunikačního kanálu s prostředky platformy Azure.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.