Integrowanie prywatnego punktu końcowego z usługą DNS
Prywatna strefa DNS strefy są zwykle hostowane centralnie w tej samej subskrypcji platformy Azure, w której wdrożono sieć wirtualną koncentratora. Ta centralna praktyka hostingu jest oparta na rozpoznawaniu nazw DNS między środowiskami i innych potrzebach centralnego rozpoznawania nazw DNS, takich jak usługa Active Directory. W większości przypadków tylko administratorzy sieci/tożsamości mają uprawnienia do zarządzania rekordami DNS w tych strefach.
Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure
Na poniższym diagramie przedstawiono typową architekturę wysokiego poziomu dla środowisk przedsiębiorstwa z centralnym rozpoznawaniem nazw DNS i miejscem, w którym rozpoznawanie nazw dla zasobów usługi Private Link odbywa się za pośrednictwem usługi Azure Prywatna strefa DNS:
Z poprzedniego diagramu ważne jest, aby podkreślić, że:
- Lokalne serwery DNS mają warunkowe usługi przesyłania dalej skonfigurowane dla każdego publicznego punktu końcowego usługi przesyłania dalej DNS wskazującego usługi przesyłania dalej DNS (10.100.2.4 i 10.100.2.5) hostowane w sieci wirtualnej piasty.
- Serwery DNS w wersji 10.100.2.4 i 10.100.2.5 hostowanej w sieci wirtualnej centrum używają narzędzia rozpoznawania DNS dostarczonego przez platformę Azure (168.63.129.16) jako usługi przesyłania dalej.
- Wszystkie sieci wirtualne platformy Azure mają usługi przesyłania dalej DNS (10.100.2.4 i 10.100.2.5) skonfigurowane jako podstawowe i pomocnicze serwery DNS.
- Istnieją dwa warunki, które muszą być spełnione, aby umożliwić zespołom aplikacji swobodę tworzenia wymaganych zasobów paaS platformy Azure w ramach subskrypcji:
- Centralny zespół ds. sieci i/lub centralnej platformy musi upewnić się, że zespoły aplikacji mogą wdrażać usługi PaaS platformy Azure i uzyskiwać do tego dostęp tylko za pośrednictwem prywatnych punktów końcowych.
- Centralne zespoły sieci i/lub centralnej platformy muszą mieć pewność, że po utworzeniu prywatnych punktów końcowych odpowiednie rekordy są tworzone automatycznie w scentralizowanej prywatnej strefie DNS zgodnej z utworzoną usługą.
- Rekord DNS musi być zgodny z cyklem życia prywatnego punktu końcowego i automatycznie usunąć rekord DNS po usunięciu prywatnego punktu końcowego.
Znaczenie adresu IP 168.63.129.16
Adres IP 168.63.129.16 to wirtualny publiczny adres IP, który jest używany do ułatwienia kanału komunikacji z zasobami platformy Azure. Klienci mogą definiować dowolną przestrzeń adresową dla prywatnej sieci wirtualnej na platformie Azure. Zasoby platformy Azure muszą być prezentowane jako unikatowy publiczny adres IP. Ten wirtualny publiczny adres IP ułatwia następujące kwestie:
- Umożliwia agentowi maszyny wirtualnej komunikowanie się z platformą Azure, aby zasygnalizować, że jest w stanie "Gotowe"
- Umożliwia komunikację z serwerem wirtualnym DNS w celu zapewnienia filtrowania rozpoznawania nazw dla zasobów (takich jak maszyna wirtualna), które nie mają niestandardowego serwera DNS. To filtrowanie zapewnia, że klienci mogą rozpoznać tylko nazwy hostów swoich zasobów
- Umożliwia sondom kondycji z modułu równoważenia obciążenia platformy Azure określanie stanu kondycji maszyn wirtualnych
- Umożliwia maszynie wirtualnej uzyskanie dynamicznego adresu IP z usługi DHCP na platformie Azure
- Włącza komunikaty pulsu agenta gościa dla roli PaaS
Przykłady konfiguracji usług platformy Azure Prywatna strefa DNS strefy
Platforma Azure tworzy rekord DNS nazwy kanonicznej (CNAME) w publicznym systemie DNS. Rekord CNAME przekierowuje rozwiązanie do nazwy domeny prywatnej. Rozwiązanie można zastąpić prywatnym adresem IP prywatnych punktów końcowych.
Aplikacje nie muszą zmieniać adresu URL połączenia. Podczas rozpoznawania publicznej usługi DNS serwer DNS zostanie rozpoznany jako prywatny punkt końcowy. Proces nie ma wpływu na istniejące aplikacje.
Sieci prywatne już korzystające z prywatnej strefy DNS dla danego typu, mogą łączyć się tylko z zasobami publicznymi, jeśli nie mają żadnych połączeń z prywatnym punktem końcowym, w przeciwnym razie wymagana jest odpowiednia konfiguracja DNS w prywatnej strefie DNS w celu ukończenia sekwencji rozpoznawania nazw DNS.
W przypadku usług platformy Azure użyj zalecanych nazw stref znajdujących się w dokumentacji.
Scenariusze konfiguracji DNS
Nazwa FQDN usług jest automatycznie rozpoznawana jako publiczny adres IP. Aby rozpoznać prywatny adres IP prywatnego punktu końcowego, zmień konfigurację DNS.
System DNS jest krytycznym składnikiem umożliwiającym poprawne działanie aplikacji przez pomyślne rozpoznawanie adresu IP prywatnego punktu końcowego.
W zależności od preferencji następujące scenariusze są dostępne ze zintegrowanym rozpoznawaniem nazw DNS:
- Obciążenia sieci wirtualnej bez niestandardowego serwera DNS
- Obciążenia lokalne przy użyciu usługi przesyłania dalej DNS
- Sieci wirtualne i obciążenia lokalne przy użyciu usługi przesyłania dalej DNS
- grupa stref Prywatna strefa DNS
Obciążenia lokalne przy użyciu usługi przesyłania dalej DNS
Aby obciążenia lokalne rozpoznawały nazwę FQDN prywatnego punktu końcowego, użyj usługi przesyłania dalej DNS, aby rozpoznać publiczną strefę DNS usługi platformy Azure na platformie Azure. Moduł przekazywania DNS to maszyna wirtualna uruchomiona w sieci wirtualnej połączonej z prywatną strefą DNS, która może za pośrednictwem serwera proxy wysyłać zapytania DNS pochodzące z innych sieci wirtualnych lub ze środowiska lokalnego. Jest to wymagane, ponieważ zapytanie musi pochodzić z sieci wirtualnej do usługi Azure DNS. Oto kilka opcji serwerów proxy DNS: Windows z uruchomionymi usługami DNS, Linux z uruchomionymi usługami DNS, Azure Firewall.
Poniższy scenariusz dotyczy sieci lokalnej z usługą przesyłania dalej DNS na platformie Azure. Ten usług przesyłania dalej rozwiązuje zapytania DNS za pośrednictwem usługi przesyłania dalej na poziomie serwera do platformy Azure dostarczonej przez usługę DNS 168.63.129.16.
W tym scenariuszu jest używana prywatna strefa DNS zalecana przez usługę Azure SQL Database. W przypadku innych usług można dostosować model przy użyciu następującej dokumentacji: Konfiguracja strefy DNS usług platformy Azure.
Do prawidłowego skonfigurowania potrzebne są następujące zasoby:
- Sieć lokalna
- Sieć wirtualna połączona z środowiskiem lokalnym
- Usługa przesyłania dalej DNS wdrożona na platformie Azure
- strefy Prywatna strefa DNS privatelink.database.windows.net z rekordem typu A
- Informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP)
Na poniższym diagramie przedstawiono sekwencję rozpoznawania nazw DNS z sieci lokalnej. Konfiguracja używa usługi przesyłania dalej DNS wdrożonego na platformie Azure. Rozpoznawanie jest wykonywane przez prywatną strefę DNS połączoną z siecią wirtualną:
Sieci wirtualne i obciążenia lokalne korzystające z prywatnego rozpoznawania nazw usługi Azure DNS
W przypadku korzystania z prywatnego rozpoznawania nazw DNS nie potrzebujesz maszyny wirtualnej usługi przesyłania dalej DNS, a usługa Azure DNS może rozpoznawać lokalne nazwy domen.
Na poniższym diagramie użyto usługi DNS Private Resolver w topologii sieci piasty i szprych. Najlepszym rozwiązaniem jest, aby wzorzec projektowania strefy docelowej platformy Azure zaleca użycie tego typu topologii. Połączenie sieciowe hybrydowe jest ustanawiane przy użyciu usług Azure ExpressRoute i Azure Firewall. Ta konfiguracja zapewnia bezpieczną sieć hybrydową. Prywatny program rozpoznawania nazw DNS jest wdrażany w sieci koncentratora.
- Zapoznaj się ze składnikami rozwiązania rozpoznawania prywatnego DNS
- Przejrzyj przepływ ruchu dla lokalnego zapytania DNS
- Przeglądanie przepływu ruchu dla zapytania DNS maszyny wirtualnej
- Przejrzyj przepływ ruchu dla zapytania DNS maszyny wirtualnej za pośrednictwem prywatnego rozpoznawania nazw DNS
- Przejrzyj przepływ ruchu dla zapytania DNS maszyny wirtualnej za pośrednictwem lokalnego serwera DNS