VM'leri veya Azure DNS Özel Çözümleyici'yi kullanarak Azure Dosyalar için DNS iletmeyi yapılandırma

Azure Dosyalar, dosya paylaşımlarınızı içeren depolama hesapları için özel uç noktalar oluşturmanıza olanak tanır. Birçok farklı uygulama için yararlı olsa da, özel uç noktalar özel eşleme kullanarak VPN veya ExpressRoute bağlantısı kullanarak şirket içi ağınızdan Azure dosya paylaşımlarınıza bağlanmak için özellikle yararlıdır.

Depolama hesabınıza yönelik bağlantıların ağ tünelinizden geçebilmesi için depolama hesabınızın tam etki alanı adının (FQDN) özel uç noktanızın özel IP adresine çözümlenmesi gerekir. Bunu başarmak için, depolama uç noktası son ekini (core.windows.net genel bulut bölgeleri için) sanal ağınızdan erişilebilen Azure özel DNS hizmetine iletmeniz gerekir. Bu kılavuzda, depolama hesabınızın özel uç nokta IP adresine düzgün bir şekilde çözümlenecek DNS iletmenin nasıl ayarlanacağı ve yapılandırılacağı gösterilir.

Bu makalede açıklanan adımları tamamlamadan önce Azure Dosyalar dağıtımı planlama ve ağ konusunda dikkat edilmesi gerekenleri Azure Dosyalar makalesini okumanızı kesinlikle öneririz.

Şunlara uygulanır

Dosya paylaşımı türü SMB NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS Yes Hayır
Standart dosya paylaşımları (GPv2), GRS/GZRS Yes Hayır
Premium dosya paylaşımları (filestorage), LRS/ZRS Yes Yes

Genel bakış

Azure Dosyalar, Azure dosya paylaşımlarına erişmek için aşağıdaki uç nokta türlerini sağlar:

  • Genel IP adresine sahip olan ve dünyanın her yerinden erişilebilen genel uç noktalar.
  • Bir sanal ağ içinde bulunan ve bu sanal ağın adres alanının içinden özel IP adresine sahip olan özel uç noktalar.
  • Genel uç noktaya erişimi belirli sanal ağlarla kısıtlayan hizmet uç noktaları. Depolama hesabına genel IP adresi üzerinden erişmeye devam edebilirsiniz, ancak yalnızca yapılandırmanızda belirttiğiniz konumlardan erişim mümkündür.

Genel ve özel uç noktalar Azure depolama hesabında bulunur. Depolama hesabı, birden çok dosya paylaşımının yanı sıra blob kapsayıcıları veya kuyruklar gibi diğer depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden bir yönetim yapısıdır.

Her depolama hesabının tam etki alanı adı (FQDN) vardır. Genel bulut bölgeleri için bu FQDN, depolama hesabının adı olan storageaccount deseni storageaccount.file.core.windows.net izler. Paylaşımı iş istasyonunuza bağlama gibi bu ada yönelik istekler yaptığınızda, işletim sisteminiz tam etki alanı adını bir IP adresine çözümlemek için bir DNS araması gerçekleştirir.

Varsayılan olarak, storageaccount.file.core.windows.net genel uç noktanın IP adresine çözümler. Depolama hesabının genel uç noktası, diğer birçok depolama hesabının genel uç noktasını barındıran bir Azure depolama kümesinde barındırılır. Özel bir uç nokta oluşturduğunuzda, depolama hesabınızın özel uç noktasının özel IP adresi için bir A kayıt girişiyle CNAME kaydı eşlemesiyle storageaccount.file.core.windows.net , özel bir DNS bölgesi eklendiği sanal ağa bağlanır. Bu, sanal ağ içinde FQDN kullanmanıza storageaccount.file.core.windows.net ve özel uç noktanın IP adresine çözümlenmesine olanak tanır.

Nihai hedefimiz, VPN veya ExpressRoute bağlantısı gibi bir ağ tüneli kullanarak şirket içinden depolama hesabında barındırılan Azure dosya paylaşımlarına erişmek olduğundan, şirket içi DNS sunucularınızı Azure Dosyalar hizmetine gönderilen istekleri Azure özel DNS hizmetine iletecek şekilde yapılandırmanız gerekir.

DNS iletmeyi iki yoldan birini yapılandırabilirsiniz:

  • DNS sunucusu VM'lerini kullanma: Azure sanal ağınızda barındırılan *.core.windows.net bir DNS sunucusu sanal makinesine koşullu iletme (veya ABD Kamu, Almanya veya Çin ulusal bulutları için uygun depolama uç noktası soneki) ayarlayın. Bu DNS sunucusu daha sonra isteği yinelemeli olarak Azure'ın özel DNS hizmetine iletir ve bu da depolama hesabının FQDN'sini uygun özel IP adresine çözümler. Bu, sanal ağınızda barındırılan tüm Azure dosya paylaşımları için tek seferlik bir adımdır.

  • Azure DNS Özel Çözümleyicisi'ni kullanma: VM tabanlı bir DNS sunucusu dağıtmak istemiyorsanız Azure DNS Özel Çözümleyicisi'ni kullanarak aynı görevi gerçekleştirebilirsiniz.

Azure Dosyalar ek olarak, diğer Azure depolama hizmetleri için DNS ad çözümleme istekleri (Azure Blob depolama, Azure Tablo depolama, Azure Kuyruk depolama vb.) Azure'ın özel DNS hizmetine iletilir. İsterseniz diğer Azure hizmetleri için ek uç noktalar ekleyebilirsiniz.

Önkoşullar

DNS iletmeyi Azure Dosyalar ayarlamadan önce aşağıdakilere ihtiyacınız vardır:

VM'leri kullanarak DNS iletmeyi yapılandırma

Azure sanal ağınızda zaten DNS sunucularınız varsa veya kuruluşunuzun kullandığı metodolojiye göre kendi DNS sunucusu VM'lerinizi dağıtmayı tercih ediyorsanız, DNS'yi yerleşik DNS sunucusu PowerShell cmdlet'leriyle yapılandırabilirsiniz.

Azure'da sanal makineleri kullanarak D N S iletmeyi yapılandırmaya yönelik ağ topolojisini gösteren diyagram.

Önemli

Bu kılavuzda, şirket içi ortamınızda Windows Server içindeki DNS sunucusunu kullandığınız varsayılır. Burada açıklanan tüm adımlar yalnızca Windows DNS Sunucusu ile değil tüm DNS sunucularıyla mümkündür.

Şirket içi DNS sunucularınızda kullanarak Add-DnsServerConditionalForwarderZonebir koşullu iletici oluşturun. Trafiğin Azure'a düzgün iletilmesinde etkili olması için bu koşullu ileticinin tüm şirket içi DNS sunucularınıza dağıtılması gerekir. Girdileri ortamınız için uygun IP adresleriyle değiştirmeyi <azure-dns-server-ip> unutmayın.

$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $vnetDnsServers

Azure sanal ağınızdaki DNS sunucularında, depolama hesabı DNS bölgesi isteklerinin ayrılmış IP adresinin 168.63.129.16önünde yer alan Azure özel DNS hizmetine yönlendirilmesi için bir iletici de yerleştirmeniz gerekir. (Komutları farklı bir PowerShell oturumunda çalıştırıyorsanız doldurmayı $storageAccountEndpoint unutmayın.)

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers "168.63.129.16"

Azure DNS Özel Çözümleyicisi kullanarak DNS iletmeyi yapılandırma

DNS sunucusu VM'lerini dağıtmayı tercih ediyorsanız, Azure DNS Özel Çözümleyicisi'ni kullanarak aynı görevi gerçekleştirebilirsiniz. Bkz . Azure portalını kullanarak Azure DNS Özel Çözümleyicisi oluşturma.

Azure D N S Özel Çözümleyicisi'ni kullanarak D N S iletmeyi yapılandırmaya yönelik ağ topolojisini gösteren diyagram.

Şirket içi DNS sunucularınızı yapılandırma şeklinizde fark yoktur, ancak Azure'daki DNS sunucularının IP adreslerine işaret etmek yerine çözümleyicinin gelen uç nokta IP adresine işaret edebilirsiniz. Çözümleyici, sorguları varsayılan olarak Azure özel DNS sunucusuna ileteceği için herhangi bir yapılandırma gerektirmez. Özel bir DNS bölgesi çözümleyicinin dağıtıldığı sanal ağa bağlıysa, çözümleyici bu DNS bölgesindeki kayıtlarla yanıt verebilir.

Uyarı

core.windows.net bölgesi için ileticileri yapılandırırken, bu genel etki alanına yönelik tüm sorgular Azure DNS altyapınıza iletilir. Azure DNS, depolama hesabı genel adı sorgusunu özel DNS bölgenizde mevcut olmayan bir CNAME ile yanıtladığından, özel uç noktalarla yapılandırılmış farklı bir kiracının depolama hesabına erişmeye çalıştığınızda bu sorun oluşur. Bu sorunun geçici bir çözümü, ortamınızda bu depolama hesabına bağlanmak için kiracılar arası bir özel uç nokta oluşturmaktır.

Azure DNS Özel Çözümleyici'yi kullanarak DNS iletmeyi yapılandırmak için bu betiği şirket içi DNS sunucularınızda çalıştırın. değerini çözümleyicinin gelen uç nokta IP adresiyle değiştirin <resolver-ip> .

$privateResolver = "<resolver-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $privateResolver

DNS ileticilerini onaylama

DNS ileticilerinin başarıyla uygulanıp uygulanmadığını test etmeden önce, kullanarak Clear-DnsClientCacheyerel iş istasyonunuzda DNS önbelleğini temizlemenizi öneririz. Depolama hesabınızın FQDN'sini başarıyla çözümleyebildiğinizi test etmek için veya nslookupkullanınResolve-DnsName.

# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note that the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net

Ad çözümlemesi başarılı olursa, çözümlenen IP adresinin depolama hesabınızın IP adresiyle eşleşdiğini görmeniz gerekir.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4

SMB dosya paylaşımını bağlıyorsanız, depolama hesabınıza Test-NetConnection başarıyla tcp bağlantısı yapılabilmesini onaylamak için komutunu da kullanabilirsiniz.

Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB

Ayrıca bkz.