مشاركة عبر

سيناريوهات تكامل Azure Private Endpoint DNS

يعد تكامل Azure Private Endpoint DNS ضروريا لتمكين الاتصال الآمن والخاص بخدمات Azure داخل شبكتك الظاهرية. توضح هذه المقالة سيناريوهات تكوين DNS الشائعة لنقاط نهاية Azure الخاصة، بما في ذلك خيارات الشبكات الظاهرية والشبكات النظيرة والبيئات المحلية. استخدم هذه السيناريوهات وأفضل الممارسات لضمان دقة الاسم الموثوقة والآمنة لتطبيقاتك وخدماتك.

للحصول على إعدادات منطقة DNS الخاصة لخدمات Azure التي تدعم نقطة نهاية خاصة، راجع قيم منطقة DNS الخاصة بنقطة النهاية الخاصة ل Azure.

سيناريوهات تكوين DNS

يتم حل FQDN للخدمة تلقائيا إلى عنوان IP عام. لحل عنوان IP الخاص بنقطة النهاية الخاصة، قم بتغيير تكوين DNS.

يعد DNS أمرا بالغ الأهمية لتطبيقك للعمل بشكل صحيح لأنه يحل عنوان IP لنقطة النهاية الخاصة.

يمكنك استخدام سيناريوهات دقة DNS التالية:

أحمال عمل الشبكة الظاهرية بدون Azure Private Resolver

هذا التكوين مناسب لأحمال عمل الشبكة الظاهرية بدون خادم DNS مخصص. في هذا السيناريو، استعلامات العميل عن عنوان IP نقطة النهاية الخاصة إلى خدمة DNS الذي توفره Azure168.63.129.16. Azure DNS مسؤول عن دقة DNS لمناطق DNS الخاصة.

إشعار

يستخدم هذا السيناريو منطقة DNS الخاصة الموصى بها من قاعدة بيانات Azure SQL. بالنسبة إلى الخدمات الأخرى، يمكنك ضبط الطراز باستخدام المرجع التالي: تكوين منطقة DNS لخدمات Azure.

للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:

توضح لقطة الشاشة التالية تسلسل دقة DNS من أحمال عمل الشبكة الظاهرية باستخدام منطقة DNS الخاصة:

رسم تخطيطي للشبكة الظاهرية الفردية وDNS المقدم من Azure.

أحمال عمل الشبكة الظاهرية المتناظرة دون Azure Private Resolver

يمكنك توسيع هذا النموذج إلى شبكات ظاهرية نظيرة مقترنة بنفس نقطة النهاية الخاصة. إضافة ارتباطات شبكة ظاهرية جديدة إلى منطقة DNS الخاصة لكافة الشبكات الظاهرية النظيرة.

هام

  • مطلوب منطقة DNS خاصة واحدة لهذا التكوين. قد تحتاج إنشاء مناطق متعددة بنفس الاسم لشبكات ظاهرية مختلفة إلى عمليات يدوية لدمج سجلات DNS.

  • إذا كنت تستخدم نقطة نهاية خاصة في نموذج النظام المحوري من اشتراك مختلف أو حتى ضمن نفس الاشتراك، فاربط نفس مناطق DNS الخاصة بجميع الشبكات الظاهرية للنظام المحوري التي تحتوي على عملاء يحتاجون إلى دقة DNS من المناطق.

في هذا السيناريو، هناك تخطيط الشبكةللنظام المحوري . تشترك الشبكات الفرعية في نقطة نهاية خاصة. ترتبط الشبكات الافتراضية الفرعية بنفس منطقة DNS الخاصة.

رسم تخطيطي للمركز وتحدث مع DNS المقدم من Azure.

أحمال العمل المحلية باستخدام معاد توجيه DNS بدون Azure Private Resolver

بالنسبة لأحمال العمل المحلية لحل FQDN لنقطة نهاية خاصة، قم بتكوين معيد توجيه DNS في Azure. يجب نشر معاد توجيه DNS في الشبكة الظاهرية المرتبطة بمنطقة DNS الخاصة لنقطة النهاية الخاصة بك.

عادة ما يكون معيد توجيه DNS جهازا ظاهريا يقوم بتشغيل خدمات DNS أو خدمة مدارة مثل Azure Firewall. يتلقى معاد توجيه DNS استعلامات DNS من الشبكات المحلية أو الشبكات الظاهرية الأخرى ويرسلها إلى Azure DNS.

إشعار

يجب أن تنشأ استعلامات DNS لنقاط النهاية الخاصة من الشبكة الظاهرية المرتبطة بمنطقة DNS الخاصة. يمكن معاد توجيه DNS هذا عن طريق وكيل الاستعلامات نيابة عن العملاء المحليين. يستخدم هذا السيناريو منطقة DNS الخاصة الموصى بها من قاعدة بيانات Azure SQL. بالنسبة إلى الخدمات الأخرى، يمكنك ضبط الطراز باستخدام المرجع التالي: تكوين منطقة DNS لخدمات Azure.

السيناريو التالي هو لشبكة محلية تحتوي على معاد توجيه DNS في Azure. يقوم معاد التوجيه هذا بحل استعلامات DNS عبر معاد توجيه على مستوى الخادم إلى DNS 168.63.129.16 المقدم من Azure.

للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:

هام

يجب إجراء إعادة التوجيه الشرطي إلى معاد توجيه منطقة DNS العامة الموصى بها. على سبيل المثال: database.windows.net بدلا من privatelink.database.windows.net.

  • توسيع هذا التكوين للشبكات المحلية التي لديها بالفعل حل DNS مخصص.
  • تكوين حل DNS المحلي الخاص بك مع معاد توجيه شرطي لمنطقة DNS الخاصة. يجب أن يشير معاد التوجيه الشرطي إلى معاد توجيه DNS المنشور في Azure، لذلك يتم حل استعلامات DNS لنقاط النهاية الخاصة بشكل صحيح.

يتم إجراء الدقة بواسطة منطقة DNS خاصة مرتبطة بشبكة ظاهرية:

رسم تخطيطي لإعادة التوجيه المحلي إلى Azure DNS بدون Azure Private Resolver.

Azure Private Resolver لأحمال العمل المحلية

بالنسبة لأحمال العمل المحلية لحل FQDN لنقطة نهاية خاصة، استخدم Azure Private Resolver لحل منطقة DNS العامة لخدمة Azure في Azure. Azure Private Resolver هي خدمة مدارة من Azure يمكنها حل استعلامات DNS دون الحاجة إلى جهاز ظاهري يعمل كمحول توجيه DNS.

السيناريو التالي هو لشبكة محلية تم تكوينها لاستخدام Azure Private Resolver. يقوم الحل الخاص بإعادة توجيه طلب نقطة النهاية الخاصة إلى Azure DNS.

إشعار

يستخدم هذا السيناريو منطقة DNS الخاصة الموصى بها من قاعدة بيانات Azure SQL. بالنسبة للخدمات الأخرى، يمكنك ضبط النموذج باستخدام المرجع التالي: قيم منطقة DNS لخدمات Azure.

الموارد التالية مطلوبة لتكوين مناسب:

يوضح الرسم التخطيطي التالي تسلسل دقة DNS من شبكة محلية. يستخدم التكوين محلل خاص تم نشره في Azure. يتم إجراء الدقة بواسطة منطقة DNS خاصة مرتبطة بشبكة ظاهرية:

رسم تخطيطي محلي باستخدام منطقة DNS الخاصة ب Azure.

Azure Private Resolver مع معاد توجيه DNS المحلي

يمكن توسيع هذا التكوين لشبكة محلية لديها بالفعل حل DNS بديل.

تم تكوين حل DNS المحلي لإعادة توجيه نسبة استخدام DNS إلى Azure DNS عبر معبر إعادة توجيه شرطي. يشير معاد التوجيه الشرطي إلى محلل خاص تم نشره في Azure.

إشعار

يستخدم هذا السيناريو منطقة DNS الخاصة الموصى بها من قاعدة بيانات Azure SQL. بالنسبة للخدمات الأخرى، يمكنك ضبط النموذج باستخدام المرجع التالي: قيم منطقة DNS لخدمات Azure

للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:

يوضح الرسم التخطيطي التالي دقة DNS من شبكة محلية. تتم إعادة توجيه دقة DNS بشكل مشروط إلى Azure. يتم إجراء الدقة بواسطة منطقة DNS خاصة مرتبطة بشبكة ظاهرية.

هام

يجب إجراء إعادة التوجيه الشرطي إلى معبر إعادة توجيه منطقة DNS العامةالموصى بها. على سبيل المثال: database.windows.net بدلا من privatelink.database.windows.net.

رسم تخطيطي لإعادة التوجيه المحلي إلى Azure DNS.

Azure Private Resolver للشبكة الظاهرية وأحمال العمل المحلية

بالنسبة لأحمال العمل التي تصل إلى نقطة نهاية خاصة من الشبكات الظاهرية والشبكات المحلية، استخدم Azure Private Resolver لحل منطقة DNS العامة لخدمة Azure المنشورة في Azure.

السيناريو التالي هو لشبكة محلية مع الشبكات الظاهرية في Azure. تصل كلتا الشبكتين إلى نقطة النهاية الخاصة الموجودة في شبكة اتصال مشتركة.

الحل الخاص مسؤول عن حل جميع استعلامات DNS عبر خدمة DNS المقدمة من Azure 168.63.129.16.

هام

مطلوب منطقة DNS خاصة واحدة لهذا التكوين. يجب أيضا أن يستخدم كافة اتصالات العميل التي تم إجراؤها محليًا وشبكات ظاهرية نظيرة نفس منطقة DNS الخاصة.

إشعار

يستخدم هذا السيناريو منطقة DNS الخاصة الموصى بها من قاعدة بيانات Azure SQL. بالنسبة إلى الخدمات الأخرى، يمكنك ضبط الطراز باستخدام المرجع التالي: تكوين منطقة DNS لخدمات Azure.

للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:

يوضح الرسم التخطيطي التالي دقة DNS لكل من الشبكات والشبكات المحلية والشبكات الظاهرية. تستخدم الدقة Azure Private Resolver.

يتم إجراء الدقة بواسطة منطقة DNS خاصة مرتبطة بشبكة ظاهرية:

رسم تخطيطي لسيناريو مختلط مع منطقة DNS خاصة.

مجموعة مناطق DNS خاصة

في حالة اخترت دمج نقطة النهاية الخاصة بك مع منطقة DNS خاصة، ستنشئ أيضا مجموعة منطقة DNS خاصة. تحتوي مجموعة منطقة DNS على اقتران قوي بين منطقة DNS الخاصة ونقطة النهاية الخاصة. يساعد في إدارة سجلات منطقة DNS الخاصة عند وجود تحديث على نقطة النهاية الخاصة. على سبيل المثال، عند إضافة مناطق أو إزالتها، يتم تحديث منطقة DNS الخاصة تلقائيا بالعدد الصحيح من السجلات.

في السابق، تم إنشاء سجلات DNS لنقطة النهاية الخاصة عبر البرمجة النصية (استرداد معلومات معينة حول نقطة النهاية الخاصة ثم إضافتها على منطقة DNS). مع مجموعة منطقة DNS، ليست هناك حاجة لكتابة أي خطوط CLI/PowerShell إضافية لكل منطقة DNS. أيضا، عند حذف نقطة النهاية الخاصة، يتم حذف جميع سجلات DNS داخل مجموعة منطقة DNS.

في تخطيط الشبكة المحورية، يسمح السيناريو الشائع بإنشاء مناطق DNS خاصة مرة واحدة فقط في المركز. يسمح هذا الإعداد للمتحدثين بالتسجيل فيه، بدلا من إنشاء مناطق مختلفة في كل محور.

إشعار

  • يمكن لكل مجموعة منطقة DNS دعم ما يصل إلى خمس مناطق DNS.
  • إضافة مجموعات منطقة DNS متعددة إلى نقطة نهاية خاصة واحدة غير مدعومة.
  • يمكن رؤية عمليات الحذف والتحديث لسجلات DNS التي يتم تنفيذها بواسطة Azure Traffic Manager وDNS. هذه عملية نظام أساسي عادية ضرورية لإدارة سجلات DNS.

المحتوى ذو الصلة