Kurz: Vytvoření infrastruktury DNS privátního koncového bodu pomocí služby Azure Private Resolver pro místní úlohu

Když se vytvoří soukromý koncový bod Azure, k překladu názvů se ve výchozím nastavení používají zóny Azure Private DNS. Pro místní úlohy pro přístup ke koncovému bodu se vyžadoval předávací nástroj na virtuální počítač v Azure, který hostuje DNS nebo místní záznamy DNS pro privátní koncový bod. Azure Private Resolver snižuje potřebu nasadit virtuální počítač v Azure pro DNS nebo spravovat záznamy DNS privátního koncového bodu na místním serveru DNS.

Diagram prostředků Azure vytvořených v kurzu

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť Azure pro cloudovou síť a simulovanou místní síť v rámci podniku s propojením virtuálních sítí.
  • Vytvořte webovou aplikaci Azure pro simulaci cloudového prostředku.
  • Vytvořte privátní koncový bod Azure pro webovou aplikaci ve službě Azure Virtual Network.
  • Vytvořte privátní resolver Azure v cloudové síti.
  • Vytvořte virtuální počítač Azure v simulované místní síti a otestujte překlad DNS do webové aplikace.

Poznámka:

Virtuální síť Azure s partnerským vztahem slouží k simulaci místní sítě pro účely tohoto kurzu. V produkčním scénáři je k připojení k virtuální síti Azure a přístupu k privátnímu koncovému bodu vyžadován Express Route nebo VPN síť typu Site-to-Site.

Simulovaná síť je nakonfigurovaná s privátním překladačem Azure jako server DNS virtuální sítě. V produkčním scénáři budou místní prostředky pro překlad názvů používat místní server DNS. Podmíněný zprostředkovatel směrování na Azure Private Resolver se používá na místním serveru DNS k vyřešení soukromých záznamů DNS koncového bodu. Další informace o konfiguraci podmíněných služeb předávání pro váš server DNS najdete v dokumentaci poskytovatele.

Požadavky

Přihlášení k Azure

Přihlaste se k webu Azure Portal pomocí svého účtu Azure.

Přehled

Virtuální síť pro webovou aplikaci Azure a simulovaná lokální síť se používají pro prostředky v rámci tohoto tutoriálu. Vytvoříte dvě virtuální sítě a spárujete je k simulaci připojení ExpressRoute nebo VPN mezi místním prostředím a Azure. Hostitel Služby Azure Bastion je nasazený v simulované místní síti pro připojení k testovacímu virtuálnímu počítači. Testovací virtuální stroj se používá pro testování připojení privátního koncového bodu k webové aplikaci a řešení DNS.

V tomto kurzu se používají následující prostředky k simulaci místní a cloudové síťové infrastruktury:

Prostředek Název Popis
Simulovaná místní virtuální síť vnet-1 Virtuální síť, která simuluje místní síť.
Cloudová virtuální síť vnet-2 Virtuální síť, ve které je nasazená webová aplikace Azure.
Opevněný hostitelský počítač bašta Bastion host používaný k připojení k virtuálnímu počítači ve simulované místní síti.
Testování virtuálního počítače vm-1 Virtuální počítač použitý k otestování připojení privátního koncového bodu k webové aplikaci a překladu DNS.
Propojení virtuální sítě vnet-1-to-vnet-2 Propojení virtuálních sítí mezi simulovanou on-premises sítí a cloudovou virtuální sítí.
Propojení virtuální sítě vnet-2-to-vnet-1 Propojení virtuální sítě mezi virtuální sítí v cloudu a simulovanou místní sítí.

Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner pro prostředky Azure. Tento postup vytvoří skupinu prostředků pro všechny prostředky použité v tomto kurzu.

  1. Na portálu vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte + Vytvořit.

  3. Na kartě Základy zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Zadejte test-rg.
    Podrobnosti o zdroji
    Oblast Vyberte USA – východ 2.

  4. Vyberte možnost Zkontrolovat a vytvořita poté vyberte možnost Vytvořit.

Vytvoření virtuální sítě

Následující postup vytvoří virtuální síť s podsítí zdrojů.

  1. Na portálu vyhledejte a vyberte Virtuální sítě.

  2. Na stránce Virtuální sítě vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte vnet-1.
    Oblast Vyberte USA – východ 2.

  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. Výběrem možnosti Další přejděte na kartu IP adresy.

  6. V poli Adresní prostor v Podsítích vyberte výchozí podsíť.

  7. V části Upravit podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti o podsíti
    Šablona podsítě Ponechte výchozí Default.
    Název Zadejte subnet-1.
    Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0.
    Velikost podsítě Ponechte výchozí hodnotu /24 (256 adres).

  8. Zvolte Uložit.

  9. Vyberte Zkontrolovat a vytvořit v dolní části obrazovky a po ověření vyberte Vytvořit.

Nasazení služby Azure Bastion

Azure Bastion se pomocí prohlížeče připojuje k virtuálním počítačům ve vaší virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o službě Azure Bastion najdete v tématu Azure Bastion.

Poznámka:

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  1. Do vyhledávacího pole v horní části portálu zadejte Bastion. Ve výsledcích hledání vyberte bastions .

  2. Vyberte + Vytvořit.

  3. Na kartě ZákladyVytvoření bastionu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte bastion.
    Oblast Vyberte USA – východ 2.
    Vrstva Vyberte Vývojář.
    Konfigurace virtuálních sítí
    Virtuální síť Vyberte vnet-1.

  4. Vybrat Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Dokončení nasazení hostitele Bastion trvá několik minut. Hostitel Bastionu se později v kurzu použije k připojení k místnímu virtuálnímu počítači k otestování privátního koncového bodu. Po vytvoření virtuální sítě můžete pokračovat k dalším krokům.

Vytvoření cloudové virtuální sítě

Opakováním předchozích kroků vytvořte cloudovou virtuální síť pro privátní koncový bod webové aplikace Azure. Nahraďte hodnoty následujícími hodnotami pro cloudovou virtuální síť:

Poznámka:

Část nasazení služby Azure Bastion je možné přeskočit pro cloudovou virtuální síť. Hostitel Bastionu se vyžaduje jenom pro simulovanou místní síť.

Nastavení Hodnota
Název vnet-2
Místo USA – východ 2
Adresní prostor 10.1.0.0/16
Název podsítě podsíť 1
Rozsah adres podsítě 10.1.0.0/24

Vytvořit propojení virtuálních sítí

Pomocí následujícího postupu vytvořte obousměrný partnerský vztah sítí mezi vnet1 a vnet2.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  2. Vyberte vnet-1.

  3. V Nastavení vyberte Propojení.

  4. Vyberte + Přidat.

  5. Zadejte nebo vyberte následující informace v Přidat partnerské vztahy:

    Nastavení Hodnota
    Souhrn vzdálených virtuálních sítí
    Název odkazu peeringu Zadejte vnet-2-to-vnet-1.
    Model nasazení virtuální sítě Ponechte výchozí hodnotu Resource Manageru.
    Předplatné Vyberte své předplatné.
    Virtuální síť Vyberte vnet-2.
    Nastavení vzdáleného propojení virtuální sítě
    Povolit 'vnet-2' přístup k 'vnet-1' Ponechte výchozí hodnotu vybranou.
    Povolit vnet-2 přijímat přesměrovaný provoz z vnet-1 Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru v síti vnet-2 směrovat provoz do sítě vnet-1 Ponechte výchozí hodnotu nezaškrtanou.
    Povolte vnet-2 používat vzdálenou bránu sítě vnet-1 nebo směrovací server v síti vnet-1. Ponechte výchozí hodnotu nezaškrtanou.
    Souhrn partnerského vztahu místních virtuálních sítí
    Název odkazu peeringu Zadejte vnet-1-to-vnet-2.
    Nastavení místního propojení virtuálních sítí
    Povolit 'vnet-1' přístup k 'vnet-2' Ponechte výchozí hodnotu vybranou.
    Povolit vnet-1 přijímat přesměrovaný provoz z vnet-2 Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru v síti vnet-1 směrovat provoz do sítě vnet-2 Ponechte výchozí hodnotu nezaškrtanou.
    Umožněte vnet-1 používat vzdálenou bránu nebo směrovací server vnet-2. Ponechte výchozí hodnotu nezaškrtanou.

    Snímek obrazovky přidání propojení v portálu Azure

  6. Vyberte Přidat.

Vytvoření webové aplikace

  1. Do vyhledávacího pole v horní části portálu zadejte App Service. Ve výsledcích hledání vyberte App Services .

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvoření webové aplikace zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte jedinečný název webové aplikace. Název webapp8675 se používá pro příklady v tomto kurzu.
    Publikovat Vyberte Kód.
    Zásobník runtime Vyberte .NET 6 (LTS).
    Operační systém Vyberte Windows.
    Oblast Vyberte USA – východ 2.
    Cenové plány
    Plán Windows (Západní USA 2) Ponechte výchozí název.
    Cenový plán Vyberte Změnit velikost.

  4. Ve Spec Pickeru vyberte Produkce pro pracovní zatížení.

  5. V doporučených cenových úrovních vyberte P1V2.

  6. Vyberte Použít.

  7. Vyberte Další: Nasazení.

  8. Vyberte Další: Sítě.

  9. Změňte hodnotu Povolit veřejný přístup na false.

  10. Vybrat Zkontrolovat a vytvořit.

  11. Vyberte Vytvořit.

Vytvoření privátního koncového bodu

Privátní koncový bod Azure vytvoří síťové rozhraní pro podporovanou službu Azure ve vaší virtuální síti. Privátní koncový bod umožňuje přístup ke službě Azure z privátního připojení ve vaší virtuální síti Azure nebo z místní sítě.

Pro webovou aplikaci, kterou jste vytvořili dříve, vytvoříte privátní koncový bod.

  1. Do vyhledávacího pole v horní části portálu zadejte Privátní koncový bod. Ve výsledcích hledání vyberte privátní koncové body.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy v části Vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte privátní koncový bod.
    Název síťového rozhraní Ponechte výchozí název.
    Oblast Vyberte USA – východ 2.

  4. Vyberte Další: Zdroj.

  5. Na kartě Zdroj zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Způsob připojení Vyberte Připojit k prostředku Azure v mém adresáři.
    Předplatné Vyberte své předplatné.
    Typ prostředku Vyberte Microsoft.Web/sites.
    Prostředek Vyberte webovou aplikaci. Název webapp8675 se používá pro příklady v tomto kurzu.
    Cílový podzdroj Vyberte weby.

  6. Vyberte Další: Virtuální síť.

  7. Na kartě Virtuální síť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Sítě
    Virtuální síť Vyberte vnet-2 (test-rg).
    Podsíť Vyberte podsíť 1.
    Zásady sítě pro privátní koncové body Ponechte výchozí hodnotu Zakázáno.
    Konfigurace privátní IP adresy Vyberte Staticky přidělit IP adresu.
    Název Zadejte ipconfig-1.
    Privátní IP adresa Zadejte 10.1.0.10.

  8. Vyberte Další: DNS.

  9. Na kartě DNS ponechte výchozí hodnoty.

  10. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

  11. Vyberte Vytvořit.

Vytvoření privátního řešitele

Ve virtuální síti s privátním koncovým bodem vytvoříte privátní resolver. Překladač přijímá požadavky DNS ze simulované místní úlohy. Tyto požadavky se předávají do DNS poskytovaného Azure. DNS poskytnutý Azure rozlišuje privátní DNS zóny Azure pro privátní koncový bod a vrátí IP adresu do lokální pracovní zátěže.

  1. Do vyhledávacího pole v horní části portálu zadejte soukromý resolver DNS. Ve výsledcích hledání vyberte privátní překladače DNS.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy na stránce Vytvoření soukromého překladače DNS zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg
    Podrobnosti o instanci
    Název Zadejte privátní resolver.
    Oblast Vyberte USA – východ 2.
    Virtuální síť
    Virtual Network Vyberte vnet-2.

  4. Vyberte Pokračovat: Příchozí koncové body.

  5. V příchozích koncových bodech vyberte + Přidat koncový bod.

  6. Zadejte nebo vyberte následující informace v Přidání příchozího koncového bodu:

    Nastavení Hodnota
    Název koncového bodu Zadejte příchozí koncový bod.
    Podsíť Vyberte Vytvořit novou.
    Do pole Název zadejte překladač podsítě.
    Ponechte výchozí adresní rozsah podsítě.
    Vyberte Vytvořit.

  7. Zvolte Uložit.

  8. Vybrat Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

Po dokončení nasazení privátního resolveru pokračujte k dalším krokům.

Nastavení DNS pro simulovanou síť

Následující kroky nastaví privátní překladač jako primární server DNS pro simulovanou místní síť vnet-1.

V produkčním prostředí nejsou tyto kroky potřeba a slouží pouze k simulaci překladu DNS pro privátní koncový bod. Místní server DNS má na tuto IP adresu podmíněný přeposílač pro vyřešení záznamů DNS privátního koncového bodu z místní sítě.

  1. Do vyhledávacího pole v horní části portálu zadejte soukromý resolver DNS. Ve výsledcích hledání vyberte privátní překladače DNS.

  2. Vyberte privátní resolver.

  3. Vyberte Příchozí koncové body v Nastavení.

  4. Poznamenejte si IP adresu koncového bodu s názvem inbound-endpoint. V příkladu pro účely tohoto kurzu je IP adresa 10.1.1.4.

  5. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  6. Vyberte vnet-1.

  7. V nastavení vyberte servery DNS.

  8. Vyberte Vlastní v DNS serverech.

  9. Zadejte IP adresu, kterou jste si poznamenali dříve. V příkladu pro účely tohoto kurzu je IP adresa 10.1.1.4.

  10. Zvolte Uložit.

Vytvoření testovacího virtuálního počítače

Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název virtuálního stroje Zadejte vm-1.
    Oblast Vyberte USA – východ 2.
    Možnosti dostupnosti Vyberte Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Obrázek Vyberte Windows Server 2022 Datacenter – x64 Gen2.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    Velikost Vyberte velikost.
    Účet správce
    Typ ověření Vyberte heslo.
    Username Zadejte azureuser.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Vyberte Žádná.

  4. V horní části stránky vyberte kartu Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1 (10.0.0.0/24).
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení síťového adaptéru Vyberte Upřesnit.
    Konfigurace skupiny zabezpečení sítě Vyberte Vytvořit novou.
    Jako název zadejte nsg-1 .
    Ponechte zbytek ve výchozím nastavení a vyberte OK.

  6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a vyberte Vytvořit.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač je umístěn do back-endové skupiny standardního vyrovnávače zatížení, a to s odchozími pravidly nebo bez nich.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Testování připojení k privátnímu koncovému bodu

V této části použijete virtuální počítač, který jste vytvořili v předchozím kroku, a připojíte se k webové aplikaci přes privátní koncový bod.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte vm-1.

  3. Na stránce přehledu pro vm-1 vyberte Připojit poté Bastion.

  4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

  5. Vyberte tlačítko Připojit .

  6. Po připojení otevřete Windows PowerShell na serveru.

  7. Zadejte nslookup <webapp-name>.azurewebsites.net. Nahraďte <název webové aplikace názvem> webové aplikace, kterou jste vytvořili v předchozích krocích. Zobrazí se zpráva podobná následujícímu výstupu:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp.privatelink.azurewebsites.net
Address:  10.1.0.10
Aliases:  webapp.azurewebsites.net

    Pro název webové aplikace se vrátí privátní IP adresa 10.1.0.10 . Tato adresa je v podsíti subnet-1 virtuální sítě vnet-2, kterou jste vytvořili dříve.

  8. Otevřete Microsoft Edge a zadejte adresu URL webové aplikace https://<webapp-name>.azurewebsites.net.

  9. Ověřte, že se zobrazí výchozí stránka webové aplikace.

  10. Zavřete připojení k virtuálnímu počítači vm-1.

  11. Otevřete webový prohlížeč na místním počítači a zadejte adresu URL webové aplikace https://<webapp-name>.azurewebsites.net.

  12. Ověřte, že se zobrazí stránka 403 . Tato stránka označuje, že webová aplikace není přístupná externě.

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V tomto návodu jste se naučili, jak nasadit privátní řešitel a privátní koncový bod. Otestovali jste připojení k privátnímu koncovému bodu ze simulované místní sítě.

V dalším článku se dozvíte, jak...

Připojení k serveru Azure SQL pomocí privátního koncového bodu Azure

  • Last updated on