Rychlý start: Vytvoření privátní zóny DNS Azure pomocí Azure CLI

Tento rychlý start vás provede postupem vytvoření první privátní zóny a záznamu DNS pomocí Azure CLI.

Zóna DNS slouží k hostování záznamů DNS pro konkrétní doménu. Pokud chcete začít hostovat svou doménu v DNS Azure, musíte vytvořit zónu DNS pro daný název domény. Všechny záznamy DNS pro vaši doménu se pak vytvoří v této zóně DNS. Když chcete publikovat privátní zónu DNS ve vaší virtuální síti, určíte seznam virtuálních sítí, které mohou překládat záznamy v rámci zóny. Říká se tomu propojené virtuální sítě. Když je povolena automatická registrace, Azure DNS také aktualizuje záznamy zóny při každém vytvoření, změně IP adresy nebo odstranění virtuálního počítače.

Souhrnný diagram nastavení rychlého startu

Pokud nemáte účet Azure, vytvořte si bezplatný účet před tím, než začnete.

Požadavky

Vytvořte skupinu prostředků

Nejdřív vytvořte skupinu prostředků, která bude obsahovat zónu DNS:

az group create --name MyAzureResourceGroup --location "East US"

Vytvoření privátní zóny DNS

Následující příklad vytvoří virtuální síť s názvem myAzureVNet. Pak vytvoří zónu DNS s názvem private.contoso.com ve skupině prostředků MyAzureResourceGroup , propojí zónu DNS s virtuální sítí MyAzureVnet a povolí automatickou registraci.

az network vnet create \
  --name myAzureVNet \
  --resource-group MyAzureResourceGroup \
  --location eastus \
  --address-prefix 10.2.0.0/16 \
  --subnet-name backendSubnet \
  --subnet-prefixes 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myAzureVNet \
  --resource-group MyAzureResourceGroup \
  --name AzureBastionSubnet \
  --address-prefix 10.2.1.0/26

az network private-dns zone create \
  --resource-group MyAzureResourceGroup \
  --name private.contoso.com

az network private-dns link vnet create \
  --resource-group MyAzureResourceGroup \
  --name MyDNSLink \
  --zone-name private.contoso.com \
  --virtual-network myAzureVNet \
  --registration-enabled true

Pokud chcete vytvořit zónu pouze pro řešení názvů (bez automatické registrace názvu hostitele), můžete použít parametr --registration-enabled false.

Výpis privátních zón DNS

K zobrazení výčtu zón DNS použijte az network private-dns zone list. Nápovědu získáte příkazem az network dns zone list --help.

Určení skupiny prostředků obsahuje pouze tyto zóny v rámci skupiny prostředků:

az network private-dns zone list \
  --resource-group MyAzureResourceGroup

Vynechání skupiny prostředků zobrazí seznam všech zón v předplatném:

az network private-dns zone list

Nasazení služby Azure Bastion

Azure Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes secure shell (SSH) nebo protokol RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o službě Azure Bastion najdete v tématu Azure Bastion.

Poznámka:

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

Vytvořte veřejnou IP adresu pro hostitele služby Azure Bastion pomocí příkazu az network public-ip create.

az network public-ip create \
  --resource-group MyAzureResourceGroup \
  --name public-ip-bastion \
  --location eastus \
  --allocation-method Static \
  --sku Standard

Vytvořte host služby Azure Bastion pomocí az network bastion create. Azure Bastion se používá k bezpečnému připojení k virtuálním počítačům bez jejich vystavení na veřejném internetu.

az network bastion create \
  --resource-group MyAzureResourceGroup \
  --name bastion \
  --vnet-name myAzureVNet \
  --public-ip-address public-ip-bastion \
  --location eastus \
  --sku Basic \
  --no-wait

Vytvoření testovacích virtuálních počítačů

Teď vytvořte dva virtuální počítače, abyste mohli privátní zónu DNS otestovat:

az vm create \
  --name myVM01 \
  --admin-username AzureAdmin \
  --resource-group MyAzureResourceGroup \
  --location eastus \
  --subnet backendSubnet \
  --vnet-name myAzureVnet \
  --image win2016datacenter \
  --public-ip-address ""

az vm create \
  --name myVM02 \
  --admin-username AzureAdmin \
  --resource-group MyAzureResourceGroup \
  --location eastus \
  --subnet backendSubnet \
  --vnet-name myAzureVnet \
  --image win2016datacenter \
  --public-ip-address ""

Vytvoření virtuálního počítače bude trvat několik minut.

Vytvoření dalšího záznamu DNS

K vytvoření záznamu az network private-dns record-set [record type] add-record DNS použijte příkaz. Nápovědu k přidání záznamů A najdete třeba na az network private-dns record-set A add-record --help.

Následující příklad vytvoří záznam s relativním názvem db v zóně DNS private.contoso.com ve skupině prostředků MyAzureResourceGroup. Plně kvalifikovaný název sady záznamů je db.private.contoso.com. Typ záznamu je A s IP adresou 10.2.0.4.

az network private-dns record-set a add-record \
  --resource-group MyAzureResourceGroup \
  --zone-name private.contoso.com \
  --record-set-name db \
  --ipv4-address 10.2.0.4

Zobrazení záznamů DNS

K výpisu záznamů DNS ve vaší zóně použijte následující příkaz:

az network private-dns record-set list \
  --resource-group MyAzureResourceGroup \
  --zone-name private.contoso.com

Testování privátní zóny

Nyní můžete otestovat překlad názvů ve vaší soukromé zóně private.contoso.com.

Konfigurace virtuálních počítačů pro povolení příchozích přenosů ICMP

Můžete otestovat překládání názvů pomocí příkazu ping. Za tím účelem nakonfigurujte bránu firewall na obou virtuálních počítačích tak, aby povolovala příchozí pakety ICMP.

  1. Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.

  2. Vyberte myVM01.

  3. V přehledu vyberte Připojit>Připojit přes Bastion.

  4. Zadejte uživatelské jméno a heslo, které jste vytvořili při nasazení virtuálního počítače, a pak vyberte Připojit.

  5. Otevřete okno Windows PowerShellu a spusťte následující příkaz:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

  6. Zavřete připojení Bastionu k myVM01 a zopakujte předchozí kroky pro připojení k myVM02.

Proveďte ping na virtuální počítače podle jména

  1. Z připojení myVM02 Bastion otevřete příkazový řádek Windows PowerShellu a pingněte myVM01 pomocí automaticky zaregistrovaného názvu hostitele.

    ping myVM01.private.contoso.com

    Měl by se zobrazit výstup podobný následujícímu:

    PS C:\> ping myvm01.private.contoso.com

Pinging myvm01.private.contoso.com [10.2.0.4] with 32 bytes of data:
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128
Reply from 10.2.0.4: bytes=32 time=1ms TTL=128
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.2.0.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 1ms, Average = 0ms
PS C:\>

  2. Nyní pingněte název db, který jste předtím vytvořili:

    ping db.private.contoso.com

    Měl by se zobrazit výstup podobný následujícímu:

    PS C:\> ping db.private.contoso.com

Pinging db.private.contoso.com [10.2.0.4] with 32 bytes of data:
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128
Reply from 10.2.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.2.0.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
PS C:\>

Upravte zdroje

Pokud už ji nepotřebujete, odstraňte skupinu prostředků MyAzureResourceGroup a odstraňte prostředky vytvořené v tomto rychlém startu.

az group delete --name MyAzureResourceGroup

Další kroky

Scénáře privátních zón Azure DNS

  • Last updated on