Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Integrace DNS privátního koncového bodu Azure je nezbytná pro povolení zabezpečeného privátního připojení ke službám Azure ve vaší virtuální síti. Tento článek popisuje běžné scénáře konfigurace DNS pro privátní koncové body Azure, včetně možností pro virtuální sítě, partnerské sítě a místní prostředí. Tyto scénáře a osvědčené postupy použijte k zajištění spolehlivého a zabezpečeného překladu jmen pro vaše aplikace a služby.
Nastavení privátní zóny DNS pro služby Azure, které podporují privátní koncový bod, najdete v tématu Hodnoty privátní zóny DNS privátního koncového bodu Azure.
Scénáře konfigurace DNS
Plně kvalifikovaný název domény služby se automaticky přeloží na veřejnou IP adresu. Pokud chcete vyřešit privátní IP adresu soukromého koncového bodu, změňte konfiguraci DNS.
DNS je pro vaši aplikaci zásadní, aby správně fungovala, protože překládá IP adresu privátního koncového bodu.
Můžete použít následující scénáře rozlišení DNS:
Zátěže propojených virtuálních sítí bez služby Azure Private Resolver
Místní úlohy využívající službu předávání DNS bez privátního překladače Azure)
Privátní resolver Azure s DNS forwarderem v místních prostorách
Úlohy virtuální sítě bez nástroje Azure Private Resolver
Tato konfigurace je vhodná pro úlohy virtuální sítě bez vlastního serveru DNS. V tomto scénáři se klient dotáže na IP adresu privátního koncového bodu na službu DNS poskytovanou Azure 168.63.129.16. Azure DNS zodpovídá za řešení DNS pro privátní zóny.
Poznámka:
Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Ke správné konfiguraci potřebujete následující zdroje informací:
Klientská virtuální síť
Privátní DNS zóna privatelink.database.windows.net s záznamem typu A
Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)
Následující snímek obrazovky znázorňuje posloupnost překladu DNS pro úlohy virtuální sítě pomocí privátní DNS zóny.
Partnerské pracovní zátěže propojené virtuální sítě bez Azure Private Resolveru
Tento model můžete rozšířit na partnerské virtuální sítě přidružené ke stejnému privátnímu koncovému bodu. Přidejte nové propojení virtuální sítě do privátní zóny DNS pro všechny partnerské virtuální sítě.
Důležité
Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Vytvoření více zón se stejným názvem pro různé virtuální sítě by k sloučení záznamů DNS potřebovalo ruční operace.
Pokud používáte privátní koncový bod v modelu hub-and-spoke z jiného předplatného nebo dokonce v rámci stejného předplatného, propojte stejné privátní zóny DNS se všemi spoke sítěmi a centrálními virtuálními sítěmi, které obsahují klienty, kteří potřebují rozlišení DNS ze zón.
V tomto scénáři je uzlová a paprsková síťová topologie. Paprskové sítě sdílejí privátní koncový bod. Paprskové virtuální sítě jsou propojené se stejnou privátní zónou DNS.
Lokální pracovní zátěže používající DNS forwarder bez Azure Private Resolver
Aby místní úlohy přeložily FQDN privátního koncového bodu, nakonfigurujte v Azure DNS forwarder. Služba předávání DNS by se měla nasadit ve virtuální síti, která je propojená s privátní zónou DNS pro váš privátní koncový bod.
DNS forwarder je obvykle virtuální počítač poskytující služby DNS nebo spravovaná služba poskytující funkce DNS, jako je Azure Firewall. Služba předávání DNS přijímá dotazy DNS z místních nebo jiných virtuálních sítí a předává je do Azure DNS.
Poznámka:
Dotazy DNS pro privátní koncové body musí pocházet z virtuální sítě propojené se zónou privátního DNS. DNS přeposílač umožňuje zprostředkování dotazů jménem místních klientů. Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Následující scénář je určený pro místní síť, která má službu předávání DNS v Azure. Tento předávací nástroj řeší dotazy DNS prostřednictvím předávacího mechanismu na úrovni serveru k DNS serveru poskytnutému Azure 168.63.129.16.
Ke správné konfiguraci potřebujete následující zdroje informací:
- Místní síť s vlastním řešením DNS
- Virtuální síť připojená k místnímu prostředí
- Řešení DNS nasazené ve vašem prostředí Azure s možností podmíněného předávání požadavků DNS
- Privátní DNS zóna privatelink.database.windows.net s záznamem typu A
- Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)
Důležité
Podmíněné předávání musí být provedeno do doporučeného veřejného předávacího modulu zóny DNS. Například: database.windows.net
místo privatelink.database.windows.net.
- Rozšiřte tuto konfiguraci pro místní sítě, které už mají vlastní řešení DNS.
- Nakonfigurujte místní řešení DNS s podmíněným předáváním pro privátní zónu DNS. Podmíněný přesměrovávač by měl odkazovat na DNS přesměrovávač nasazený v Azure, aby se dotazy DNS na privátní koncové body správně přeložily.
Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:
Azure privátní řešitel pro místní pracovní zátěž
Pokud mají úlohy v místním prostředí vyřešit plně kvalifikovaný název domény (FQDN) pro privátní koncový bod, použijte nástroj Azure Private Resolver k vyřešení veřejné DNS zóny služby Azure v rámci Azure. Azure Private Resolver je spravovaná služba Azure, která dokáže překládat dotazy DNS bez nutnosti virtuálního počítače, který funguje jako předávací nástroj DNS.
Následující scénář je určený pro místní síť nakonfigurovanou tak, aby používala službu Azure Private Resolver. Privátní resolver předá požadavek na privátní koncový bod do DNS Azure.
Poznámka:
Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure.
Pro správnou konfiguraci jsou vyžadovány následující zdroje informací:
Místní síť
Virtuální síť připojená k místnímu prostředí
Privátní DNS zóny privatelink.database.windows.net s typem záznamu A
Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)
Následující diagram znázorňuje sekvenci vývoje DNS z on-premises (interní) sítě. Konfigurace používá soukromý resolver nasazený v Azure. Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:
Privátní překladač Azure s místním předávacím serverem DNS
Tuto konfiguraci je možné rozšířit pro místní síť, která už má řešení DNS.
Místní řešení DNS je nakonfigurované tak, aby předával provoz DNS do Azure DNS prostřednictvím podmíněného předávače. Podmíněný předávač referuje na privátní resolver nasazený v Azure.
Poznámka:
Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure
Ke správné konfiguraci potřebujete následující zdroje informací:
Místní síť s vlastním řešením DNS
Virtuální síť připojená k místnímu prostředí
Privátní DNS zóny privatelink.database.windows.net s typem záznamu A
Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)
Následující diagram znázorňuje řešení DNS z lokální sítě. Rozlišení DNS je podmíněně předáno do Azure. Rozlišení je provedeno privátní DNS zónou spojenou s virtuální sítí.
Důležité
Podmíněné předávání musí být provedeno do doporučeného veřejného předávacího modulu zóny DNS. Například: database.windows.net
místo privatelink.database.windows.net.
Privátní rezolver Azure pro virtuální síť a pracovní zátěže v místním prostředí
Pro úlohy, které přistupují k privátnímu koncovému bodu z virtuálních a místních sítí, použijte Azure Private Resolver k překladu veřejné DNS zóny služby Azure nasazené v Azure.
Následující scénář je určený pro místní síť s virtuálními sítěmi v Azure. Obě sítě přistupují k privátnímu koncovému bodu umístěnému ve sdílené hubové síti.
Privátní překladač zodpovídá za překlad všech dotazů DNS prostřednictvím služby DNS poskytované v Azure 168.63.129.16.
Důležité
Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Všechna připojení klientů vytvořená z místních a partnerských virtuálních sítí musí také používat stejnou privátní zónu DNS.
Poznámka:
Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Ke správné konfiguraci potřebujete následující zdroje informací:
Místní síť
Virtuální síť připojená k místnímu prostředí
Soukromý resolver Azure
Privátní DNS zóny privatelink.database.windows.net s typem záznamu A
Informace o privátním koncovém bodu (název záznamu plně kvalifikovaného názvu domény a privátní IP adresa)
Následující diagram znázorňuje překlad DNS pro obě sítě, místní i virtuální sítě. Řešení používá Azure Private Resolver.
Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:
skupina zón soukromého DNS
Pokud se rozhodnete privátní koncový bod integrovat s privátní zónou DNS, vytvoří se také skupina privátních zón DNS. Skupina zón DNS má silné přidružení mezi privátní zónou DNS a privátním koncovým bodem. Pomáhá se správou záznamů privátní zóny DNS při aktualizaci privátního koncového bodu. Když například přidáte nebo odeberete oblasti, privátní zóna DNS se automaticky aktualizuje správným počtem záznamů.
Dříve se záznamy DNS pro privátní koncový bod vytvořily prostřednictvím skriptování (načtení určitých informací o privátním koncovém bodu a jeho následném přidání do zóny DNS). Se skupinou zón DNS nemusíte zapisovat žádné další řádky rozhraní příkazového řádku nebo PowerShellu pro každou zónu DNS. Když odstraníte privátní koncový bod, odstraní se také všechny záznamy DNS ve skupině zón DNS.
V topologii hvězdicové sítě běžný scénář umožňuje vytváření privátních zón DNS pouze jednou v centrálním uzlu. Toto nastavení umožňuje registraci paprsků k němu, místo vytváření různých zón v každém jednotlivém paprsku.
Poznámka:
- Každá skupina zón DNS může podporovat až pět zón DNS.
- Přidání několika skupin zón DNS do jednoho privátního koncového bodu se nepodporuje.
- Operace odstranění a aktualizace záznamů DNS se dají zobrazit pomocí Azure Traffic Manageru a DNS. Jedná se o normální provoz platformy nezbytný ke správě záznamů DNS.