Sdílet prostřednictvím


Scénáře integrace DNS privátního koncového bodu Azure

Integrace DNS privátního koncového bodu Azure je nezbytná pro povolení zabezpečeného privátního připojení ke službám Azure ve vaší virtuální síti. Tento článek popisuje běžné scénáře konfigurace DNS pro privátní koncové body Azure, včetně možností pro virtuální sítě, partnerské sítě a místní prostředí. Tyto scénáře a osvědčené postupy použijte k zajištění spolehlivého a zabezpečeného překladu jmen pro vaše aplikace a služby.

Nastavení privátní zóny DNS pro služby Azure, které podporují privátní koncový bod, najdete v tématu Hodnoty privátní zóny DNS privátního koncového bodu Azure.

Scénáře konfigurace DNS

Plně kvalifikovaný název domény služby se automaticky přeloží na veřejnou IP adresu. Pokud chcete vyřešit privátní IP adresu soukromého koncového bodu, změňte konfiguraci DNS.

DNS je pro vaši aplikaci zásadní, aby správně fungovala, protože překládá IP adresu privátního koncového bodu.

Můžete použít následující scénáře rozlišení DNS:

Úlohy virtuální sítě bez nástroje Azure Private Resolver

Tato konfigurace je vhodná pro úlohy virtuální sítě bez vlastního serveru DNS. V tomto scénáři se klient dotáže na IP adresu privátního koncového bodu na službu DNS poskytovanou Azure 168.63.129.16. Azure DNS zodpovídá za řešení DNS pro privátní zóny.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Ke správné konfiguraci potřebujete následující zdroje informací:

Následující snímek obrazovky znázorňuje posloupnost překladu DNS pro úlohy virtuální sítě pomocí privátní DNS zóny.

Diagram jedné virtuální sítě a DNS poskytovaného Azure

Partnerské pracovní zátěže propojené virtuální sítě bez Azure Private Resolveru

Tento model můžete rozšířit na partnerské virtuální sítě přidružené ke stejnému privátnímu koncovému bodu. Přidejte nové propojení virtuální sítě do privátní zóny DNS pro všechny partnerské virtuální sítě.

Důležité

  • Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Vytvoření více zón se stejným názvem pro různé virtuální sítě by k sloučení záznamů DNS potřebovalo ruční operace.

  • Pokud používáte privátní koncový bod v modelu hub-and-spoke z jiného předplatného nebo dokonce v rámci stejného předplatného, propojte stejné privátní zóny DNS se všemi spoke sítěmi a centrálními virtuálními sítěmi, které obsahují klienty, kteří potřebují rozlišení DNS ze zón.

V tomto scénáři je uzlová a paprsková síťová topologie. Paprskové sítě sdílejí privátní koncový bod. Paprskové virtuální sítě jsou propojené se stejnou privátní zónou DNS.

Diagram centra a paprsku s DNS poskytovaným společností Azure

Lokální pracovní zátěže používající DNS forwarder bez Azure Private Resolver

Aby místní úlohy přeložily FQDN privátního koncového bodu, nakonfigurujte v Azure DNS forwarder. Služba předávání DNS by se měla nasadit ve virtuální síti, která je propojená s privátní zónou DNS pro váš privátní koncový bod.

DNS forwarder je obvykle virtuální počítač poskytující služby DNS nebo spravovaná služba poskytující funkce DNS, jako je Azure Firewall. Služba předávání DNS přijímá dotazy DNS z místních nebo jiných virtuálních sítí a předává je do Azure DNS.

Poznámka:

Dotazy DNS pro privátní koncové body musí pocházet z virtuální sítě propojené se zónou privátního DNS. DNS přeposílač umožňuje zprostředkování dotazů jménem místních klientů. Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Následující scénář je určený pro místní síť, která má službu předávání DNS v Azure. Tento předávací nástroj řeší dotazy DNS prostřednictvím předávacího mechanismu na úrovni serveru k DNS serveru poskytnutému Azure 168.63.129.16.

Ke správné konfiguraci potřebujete následující zdroje informací:

Důležité

Podmíněné předávání musí být provedeno do doporučeného veřejného předávacího modulu zóny DNS. Například: database.windows.net místo privatelink.database.windows.net.

  • Rozšiřte tuto konfiguraci pro místní sítě, které už mají vlastní řešení DNS.
  • Nakonfigurujte místní řešení DNS s podmíněným předáváním pro privátní zónu DNS. Podmíněný přesměrovávač by měl odkazovat na DNS přesměrovávač nasazený v Azure, aby se dotazy DNS na privátní koncové body správně přeložily.

Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:

Diagram místního přesměrování do Azure DNS bez privátního resolveru Azure

Azure privátní řešitel pro místní pracovní zátěž

Pokud mají úlohy v místním prostředí vyřešit plně kvalifikovaný název domény (FQDN) pro privátní koncový bod, použijte nástroj Azure Private Resolver k vyřešení veřejné DNS zóny služby Azure v rámci Azure. Azure Private Resolver je spravovaná služba Azure, která dokáže překládat dotazy DNS bez nutnosti virtuálního počítače, který funguje jako předávací nástroj DNS.

Následující scénář je určený pro místní síť nakonfigurovanou tak, aby používala službu Azure Private Resolver. Privátní resolver předá požadavek na privátní koncový bod do DNS Azure.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure.

Pro správnou konfiguraci jsou vyžadovány následující zdroje informací:

Následující diagram znázorňuje sekvenci vývoje DNS z on-premises (interní) sítě. Konfigurace používá soukromý resolver nasazený v Azure. Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:

Diagram místního prostředí pomocí privátní zóny DNS Azure

Privátní překladač Azure s místním předávacím serverem DNS

Tuto konfiguraci je možné rozšířit pro místní síť, která už má řešení DNS.

Místní řešení DNS je nakonfigurované tak, aby předával provoz DNS do Azure DNS prostřednictvím podmíněného předávače. Podmíněný předávač referuje na privátní resolver nasazený v Azure.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Hodnoty zón DNS služeb Azure

Ke správné konfiguraci potřebujete následující zdroje informací:

Následující diagram znázorňuje řešení DNS z lokální sítě. Rozlišení DNS je podmíněně předáno do Azure. Rozlišení je provedeno privátní DNS zónou spojenou s virtuální sítí.

Důležité

Podmíněné předávání musí být provedeno do doporučeného veřejného předávacího modulu zóny DNS. Například: database.windows.net místo privatelink.database.windows.net.

Diagram místního předávání do Azure DNS

Privátní rezolver Azure pro virtuální síť a pracovní zátěže v místním prostředí

Pro úlohy, které přistupují k privátnímu koncovému bodu z virtuálních a místních sítí, použijte Azure Private Resolver k překladu veřejné DNS zóny služby Azure nasazené v Azure.

Následující scénář je určený pro místní síť s virtuálními sítěmi v Azure. Obě sítě přistupují k privátnímu koncovému bodu umístěnému ve sdílené hubové síti.

Privátní překladač zodpovídá za překlad všech dotazů DNS prostřednictvím služby DNS poskytované v Azure 168.63.129.16.

Důležité

Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Všechna připojení klientů vytvořená z místních a partnerských virtuálních sítí musí také používat stejnou privátní zónu DNS.

Poznámka:

Tento scénář používá zónu privátního DNS doporučenou službou Azure SQL Database. U jiných služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.

Ke správné konfiguraci potřebujete následující zdroje informací:

Následující diagram znázorňuje překlad DNS pro obě sítě, místní i virtuální sítě. Řešení používá Azure Private Resolver.

Rozlišení je prováděno privátní DNS zónou propojenou s virtuální sítí:

Diagram hybridního scénáře s privátní zónou DNS

skupina zón soukromého DNS

Pokud se rozhodnete privátní koncový bod integrovat s privátní zónou DNS, vytvoří se také skupina privátních zón DNS. Skupina zón DNS má silné přidružení mezi privátní zónou DNS a privátním koncovým bodem. Pomáhá se správou záznamů privátní zóny DNS při aktualizaci privátního koncového bodu. Když například přidáte nebo odeberete oblasti, privátní zóna DNS se automaticky aktualizuje správným počtem záznamů.

Dříve se záznamy DNS pro privátní koncový bod vytvořily prostřednictvím skriptování (načtení určitých informací o privátním koncovém bodu a jeho následném přidání do zóny DNS). Se skupinou zón DNS nemusíte zapisovat žádné další řádky rozhraní příkazového řádku nebo PowerShellu pro každou zónu DNS. Když odstraníte privátní koncový bod, odstraní se také všechny záznamy DNS ve skupině zón DNS.

V topologii hvězdicové sítě běžný scénář umožňuje vytváření privátních zón DNS pouze jednou v centrálním uzlu. Toto nastavení umožňuje registraci paprsků k němu, místo vytváření různých zón v každém jednotlivém paprsku.

Poznámka:

  • Každá skupina zón DNS může podporovat až pět zón DNS.
  • Přidání několika skupin zón DNS do jednoho privátního koncového bodu se nepodporuje.
  • Operace odstranění a aktualizace záznamů DNS se dají zobrazit pomocí Azure Traffic Manageru a DNS. Jedná se o normální provoz platformy nezbytný ke správě záznamů DNS.