Sdílet prostřednictvím

Kurz: Vytvoření infrastruktury DNS privátního koncového bodu pomocí služby Azure Private Resolver pro místní úlohu

  • Článek

Když se vytvoří privátní koncový bod Azure, ve výchozím nastavení k překladu názvů používá zóny Azure Privátní DNS. Pro místní úlohy pro přístup ke koncovému bodu se vyžadoval předávací nástroj na virtuální počítač v Azure, který hostuje DNS nebo místní záznamy DNS pro privátní koncový bod. Azure Private Resolver snižuje potřebu nasadit virtuální počítač v Azure pro DNS nebo spravovat záznamy DNS privátního koncového bodu na místním serveru DNS.

Diagram prostředků Azure vytvořených v kurzu

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť Azure pro cloudovou síť a simulovanou místní síť s partnerským vztahem virtuálních sítí.
  • Vytvořte webovou aplikaci Azure pro simulaci cloudového prostředku.
  • Vytvořte privátní koncový bod Azure pro webovou aplikaci ve službě Azure Virtual Network.
  • Vytvořte privátní překladač Azure v cloudové síti.
  • Vytvořte virtuální počítač Azure v simulované místní síti a otestujte překlad DNS do webové aplikace.

Poznámka:

Virtuální síť Azure s partnerským vztahem slouží k simulaci místní sítě pro účely tohoto kurzu. V produkčním scénáři se pro přístup k privátnímu koncovému bodu vyžaduje expressroute nebo síť VPN typu Site-to-Site k připojení k virtuální síti Azure.

Simulovaná síť je nakonfigurovaná s privátním překladačem Azure jako server DNS virtuální sítě. V produkčním scénáři budou místní prostředky pro překlad názvů používat místní server DNS. Podmíněný předávací nástroj pro privátní překladač Azure se používá na místním serveru DNS k překladu záznamů DNS privátního koncového bodu. Další informace o konfiguraci podmíněných služeb předávání pro váš server DNS najdete v dokumentaci poskytovatele.

Požadavky

Přihlášení k Azure

Přihlaste se k webu Azure Portal pomocí svého účtu Azure.

Přehled

Virtuální síť pro webovou aplikaci Azure a simulovaná místní síť se používá pro prostředky v tomto kurzu. Vytvoříte dvě virtuální sítě a vytvoříte partnerský vztah k simulaci připojení ExpressRoute nebo VPN mezi místním prostředím a Azure. Hostitel Služby Azure Bastion je nasazený v simulované místní síti pro připojení k testovacímu virtuálnímu počítači. Testovací virtuální počítač se používá k otestování připojení privátního koncového bodu k webové aplikaci a překladu DNS.

V tomto kurzu se používají následující prostředky k simulaci místní a cloudové síťové infrastruktury:

Prostředek Název Popis
Simulovaná místní virtuální síť vnet-1 Virtuální síť, která simuluje místní síť.
Cloudová virtuální síť vnet-2 Virtuální síť, ve které je nasazená webová aplikace Azure.
Opevněný hostitelský počítač bašta Hostitel Bastionu používaný k připojení k virtuálnímu počítači v simulované místní síti.
Testování virtuálního počítače vm-1 Virtuální počítač použitý k otestování připojení privátního koncového bodu k webové aplikaci a překladu DNS.
Partnerský vztah virtuální sítě vnet-1-to-vnet-2 Partnerský vztah virtuální sítě mezi simulovanou místní sítí a cloudovou virtuální sítí.
Partnerský vztah virtuální sítě vnet-2-to-vnet-1 Partnerský vztah virtuální sítě mezi cloudovou virtuální sítí a simulovanou místní sítí

Vytvoření virtuální sítě a hostitele služby Azure Bastion

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:

  1. Na portálu vyhledejte a vyberte Virtuální sítě.

  2. Na stránce Virtuální sítě vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte test-rg .
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte vnet-1.
    Oblast Vyberte USA – východ 2.

    Snímek obrazovky s kartou Základy pro vytvoření virtuální sítě na webu Azure Portal

  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. V části Azure Bastion vyberte Povolit Bastion.

    Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.

    Poznámka:

    Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  6. V Azure Bastionu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Název hostitele služby Azure Bastion Zadejte bastion.
    Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu.
    Do názvu zadejte public-ip-bastion .
    Vyberte OK.

    Snímek obrazovky s možnostmi pro povolení hostitele Služby Azure Bastion v rámci vytváření virtuální sítě na webu Azure Portal

  7. Výběrem možnosti Další přejděte na kartu IP adresy.

  8. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

  9. V části Upravit podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Účel podsítě Ponechte výchozí hodnotu Výchozí.
    Název Zadejte podsíť-1.
    IPv4
    Rozsah adres IPv4 Ponechte výchozí hodnotu 10.0.0.0/16.
    Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0.
    Velikost Ponechte výchozí hodnotu /24 (256 adres).

    Snímek obrazovky s podrobnostmi o konfiguraci podsítě

  10. Zvolte Uložit.

  11. V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Dokončení nasazení hostitele Bastion trvá několik minut. Hostitel Bastionu se později v kurzu použije k připojení k místnímu virtuálnímu počítači k otestování privátního koncového bodu. Po vytvoření virtuální sítě můžete pokračovat k dalším krokům.

Vytvoření cloudové virtuální sítě

Opakováním předchozích kroků vytvořte cloudovou virtuální síť pro privátní koncový bod webové aplikace Azure. Nahraďte hodnoty následujícími hodnotami pro cloudovou virtuální síť:

Poznámka:

Část nasazení služby Azure Bastion je možné přeskočit pro cloudovou virtuální síť. Hostitel Bastionu se vyžaduje jenom pro simulovanou místní síť.

Nastavení Hodnota
Name vnet-2
Místo USA – východ 2
Adresní prostor 10.1.0.0/16
Název podsítě podsíť 1
Rozsah adres podsítě 10.1.0.0/24

Vytvoření partnerského vztahu virtuálních sítí

Pomocí následujícího postupu vytvořte obousměrný partnerský vztah sítě mezi virtuální sítí vnet1 a vnet2.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  2. Vyberte vnet-1.

  3. V Nastavení vyberte Partnerské vztahy.

  4. Vyberte + Přidat.

  5. Zadejte nebo vyberte následující informace v části Přidat partnerský vztah:

    Nastavení Hodnota
    Souhrn vzdálených virtuálních sítí
    Název odkazu peeringu Zadejte vnet-1-to-vnet-2.
    Model nasazení virtuální sítě Ponechte výchozí hodnotu Resource Manageru.
    Předplatné Vyberte své předplatné.
    Virtuální síť Vyberte vnet-2.
    Nastavení partnerského vztahu vzdálené virtuální sítě
    Povolit vnet-2 přístup k virtuální síti 1 Ponechte výchozí hodnotu vybranou.
    Povolit vnet-2 přijímat přesměrovaný provoz z vnet-1 Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru v síti vnet-2 směrovat provoz do sítě vnet-1 Ponechte výchozí hodnotu nezaškrtanou.
    Povolte vnet-2 použití vzdálené brány vnet-1 nebo směrovacího serveru. Ponechte výchozí hodnotu nezaškrtanou.
    Souhrn partnerského vztahu místních virtuálních sítí
    Název odkazu peeringu Zadejte vnet-2-to-vnet-1.
    Nastavení partnerského vztahu místních virtuálních sítí
    Povolit vnet-1 přístup k virtuální síti 2 Ponechte výchozí hodnotu vybranou.
    Povolit vnet-1 přijímat přesměrovaný provoz z vnet-2 Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru v síti vnet-1 směrovat provoz do sítě vnet-2 Ponechte výchozí hodnotu nezaškrtanou.
    Povolte vnet-1 použití vzdálené brány vnet-2 nebo směrovacího serveru. Ponechte výchozí hodnotu nezaškrtanou.

    Snímek obrazovky s přidáním partnerského vztahu na webu Azure Portal

  6. Vyberte Přidat.

Vytvoření webové aplikace

  1. Do vyhledávacího pole v horní části portálu zadejte App Service. Ve výsledcích hledání vyberte App Services .

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvoření webové aplikace zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte jedinečný název webové aplikace. Název webapp8675 se používá pro příklady v tomto kurzu.
    Publikovat Vyberte Kód.
    Zásobník modulu runtime Vyberte .NET 6 (LTS).
    Operační systém Vyberte Windows.
    Oblast Vyberte USA – východ 2.
    Cenové plány
    Plán Windows (USA – západ 2) Ponechte výchozí název.
    Cenový plán Vyberte Změnit velikost.

  4. V části Výběr specifikace vyberte pro úlohu produkční prostředí.

  5. V doporučených cenových úrovních vyberte P1V2.

  6. Vyberte Použít.

  7. Vyberte Další: Nasazení.

  8. Vyberte Další: Sítě.

  9. Změňte hodnotu Povolit veřejný přístup na false.

  10. Vyberte Zkontrolovat a vytvořit.

  11. Vyberte Vytvořit.

Vytvoření privátního koncového bodu

Privátní koncový bod Azure vytvoří síťové rozhraní pro podporovanou službu Azure ve vaší virtuální síti. Privátní koncový bod umožňuje přístup ke službě Azure z privátního připojení ve vaší virtuální síti Azure nebo z místní sítě.

Pro webovou aplikaci, kterou jste vytvořili dříve, vytvoříte privátní koncový bod.

  1. Do vyhledávacího pole v horní části portálu zadejte privátní koncový bod. Ve výsledcích hledání vyberte privátní koncové body .

  2. Vyberte + Vytvořit.

  3. Na kartě Základy v části Vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte privátní koncový bod.
    Název síťového rozhraní Ponechte výchozí název.
    Oblast Vyberte USA – východ 2.

  4. Vyberte Další: Prostředek.

  5. Na kartě Zdroj zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Způsob připojení V adresáři vyberte Připojit k prostředku Azure.
    Předplatné Vyberte své předplatné.
    Typ prostředku Vyberte Microsoft.Web/sites.
    Prostředek Vyberte webovou aplikaci. Název webapp8675 se používá pro příklady v tomto kurzu.
    Cílový podsourc Vyberte weby.

  6. Vyberte Další: Virtuální síť.

  7. Na kartě Virtuální síť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Sítě
    Virtuální síť Vyberte vnet-2 (test-rg).
    Podsíť Vyberte podsíť 1.
    Zásady sítě pro privátní koncové body Ponechte výchozí hodnotu Zakázáno.
    Konfigurace privátní IP adresy Vyberte Staticky přidělit IP adresu.
    Název Zadejte ipconfig-1.
    Privátní IP adresa Zadejte 10.1.0.10.

  8. Vyberte Další: DNS.

  9. Na kartě DNS ponechte výchozí hodnoty.

  10. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

  11. Vyberte Vytvořit.

Vytvoření privátního překladače

Ve virtuální síti, ve které se nachází privátní koncový bod, vytvoříte privátní překladač. Překladač přijímá požadavky DNS ze simulované místní úlohy. Tyto požadavky se předávají do azure poskytnutého DNS. Zadaný DNS Azure přeloží zónu Azure Privátní DNS privátního koncového bodu a vrátí IP adresu do místní úlohy.

  1. Do vyhledávacího pole v horní části portálu zadejte privátní překladač DNS. Ve výsledcích hledání vyberte privátní překladače DNS.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy v části Vytvoření privátního překladače DNS zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Výběr příkazu test-rg
    Podrobnosti o instanci
    Název Zadejte privátní překladač.
    Oblast Vyberte USA – východ 2.
    Virtual Network
    Virtual Network Vyberte vnet-2.

  4. Vyberte Další: Příchozí koncové body.

  5. V příchozích koncových bodech vyberte + Přidat koncový bod.

  6. Zadejte nebo vyberte následující informace v části Přidání příchozího koncového bodu:

    Nastavení Hodnota
    Název koncového bodu Zadejte příchozí koncový bod.
    Podsíť Vyberte, že chcete vytvořit novou IP adresu.
    Do názvu zadejte překladačpodsítě.
    Ponechte výchozí rozsah adres podsítě.
    Vyberte Vytvořit.

  7. Zvolte Uložit.

  8. Vyberte Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

Po dokončení nasazení privátního překladače pokračujte k dalším krokům.

Nastavení DNS pro simulovanou síť

Následující kroky nastaví privátní překladač jako primární server DNS pro simulovanou místní síť vnet-1.

V produkčním prostředí nejsou tyto kroky potřeba a slouží pouze k simulaci překladu DNS pro privátní koncový bod. Místní server DNS má na tuto IP adresu podmíněný předávací nástroj pro překlad záznamů DNS privátního koncového bodu z místní sítě.

  1. Do vyhledávacího pole v horní části portálu zadejte privátní překladač DNS. Ve výsledcích hledání vyberte privátní překladače DNS.

  2. Vyberte privátní překladač.

  3. V Nastavení vyberte Příchozí koncové body.

  4. Poznamenejte si IP adresu koncového bodu s názvem inbound-endpoint. V příkladu pro účely tohoto kurzu je IP adresa 10.1.1.4.

  5. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  6. Vyberte vnet-1.

  7. V nastavení vyberte servery DNS.

  8. Vyberte Vlastní na serverech DNS.

  9. Zadejte IP adresu, kterou jste si poznamenali dříve. V příkladu pro účely tohoto kurzu je IP adresa 10.1.1.4.

  10. Zvolte Uložit.

Vytvoření testovacího virtuálního počítače

Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Virtual machine name Zadejte vm-1.
    Oblast Vyberte USA – východ 2.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image Vyberte Windows Server 2022 Datacenter – x64 Gen2.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    Velikost Vyberte velikost.
    Účet správce
    Authentication type Vyberte heslo.
    Username Zadejte azureuser.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Vyberte Žádná.

  4. V horní části stránky vyberte kartu Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1 (10.0.0.0/24).
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit.
    Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte nsg-1 .
    Ponechte zbytek ve výchozím nastavení a vyberte OK.

  6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a vyberte Vytvořit.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Testování připojení k privátnímu koncovému bodu

V této části použijete virtuální počítač, který jste vytvořili v předchozím kroku, a připojíte se k webové aplikaci přes privátní koncový bod.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte vm-1.

  3. Na stránce přehledu pro vm-1 vyberte Připojit a bastion.

  4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

  5. Vyberte tlačítko Připojit .

  6. Po připojení otevřete Windows PowerShell na serveru.

  7. Zadejte nslookup <webapp-name>.azurewebsites.net. Nahraďte <název webové aplikace názvem> webové aplikace, kterou jste vytvořili v předchozích krocích. Zobrazí se zpráva podobná následujícímu výstupu:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp.privatelink.azurewebsites.net
Address:  10.1.0.10
Aliases:  webapp.azurewebsites.net

    Pro název webové aplikace se vrátí privátní IP adresa 10.1.0.10 . Tato adresa je v podsíti podsítě 1 virtuální sítě vnet-2, kterou jste vytvořili dříve.

  8. Otevřete Microsoft Edge a zadejte adresu URL webové aplikace https://<webapp-name>.azurewebsites.net.

  9. Ověřte, že se zobrazí výchozí stránka webové aplikace.

    Snímek obrazovky Microsoft Edge s výchozí stránkou webové aplikace

  10. Zavřete připojení k virtuálnímu počítači vm-1.

  11. Otevřete webový prohlížeč na místním počítači a zadejte adresu URL webové aplikace https://<webapp-name>.azurewebsites.net.

  12. Ověřte, že se zobrazí stránka 403 . Tato stránka označuje, že webová aplikace není přístupná externě.

    Snímek obrazovky webového prohlížeče s modrou stránkou s chybou 403 pro adresu externí webové aplikace

Vyčištění prostředků

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky:

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste zjistili, jak nasadit privátní překladač a privátní koncový bod. Otestovali jste připojení k privátnímu koncovému bodu ze simulované místní sítě.

V dalším článku se dozvíte, jak...

Připojení k serveru Azure SQL pomocí privátního koncového bodu Azure