Privát csatlakozás azure-beli tárolóregisztrációs adatbázishoz Azure Private Link

A beállításjegyzékhez való hozzáférés korlátozásához rendeljen hozzá virtuális hálózati magánhálózati IP-címeket a beállításjegyzék végpontjaihoz, és használja Azure Private Link. A virtuális hálózaton lévő ügyfelek és a beállításjegyzék privát végpontjai közötti hálózati forgalom bejárja a virtuális hálózatot és egy privát kapcsolatot a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget. Private Link privát beállításjegyzék-hozzáférést is engedélyez a helyszíni adatbázisból az Azure ExpressRoute privát társviszony-létesítésen vagy VPN-átjárón keresztül.

Konfigurálhatja a DNS-beállításokat a beállításjegyzék privát végpontjaihoz, hogy a beállítások a beállításjegyzék lefoglalt privát IP-címére oldódjanak fel. A DNS-konfigurációval a hálózaton lévő ügyfelek és szolgáltatások továbbra is hozzáférhetnek a beállításjegyzékhez a beállításjegyzék teljes tartománynevén, például myregistry.azurecr.io.

Ez a cikk bemutatja, hogyan konfigurálhat privát végpontot a beállításjegyzékhez a Azure Portal (ajánlott) vagy az Azure CLI használatával. Ez a funkció a Prémium szintű tárolóregisztrációs adatbázis szolgáltatási szintjén érhető el. A beállításjegyzék-szolgáltatási szintekkel és -korlátokkal kapcsolatos információkért lásd: Azure Container Registry szintek.

Fontos

Előfordulhat, hogy egyes funkciók nem érhetők el, vagy több konfigurációra van szükség egy tárolóregisztrációs adatbázisban, amely korlátozza a privát végpontokhoz, a kiválasztott alhálózatokhoz vagy IP-címekhez való hozzáférést.

  • Ha egy beállításjegyzékhez való nyilvános hálózati hozzáférés le van tiltva, bizonyos megbízható szolgáltatások, például Azure Security Center a beállításjegyzékhez való hozzáféréshez engedélyezni kell egy hálózati beállítást a hálózati szabályok megkerüléséhez.
  • Ha a nyilvános hálózati hozzáférés le van tiltva, bizonyos Azure-szolgáltatások, köztük az Azure DevOps Services példányai jelenleg nem tudnak hozzáférni a tárolóregisztrációs adatbázishoz.
  • A privát végpontok jelenleg nem támogatottak az Azure DevOps által felügyelt ügynökökkel. Egy saját üzemeltetésű ügynököt kell használnia, amely hálózati látóvonalat használ a privát végponthoz.
  • Ha a beállításjegyzék jóváhagyott privát végponttal rendelkezik, és a nyilvános hálózati hozzáférés le van tiltva, az adattárak és címkék nem adhatók meg a virtuális hálózaton kívül a Azure Portal, az Azure CLI vagy más eszközök használatával.

Megjegyzés

2021 októberétől kezdve az új tárolóregisztrációs adatbázisok legfeljebb 200 privát végpontot engedélyeznek. A korábban létrehozott regisztrációs adatbázisok legfeljebb 10 privát végpontot engedélyeznek. A beállításjegyzék korlátjának megtekintéséhez használja az az acr show-usage parancsot. Nyisson meg egy támogatási jegyet, ha a privát végpontok maximális korlátja 200-ra nő.

Előfeltételek

  • Egy virtuális hálózat és alhálózat, amelyben a privát végpontot kell beállítani. Szükség esetén hozzon létre egy új virtuális hálózatot és alhálózatot.
  • Teszteléshez ajánlott virtuális gépet beállítani a virtuális hálózaton. A teszt virtuális gép beállításjegyzékhez való hozzáférésének lépéseit lásd: Docker-kompatibilis virtuális gép létrehozása.
  • A cikkben szereplő Azure CLI-lépések használatához az Azure CLI 2.6.0-s vagy újabb verziója ajánlott. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése. Vagy futtassa az Azure Cloud Shell.
  • Ha még nem rendelkezik tárolóregisztrációs adatbázissal, hozzon létre egyet (prémium szintű szükséges), és importáljon egy nyilvános mintarendszerképet, például mcr.microsoft.com/hello-world a Microsoft Container Registryből. Például az Azure Portal vagy az Azure CLI használatával hozzon létre egy beállításjegyzéket.

Tárolóregisztrációs adatbázis erőforrás-szolgáltató regisztrálása

Ha egy másik Azure-előfizetésben vagy -bérlőben privát hivatkozással szeretné konfigurálni a beállításjegyzék-hozzáférést, regisztrálnia kell az erőforrás-szolgáltatót az adott előfizetésben Azure Container Registry. Használja a Azure Portal, az Azure CLI vagy más eszközöket.

Példa:

az account set --subscription <Name or ID of subscription of private link>

az provider register --namespace Microsoft.ContainerRegistry

Hozzon létre egy privát végpontot egy beállításjegyzék létrehozásakor, vagy adjon hozzá egy privát végpontot egy meglévő beállításjegyzékhez.

Privát végpont létrehozása – új beállításjegyzék

  1. Amikor létrehoz egy beállításjegyzéket a portálon, az Alapok lap termékváltozatában válassza a Prémium lehetőséget.

  2. Válassza a Hálózatkezelés lapot.

  3. A Hálózati kapcsolat területen válassza a Privát végpont>+ Hozzáadás lehetőséget.

  4. Adja meg vagy válassza ki a következő adatokat:

    Beállítás Érték
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Adja meg egy meglévő csoport nevét, vagy hozzon létre egy újat.
    Name Adjon meg egy egyedi nevet.
    Beállításjegyzék-alforrás Beállításjegyzék kiválasztása
    Hálózat
    Virtuális hálózat Válassza ki a privát végpont virtuális hálózatát. Példa: myDockerVMVNET.
    Alhálózat Válassza ki a privát végpont alhálózatát. Példa: myDockerVMSubnet.
    saját DNS integráció
    Integrálás saját DNS-zónával Válassza az Igen lehetőséget.
    Privát DNS-zóna Válassza az (Új) privatelink.azurecr.io
  5. Konfigurálja a fennmaradó beállításjegyzék-beállításokat, majd válassza a Felülvizsgálat + létrehozás lehetőséget.

Beállításjegyzék létrehozása privát végponttal

A privát kapcsolat most már konfigurálva van, és használatra kész.

Privát végpont létrehozása – meglévő beállításjegyzék

  1. A portálon keresse meg a tárolóregisztrációs adatbázist.

  2. A Beállítások területen válassza a Hálózat lehetőséget.

  3. A Privát végpontok lapon válassza a + Privát végpont lehetőséget. Privát végpont hozzáadása a beállításjegyzékhez

  4. Az Alapok lapon adja meg vagy válassza ki a következő információkat:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Adja meg egy meglévő csoport nevét, vagy hozzon létre egy újat.
    Példány adatai
    Name Adjon meg egy nevet.
    Régió Válasszon régiót.
  5. Válassza a Tovább: Erőforrás lehetőséget.

  6. Adja meg vagy válassza ki a következő adatokat:

    Beállítás Érték
    Kapcsolati módszer Ebben a példában válassza a Csatlakozás Azure-erőforráshoz a címtáramban lehetőséget.
    Előfizetés Válassza ki előfizetését.
    Erőforrás típusa Válassza a Microsoft.ContainerRegistry/registries lehetőséget.
    Erőforrás Válassza ki a beállításjegyzék nevét
    Cél-alforrás Beállításjegyzék kiválasztása
  7. Válassza a Tovább: Konfiguráció lehetőséget.

  8. Adja meg vagy válassza ki az adatokat:

    Beállítás Érték
    Hálózat
    Virtuális hálózat Válassza ki a privát végpont virtuális hálózatát
    Alhálózat Válassza ki a privát végpont alhálózatát
    saját DNS integráció
    Integrálás saját DNS-zónával Válassza az Igen lehetőséget.
    Privát DNS-zóna Válassza az (Új) privatelink.azurecr.io
  9. Válassza az Áttekintés + létrehozás lehetőséget. Az Áttekintés és létrehozása lapra kerül, ahol az Azure érvényesíti az Ön konfigurációját.

  10. Amikor megjelenik a Megfelelt az ellenőrzésen üzenet, válassza a Létrehozás lehetőséget.

Végpontkonfiguráció megerősítése

A privát végpont létrehozása után a privát zónában lévő DNS-beállítások megjelennek a privát végpontok beállításaival a portálon:

  1. A portálon keresse meg a tárolóregisztrációs adatbázist, és válassza a Beállítások > Hálózatkezelés lehetőséget.
  2. A Privát végpontok lapon válassza ki a létrehozott privát végpontot.
  3. Válassza a DNS-konfiguráció lehetőséget.
  4. Tekintse át a hivatkozási beállításokat és az egyéni DNS-beállításokat.

Végpont DNS-beállításai a portálon

Privát végpont beállítása – parancssori felület

A cikkben szereplő Azure CLI-példák a következő környezeti változókat használják. A privát végpont beállításához szüksége lesz egy meglévő tárolóregisztrációs adatbázis, virtuális hálózat és alhálózat nevére. Cserélje le a környezetének megfelelő értékeket. Az összes példa a Bash-rendszerhéjhoz van formázva:

REGISTRY_NAME=<container-registry-name>
REGISTRY_LOCATION=<container-registry-location> # Azure region such as westeurope where registry created
RESOURCE_GROUP=<resource-group-name> # Resource group for your existing virtual network and subnet
NETWORK_NAME=<virtual-network-name>
SUBNET_NAME=<subnet-name>

Hálózati szabályzatok letiltása az alhálózaton

Tiltsa le a privát végpont alhálózatában található hálózati házirendeket, például a hálózati biztonsági csoportokat. Frissítse az alhálózat konfigurációját az az network vnet subnet update paranccsal:

az network vnet subnet update \
 --name $SUBNET_NAME \
 --vnet-name $NETWORK_NAME \
 --resource-group $RESOURCE_GROUP \
 --disable-private-endpoint-network-policies

A privát DNS-zóna konfigurálása

Hozzon létre egy privát Azure DNS-zónát a privát Azure-tárolóregisztrációs tartományhoz. A későbbi lépésekben dns-rekordokat hoz létre a beállításjegyzék-tartományhoz ebben a DNS-zónában. További információ: DNS-konfigurációs beállítások, a cikk későbbi részében.

Ha privát zónát szeretne használni az Azure-tárolóregisztrációs adatbázis alapértelmezett DNS-feloldásának felülbírálásához, a zónát privatelink.azurecr.io kell nevezni. Futtassa az alábbi az network private-dns zone create parancsot a privát zóna létrehozásához:

az network private-dns zone create \
  --resource-group $RESOURCE_GROUP \
  --name "privatelink.azurecr.io"

Futtassa az az network private-dns link vnet create parancsot a privát zóna és a virtuális hálózat társításához. Ez a példa létrehoz egy myDNSLink nevű hivatkozást.

az network private-dns link vnet create \
  --resource-group $RESOURCE_GROUP \
  --zone-name "privatelink.azurecr.io" \
  --name MyDNSLink \
  --virtual-network $NETWORK_NAME \
  --registration-enabled false

Privát beállításjegyzék-végpont létrehozása

Ebben a szakaszban hozza létre a beállításjegyzék privát végpontját a virtuális hálózaton. Először kérje le a beállításjegyzék erőforrás-azonosítóját:

REGISTRY_ID=$(az acr show --name $REGISTRY_NAME \
  --query 'id' --output tsv)

Futtassa az az network private-endpoint create parancsot a beállításjegyzék privát végpontjának létrehozásához.

Az alábbi példa létrehozza a myPrivateEndpoint végpontot és a myConnection szolgáltatáskapcsolatot. A végpont tárolóregisztrációs adatbázis-erőforrásának megadásához adja meg a következőt --group-ids registry:

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group $RESOURCE_GROUP \
    --vnet-name $NETWORK_NAME \
    --subnet $SUBNET_NAME \
    --private-connection-resource-id $REGISTRY_ID \
    --group-ids registry \
    --connection-name myConnection

Végpont IP-konfigurációjának lekérése

A DNS-rekordok konfigurálásához kérje le a privát végpont IP-konfigurációját. Ebben a példában a privát végpont hálózati adapteréhez két privát IP-cím tartozik a tárolóregisztrációs adatbázishoz: egyet magának a beállításjegyzéknek, egyet pedig a beállításjegyzék adatvégpontjának. Ha a beállításjegyzék georeplikált, minden replikához további IP-cím lesz társítva.

Először futtassa az az network private-endpoint show parancsot a hálózati adapter azonosítójának privát végpontjának lekérdezéséhez:

NETWORK_INTERFACE_ID=$(az network private-endpoint show \
  --name myPrivateEndpoint \
  --resource-group $RESOURCE_GROUP \
  --query 'networkInterfaces[0].id' \
  --output tsv)

Az alábbi az network nic show parancsok lekérik a tárolóregisztrációs adatbázis és a beállításjegyzék adatvégpontja privát IP-címeit és teljes tartományneveit:

REGISTRY_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIpAddress" \
  --output tsv)

DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateIpAddress" \
  --output tsv)

# An FQDN is associated with each IP address in the IP configurations

REGISTRY_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

További végpontok georeplikákhoz

Ha a beállításjegyzék georeplikálva van, kérdezze le az egyes beállításjegyzék-replikákhoz tartozó további adatvégpontot. Például az eastus régióban:

REPLICA_LOCATION=eastus
GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateIpAddress" \
  --output tsv) 

GEO_REPLICA_DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

DNS-rekordok létrehozása a privát zónában

Az alábbi parancsok DNS-rekordokat hoznak létre a privát zónában a beállításjegyzék-végponthoz és az adatvégponthoz. Ha például van egy myregistry nevű beállításjegyzéke a westeurope régióban, a végpontok neve myregistry.azurecr.io és myregistry.westeurope.data.azurecr.io.

Először futtassa az az network private-dns record-set a create parancsot , hogy üres A-rekordkészleteket hozzon létre a beállításjegyzék-végponthoz és az adatvégponthoz:

az network private-dns record-set a create \
  --name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

# Specify registry region in data endpoint name
az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

Futtassa az az network private-dns record-set a add-record parancsot a beállításjegyzék-végpont és az adatvégpont A-rekordjainak létrehozásához:

az network private-dns record-set a add-record \
  --record-set-name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $REGISTRY_PRIVATE_IP

# Specify registry region in data endpoint name
az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $DATA_ENDPOINT_PRIVATE_IP

További rekordok georeplikákhoz

Ha a beállításjegyzék georeplikált, hozzon létre további DNS-beállításokat az egyes replikákhoz. A példa folytatása az eastus régióban:

az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP

A privát kapcsolat most már konfigurálva van, és használatra kész.

Nyilvános hozzáférés letiltása

Számos esetben tiltsa le a beállításjegyzék-hozzáférést a nyilvános hálózatokról. Ez a konfiguráció megakadályozza, hogy a virtuális hálózaton kívüli ügyfelek elérjék a beállításjegyzék-végpontokat.

Nyilvános hozzáférés letiltása – portál

  1. A portálon keresse meg a tárolóregisztrációs adatbázist, és válassza a Beállítások > Hálózatkezelés lehetőséget.
  2. A Nyilvános hozzáférés lap Nyilvános hálózati hozzáférés engedélyezése területén válassza a Letiltva lehetőséget. Kattintson a Mentés gombra.

Nyilvános hozzáférés letiltása – parancssori felület

Megjegyzés

Ha a nyilvános hozzáférés le van tiltva, a az acr build parancsok nem fognak működni.

Ha le szeretné tiltani a nyilvános hozzáférést az Azure CLI-vel, futtassa az az acr update parancsot , és állítsa a következőre --public-network-enabled : false.

az acr update --name $REGISTRY_NAME --public-network-enabled false

Hajtsa végre a az acr build privát végponttal és a privát beállításjegyzékkel

A sikeres végrehajtáshoz vegye figyelembe az az acr build alábbi lehetőségeket.

Megjegyzés

Ha itt letiltja a nyilvános hálózati hozzáférést, a az acr build parancsok nem fognak működni.

  1. Dedikált ügynökkészlet hozzárendelése.
  2. Ha az ügynökkészlet nem érhető el a régióban, adja hozzá a regionális Azure Container Registry Szolgáltatáscímke IPv4-et a tűzfal hozzáférési szabályaihoz.
  3. Hozzon létre egy felügyelt identitással rendelkező ACR-feladatot, és engedélyezze a megbízható szolgáltatások számára a korlátozott hálózati ACR elérését.

Tárolóregisztrációs adatbázishoz való hozzáférés letiltása szolgáltatásvégpont használatával

Fontos

A tárolóregisztrációs adatbázis nem támogatja mind a privát kapcsolat, mind a szolgáltatásvégpont virtuális hálózatról konfigurált funkcióinak engedélyezését.

Miután a beállításjegyzékben le van tiltva a nyilvános hozzáférés és a privát kapcsolat konfigurálva van, a virtuális hálózati szabályok eltávolításával letilthatja a szolgáltatásvégpont hozzáférését egy tárolóregisztrációs adatbázishoz egy virtuális hálózatról.

Győződjön meg arról, hogy a privát végpont alhálózatán belüli erőforrások privát IP-címen keresztül csatlakoznak a beállításjegyzékhez, és a megfelelő privát DNS-zónaintegrációval rendelkeznek.

A privát kapcsolat ellenőrzéséhez csatlakozzon a virtuális hálózaton beállított virtuális géphez.

Futtasson egy segédprogramot, például nslookup vagy dig keresse meg a beállításjegyzék IP-címét a privát kapcsolaton keresztül. Például:

dig $REGISTRY_NAME.azurecr.io

A példakimenet a beállításjegyzék IP-címét mutatja az alhálózat címterében:

[...]
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> myregistry.azurecr.io
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52155
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;myregistry.azurecr.io.         IN      A

;; ANSWER SECTION:
myregistry.azurecr.io.  1783    IN      CNAME   myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 10 IN A      10.0.0.7

[...]

Hasonlítsa össze ezt az eredményt az ugyanazon beállításjegyzék kimenetében lévő dig nyilvános IP-címmel egy nyilvános végponton:

[...]
;; ANSWER SECTION:
myregistry.azurecr.io.	2881	IN	CNAME	myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 2881	IN CNAME xxxx.xx.azcr.io.
xxxx.xx.azcr.io.	300	IN	CNAME	xxxx-xxx-reg.trafficmanager.net.
xxxx-xxx-reg.trafficmanager.net. 300 IN	CNAME	xxxx.westeurope.cloudapp.azure.com.
xxxx.westeurope.cloudapp.azure.com. 10	IN A 20.45.122.144

[...]

Azt is ellenőrizze, hogy végrehajthat-e beállításjegyzék-műveleteket a hálózat virtuális gépéről. Hozzon létre SSH-kapcsolatot a virtuális géppel, és futtassa az az acr login parancsot a regisztrációs adatbázisba való bejelentkezéshez. A virtuális gép konfigurációjától függően előfordulhat, hogy a következő parancsokat kell előtaggal előtagolnia a paranccsal sudo.

az acr login --name $REGISTRY_NAME

Olyan beállításjegyzék-műveleteket hajthat végre, mint docker pull például egy mintarendszerkép lekérése a beállításjegyzékből. Cserélje le hello-world:v1 a elemet egy, a beállításjegyzéknek megfelelő rendszerképre és címkére, amely a regisztrációs adatbázis bejelentkezési kiszolgálójának nevével van előtaggal ellátva (mind kisbetűs):

docker pull myregistry.azurecr.io/hello-world:v1

A Docker sikeresen lekéri a rendszerképet a virtuális gépre.

Privátvégpont-kapcsolatok kezelése

A beállításjegyzék privát végponti kapcsolatainak kezelése az Azure Portal vagy az az acr private-endpoint-connection parancscsoport parancsaival. A műveletek közé tartozik a beállításjegyzék privát végponti kapcsolatainak jóváhagyása, törlése, listázása, elutasítása vagy részleteinek megjelenítése.

Például egy beállításjegyzék privát végponti kapcsolatainak listázásához futtassa az az acr private-endpoint-connection list parancsot. Például:

az acr private-endpoint-connection list \
  --registry-name $REGISTRY_NAME 

Ha a jelen cikkben ismertetett lépésekkel állít be privát végpontkapcsolatot, a beállításjegyzék automatikusan elfogadja az Azure RBAC-engedélyekkel rendelkező ügyfelek és szolgáltatások kapcsolatait a beállításjegyzékben. Beállíthatja a végpontot úgy, hogy manuális jóváhagyást igényeljen a kapcsolatokhoz. A privát végponti kapcsolatok jóváhagyásáról és elutasításáról további információt a Privát végponti kapcsolat kezelése című témakörben talál.

Fontos

Jelenleg, ha töröl egy privát végpontot egy beállításjegyzékből, előfordulhat, hogy törölnie kell a virtuális hálózat privát zónára mutató hivatkozását is. Ha a hivatkozás nincs törölve, a következőhöz unresolvable hosthasonló hibaüzenet jelenhet meg: .

DNS-konfigurációs beállítások

A példában szereplő privát végpont egy alapszintű virtuális hálózathoz társított privát DNS-zónával integrálható. Ez a beállítás közvetlenül az Azure által biztosított DNS-szolgáltatással oldja fel a beállításjegyzék nyilvános teljes tartománynevét a virtuális hálózatban található magánhálózati IP-címekre.

A Private Link további DNS-konfigurációs forgatókönyveket támogat, amelyek a privát zónát használják, beleértve az egyéni DNS-megoldásokat is. Előfordulhat például, hogy egy egyéni DNS-megoldás van üzembe helyezve a virtuális hálózaton, vagy egy olyan hálózaton, amely VPN-átjáróval vagy Azure ExpressRoute-tal csatlakozik a virtuális hálózathoz.

Ha ezekben a forgatókönyvekben fel szeretné oldani a beállításjegyzék nyilvános teljes tartománynevét a magánhálózati IP-címre, konfigurálnia kell egy kiszolgálószintű továbbítót az Azure DNS szolgáltatáshoz (168.63.129.16). A pontos konfigurációs lehetőségek és lépések a meglévő hálózatoktól és a DNS-től függnek. Példákért lásd: Azure Privát végpont DNS-konfigurációja.

Fontos

Ha a magas rendelkezésre állás érdekében több régióban hozott létre privát végpontokat, javasoljuk, hogy minden régióban használjon külön erőforráscsoportot, és helyezze a virtuális hálózatot és a hozzá tartozó privát DNS-zónát. Ez a konfiguráció megakadályozza az ugyanazon privát DNS-zóna megosztása által okozott kiszámíthatatlan DNS-feloldást is.

DNS-rekordok manuális konfigurálása

Bizonyos esetekben előfordulhat, hogy manuálisan kell konfigurálnia a DNS-rekordokat egy privát zónában az Azure által biztosított privát zóna használata helyett. Mindenképpen hozzon létre rekordokat a következő végpontok mindegyikéhez: a beállításjegyzék-végponthoz, a beállításjegyzék adatvégpontjához és a további regionális replikák adatvégpontjához. Ha az összes rekord nincs konfigurálva, előfordulhat, hogy a beállításjegyzék nem érhető el.

Fontos

Ha később új replikát ad hozzá, manuálisan kell hozzáadnia egy új DNS-rekordot az adott régió adatvégpontjához. Ha például létrehozza a myregistry replikáját a northeurope helyen, adjon hozzá egy rekordot a következőhöz myregistry.northeurope.data.azurecr.io: .

A DNS-rekordok létrehozásához szükséges teljes tartománynevek és magánhálózati IP-címek a privát végpont hálózati adapteréhez vannak társítva. Ezeket az információkat az Azure Portal vagy az Azure CLI használatával szerezheti be.

A DNS-rekordok létrehozása után győződjön meg arról, hogy a beállításjegyzék teljes tartománynevei megfelelően feloldódnak a megfelelő privát IP-címekkel.

Az erőforrások eltávolítása

Ha törölni szeretné az erőforrásokat a portálon, lépjen az erőforráscsoporthoz. Az erőforráscsoport betöltése után kattintson az Erőforráscsoport törlése elemre az erőforráscsoport és az ott tárolt erőforrások eltávolításához.

Ha az összes Azure-erőforrást ugyanabban az erőforráscsoportban hozta létre, és már nincs rájuk szüksége, törölheti az erőforrásokat egyetlen az group delete paranccsal:

az group delete --name $RESOURCE_GROUP

Következő lépések