Azure Private Endpoint DNS-integráció
Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatás lehet egy Azure-szolgáltatás, például az Azure Storage, az Azure Cosmos DB, az SQL stb. vagy a saját Private Link szolgáltatása. Ez a cikk az Azure Private Endpoint DNS-konfigurációs forgatókönyveit ismerteti.
A privát végpontot támogató Azure-szolgáltatások privát DNS-zónabeállításaiért tekintse meg az Azure Private Endpoint privát DNS-zónaértékeket.
DNS-konfigurációs forgatókönyvek
A szolgáltatások teljes tartománynevét automatikusan egy nyilvános IP-címre oldja fel. A privát végpont privát IP-címére való feloldáshoz módosítsa a DNS-konfigurációt.
A DNS kritikus fontosságú összetevő ahhoz, hogy az alkalmazás megfelelően működjön a privát végpont IP-címének sikeres feloldásával.
A beállítások alapján a következő forgatókönyvek érhetők el az integrált DNS-feloldással:
Virtuális hálózati számítási feladatok az Azure Private Resolver nélkül
Társhálózati számítási feladatok az Azure Private Resolver nélkül
Azure Private Resolver virtuális hálózathoz és helyszíni számítási feladatokhoz
Virtuális hálózati számítási feladatok az Azure Private Resolver nélkül
Ez a konfiguráció egyéni DNS-kiszolgáló nélküli virtuális hálózati számítási feladatokhoz megfelelő. Ebben az esetben az ügyfél lekérdezi a privát végpont IP-címét az Azure által biztosított 168.63.129.16 DNS-szolgáltatásba. Az Azure DNS felelős a privát DNS-zónák DNS-feloldásáért.
Megjegyzés:
Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt az alábbi hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónakonfigurációja.
A megfelelő konfiguráláshoz a következő erőforrásokra van szüksége:
Ügyfél virtuális hálózata
saját DNS zóna privatelink.database.windows.net A típusú rekorddal
Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)
Az alábbi képernyőkép a dns-feloldási sorozatot mutatja be a privát DNS-zónát használó virtuális hálózati számítási feladatokból:
Társhálózati számítási feladatok az Azure Private Resolver nélkül
Ezt a modellt kiterjesztheti ugyanahhoz a privát végponthoz társított társhálózatra. Adjon hozzá új virtuális hálózati hivatkozásokat a privát DNS-zónához az összes társviszonyban lévő virtuális hálózathoz.
Fontos
Ehhez a konfigurációhoz egyetlen privát DNS-zóna szükséges. A DNS-rekordok egyesítése érdekében több, azonos nevű zónát kell létrehozni a különböző virtuális hálózatokhoz.
Ha egy másik előfizetésből vagy akár ugyanazon előfizetésből származó küllős modellben használ privát végpontot, kapcsolja össze ugyanazokat a privát DNS-zónákat az összes küllővel és központi virtuális hálózattal, amelyek olyan ügyfeleket tartalmaznak, amelyek dns-feloldási szükségletet igényelnek a zónákból.
Ebben a forgatókönyvben van egy küllős hálózati topológia. A küllős hálózatok privát végpontot használnak. A küllős virtuális hálózatok ugyanahhoz a privát DNS-zónához vannak társítva.
Azure Private Resolver helyszíni számítási feladatokhoz
Ha a helyszíni számítási feladatok egy privát végpont teljes tartománynevét szeretné feloldani, az Azure Private Resolver használatával oldhatja fel az Azure szolgáltatás nyilvános DNS-zónáját az Azure-ban. Az Azure Private Resolver egy azure-beli felügyelt szolgáltatás, amely anélkül tudja feloldani a DNS-lekérdezéseket, hogy dns-továbbítóként működő virtuális gépre van szükség.
A következő forgatókönyv egy Azure Private Resolver használatára konfigurált helyszíni hálózat esetében van. A privát feloldó továbbítja a privát végpontra vonatkozó kérést az Azure DNS-nek.
Megjegyzés:
Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt a következő hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónaértékek.
A megfelelő konfigurációhoz a következő erőforrások szükségesek:
Helyszíni hálózat
A típusú privatelink.database.windows.net zónák saját DNS
Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)
Az alábbi ábra egy helyszíni hálózat DNS-feloldási sorozatát szemlélteti. A konfiguráció egy Azure-ban üzembe helyezett privát feloldót használ. A megoldást egy virtuális hálózathoz társított privát DNS-zóna végzi:
Azure Private Resolver helyszíni DNS-továbbítóval
Ez a konfiguráció kiterjeszthető egy olyan helyszíni hálózatra, amely már rendelkezik DNS-megoldással.
A helyszíni DNS-megoldás úgy van konfigurálva, hogy a DNS-forgalmat egy feltételes továbbítón keresztül továbbítsa az Azure DNS-be. A feltételes továbbító az Azure-ban üzembe helyezett privát feloldóra hivatkozik.
Megjegyzés:
Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt a következő hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónaértékek
A megfelelő konfiguráláshoz a következő erőforrásokra van szüksége:
Helyszíni hálózat egyéni DNS-megoldással
A típusú privatelink.database.windows.net zónák saját DNS
Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)
Az alábbi ábra egy helyszíni hálózat DNS-felbontását szemlélteti. A DNS-feloldás feltételesen továbbítja az Azure-nak. A megoldást egy virtuális hálózathoz társított privát DNS-zóna végzi.
Fontos
A feltételes továbbítást a javasolt nyilvános DNS-zónatovábbítónak kell elvégezni. Például: database.windows.net privatelink.database.windows.net helyett.
Azure Private Resolver virtuális hálózathoz és helyszíni számítási feladatokhoz
A virtuális és helyszíni hálózatokból privát végponthoz hozzáférő számítási feladatok esetében az Azure Private Resolver használatával oldhatja fel az Azure-ban üzembe helyezett nyilvános Azure-szolgáltatás DNS-zónáit .
Az alábbi forgatókönyv egy helyszíni hálózatra és az Azure-beli virtuális hálózatra jellemző. Mindkét hálózat hozzáfér a megosztott központi hálózaton található privát végponthoz.
A magánfeloldó feladata az összes DNS-lekérdezés feloldása az Azure által biztosított 168.63.129.16 DNS-szolgáltatáson keresztül.
Fontos
Ehhez a konfigurációhoz egyetlen privát DNS-zóna szükséges. A helyszíni és a társhálózati virtuális hálózatokból létrehozott összes ügyfélkapcsolatnak ugyanazt a privát DNS-zónát kell használnia.
Megjegyzés:
Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt az alábbi hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónakonfigurációja.
A megfelelő konfiguráláshoz a következő erőforrásokra van szüksége:
Helyszíni hálózat
Azure Private Resolver
A típusú privatelink.database.windows.net zónák saját DNS
Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)
Az alábbi ábra a DNS-felbontást mutatja be mindkét hálózat, a helyszíni és a virtuális hálózatok esetében. A megoldás az Azure Private Resolvert használja.
A megoldást egy virtuális hálózathoz társított privát DNS-zóna végzi:
saját DNS zónacsoport
Ha úgy dönt, hogy a privát végpontot egy privát DNS-zónával integrálja, létrejön egy privát DNS-zónacsoport is. A DNS-zónacsoport szoros társításban van a privát DNS-zóna és a privát végpont között. Segít a privát DNS-zónarekordok kezelésében, ha frissítés történik a privát végponton. Régiók hozzáadásakor vagy eltávolításakor például a rendszer automatikusan frissíti a privát DNS-zónát a megfelelő számú rekorddal.
Korábban a privát végpont DNS-rekordjai szkriptek használatával lettek létrehozva (bizonyos információk lekérése a privát végpontról, majd hozzáadva a DNS-zónához). A DNS-zónacsoport esetében nem kell minden DNS-zónához külön CLI-/PowerShell-sorokat írni. Emellett a privát végpont törlésekor a DNS-zónacsoporton belüli összes DNS-rekord törlődik.
Küllős topológiában egy gyakori forgatókönyv lehetővé teszi privát DNS-zónák létrehozását csak egyszer a központban. Ez a beállítás lehetővé teszi, hogy a küllők regisztráljanak rá, ahelyett, hogy különböző zónákat hozna létre minden küllőben.
Megjegyzés:
- Minden DNS-zónacsoport legfeljebb 5 DNS-zónát támogat.
- Nem támogatott több DNS-zónacsoport hozzáadása egyetlen privát végponthoz.
- A DNS-rekordok törlési és frissítési műveleteit az Azure Traffic Manager és a DNS végzi. Ez egy normál platformművelet, amely a DNS-rekordok kezeléséhez szükséges.