Előző

Következő

Privát végpont integrálása a DNS-sel

Befejeződött

saját DNS zónák központi üzemeltetése általában ugyanabban az Azure-előfizetésben történik, amelyben a központi virtuális hálózat üzembe van helyezve. Ezt a központi üzemeltetési gyakorlatot a helyek közötti DNS-névfeloldás és a központi DNS-feloldáshoz, például az Active Directoryhoz szükséges egyéb igények vezérlik. A legtöbb esetben csak a hálózat-/identitásgazdák rendelkeznek engedéllyel a DNS-rekordok kezeléséhez ezekben a zónákban.

Az Azure privát végpont DNS-konfigurációja

Az alábbi ábra egy tipikus magas szintű architektúrát mutat be a központi DNS-feloldással rendelkező vállalati környezetekhez, és ahol a Private Link-erőforrások névfeloldása az Azure-saját DNS keresztül történik:

Az előző ábrán fontos kiemelni, hogy:

• A helyszíni DNS-kiszolgálók feltételes továbbítókat konfiguráltak minden nyilvános privát végpont nyilvános DNS-zóna továbbítóihoz, amelyek a központi virtuális hálózaton üzemeltetett DNS-továbbítókra mutatnak (10.100.2.4 és 10.100.2.5).
• A központi virtuális hálózaton üzemeltetett 10.100.2.4 és 10.100.2.5 DNS-kiszolgálók az Azure által biztosított DNS-feloldót (168.63.129.16) használják továbbítóként.
• Minden Azure-beli virtuális hálózat rendelkezik az elsődleges és másodlagos DNS-kiszolgálóként konfigurált DNS-továbbítókkal (10.100.2.4 és 10.100.2.5).
• Két feltételnek kell teljesülnie ahhoz, hogy az alkalmazáscsapatok szabadon létrehozhatnak minden szükséges Azure PaaS-erőforrást az előfizetésükben:
• A központi hálózatkezelési és/vagy központi platformcsapatnak biztosítania kell, hogy az alkalmazáscsapatok csak privát végpontokon keresztül tudják üzembe helyezni és elérni az Azure PaaS-szolgáltatásokat.
• A központi hálózatkezelési és/vagy központi platformcsapatoknak gondoskodniuk kell arról, hogy a privát végpontok létrehozásakor a megfelelő rekordok automatikusan létre legyenek hozva a létrehozott szolgáltatásnak megfelelő központi privát DNS-zónában.
• A DNS-rekordnak követnie kell a privát végpont életciklusát, és automatikusan el kell távolítania a DNS-rekordot a privát végpont törlésekor.

A 168.63.129.16 IP-cím jelentősége

Az 168.63.129.16 IP-cím egy virtuális nyilvános IP-cím, amely az Azure platform erőforrásaival való kommunikáció megkönnyítésére szolgál. Az ügyfelek bármilyen címteret meghatározhatnak a privát virtuális hálózatukhoz az Azure-ban. Az Azure-platform erőforrásait egyedi nyilvános IP-címként kell bemutatni. Ez a virtuális nyilvános IP-cím a következőket teszi lehetővé:

• Lehetővé teszi, hogy a virtuálisgép-ügynök kommunikáljon az Azure-platformmal annak jelzésére, hogy "Kész" állapotban van
• Lehetővé teszi a DNS virtuális kiszolgálóval való kommunikációt, hogy szűrt névfeloldás legyen azoknak az erőforrásoknak (például virtuális gépnek), amelyek nem rendelkeznek egyéni DNS-kiszolgálóval. Ez a szűrés biztosítja, hogy az ügyfelek csak az erőforrásaik gazdagépneveit oldhassák fel
• Az Azure Load Balancer állapottesztjeinek engedélyezése a virtuális gépek állapotának meghatározásához
• Lehetővé teszi a virtuális gép számára, hogy dinamikus IP-címet szerezzen be a DHCP szolgáltatásból az Azure-ban
• Vendégügynök szívverési üzeneteinek engedélyezése a PaaS-szerepkörhöz

Azure-szolgáltatások saját DNS zónakonfigurációs példák

Az Azure létrehoz egy canonical name DNS-rekordot (CNAME) a nyilvános DNS-en. A CNAME rekord átirányítja a feloldást a privát tartománynévre. A feloldást felülbírálhatja a privát végpontok privát IP-címével.

Az alkalmazásoknak nem kell módosítania a csatlakozási URL-címet. Nyilvános DNS-szolgáltatás feloldásakor a DNS-kiszolgáló feloldja a privát végpontokat. A folyamat nem befolyásolja a meglévő alkalmazásokat.

A privát DNS-zónát egy adott típushoz már használó magánhálózatok csak akkor tudnak csatlakozni a nyilvános erőforrásokhoz, ha nincsenek privát végpontkapcsolataik, ellenkező esetben a DNS-feloldási sorrend végrehajtásához megfelelő DNS-konfigurációra van szükség a privát DNS-zónában.

Az Azure-szolgáltatásokhoz használja a dokumentációban található javasolt zónaneveket .

DNS-konfigurációs forgatókönyvek

A szolgáltatások teljes tartománynevét automatikusan egy nyilvános IP-címre oldja fel. A privát végpont privát IP-címére való feloldáshoz módosítsa a DNS-konfigurációt.

A DNS kritikus fontosságú összetevő ahhoz, hogy az alkalmazás megfelelően működjön a privát végpont IP-címének sikeres feloldásával.

A beállítások alapján a következő forgatókönyvek érhetők el az integrált DNS-feloldással:

• Virtuális hálózati számítási feladatok egyéni DNS-kiszolgáló nélkül
• Helyszíni számítási feladatok DNS-továbbító használatával
• Virtuális hálózat és helyszíni számítási feladatok DNS-továbbító használatával
• saját DNS zónacsoport

Helyszíni számítási feladatok DNS-továbbító használatával

Ha a helyszíni számítási feladatokhoz egy privát végpont teljes tartománynevét szeretné feloldani, használjon DNS-továbbítót az Azure szolgáltatás nyilvános DNS-zónájának feloldásához az Azure-ban. A DNS-továbbító egy olyan virtuális gép, amely a privát DNS-zónához társított virtuális hálózaton fut, amely proxy DNS-lekérdezéseket tud proxyként használni, amelyek más virtuális hálózatokról vagy a helyszínről érkeznek. Erre azért van szükség, mert a lekérdezésnek a virtuális hálózatból kell érkeznie az Azure DNS-hez. A DNS-proxyk néhány lehetősége: DNS-szolgáltatásokat futtató Windows, DNS-szolgáltatásokat futtató Linux, Azure Firewall.

A következő forgatókönyv egy olyan helyszíni hálózatra érvényes, amelynek DNS-továbbítója van az Azure-ban. Ez a továbbító a DNS-lekérdezéseket egy kiszolgálószintű továbbítón keresztül oldja fel az Azure által biztosított DNS 168.63.129.16-ra.

Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt az alábbi hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónakonfigurációja.

A megfelelő konfiguráláshoz a következő erőforrásokra van szüksége:

• Helyszíni hálózat
• Helyszíni hálózathoz csatlakoztatott virtuális hálózat
• Az Azure-ban üzembe helyezett DNS-továbbító
• A típusú privatelink.database.windows.net zónák saját DNS
• Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)

Az alábbi ábra egy helyszíni hálózat DNS-feloldási sorozatát szemlélteti. A konfiguráció egy Azure-ban üzembe helyezett DNS-továbbítót használ. A megoldást egy virtuális hálózathoz társított privát DNS-zóna végzi:

Virtuális hálózat és helyszíni számítási feladatok az Azure DNS Private Resolver használatával

A DNS Private Resolver használatakor nincs szüksége DNS-továbbító virtuális gépre, és az Azure DNS képes feloldani a helyszíni tartományneveket.

Az alábbi ábra a DNS Private Resolvert használja egy küllős hálózati topológiában. Ajánlott eljárásként az Azure-beli célzóna-tervezési minta ezt a topológiát javasolja. Hibrid hálózati kapcsolat jön létre az Azure ExpressRoute és az Azure Firewall használatával. Ez a beállítás biztonságos hibrid hálózatot biztosít. A DNS Private Resolver a központi hálózaton van üzembe helyezve.

• A DNS Private Resolver megoldás összetevőinek áttekintése
• Helyszíni DNS-lekérdezés forgalmi folyamatának áttekintése
• Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése
• Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése a DNS Private Resolver használatával
• Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése helyszíni DNS-kiszolgálón keresztül

Tesztelje tudását

1.

Milyen erőforrás van társítva egy privát végponttal, amely tartalmazza a privát végpont DNS-ének konfigurálásához szükséges információkat?

A virtuális hálózat

A hálózati adapter

A privát DNS-zóna

2.

Mi a 168.63.129.16 IP-cím jelentősége?

Ez egy nemvirtual nyilvános IP-cím, amely az Azure platform erőforrásaival való kommunikáció megkönnyítésére szolgál.

Ez egy DNS-továbbító statikus címe.

Ez egy virtuális nyilvános IP-cím, amely az Azure-platform erőforrásaihoz való kommunikációs csatorna megkönnyítésére szolgál.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás