Privát végpont integrálása a DNS-sel
saját DNS zónák központi üzemeltetése általában ugyanabban az Azure-előfizetésben történik, amelyben a központi virtuális hálózat üzembe van helyezve. Ezt a központi üzemeltetési gyakorlatot a helyek közötti DNS-névfeloldás és a központi DNS-feloldáshoz, például az Active Directoryhoz szükséges egyéb igények vezérlik. A legtöbb esetben csak a hálózat-/identitásgazdák rendelkeznek engedéllyel a DNS-rekordok kezeléséhez ezekben a zónákban.
Az Azure privát végpont DNS-konfigurációja
Az alábbi ábra egy tipikus magas szintű architektúrát mutat be a központi DNS-feloldással rendelkező vállalati környezetekhez, és ahol a Private Link-erőforrások névfeloldása az Azure-saját DNS keresztül történik:
Az előző ábrán fontos kiemelni, hogy:
- A helyszíni DNS-kiszolgálók feltételes továbbítókat konfiguráltak minden nyilvános privát végpont nyilvános DNS-zóna továbbítóihoz, amelyek a központi virtuális hálózaton üzemeltetett DNS-továbbítókra mutatnak (10.100.2.4 és 10.100.2.5).
- A központi virtuális hálózaton üzemeltetett 10.100.2.4 és 10.100.2.5 DNS-kiszolgálók az Azure által biztosított DNS-feloldót (168.63.129.16) használják továbbítóként.
- Minden Azure-beli virtuális hálózat rendelkezik az elsődleges és másodlagos DNS-kiszolgálóként konfigurált DNS-továbbítókkal (10.100.2.4 és 10.100.2.5).
- Két feltételnek kell teljesülnie ahhoz, hogy az alkalmazáscsapatok szabadon létrehozhatnak minden szükséges Azure PaaS-erőforrást az előfizetésükben:
- A központi hálózatkezelési és/vagy központi platformcsapatnak biztosítania kell, hogy az alkalmazáscsapatok csak privát végpontokon keresztül tudják üzembe helyezni és elérni az Azure PaaS-szolgáltatásokat.
- A központi hálózatkezelési és/vagy központi platformcsapatoknak gondoskodniuk kell arról, hogy a privát végpontok létrehozásakor a megfelelő rekordok automatikusan létre legyenek hozva a létrehozott szolgáltatásnak megfelelő központi privát DNS-zónában.
- A DNS-rekordnak követnie kell a privát végpont életciklusát, és automatikusan el kell távolítania a DNS-rekordot a privát végpont törlésekor.
A 168.63.129.16 IP-cím jelentősége
Az 168.63.129.16 IP-cím egy virtuális nyilvános IP-cím, amely az Azure platform erőforrásaival való kommunikáció megkönnyítésére szolgál. Az ügyfelek bármilyen címteret meghatározhatnak a privát virtuális hálózatukhoz az Azure-ban. Az Azure-platform erőforrásait egyedi nyilvános IP-címként kell bemutatni. Ez a virtuális nyilvános IP-cím a következőket teszi lehetővé:
- Lehetővé teszi, hogy a virtuálisgép-ügynök kommunikáljon az Azure-platformmal annak jelzésére, hogy "Kész" állapotban van
- Lehetővé teszi a DNS virtuális kiszolgálóval való kommunikációt, hogy szűrt névfeloldás legyen azoknak az erőforrásoknak (például virtuális gépnek), amelyek nem rendelkeznek egyéni DNS-kiszolgálóval. Ez a szűrés biztosítja, hogy az ügyfelek csak az erőforrásaik gazdagépneveit oldhassák fel
- Az Azure Load Balancer állapottesztjeinek engedélyezése a virtuális gépek állapotának meghatározásához
- Lehetővé teszi a virtuális gép számára, hogy dinamikus IP-címet szerezzen be a DHCP szolgáltatásból az Azure-ban
- Vendégügynök szívverési üzeneteinek engedélyezése a PaaS-szerepkörhöz
Azure-szolgáltatások saját DNS zónakonfigurációs példák
Az Azure létrehoz egy canonical name DNS-rekordot (CNAME) a nyilvános DNS-en. A CNAME rekord átirányítja a feloldást a privát tartománynévre. A feloldást felülbírálhatja a privát végpontok privát IP-címével.
Az alkalmazásoknak nem kell módosítania a csatlakozási URL-címet. Nyilvános DNS-szolgáltatás feloldásakor a DNS-kiszolgáló feloldja a privát végpontokat. A folyamat nem befolyásolja a meglévő alkalmazásokat.
A privát DNS-zónát egy adott típushoz már használó magánhálózatok csak akkor tudnak csatlakozni a nyilvános erőforrásokhoz, ha nincsenek privát végpontkapcsolataik, ellenkező esetben a DNS-feloldási sorrend végrehajtásához megfelelő DNS-konfigurációra van szükség a privát DNS-zónában.
Az Azure-szolgáltatásokhoz használja a dokumentációban található javasolt zónaneveket .
DNS-konfigurációs forgatókönyvek
A szolgáltatások teljes tartománynevét automatikusan egy nyilvános IP-címre oldja fel. A privát végpont privát IP-címére való feloldáshoz módosítsa a DNS-konfigurációt.
A DNS kritikus fontosságú összetevő ahhoz, hogy az alkalmazás megfelelően működjön a privát végpont IP-címének sikeres feloldásával.
A beállítások alapján a következő forgatókönyvek érhetők el az integrált DNS-feloldással:
- Virtuális hálózati számítási feladatok egyéni DNS-kiszolgáló nélkül
- Helyszíni számítási feladatok DNS-továbbító használatával
- Virtuális hálózat és helyszíni számítási feladatok DNS-továbbító használatával
- saját DNS zónacsoport
Helyszíni számítási feladatok DNS-továbbító használatával
Ha a helyszíni számítási feladatokhoz egy privát végpont teljes tartománynevét szeretné feloldani, használjon DNS-továbbítót az Azure szolgáltatás nyilvános DNS-zónájának feloldásához az Azure-ban. A DNS-továbbító egy olyan virtuális gép, amely a privát DNS-zónához társított virtuális hálózaton fut, amely proxy DNS-lekérdezéseket tud proxyként használni, amelyek más virtuális hálózatokról vagy a helyszínről érkeznek. Erre azért van szükség, mert a lekérdezésnek a virtuális hálózatból kell érkeznie az Azure DNS-hez. A DNS-proxyk néhány lehetősége: DNS-szolgáltatásokat futtató Windows, DNS-szolgáltatásokat futtató Linux, Azure Firewall.
A következő forgatókönyv egy olyan helyszíni hálózatra érvényes, amelynek DNS-továbbítója van az Azure-ban. Ez a továbbító a DNS-lekérdezéseket egy kiszolgálószintű továbbítón keresztül oldja fel az Azure által biztosított DNS 168.63.129.16-ra.
Ez a forgatókönyv az Azure SQL Database által ajánlott privát DNS-zónát használja. Más szolgáltatások esetében a modellt az alábbi hivatkozással módosíthatja: Azure-szolgáltatások DNS-zónakonfigurációja.
A megfelelő konfiguráláshoz a következő erőforrásokra van szüksége:
- Helyszíni hálózat
- Helyszíni hálózathoz csatlakoztatott virtuális hálózat
- Az Azure-ban üzembe helyezett DNS-továbbító
- A típusú privatelink.database.windows.net zónák saját DNS
- Privát végpont adatai (teljes tartománynév és magánhálózati IP-cím)
Az alábbi ábra egy helyszíni hálózat DNS-feloldási sorozatát szemlélteti. A konfiguráció egy Azure-ban üzembe helyezett DNS-továbbítót használ. A megoldást egy virtuális hálózathoz társított privát DNS-zóna végzi:
Virtuális hálózat és helyszíni számítási feladatok az Azure DNS Private Resolver használatával
A DNS Private Resolver használatakor nincs szüksége DNS-továbbító virtuális gépre, és az Azure DNS képes feloldani a helyszíni tartományneveket.
Az alábbi ábra a DNS Private Resolvert használja egy küllős hálózati topológiában. Ajánlott eljárásként az Azure-beli célzóna-tervezési minta ezt a topológiát javasolja. Hibrid hálózati kapcsolat jön létre az Azure ExpressRoute és az Azure Firewall használatával. Ez a beállítás biztonságos hibrid hálózatot biztosít. A DNS Private Resolver a központi hálózaton van üzembe helyezve.
- A DNS Private Resolver megoldás összetevőinek áttekintése
- Helyszíni DNS-lekérdezés forgalmi folyamatának áttekintése
- Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése
- Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése a DNS Private Resolver használatával
- Virtuálisgép-DNS-lekérdezés forgalmi folyamatának áttekintése helyszíni DNS-kiszolgálón keresztül