Integrasi DNS Titik Akhir Privat Azure

  • Artikel

Azure Private Endpoint adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik Akhir Privat menggunakan alamat IP privat dari jaringan virtual Anda, membawa layanan ke dalam jaringan virtual Anda secara efektif. Layanan ini dapat menjadi layanan Azure seperti Azure Storage, Azure Cosmos DB, SQL, dll., atau Layanan Private Link Anda sendiri. Artikel ini menjelaskan skenario konfigurasi DNS untuk Azure Private Endpoint.

Untuk pengaturan zona DNS privat untuk layanan Azure yang mendukung titik akhir privat, lihat Nilai zona DNS privat Titik Akhir Privat Azure.

Skenario konfigurasi DNS

FQDN layanan diselesaikan secara otomatis ke alamat IP publik. Untuk mengatasi alamat IP privat titik akhir privat, ubah konfigurasi DNS Anda.

DNS adalah komponen penting untuk membuat aplikasi bekerja semestinya dengan berhasil menyelesaikan alamat IP titik akhir privat.

Berdasarkan preferensi Anda, skenario berikut ini tersedia dengan resolusi DNS terintegrasi:

Beban kerja jaringan virtual tanpa Azure Private Resolver

Konfigurasi ini sesuai untuk beban kerja jaringan virtual tanpa server DNS kustom. Dalam skenario ini, klien meminta alamat IP titik akhir privat ke layanan DNS yang disediakan Azure 168.63.129.16. Azure DNS bertanggung jawab atas resolusi DNS zona DNS privat.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lainnya, Anda dapat menyesuaikan model menggunakan referensi berikut: Konfigurasi zona DNS layanan Azure.

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Cuplikan layar berikut ini mengilustrasikan urutan resolusi DNS dari beban kerja jaringan virtual menggunakan zona DNS privat:

Diagram of single virtual network and Azure-provided DNS.

Beban kerja jaringan virtual yang di-peering tanpa Azure Private Resolver

Anda dapat memperluas model ini ke jaringan virtual serekan yang terkait dengan titik akhir privat yang sama. Tambahkan tautan jaringan virtual baru ke zona DNS privat untuk semua jaringan virtual yang serekan.

Penting

  • Zona DNS privat tunggal diperlukan untuk konfigurasi ini. Membuat beberapa zona dengan nama yang sama untuk jaringan virtual yang berbeda akan membutuhkan operasi manual untuk menggabungkan rekaman DNS.

  • Jika Anda menggunakan titik akhir privat dalam model hub dan spoke dari langganan yang berbeda atau bahkan dalam langganan yang sama, tautkan zona DNS privat yang sama ke semua jaringan virtual spoke dan hub berisi klien yang memerlukan resolusi DNS dari zona.

Dalam skenario ini, ada topologi jaringan hub dan spoke. Jaringan spoke berbagi titik akhir privat. Jaringan virtual spoke ditautkan ke zona DNS privat yang sama.

Diagram of hub and spoke with Azure-provided DNS.

Azure Private Resolver untuk beban kerja lokal

Agar beban kerja lokal menyelesaikan FQDN titik akhir privat, gunakan Azure Private Resolver untuk mengatasi zona DNS publik layanan Azure di Azure. Azure Private Resolver adalah layanan terkelola Azure yang dapat mengatasi kueri DNS tanpa perlu mesin virtual yang bertindak sebagai penerus DNS.

Skenario berikut adalah untuk jaringan lokal yang dikonfigurasi untuk menggunakan Azure Private Resolver. Resolver privat meneruskan permintaan untuk titik akhir privat ke Azure DNS.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lain, Anda dapat menyesuaikan model menggunakan referensi berikut: Nilai zona DNS layanan Azure.

Sumber daya berikut diperlukan untuk konfigurasi yang tepat:

Diagram berikut ini mengilustrasikan urutan resolusi DNS dari jaringan lokal. Konfigurasi menggunakan Private Resolver yang disebarkan di Azure. Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual:

Diagram of on-premises using Azure DNS.

Azure Private Resolver dengan penerus DNS lokal

Konfigurasi ini dapat diperluas untuk jaringan lokal yang sudah memiliki solusi DNS yang tersedia.

Solusi DNS lokal dikonfigurasi untuk meneruskan lalu lintas DNS ke Azure DNS melalui penerus kondisional. Penerus bersyarkat mereferensikan Penyelesai Privat yang disebarkan di Azure.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lain, Anda dapat menyesuaikan model menggunakan referensi berikut: Nilai zona DNS layanan Azure

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Diagram berikut ini mengilustrasikan resolusi DNS dari jaringan lokal. Resolusi DNS diteruskan secara kondisional ke Azure. Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual.

Penting

Penerusan kondisional harus dilakukan ke penerus zona DNS publik yang direkomendasikan. Misalnya: database.windows.net, bukan privatelink.database.windows.net.

Diagram of on-premises forwarding to Azure DNS.

Azure Private Resolver untuk jaringan virtual dan beban kerja lokal

Untuk beban kerja yang mengakses titik akhir privat dari jaringan virtual dan lokal, gunakan Azure Private Resolver untuk menyelesaikan zona DNS publik layanan Azure yang disebarkan di Azure.

Skenario berikut adalah untuk jaringan lokal dengan jaringan virtual di Azure. Kedua jaringan mengakses titik akhir privat yang terletak di jaringan hub bersama.

Resolver privat bertanggung jawab untuk menyelesaikan semua kueri DNS melalui layanan DNS yang disediakan Azure 168.63.129.16.

Penting

Zona DNS privat tunggal diperlukan untuk konfigurasi ini. Semua koneksi klien yang dibuat dari jaringan virtual serekan dan lokal juga harus menggunakan zona DNS privat yang sama.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lainnya, Anda dapat menyesuaikan model menggunakan referensi berikut: Konfigurasi zona DNS layanan Azure.

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Diagram berikut ini memperlihatkan resolusi DNS untuk jaringan lokal dan virtual. Resolusinya menggunakan Azure Private Resolver.

Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual:

Diagram of hybrid scenario.

Grup zona DNS privat

Jika Anda memilih untuk mengintegrasikan titik akhir privat Anda dengan zona DNS privat, grup zona DNS privat juga dibuat. Grup zona DNS memiliki hubungan yang kuat antara zona DNS privat dan titik akhir privat. Ini membantu mengelola catatan zona DNS privat saat ada pembaruan pada titik akhir privat. Misalnya, saat Anda menambahkan atau menghapus wilayah, zona DNS privat secara otomatis diperbarui dengan jumlah rekaman yang benar.

Sebelumnya, baris DNS untuk titik akhir privat dibuat melalui pembuatan skrip (mengambil informasi tertentu tentang titik akhir privat dan kemudian menambahkannya di zona DNS). Dengan grup zona DNS, tidak perlu menulis baris CLI/PowerShell tambahan untuk setiap zona DNS. Selain itu, saat Anda menghapus titik akhir privat, semua catatan DNS dalam grup zona DNS akan dihapus.

Dalam topologi hub-and-spoke, skenario umum memungkinkan pembuatan zona DNS privat hanya sekali di hub. Penyiapan ini mengizinkan spoke untuk mendaftarkannya, alih-alih membuat zona yang berbeda di setiap spoke.

Catatan

  • Setiap grup zona DNS dapat mendukung hingga 5 zona DNS.
  • Menambahkan beberapa grup zona DNS ke satu Titik Akhir Privat tidak didukung.
  • Operasi penghapusan dan pembaruan untuk catatan DNS dapat dilihat yang dilakukan oleh Azure Traffic Manager dan DNS. Ini adalah operasi platform normal yang diperlukan untuk mengelola Catatan DNS Anda.

Langkah berikutnya