Bagikan melalui

Skenario integrasi DNS Titik Akhir Pribadi Azure

Integrasi DNS Titik Akhir Privat Azure sangat penting untuk mengaktifkan konektivitas privat yang aman ke layanan Azure dalam jaringan virtual Anda. Artikel ini menjelaskan skenario konfigurasi DNS umum untuk Titik Akhir Privat Azure, termasuk opsi untuk jaringan virtual, jaringan yang di-peering, dan lingkungan lokal. Gunakan skenario dan praktik terbaik ini untuk memastikan resolusi nama yang andal dan aman untuk aplikasi dan layanan Anda.

Untuk pengaturan zona DNS privat untuk layanan Azure yang mendukung titik akhir privat, lihat Nilai zona DNS privat Titik Akhir Privat Azure.

Skenario konfigurasi DNS

FQDN layanan akan mengarahkan secara otomatis ke alamat IP publik. Untuk mengarahkan ke alamat IP privat dari titik akhir privat, ubah konfigurasi DNS Anda.

DNS sangat penting bagi aplikasi Anda untuk bekerja dengan benar karena menyelesaikan alamat IP titik akhir privat.

Anda bisa menggunakan skenario resolusi DNS berikut:

Beban kerja jaringan virtual tanpa Azure Private Resolver

Konfigurasi ini sesuai untuk beban kerja jaringan virtual tanpa server DNS kustom. Dalam skenario ini, klien meminta alamat IP titik akhir privat ke layanan DNS yang disediakan Azure 168.63.129.16. Azure DNS bertanggung jawab atas resolusi DNS zona DNS privat.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lainnya, Anda dapat menyesuaikan model menggunakan referensi berikut: Konfigurasi zona DNS layanan Azure.

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Cuplikan layar berikut ini mengilustrasikan urutan resolusi DNS dari beban kerja jaringan virtual menggunakan zona DNS privat:

Diagram jaringan virtual tunggal dan DNS yang disediakan Azure.

Beban kerja di jaringan virtual yang di-peering tanpa Azure Private Resolver

Anda dapat memperluas model ini ke jaringan virtual serekan yang terkait dengan titik akhir privat yang sama. Tambahkan tautan jaringan virtual baru ke zona DNS privat untuk semua jaringan virtual yang serekan.

Penting

  • Zona DNS privat tunggal diperlukan untuk konfigurasi ini. Membuat beberapa zona dengan nama yang sama untuk jaringan virtual yang berbeda akan membutuhkan operasi manual untuk menggabungkan rekaman DNS.

  • Jika Anda menggunakan titik akhir privat dalam model hub dan spoke dari langganan yang berbeda atau bahkan dalam langganan yang sama, tautkan zona DNS privat yang sama ke semua jaringan virtual spoke dan hub yang mengandung klien yang memerlukan resolusi DNS dari zona tersebut.

Dalam skenario ini, ada topologi jaringan hub dan spoke. Jaringan spoke berbagi titik akhir privat. Jaringan virtual spoke ditautkan ke zona DNS privat yang sama.

Diagram hub dan spoke dengan DNS yang disediakan Azure.

Beban kerja lokal menggunakan penerus DNS tanpa Azure Private Resolver

Agar beban kerja lokal di tempat dapat menguraikan FQDN titik akhir privat, konfigurasikan penerus DNS di Azure. Penerus DNS harus disebarkan di jaringan virtual yang ditautkan ke zona DNS privat untuk titik akhir privat Anda.

Penerus DNS biasanya merupakan komputer virtual yang menjalankan layanan DNS atau layanan terkelola seperti Azure Firewall. Penerus DNS menerima kueri DNS dari jaringan lokal atau virtual lainnya dan meneruskannya ke Azure DNS.

Catatan

Kueri DNS untuk titik akhir privat harus berasal dari jaringan virtual yang ditautkan ke zona DNS privat. Penerus DNS mengaktifkan ini dengan mem-proksi kueri atas nama klien lokal. Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lainnya, Anda dapat menyesuaikan model menggunakan referensi berikut: Konfigurasi zona DNS layanan Azure.

Skenario berikut adalah untuk jaringan lokal yang memiliki penerus DNS di Azure. Penerus ini menyelesaikan kueri DNS melalui penerus tingkat server ke DNS 168.63.129.16 yang disediakan Azure.

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

  • Jaringan lokal dengan solusi DNS kustom tersedia
  • Jaringan virtual tersambung ke lokal
  • Solusi DNS dalam disebarkan di lingkungan Azure Anda dengan kemampuan untuk meneruskan permintaan DNS secara kondisional
  • Zona DNS privat privatelink.database.windows.net dengan catatan tipe A
  • Informasi titik akhir privat (nama rekaman FQDN dan alamat IP privat)

Penting

Penerusan bersyarkat harus dilakukan ke penerus zona DNS publik yang direkomendasikan. Misalnya: database.windows.net, bukan privatelink.database.windows.net.

  • Perluas konfigurasi ini untuk jaringan lokal yang sudah memiliki solusi DNS kustom.
  • Konfigurasikan solusi DNS lokal Anda dengan penerus kondisional untuk zona DNS privat. Penerus bersyarat harus menunjuk ke penerus DNS yang disebarkan di Azure, sehingga kueri DNS untuk titik akhir privat diselesaikan dengan benar.

Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual:

Diagram penerusan lokal ke Azure DNS tanpa Azure Private Resolver.

Azure Private Resolver untuk beban kerja lokal

Untuk beban kerja on-premises guna menangani FQDN dari titik akhir privat, gunakan Azure Private Resolver untuk menyelesaikan zona DNS publik layanan Azure di Azure. Azure Private Resolver adalah layanan terkelola Azure yang dapat mengatasi kueri DNS tanpa perlu mesin virtual yang bertindak sebagai penerus DNS.

Skenario berikut adalah untuk jaringan lokal yang dikonfigurasi untuk menggunakan Azure Private Resolver. Resolver privat meneruskan permintaan untuk titik akhir privat ke Azure DNS.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lain, Anda dapat menyesuaikan model menggunakan referensi berikut: Nilai zona DNS layanan Azure.

Sumber daya berikut diperlukan untuk konfigurasi yang tepat:

Diagram berikut ini mengilustrasikan urutan resolusi DNS dari jaringan lokal. Konfigurasi menggunakan Private Resolver yang disebarkan di Azure. Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual:

Diagram lokal menggunakan zona DNS privat Azure.

Azure Private Resolver dengan penerus DNS lokal

Konfigurasi ini dapat diperluas untuk jaringan lokal yang sudah memiliki solusi DNS yang tersedia.

Solusi DNS lokal dikonfigurasi untuk meneruskan lalu lintas DNS ke Azure DNS melalui penerus kondisional. Penerus bersyarat mengacu pada Resolver Privat yang diterapkan di Azure.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lain, Anda dapat menyesuaikan model menggunakan referensi berikut: Nilai zona DNS layanan Azure

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Diagram berikut ini mengilustrasikan resolusi DNS dari jaringan lokal. Resolusi DNS diteruskan secara kondisional ke Azure. Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual.

Penting

Penerusan kondisional harus dilakukan ke penerus zona DNS publik yang direkomendasikan. Misalnya: database.windows.net, bukan privatelink.database.windows.net.

Diagram penerusan lokal ke Azure DNS.

Azure Private Resolver untuk jaringan virtual dan beban kerja lokal

Untuk beban kerja di jaringan virtual dan lokal yang mengakses titik akhir privat, gunakan Azure Private Resolver untuk meresolusi zona DNS publik layanan Azure yang disebarkan di Azure.

Skenario berikut adalah untuk jaringan lokal dengan jaringan virtual di Azure. Kedua jaringan mengakses titik akhir privat yang terletak di jaringan hub bersama.

Resolver privat bertanggung jawab untuk menyelesaikan semua kueri DNS melalui layanan DNS yang disediakan Azure 168.63.129.16.

Penting

Zona DNS privat tunggal diperlukan untuk konfigurasi ini. Semua koneksi klien yang dibuat dari jaringan virtual yang terhubung dan dari lokasi on-premise juga harus menggunakan zona DNS privat yang sama.

Catatan

Skenario ini menggunakan zona DNS privat yang direkomendasikan Azure SQL Database. Untuk layanan lainnya, Anda dapat menyesuaikan model menggunakan referensi berikut: Konfigurasi zona DNS layanan Azure.

Untuk mengonfigurasi dengan benar, Anda memerlukan sumber daya berikut:

Diagram berikut ini memperlihatkan resolusi DNS untuk jaringan lokal dan virtual. Resolusinya menggunakan Azure Private Resolver.

Resolusi dibuat oleh zona DNS privat yang ditautkan ke jaringan virtual:

Diagram skenario hibrid dengan zona DNS privat.

Grup zona DNS privat

Jika Anda memilih untuk mengintegrasikan titik akhir privat Anda dengan zona DNS privat, grup zona DNS privat juga dibuat. Grup zona DNS memiliki hubungan yang kuat antara zona DNS privat dan titik akhir privat. Ini membantu mengelola catatan zona DNS privat saat ada pembaruan pada titik akhir privat. Misalnya, saat Anda menambahkan atau menghapus wilayah, zona DNS privat secara otomatis diperbarui dengan jumlah rekaman yang benar.

Sebelumnya, catatan DNS untuk titik akhir privat dibuat melalui penulisan skrip (mengambil informasi tertentu tentang titik akhir privat dan kemudian menambahkannya ke zona DNS). Dengan grup zona DNS, tidak perlu menulis baris CLI/PowerShell tambahan untuk setiap zona DNS. Selain itu, saat Anda menghapus titik akhir privat, semua catatan DNS dalam grup zona DNS akan dihapus.

Dalam topologi hub-and-spoke, skenario umum memungkinkan pembuatan zona DNS privat hanya sekali di hub. Penyiapan ini mengizinkan spoke untuk mendaftarkannya, alih-alih membuat zona yang berbeda di setiap spoke.

Catatan

  • Setiap grup zona DNS dapat mendukung hingga lima zona DNS.
  • Menambahkan beberapa grup zona DNS ke satu Titik Akhir Privat tidak didukung.
  • Operasi penghapusan dan pembaruan untuk catatan DNS dapat dilihat yang dilakukan oleh Azure Traffic Manager dan DNS. Ini adalah operasi platform normal yang diperlukan untuk mengelola Catatan DNS Anda.

Konten terkait