Tutorial: Criar uma infraestrutura DNS de ponto de extremidade privada com o Resolvedor Privado do Azure para uma carga de trabalho local
Quando um Ponto de Extremidade Privado do Azure é criado, ele usa as Zonas DNS Privadas do Azure para resolução de nomes por padrão. Para cargas de trabalho locais acessarem o ponto de extremidade, era necessário um encaminhador para uma máquina virtual no Azure que hospeda DNS ou registros DNS locais para o ponto de extremidade privado. O Resolvedor Privado do Azure alivia a necessidade de implantar uma VM no Azure para DNS ou gerenciar os registros DNS de ponto de extremidade privado em um servidor DNS local.
Neste tutorial, irá aprender a:
- Crie uma Rede Virtual do Azure para a rede de nuvem e uma rede local simulada com emparelhamento de rede virtual.
- Crie um Aplicativo Web do Azure para simular um recurso de nuvem.
- Crie um Ponto de Extremidade Privado do Azure para o aplicativo Web na Rede Virtual do Azure.
- Crie um Resolvedor Privado do Azure na rede de nuvem.
- Crie uma Máquina Virtual do Azure na rede local simulada para testar a resolução DNS para o aplicativo Web.
Nota
Uma Rede Virtual do Azure com emparelhamento é usada para simular uma rede local para os fins deste tutorial. Em um cenário de produção, uma Rota Expressa ou VPN site a site é necessária para se conectar à Rede Virtual do Azure para acessar o ponto de extremidade privado.
A rede simulada é configurada com o Resolvedor Privado do Azure como o servidor DNS da rede virtual. Em um cenário de produção, os recursos locais usarão um servidor DNS local para resolução de nomes. Um encaminhador condicional para o Resolvedor Privado do Azure é usado no servidor DNS local para resolver os registros DNS do ponto de extremidade privado. Para obter mais informações sobre a configuração de encaminhadores condicionais para seu servidor DNS, consulte a documentação do provedor.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Iniciar sessão no Azure
Inicie sessão no portal do Azure com a sua conta do Azure.
Descrição geral
Uma rede virtual para o Aplicativo Web do Azure e rede local simulada é usada para os recursos no tutorial. Você cria duas redes virtuais e as emparelha para simular uma Rota Expressa ou conexão VPN entre o local e o Azure. Um host do Azure Bastion é implantado na rede local simulada para se conectar à máquina virtual de teste. A máquina virtual de teste é usada para testar a conexão de ponto de extremidade privado com o aplicativo Web e a resolução DNS.
Os seguintes recursos são usados neste tutorial para simular uma infraestrutura de rede local e em nuvem:
Recurso | Nome | Descrição |
---|---|---|
Rede virtual local simulada | VNET-1 | A rede virtual que simula uma rede local. |
Rede virtual na nuvem | VNET-2 | A rede virtual onde o Aplicativo Web do Azure é implantado. |
Anfitrião do Bastion | bastião | Bastion host usado para se conectar à máquina virtual na rede local simulada. |
Máquina virtual de teste | VM-1 | Máquina virtual usada para testar a conexão de ponto de extremidade privado com o aplicativo Web e a resolução DNS. |
Peer de rede virtual | vnet-1-para-vnet-2 | Peer de rede virtual entre a rede local simulada e a rede virtual na nuvem. |
Peer de rede virtual | vnet-2-para-vnet-1 | Peer de rede virtual entre a rede virtual na nuvem e a rede local simulada. |
Criar uma rede virtual e um host do Azure Bastion
O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host Bastion:
No portal, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione Criar novo.
Digite test-rg para o nome.
Selecione OK.Detalhes da instância Nome Digite vnet-1. País/Região Selecione E.U.A. Leste 2. Selecione Avançar para prosseguir para a guia Segurança .
Na seção Azure Bastion, selecione Habilitar Azure Bastion.
Bastion usa seu navegador para se conectar a VMs em sua rede virtual através de Secure Shell (SSH) ou Remote Desktop Protocol (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, consulte O que é o Azure Bastion?.
Nota
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
No Azure Bastion, insira ou selecione as seguintes informações:
Definição Value Nome do host do Azure Bastion Entre no bastião. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Digite public-ip-bastion em Name.
Selecione OK.Selecione Avançar para prosseguir para a guia Endereços IP .
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .
Em Editar sub-rede, insira ou selecione as seguintes informações:
Definição Value Finalidade da sub-rede Deixe o padrão de Default. Nome Digite subnet-1. IPv4 Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho Deixe o padrão de /24 (256 endereços). Selecione Guardar.
Selecione Rever + criar na parte inferior da janela. Quando a validação for aprovada, selecione Criar.
Leva alguns minutos para que a implantação do host Bastion seja concluída. O host Bastion é usado posteriormente no tutorial para se conectar à máquina virtual "local" para testar o ponto de extremidade privado. Você pode prosseguir para as próximas etapas quando a rede virtual for criada.
Criar rede virtual na nuvem
Repita as etapas anteriores para criar uma rede virtual na nuvem para o ponto de extremidade privado do Azure Web App. Substitua os valores pelos seguintes valores para a rede virtual na nuvem:
Nota
A seção de implantação do Azure Bastion pode ser ignorada para a rede virtual na nuvem. O host Bastion só é necessário para a rede local simulada.
Definição | Valor |
---|---|
Nome | VNET-2 |
Location | Leste dos EUA 2 |
Espaço de endereços | 10.1.0.0/16 |
Nome da sub-rede | sub-rede-1 |
Intervalo de endereços da sub-rede | 10.1.0.0/24 |
Criar par de rede virtual
Use as etapas a seguir para criar um par de rede bidirecional entre vnet1 e vnet2.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-1.
Em Configurações , selecione Emparelhamentos.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Definição Value Resumo da rede virtual remota Nome do link de emparelhamento Digite vnet-2-to-vnet-1. Modelo de implantação de rede virtual Deixe o padrão do Gerenciador de Recursos. Subscrição Selecione a sua subscrição. Rede virtual Selecione vnet-2. Configurações de emparelhamento de rede virtual remota Permitir que 'vnet-2' acesse 'vnet-1' Deixe o padrão de selecionado. Permitir que 'vnet-2' receba tráfego encaminhado de 'vnet-1' Marque a caixa de seleção. Permitir que o gateway ou o servidor de rota em 'vnet-2' encaminhe o tráfego para 'vnet-1' Deixe o padrão de limpo. Habilite o 'vnet-2' para usar o gateway remoto ou o servidor de rotas do 'vnet-1's' Deixe o padrão de limpo. Resumo do emparelhamento de rede virtual local Nome do link de emparelhamento Digite vnet-1-to-vnet-2. Configurações de emparelhamento de rede virtual local Permitir que 'vnet-1' acesse 'vnet-2' Deixe o padrão de selecionado. Permitir que 'vnet-1' receba tráfego encaminhado de 'vnet-2' Marque a caixa de seleção. Permitir que o gateway ou o servidor de rota em 'vnet-1' encaminhe o tráfego para 'vnet-2' Deixe o padrão de limpo. Habilite o 'vnet-1' para usar o gateway remoto ou o servidor de rotas do 'vnet-2' Deixe o padrão de limpo. Selecione Adicionar.
Criar aplicação Web
Na caixa de pesquisa na parte superior do portal, digite Serviço de Aplicativo. Selecione Serviços de Aplicativo nos resultados da pesquisa.
Selecione + Criar.
Insira ou selecione as seguintes informações na guia Noções básicas de Criar aplicativo Web.
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de Recursos Selecione test-rg. Detalhes da instância Nome Insira um nome exclusivo para o aplicativo Web. O nome webapp8675 é usado para os exemplos neste tutorial. Publicar Selecione Código. Pilha de runtime Selecione .NET 6 (LTS). Sistema operativo Selecione Windows. País/Região Selecione E.U.A. Leste 2. Planos de preços Plano do Windows (Oeste dos EUA 2) Deixe o nome padrão. Plano de preços Selecione Alterar tamanho. No Seletor de especificações, selecione Produção para a carga de trabalho.
Em Níveis de preços recomendados, selecione P1V2.
Selecione Aplicar.
Selecione Next: Deployment.
Selecione Next: Networking.
Altere 'Ativar acesso público' para false.
Selecione Rever + criar.
Selecione Criar.
Criar ponto de extremidade privado
Um ponto de extremidade privado do Azure cria uma interface de rede para um serviço do Azure com suporte em sua rede virtual. O ponto de extremidade privado permite que o serviço do Azure seja acessado a partir de uma conexão privada em sua Rede Virtual do Azure ou rede local.
Você cria um ponto de extremidade privado para o aplicativo Web criado anteriormente.
Na caixa de pesquisa na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados nos resultados da pesquisa.
Selecione + Criar.
Insira ou selecione as seguintes informações na guia Noções básicas de Criar um ponto de extremidade privado:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição Grupo de recursos Selecione test-rg. Detalhes da instância Nome Insira o ponto de extremidade privado. Nome da interface de rede Deixe o nome padrão. País/Região Selecione E.U.A. Leste 2. Selecione Next: Resource.
Insira ou selecione as seguintes informações na guia Recurso :
Definição Value Método de ligação Selecione Conectar a um recurso do Azure em meu diretório. Subscrição Selecione a sua subscrição. Tipo de recurso Selecione Microsoft.Web/sites. Recurso Selecione seu webapp. O nome webapp8675 é usado para os exemplos neste tutorial. Subrecurso de destino Selecione sites. Selecione Next: Virtual Network.
Insira ou selecione as seguintes informações na guia Rede Virtual:
Definição Value Rede Rede virtual Selecione vnet-2 (test-rg). Sub-rede Selecione sub-rede-1. Política de rede para terminais privados Deixe o padrão de Desativado. Configuração de IP privado Selecione Alocar endereço IP estaticamente. Nome Digite ipconfig-1. IP Privado Digite 10.1.0.10. Selecione Next: DNS.
Deixe os padrões na guia DNS .
Selecione Next: Tags, em seguida , Next: Review + create.
Selecione Criar.
Criar um resolvedor privado
Você cria um resolvedor privado na rede virtual onde reside o ponto de extremidade privado. O resolvedor recebe solicitações DNS da carga de trabalho local simulada. Essas solicitações são encaminhadas para o DNS fornecido pelo Azure. O DNS fornecido pelo Azure resolve a zona DNS Privada do Azure para o ponto de extremidade privado e retorna o endereço IP para a carga de trabalho local.
Na caixa de pesquisa na parte superior do portal, digite DNS private resolver. Selecione Resolvedores privados de DNS nos resultados da pesquisa.
Selecione + Criar.
Insira ou selecione as seguintes informações na guia Noções básicas de Criar um resolvedor privado de DNS:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg Detalhes da instância Nome Entre no private-resolver. País/Região Selecione (EUA) Leste dos EUA 2. Rede Virtual Rede Virtual Selecione vnet-2. Selecione Next: Inbound Endpoints.
Em Pontos de extremidade de entrada, selecione + Adicionar um ponto de extremidade.
Insira ou selecione as seguintes informações em Adicionar um ponto de extremidade de entrada:
Definição Value Nome do ponto final Insira o ponto de extremidade de entrada. Sub-rede Selecione Criar novo.
Insira o resolvedor de sub-rede em Nome.
Deixe o intervalo de endereços de sub-rede padrão.
Selecione Criar.Selecione Guardar.
Selecione Rever + criar.
Selecione Criar.
Quando a implantação do resolvedor privado estiver concluída, continue para as próximas etapas.
Configurar DNS para rede simulada
As etapas a seguir definem o resolvedor privado como o servidor DNS primário para a rede local simulada vnet-1.
Em um ambiente de produção, essas etapas não são necessárias e são apenas para simular a resolução DNS para o ponto de extremidade privado. Seu servidor DNS local tem um encaminhador condicional para esse endereço IP para resolver os registros DNS de ponto de extremidade privado da rede local.
Na caixa de pesquisa na parte superior do portal, digite DNS private resolver. Selecione Resolvedores privados de DNS nos resultados da pesquisa.
Selecione private-resolver.
Selecione Pontos de extremidade de entrada em Configurações.
Anote o endereço IP do ponto de extremidade chamado inbound-endpoint. No exemplo deste tutorial, o endereço IP é 10.1.1.4.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-1.
Selecione Servidores DNS em Configurações.
Selecione Personalizar em servidores DNS.
Digite o endereço IP que você anotou anteriormente. No exemplo deste tutorial, o endereço IP é 10.1.1.4.
Selecione Guardar.
Criar máquina virtual de teste
O procedimento a seguir cria uma máquina virtual (VM) de teste chamada vm-1 na rede virtual.
No portal, procure e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.
Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-1. País/Região Selecione E.U.A. Leste 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança Deixe o padrão de Padrão. Image Selecione Windows Server 2022 Datacenter - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Digite azureuser. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione a guia Rede na parte superior da página.
Insira ou selecione as seguintes informações na guia Rede :
Definição Value Interface de Rede Rede virtual Selecione vnet-1. Sub-rede Selecione sub-rede-1 (10.0.0.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione Criar novo.
Digite nsg-1 para o nome.
Deixe o restante nos padrões e selecione OK.Deixe o restante das configurações nos padrões e selecione Revisar + criar.
Revise as configurações e selecione Criar.
Nota
As máquinas virtuais em uma rede virtual com um host bastion não precisam de endereços IP públicos. Bastion fornece o IP público, e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas por bastion. Para obter mais informações, consulte Dissociar um endereço IP público de uma VM do Azure.
Nota
O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.
As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.
Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.
Testar a conectividade com o ponto de extremidade privado
Nesta seção, você usa a máquina virtual criada na etapa anterior para se conectar ao aplicativo Web através do ponto de extremidade privado.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-1.
Na página de visão geral do vm-1, selecione Conectar e Bastion.
Digite o nome de usuário e a senha que você inseriu durante a criação da máquina virtual.
Selecione o botão Conectar .
Abra o Windows PowerShell no servidor depois de se conectar.
Introduzir
nslookup <webapp-name>.azurewebsites.net
. Substitua <webapp-name> pelo nome do aplicativo Web que você criou nas etapas anteriores. Você recebe uma mensagem semelhante à seguinte saída:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp.privatelink.azurewebsites.net Address: 10.1.0.10 Aliases: webapp.azurewebsites.net
Um endereço IP privado de 10.1.0.10 é retornado para o nome do aplicativo Web. Este endereço está na sub-rede-1 da rede virtual vnet-2 que você criou anteriormente.
Abra o Microsoft Edge e introduza o URL da sua aplicação Web,
https://<webapp-name>.azurewebsites.net
.Verifique se você recebe a página padrão do aplicativo Web.
Feche a conexão com vm-1.
Abra um navegador da Web em seu computador local e insira a URL do seu aplicativo Web,
https://<webapp-name>.azurewebsites.net
.Verifique se você recebeu uma página 403 . Esta página indica que o aplicativo Web não está acessível externamente.
Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.
No portal do Azure, procure e selecione Grupos de recursos.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos.
Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.
Próximos passos
Neste tutorial, você aprendeu como implantar um resolvedor privado e um ponto de extremidade privado. Você testou a conexão com o ponto de extremidade privado a partir de uma rede local simulada.
Avance para o próximo artigo para saber como...