Интеграция DNS частной конечной точки Azure

  • Статья

Частная конечная точка Azure — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, эффективно предоставляя доступ к службе из виртуальной сети. Служба может быть службой Azure, например служба хранилища Azure, Azure Cosmos DB, SQL и т. д., или собственной службой Приватный канал. В этой статье описаны сценарии конфигурации DNS для частной конечной точки Azure.

Параметры частной зоны DNS для служб Azure, поддерживающих частную конечную точку, см. в разделе "Значения частной зоны DNS частной конечной точки Azure".

Сценарии настройки DNS

Полное доменное имя служб автоматически разрешается в общедоступный IP-адрес. Чтобы выполнить разрешение в частный IP-адрес частной конечной точки, измените соответствующим образом конфигурацию DNS.

DNS является критически важным компонентом, обеспечивающим правильную работу приложения за счет правильного разрешения IP-адреса частной конечной точки.

Доступны следующие встроенные сценарии, связанные с разрешением DNS:

Рабочие нагрузки виртуальной сети без частного сопоставителя Azure

Эта конфигурация подходит для рабочих нагрузок виртуальных сетей без пользовательского DNS-сервера. В этом сценарии клиент запрашивает IP-адрес частной конечной точки для предоставленной Azure службы DNS 168.63.129.16. Azure DNS отвечает за разрешение DNS частных зон DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: конфигурация зоны DNS служб Azure.

Для правильной настройки необходимы следующие ресурсы:

На следующем снимке экрана показана последовательность разрешения DNS из рабочих нагрузок виртуальной сети с использованием частной зоны DNS.

Diagram of single virtual network and Azure-provided DNS.

Одноранговые рабочие нагрузки виртуальной сети без частного сопоставителя Azure

Эту модель можно расширить на одноранговые виртуальные сети, связанные с той же частной конечной точкой. Добавьте новые ссылки на виртуальную сеть в частную зону DNS для всех одноранговых виртуальных сетей.

Важно!

  • Для этой конфигурации требуется одна частная зона DNS. При создании нескольких зон с одинаковым именем для разных виртуальных сетей потребуется выполнить операции объединения записей DNS вручную.

  • Если вы используете частную конечную точку в звездообразной топологии из другой подписки или даже в той же подписке, свяжите одни и те же зоны DNS со всеми центральными и периферийными виртуальными сетями, в которых есть клиенты с потребностью разрешать адреса DNS в этих зонах.

В этом сценарии используется звездообразная топология сети. Все периферийные сети совместно используют частную конечную точку. Периферийные виртуальные сети связаны с одной частной зоной DNS.

Diagram of hub and spoke with Azure-provided DNS.

Частный сопоставитель Azure для локальных рабочих нагрузок

Для локальных рабочих нагрузок для разрешения полного доменного имени частной конечной точки используйте Частный сопоставитель Azure для разрешения зоны общедоступной DNS службы Azure в Azure. Частный сопоставитель Azure — это управляемая служба Azure, которая может разрешать запросы DNS без необходимости виртуальной машины, выступающей в качестве сервера пересылки DNS.

Следующий сценарий предназначен для локальной сети, настроенной для использования частного сопоставителя Azure. Частный сопоставитель перенаправит запрос частной конечной точки в Azure DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: значения зоны DNS служб Azure.

Для правильной настройки требуются следующие ресурсы:

На следующей схеме показана последовательность разрешения DNS из локальной сети. В конфигурации используется частный сопоставитель, развернутый в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Diagram of on-premises using Azure DNS.

Частный сопоставитель Azure с локальным dns-пересылкой

Эту конфигурацию можно расширить для локальной сети, в которой уже есть решение DNS.

В локальном решении DNS настроено перенаправление трафика DNS в службу Azure DNS через сервер условного перенаправления. Условный переадресатор ссылается на частный сопоставитель, развернутый в Azure.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: значения зоны DNS служб Azure

Для правильной настройки необходимы следующие ресурсы:

На следующей схеме демонстрируется разрешение DNS из локальной сети. Разрешение DNS условно перенаправляется в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Важно!

Условное перенаправление должно быть выполнено в рекомендуемый общедоступный сервер пересылки зоны DNS. Например, database.windows.net вместо privatelink.database.windows.net.

Diagram of on-premises forwarding to Azure DNS.

Частный сопоставитель Azure для виртуальной сети и локальных рабочих нагрузок

Для рабочих нагрузок, обращаюющихся к частной конечной точке из виртуальных и локальных сетей, используйте частный сопоставитель Azure для разрешения общедоступной зоны DNS службы Azure, развернутой в Azure.

Следующий сценарий подходит для локальной сети с виртуальными сетями в Azure. Обе сети обращаются к частной конечной точке, расположенной в общей центральной сети.

Частный сопоставитель отвечает за разрешение всех DNS-запросов через предоставленную Azure службу DNS 168.63.129.16.

Важно!

Для этой конфигурации требуется одна частная зона DNS. Все клиентские подключения из локальных и пиринговых виртуальных сетей также должны использовать одну частную зону DNS.

Примечание.

В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить модель, используя следующую ссылку: конфигурация зоны DNS служб Azure.

Для правильной настройки необходимы следующие ресурсы:

На следующей схеме демонстрируется разрешение DNS для локальной и виртуальной сетей. Решение использует частный сопоставитель Azure.

Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.

Diagram of hybrid scenario.

Группа частной зоны DNS

Если вы решили интегрировать закрытую конечную точку с частной зоной DNS, также будет создана группа частной зоны DNS. Группа зон DNS имеет сильную связь между частной зоной DNS и частной конечной точкой. Это помогает управлять записями частной зоны DNS при обновлении частной конечной точки. Например, при добавлении или удалении регионов частная зона DNS автоматически обновляется с правильным количеством записей.

Ранее записи DNS для частной конечной точки создавались с помощью сценариев (получение определенных сведений о частной конечной точке и их добавление в зону DNS). При использовании группы зон DNS не требуется записывать дополнительные строки CLI/PowerShell для каждой зоны DNS. Кроме того, при удалении частной конечной точки удаляются все записи DNS в группе зон DNS.

В топологии концентратора и периферийной топологии распространенный сценарий позволяет создавать частные зоны DNS только один раз в концентраторе. Эта настройка позволяет периферийным устройствам регистрировать его, а не создавать разные зоны в каждой периферийной части.

Примечание.

  • Каждая группа зон DNS может поддерживать до 5 зон DNS.
  • Добавление нескольких групп зон DNS в одну частную конечную точку не поддерживается.
  • Операции удаления и обновления записей DNS можно просматривать с помощью Диспетчер трафика Azure и DNS. Это обычная операция платформы, необходимая для управления записями DNS.

Следующие шаги