Поделиться через

Руководство: Создание DNS-инфраструктуры приватной конечной точки с Azure Private Resolver для локальной рабочей нагрузки.

При создании частной конечной точки Azure по умолчанию используются частные зоны DNS Azure для разрешения имен. Для локальных рабочих нагрузок для доступа к конечной точке требуется переадресация на виртуальную машину в Azure, где размещен DNS или локальные записи DNS для частной конечной точки. Azure Private Resolver снимает необходимость развертывания виртуальной машины в Azure для работы с DNS или управления записями DNS частной конечной точки на локальном DNS-сервере.

Схема ресурсов Azure, созданных в руководстве.

В этом руководстве описано следующее:

  • Создайте виртуальную сеть Azure для облачной сети и имитированной локальной сети с пирингом виртуальных сетей.
  • Создайте веб-приложение Azure для имитации облачного ресурса.
  • Создайте частную конечную точку Azure для веб-приложения в виртуальной сети Azure.
  • Создайте частный резолвер Azure в облачной сети.
  • Создайте виртуальную машину Azure в имитированной локальной сети для тестирования разрешения DNS в веб-приложении.

Примечание.

Azure виртуальная сеть с пирингом используется для имитации локальной сети в целях этого руководства. В рабочем сценарии требуется соединение Express Route или VPN сайт-сайт для подключения к виртуальной сети Azure и доступа к частной конечной точке.

Имитированная сеть настроена с использованием Azure Private Resolver в роли DNS-сервера виртуальной сети. В рабочем сценарии локальные ресурсы будут использовать локальный DNS-сервер для разрешения имен. Условный пересылатель на Azure Private Resolver используется на локальном DNS-сервере для разрешения разделяемых DNS-записей. Дополнительные сведения о настройке условных пересылок для вашего DNS-сервера см. в документации поставщика.

Предварительные условия

Вход в Azure

Войдите на портал Azure с помощью своей учетной записи Azure.

Обзор

Виртуальная сеть для веб-приложения Azure и имитированная локальная сеть используется для ресурсов, приведенных в руководстве. Вы создаете две виртуальные сети и устанавливаете их пиринг для имитации подключения ExpressRoute или VPN между локальной инфраструктурой и Azure. Узел Azure Bastion развертывается в смоделированной локальной сети для подключения к тестовой виртуальной машине. Тестовая виртуальная машина используется для проверки подключения частной конечной точки к веб-приложению и разрешению DNS.

В этом руководстве используются следующие ресурсы для имитации локальной и облачной сетевой инфраструктуры:

Ресурс Имя Описание
Имитация локальной виртуальной сети vnet-1 Виртуальная сеть, имитирующая локальную сеть.
Облачная виртуальная сеть vnet-2 Виртуальная сеть, в которой развернуто веб-приложение Azure.
Узел-бастион бастион Bastion host, используемый для подключения к виртуальной машине в симулированной локальной сети.
Тестирование виртуальной машины vm-1 Виртуальная машина, используемая для проверки подключения частной конечной точки к веб-приложению и разрешению DNS.
Виртуальный одноранговый узел сети vnet-1-to-vnet-2 Одноранговое соединение виртуальной сети между моделируемой локальной сетью и облачной виртуальной сетью.
Одноранговый узел виртуальной сети vnet-2-to-vnet-1 Одноранговый узел виртуальной сети между облачной виртуальной сетью и имитированной локальной сетью.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать новое.
    Введите test-rg для имени.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. В разделе Бастион Azure выберите Включить Бастион Azure.

    Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

    Примечание.

    Почасовая цена начинается с момента развертывания Bastion, вне зависимости от использования исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  6. В Azure Bastion введите или выберите следующие сведения:

    Настройка Значение
    Имя узла Бастиона Azure Введите бастион.
    Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
    Введите public-ip-бастион как имя.
    Нажмите кнопку ОК.

    Снимок экрана: параметры включения узла Бастиона Azure в рамках создания виртуальной сети в портал Azure.

  7. Нажмите Далее, чтобы перейти на вкладку IP-адреса.

  8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Настройка Значение
    Назначение подсети Оставьте значение по умолчанию Default.
    Имя Введите subnet-1.
    IРv4
    Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер Оставьте значение по умолчанию /24 (256 адресов).

    Снимок экрана: сведения о конфигурации для подсети.

  10. Выберите Сохранить.

  11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Развертывание хост-бастиона занимает несколько минут. Узел бастион-хост используется далее в инструкции для подключения к виртуальной машине "on-premises" для тестирования частной конечной точки. При создании виртуальной сети можно перейти к следующим шагам.

Создание облачной виртуальной сети

Повторите предыдущие действия, чтобы создать облачную виртуальную сеть для частной конечной точки веб-приложения Azure. Замените значения следующими значениями для облачной виртуальной сети:

Примечание.

Раздел развертывания Бастиона Azure можно пропустить для облачной виртуальной сети. Хост-бастион необходим только для симулированной локальной сети.

Настройка Значение
Имя vnet-2
Расположение Восток США 2
Пространство адресов 10.1.0.0/16.
Имя подсети подсеть-1
Диапазон адресов подсети 10.1.0.0/24.

Создание однорангового узла виртуальной сети

Выполните следующие действия, чтобы создать двустороннее сетевое одноранговое соединение между виртуальной сетью 1 и виртуальной сетью 2.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. Выберите vnet-1.

  3. В Настройках выберите пиринги.

  4. Выберите + Добавить.

  5. Введите или выберите следующие сведения в разделе "Добавление пиринга".

    Настройка Значение
    Сводка по удаленной виртуальной сети
    Имя пирингового соединения Введите vnet-2-to-vnet-1.
    Модель развертывания виртуальной сети Оставьте значение по умолчанию Resource Manager.
    Подписка Выберите свою подписку.
    Виртуальная сеть Выберите VNet-2.
    Параметры пиринга удаленной виртуальной сети
    Разрешить "vnet-2" получить доступ к "vnet-1" Оставьте выбранное значение по умолчанию.
    Разрешить "vnet-2" получать переадресованный трафик из "vnet-1" Установите флажок.
    Разрешить шлюзу или серверу маршрутизации в виртуальной сети-2 перенаправить трафик в "vnet-1" Оставьте значение по умолчанию очищенным.
    Включите "vnet-2" для использования удаленного шлюза или сервера маршрутов "vnet-1" Оставьте значение по умолчанию очищенным.
    Сводка по пирингу локальной виртуальной сети
    Название пирингового соединения Введите vnet-1-to-vnet-2.
    Параметры пиринга локальной виртуальной сети
    Разрешить "vnet-1" получить доступ к "vnet-2" Оставьте значение выбрано по умолчанию.
    Разрешить "vnet-1" получать переадресованный трафик из "vnet-2" Установите флажок.
    Разрешить шлюзу или серверу маршрутизации в vnet-1 перенаправить трафик в "vnet-2" Оставьте значение по умолчанию очищенным.
    Разрешите "vnet-1" использовать удаленный шлюз или сервер маршрутизации "vnet-2". Оставьте вариант по умолчанию очищенным.

    Снимок экрана: добавление пиринга в портал Azure.

  6. Выберите Добавить.

Создание веб-приложения

  1. В поле поиска в верхней части портала введите Служба приложений. Выберите Служба приложений в результатах поиска.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основы" в разделе "Создание веб-приложения".

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя Введите уникальное имя для веб-приложения. Имя webapp8675 используется для примеров, приведенных в этом руководстве.
    Публикация Выберите Код.
    Стек среды выполнения Выберите .NET 6 (LTS).
    Операционная система Выберите Windows.
    Область/регион Выберите регион Восточная часть США 2.
    Тарифные планы
    План Windows (Запад США 2) Оставьте имя по умолчанию.
    Ценовой план Выберите "Изменить размер".

  4. В Spec Picker выберите продуктивную среду для выполнения задачи.

  5. В рекомендуемых ценовых категориях выберите P1V2.

  6. Выберите Применить.

  7. Нажмите кнопку "Далее": развертывание.

  8. Выберите Далее: сеть.

  9. Измените значение "Включить общедоступный доступ" на false.

  10. Выберите Просмотреть и создать.

  11. Нажмите кнопку создания.

Создание частной конечной точки

Частная конечная точка Azure создает сетевой интерфейс для поддерживаемой службы Azure в виртуальной сети. Частная конечная точка позволяет подключаться к службе Azure через частное соединение в вашей виртуальной сети Azure или локальной сети.

Вы создаете частную конечную точку для созданного ранее веб-приложения.

  1. В поле поиска в верхней части портала введите Приватная конечная точка. В результатах поиска выберите Частные конечные точки.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основы" для создания частной конечной точки:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя Введите частную конечную точку.
    Имя сетевого интерфейса Оставьте имя по умолчанию.
    Область/регион Выберите регион Восточная часть США 2.

  4. По завершении выберите Далее: Ресурс.

  5. Введите или выберите следующие сведения на вкладке "Ресурс".

    Настройка Значение
    Способ подключения Выберите Подключиться к ресурсу Azure в моем каталоге.
    Подписка Выберите свою подписку.
    Тип ресурса Выберите Microsoft.Web/sites.
    Ресурс Выберите веб-приложение. Имя webapp8675 используется для примеров, приведенных в этом руководстве.
    Целевой подресурс Выберите сайты.

  6. Выберите Далее: Виртуальная сеть.

  7. Введите или выберите следующие сведения на вкладке виртуальная сеть:

    Настройки Значение
    Сеть
    Виртуальная сеть Выберите vnet-2 (test-rg).
    Подсеть Выберите подсеть-1.
    Сетевая политика для частных конечных точек Оставьте значение по умолчанию Отключено.
    Конфигурация частного IP-адреса Выберите Статическое выделение IP-адреса.
    Имя Введите ipconfig-1.
    Частный IP-адрес Введите 10.1.0.10.

  8. Выберите Далее: DNS.

  9. Оставьте значения по умолчанию на вкладке DNS .

  10. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  11. Нажмите кнопку создания.

Создайте частный сопоставитель

Вы создаете частный резольвер в виртуальной сети, где находится частная конечная точка. Сопоставитель получает DNS-запросы из имитированной локальной рабочей нагрузки. Эти запросы перенаправляются в предоставленный AZURE DNS. Предоставленный Azure DNS разрешает зону Azure Private DNS для частной конечной точки и возвращает IP-адрес локальной рабочей нагрузке.

  1. В поле поиска в верхней части портала введите DNS-резолвер для частных сетей. Выберите частные сопоставители DNS в результатах поиска.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основные сведения" для создания частного сопоставителя DNS:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg
    Сведения об экземпляре
    Имя Введите закрытый резолвер.
    Область/регион Выберите регион (США) Восточная часть США 2.
    Виртуальная сеть
    Виртуальная сеть Выберите vnet-2.

  4. Выберите Далее: входящие конечные точки.

  5. В Входящие конечные точки нажмите + Добавить конечную точку.

  6. Введите или выберите следующие сведения в поле "Добавить конечную точку для входящего трафика":

    Настройка Значение
    Имя конечной точки Введите конечную точку для входящего трафика.
    Подсеть Выберите Создать новый.
    Введите subnet-resolver в Имя.
    Оставьте диапазон адресов подсети по умолчанию.
    Нажмите кнопку "Создать".

  7. Выберите Сохранить.

  8. Выберите Review + create (Просмотреть и создать).

  9. Нажмите кнопку создания.

После завершения развертывания частного сопоставителя перейдите к следующим шагам.

Настройка DNS для имитации сети

Приведенные ниже шаги устанавливают частный резолвер в качестве основного DNS-сервера для имитированной локальной сети vnet-1.

В рабочей среде эти действия не требуются и предназначены только для имитации разрешения DNS для частной конечной точки. Локальный DNS-сервер имеет условный пересылатель на этот IP-адрес для разрешения записей DNS частной конечной точки с локальной сети.

  1. В поле поиска в верхней части портала введите частный резолвер DNS. Выберите частные сопоставители DNS в результатах поиска.

  2. Выберите частный резолвер.

  3. Выберите входные конечные точки в разделе "Параметры".

  4. Запишите IP-адрес конечной точки с именем входящая конечная точка. В примере этого руководства IP-адрес — 10.1.1.4.

  5. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  6. Выберите vnet-1.

  7. Выберите DNS-серверы в параметрах.

  8. Выберите "Пользовательский" на DNS-серверах.

  9. Введите IP-адрес, который вы указали ранее. В примере этого руководства IP-адрес — 10.1.1.4.

  10. Выберите Сохранить.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя виртуальной машины Введите vm-1.
    Область/регион Выберите регион Восточная часть США 2.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Изображение Выберите Windows Server 2022 Datacenter - x64 Gen2.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Имя пользователя Введите azureuser.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.

  4. Выберите вкладку "Сеть" в верхней части страницы.

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Настройка Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите vnet-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сетевого адаптера Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать новое.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс Azure NAT Gateway назначен подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Проверка подключения к частной конечной точке

В этом разделе описано, как использовать виртуальную машину, созданную на предыдущем шаге, для подключения к веб-приложению через частную конечную точку.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-1.

  3. На странице обзора для vm-1 выберите Подключиться, затем Бастион.

  4. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

  5. Нажмите кнопку Подключить.

  6. После подключения откройте на сервере Windows PowerShell.

  7. Введите nslookup <webapp-name>.azurewebsites.net. Замените <webapp-name> именем веб-приложения, созданного на предыдущих этапах. Вы получите сообщение, аналогичное следующему выводу:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp.privatelink.azurewebsites.net
Address:  10.1.0.10
Aliases:  webapp.azurewebsites.net

    Частный IP-адрес 10.1.0.10 возвращается для имени веб-приложения. Этот адрес находится в подсети subnet-1 виртуальной сети vnet-2, созданной ранее.

  8. Откройте Microsoft Edge и введите URL-адрес веб-приложения https://<webapp-name>.azurewebsites.net.

  9. Убедитесь, что вы получили страницу веб-приложения по умолчанию.

  10. Закройте подключение к vm-1.

  11. Откройте веб-браузер на локальном компьютере и введите URL-адрес веб-приложения — https://<webapp-name>.azurewebsites.net.

  12. Убедитесь, что вы получили страницу 403. Эта страница указывает, что веб-приложение недоступно извне.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы узнали, как развернуть частный резолвер и частную конечную точку. Вы проверили подключение к частной конечной точке из имитированной локальной сети.

Перейдите к следующей статье, чтобы узнать, как…

Подключение к серверу SQL Azure с помощью частной конечной точки Azure