Поделиться через


Руководство. Создание инфраструктуры DNS частной конечной точки с помощью частного сопоставителя Azure для локальной рабочей нагрузки

При создании частной конечной точки Azure используется зона Частная зона DNS Azure для разрешения имен по умолчанию. Для локальных рабочих нагрузок для доступа к конечной точке требуется переадресация на виртуальную машину в Azure, где размещен DNS или локальные записи DNS для частной конечной точки. Частный сопоставитель Azure упрощает развертывание виртуальной машины в Azure для DNS или управление записями DNS частной конечной точки на локальном DNS-сервере.

Схема ресурсов Azure, созданных в руководстве.

В этом руководстве описано следующее:

  • Создайте azure виртуальная сеть для облачной сети и имитированной локальной сети с пирингом виртуальной сети.
  • Создайте веб-приложение Azure для имитации облачного ресурса.
  • Создайте частную конечную точку Azure для веб-приложения в виртуальная сеть Azure.
  • Создайте частный сопоставитель Azure в облачной сети.
  • Создайте виртуальную машину Azure в имитированной локальной сети для тестирования разрешения DNS в веб-приложении.

Примечание.

Azure виртуальная сеть с пирингом используется для имитации локальной сети в целях этого руководства. В рабочем сценарии для доступа виртуальная сеть к частной конечной точке требуется VPN-подключение express Route или сайта к сайту.

Имитированная сеть настроена с помощью частного сопоставителя Azure в качестве DNS-сервера виртуальной сети. В рабочем сценарии локальные ресурсы будут использовать локальный DNS-сервер для разрешения имен. Условный сервер пересылки в частный сопоставитель Azure используется на локальном DNS-сервере для разрешения записей DNS частной конечной точки. Дополнительные сведения о настройке условных серверов пересылки для DNS-сервера см. в документации поставщика.

Необходимые компоненты

Вход в Azure

Войдите на портал Azure с помощью своей учетной записи Azure.

Обзор

Виртуальная сеть для веб-приложения Azure и имитированная локальная сеть используется для ресурсов, приведенных в руководстве. Вы создаете две виртуальные сети и одноранговые сети для имитации подключения Express Route или VPN между локальной средой и Azure. Узел Бастиона Azure развертывается в имитированной локальной сети для подключения к тестовой виртуальной машине. Тестовая виртуальная машина используется для проверки подключения частной конечной точки к веб-приложению и разрешению DNS.

В этом руководстве используются следующие ресурсы для имитации локальной и облачной сетевой инфраструктуры:

Ресурс Имя Описание
Имитация локальной виртуальной сети vnet-1 Виртуальная сеть, имитирующая локальную сеть.
Облачная виртуальная сеть vnet-2 Виртуальная сеть, в которой развернуто веб-приложение Azure.
Узел-бастион бастион Узел Бастиона, используемый для подключения к виртуальной машине в имитированной локальной сети.
Тестирование виртуальной машины vm-1 Виртуальная машина, используемая для проверки подключения частной конечной точки к веб-приложению и разрешению DNS.
Одноранговый узел виртуальной сети vnet-1-to-vnet-2 Одноранговый узел виртуальной сети между имитированной локальной сетью и облачной виртуальной сетью.
Одноранговый узел виртуальной сети vnet-2-to-vnet-1 Одноранговый узел виртуальной сети между облачной виртуальной сетью и имитированной локальной сетью.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите test-rg для имени.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. В разделе "Бастион Azure" выберите "Включить Бастион Azure".

    Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

    Примечание.

    Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  6. В Бастионе Azure введите или выберите следующие сведения:

    Параметр Значение
    Имя узла Бастиона Azure Введите бастион.
    Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
    Введите public-ip-бастион в поле "Имя".
    Нажмите кнопку ОК.

    Снимок экрана: параметры включения узла Бастиона Azure в рамках создания виртуальной сети в портал Azure.

  7. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .

  8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Параметр Значение
    Назначение подсети Оставьте значение по умолчанию по умолчанию.
    Имя. Введите подсеть-1.
    IРv4
    Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер Оставьте значение по умолчанию /24 (256 адресов).

    Снимок экрана: сведения о конфигурации для подсети.

  10. Выберите Сохранить.

  11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Развертывание узла Бастиона занимает несколько минут. Узел Бастиона используется далее в руководстве для подключения к виртуальной машине "локальной" для тестирования частной конечной точки. При создании виртуальной сети можно перейти к следующим шагам.

Создание облачной виртуальной сети

Повторите предыдущие действия, чтобы создать облачную виртуальную сеть для частной конечной точки веб-приложения Azure. Замените значения следующими значениями для облачной виртуальной сети:

Примечание.

Раздел развертывания Бастиона Azure можно пропустить для облачной виртуальной сети. Узел Бастиона необходим только для имитированной локальной сети.

Параметр Значение
Имя. vnet-2
Расположение Восточная часть США — 2
Пространство адресов 10.1.0.0/16.
Имя подсети подсеть-1
Диапазон адресов подсети 10.1.0.0/24.

Создание однорангового узла виртуальной сети

Выполните следующие действия, чтобы создать двусторонний сетевой одноранговый узел между виртуальной сетью1 и виртуальной сетью2.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. Выберите виртуальную сеть-1.

  3. В параметрах выберите пиринги.

  4. Выберите Добавить.

  5. Введите или выберите следующие сведения в разделе "Добавление пиринга".

    Параметр Значение
    Сводка по удаленной виртуальной сети
    Имя пиринговой связи Введите vnet-2-to-vnet-1.
    Модель развертывания виртуальной сети Оставьте значение по умолчанию Resource Manager.
    Отток подписок Выберите свою подписку.
    Виртуальная сеть Выберите виртуальную сеть-2.
    Параметры пиринга удаленной виртуальной сети
    Разрешить "vnet-2" получить доступ к "vnet-1" Сохраните значение выбрано, которое подставляется по умолчанию.
    Разрешить "vnet-2" получать переадресованный трафик из "vnet-1" Установите флажок.
    Разрешить шлюзу или серверу маршрутизации в виртуальной сети-2 перенаправить трафик в "vnet-1" Оставьте значение по умолчанию очищенным.
    Включите "vnet-2" для использования удаленного шлюза или сервера маршрутов "vnet-1" Оставьте значение по умолчанию очищенным.
    Сводка по пирингу локальной виртуальной сети
    Имя пиринговой связи Введите vnet-1-to-vnet-2.
    Параметры пиринга локальной виртуальной сети
    Разрешить "vnet-1" получить доступ к "vnet-2" Сохраните значение выбрано, которое подставляется по умолчанию.
    Разрешить "vnet-1" получать переадресованный трафик из "vnet-2" Установите флажок.
    Разрешить шлюзу или серверу маршрутизации в vnet-1 перенаправить трафик в "vnet-2" Оставьте значение по умолчанию очищенным.
    Включение "vnet-1" для использования удаленного шлюза или сервера маршрутизации "vnet-2" Оставьте значение по умолчанию очищенным.

    Снимок экрана: добавление пиринга в портал Azure.

  6. Выберите Добавить.

Создание веб-приложения

  1. В поле поиска в верхней части портала введите Служба приложений. Выберите Служба приложений в результатах поиска.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основы" в разделе "Создание веб-приложения".

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите уникальное имя для веб-приложения. Имя webapp8675 используется для примеров, приведенных в этом руководстве.
    Публикация Выберите Код.
    Стек среды выполнения Выберите .NET 6 (LTS).
    Операционная система Выберите Windows.
    Область/регион Выберите регион Восточная часть США 2.
    Тарифные планы
    План Windows (западная часть США 2) Оставьте имя по умолчанию.
    Ценовой план Выберите "Изменить размер".
  4. В средство выбора спецификаций выберите рабочую среду для рабочей нагрузки.

  5. В рекомендуемых ценовых категориях выберите P1V2.

  6. Выберите Применить.

  7. Нажмите кнопку "Далее": развертывание.

  8. Выберите Далее: сеть.

  9. Измените значение "Включить общедоступный доступ" на false.

  10. Выберите Review + create (Просмотреть и создать).

  11. Нажмите кнопку создания.

Создание частной конечной точки

Частная конечная точка Azure создает сетевой интерфейс для поддерживаемой службы Azure в виртуальной сети. Частная конечная точка позволяет службе Azure получать доступ из частного подключения в вашей виртуальная сеть Azure или локальной сети.

Вы создаете частную конечную точку для созданного ранее веб-приложения.

  1. В поле поиска в верхней части портала введите Частная конечная точка. В результатах поиска выберите Частные конечные точки.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основы" для создания частной конечной точки:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите частную конечную точку.
    Имя сетевого интерфейса Оставьте имя по умолчанию.
    Область/регион Выберите регион Восточная часть США 2.
  4. По завершении выберите Далее: Ресурс.

  5. Введите или выберите следующие сведения на вкладке "Ресурс".

    Параметр Значение
    Способ подключения Выберите Подключиться к ресурсу Azure в моем каталоге.
    Отток подписок Выберите свою подписку.
    Тип ресурса Выберите Microsoft.Web/sites.
    Ресурс Выберите веб-приложение. Имя webapp8675 используется для примеров, приведенных в этом руководстве.
    Целевой подресурс Выберите сайты.
  6. Выберите Далее: Виртуальная сеть.

  7. Введите или выберите следующие сведения на вкладке виртуальная сеть:

    Параметр Значение
    Сеть
    Виртуальная сеть Выберите vnet-2 (test-rg).
    Подсеть Выберите подсеть-1.
    Сетевая политика для частных конечных точек Оставьте значение по умолчанию Отключено.
    Конфигурация частного IP-адреса Выберите Статическое выделение IP-адреса.
    Имя Введите ipconfig-1.
    Частный IP-адрес Введите 10.1.0.10.
  8. Выберите Далее: DNS.

  9. Оставьте значения по умолчанию на вкладке DNS .

  10. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  11. Нажмите кнопку создания.

Создание частного сопоставителя

Вы создаете частный сопоставитель в виртуальной сети, где находится частная конечная точка. Сопоставитель получает DNS-запросы из имитированной локальной рабочей нагрузки. Эти запросы перенаправляются в предоставленный AZURE DNS. Предоставленный Azure DNS разрешает зону azure Частная зона DNS для частной конечной точки и возвращает IP-адрес в локальную рабочую нагрузку.

  1. В поле поиска в верхней части портала введите частный сопоставитель DNS. Выберите частные сопоставители DNS в результатах поиска.

  2. Выберите + Создать.

  3. Введите или выберите следующие сведения на вкладке "Основные сведения" для создания частного сопоставителя DNS:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выбор test-rg
    Сведения об экземпляре
    Имя. Введите закрытый сопоставитель.
    Область/регион Выберите регион (США) Восточная часть США 2.
    Виртуальная сеть
    Виртуальная сеть Выберите виртуальную сеть-2.
  4. Нажмите кнопку "Далее" — входящие конечные точки.

  5. В входящих конечных точках нажмите кнопку +Добавить конечную точку.

  6. Введите или выберите следующие сведения в поле "Добавить конечную точку для входящего трафика":

    Параметр Значение
    Имя конечной точки Введите конечную точку для входящего трафика.
    Подсеть Выберите Создать.
    Введите сопоставитель подсети в name.
    Оставьте диапазон адресов подсети по умолчанию.
    Нажмите кнопку "Создать".
  7. Выберите Сохранить.

  8. Выберите Review + create (Просмотреть и создать).

  9. Нажмите кнопку создания.

После завершения развертывания частного сопоставителя перейдите к следующим шагам.

Настройка DNS для имитации сети

Ниже приведены инструкции по настройке частного сопоставителя в качестве основного DNS-сервера для имитированного локального сетевого виртуального сети-1.

В рабочей среде эти действия не требуются и предназначены только для имитации разрешения DNS для частной конечной точки. Локальный DNS-сервер имеет условный сервер пересылки на этот IP-адрес для разрешения записей DNS частной конечной точки из локальной сети.

  1. В поле поиска в верхней части портала введите частный сопоставитель DNS. Выберите частные сопоставители DNS в результатах поиска.

  2. Выберите закрытый сопоставитель.

  3. Выберите входящие конечные точки в разделе "Параметры".

  4. Запишите IP-адрес конечной точки с именем входящего трафика. В примере этого руководства IP-адрес — 10.1.1.4.

  5. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  6. Выберите виртуальную сеть-1.

  7. Выберите DNS-серверы в параметрах.

  8. Выберите "Пользовательский" на DNS-серверах.

  9. Введите IP-адрес, который вы указали ранее. В примере этого руководства IP-адрес — 10.1.1.4.

  10. Выберите Сохранить.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Virtual machine name Введите vm-1.
    Область/регион Выберите регион Восточная часть США 2.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Изображения Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Username Введите azureuser.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.
  4. Выберите вкладку "Сеть" в верхней части страницы.

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети сетевого адаптера Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".
  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Проверка подключения к частной конечной точке

В этом разделе описано, как использовать виртуальную машину, созданную на предыдущем шаге, для подключения к веб-приложению через частную конечную точку.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-1.

  3. На странице обзора для vm-1 выберите "Подключиться" и "Бастион".

  4. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

  5. Нажмите кнопку Подключить.

  6. После подключения откройте на сервере Windows PowerShell.

  7. Введите nslookup <webapp-name>.azurewebsites.net. Замените <webapp-name> именем веб-приложения, созданного на предыдущих этапах. Вы получите сообщение, аналогичное следующему выводу:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    webapp.privatelink.azurewebsites.net
    Address:  10.1.0.10
    Aliases:  webapp.azurewebsites.net
    

    Частный IP-адрес 10.1.0.10 возвращается для имени веб-приложения. Этот адрес находится в подсети-1 виртуальной сети виртуальной сети 2, созданной ранее.

  8. Откройте Microsoft Edge и введите URL-адрес веб-приложения https://<webapp-name>.azurewebsites.net.

  9. Убедитесь, что вы получили страницу веб-приложения по умолчанию.

    Снимок экрана: страница веб-приложения по умолчанию в Microsoft Edge.

  10. Закройте подключение к vm-1.

  11. Откройте веб-браузер на локальном компьютере и введите URL-адрес веб-приложения — https://<webapp-name>.azurewebsites.net.

  12. Убедитесь, что вы получили страницу 403. Эта страница указывает, что веб-приложение недоступно извне.

    Снимок экрана: синяя страница с ошибкой 403 для адреса внешнего веб-приложения.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы узнали, как развернуть частный сопоставитель и частную конечную точку. Вы проверили подключение к частной конечной точке из имитированной локальной сети.

Дополнительные сведения см. в следующей статье: