Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du integrerar PaaS-lösningar (Azure Private Link för plattform som en tjänst) som har Privata DNS-zoner i nätverksarkitekturer för nav och eker.
Inledning
Många kunder skapar sin nätverksinfrastruktur i Azure med hjälp av nätverksarkitekturen hub-and-spoke, där:
- Nätverksdelade tjänster, till exempel virtuella nätverksinstallationer (NVA), ExpressRoute/VPN-gatewayer eller DNS-servrar, distribueras i det virtuella hubbnätverket .
- Spoke-nätverk förbrukar delade tjänster via virtuell nätverkssammanlänkning.
I nav- och ekernätverksarkitekturer har programägare vanligtvis en Azure-prenumeration, som innehåller ett virtuellt nätverk (en eker) som är anslutet till det virtuella hubbnätverket . I den här arkitekturen kan de distribuera sina virtuella datorer och ha privata anslutningar till andra virtuella nätverk eller till lokala nätverk via ExpressRoute eller VPN.
En central NVA, till exempel Azure Firewall, ger utgående internetanslutning. Dessutom används den enheten i kombination med en annan tjänst, till exempel en Azure Firewall DNS-proxy, som finns i eller nära hubben för att anpassa DNS-vidarebefordran.
Många programteam skapar sina lösningar med hjälp av en kombination av Azure IaaS- och PaaS-resurser. Vissa Azure PaaS-tjänster, till exempel Azure SQL Managed Instance, kan distribueras i virtuella kundnätverk. Därför förblir trafiken privat i Azure-nätverket och kan dirigeras helt lokalt.
Men vissa Azure PaaS-tjänster, till exempel Azure Storage eller Azure Cosmos DB, kan inte distribueras i kundens virtuella nätverk och är tillgängliga via deras offentliga slutpunkt. I vissa fall orsakar den här konfigurationen en konkurrens med en kunds säkerhetsprinciper. Företagstrafik kanske inte tillåter distribution eller åtkomst av företagsresurser, till exempel en SQL-databas, via offentliga slutpunkter.
Private Link stöder åtkomst till en lista över Azure-tjänster via privata slutpunkter, men du måste registrera dessa privata slutpunktsposter i en motsvarande privat DNS-zon.
Den här artikeln beskriver hur programteam kan distribuera Azure PaaS-tjänster i sina prenumerationer som endast är tillgängliga via privata slutpunkter.
Den här artikeln beskriver också hur programteam kan se till att tjänsterna integreras automatiskt med privata DNS-zoner. De utför automatiseringen via Azure Private DNS, vilket tar bort behovet av att manuellt skapa eller ta bort poster i DNS.
Private Link- och DNS-integrering i nav- och ekernätverksarkitekturer
Privat DNS zoner finns vanligtvis centralt i samma Azure-prenumeration där det virtuella hubbnätverket distribueras. Den här centrala värdpraxis drivs av dns-namnmatchning mellan platser och andra behov av central DNS-matchning, till exempel Windows Server Active Directory. I de flesta fall har endast nätverks- och identitetsadministratörer behörighet att hantera DNS-poster i zonerna.
Programteam har behörighet att skapa Azure-resurser i sin egen prenumeration. De har inga behörigheter i den centrala nätverksanslutningsprenumerationen, vilket inkluderar hantering av DNS-poster i de privata DNS-zonerna. Den här åtkomstbegränsningen innebär att de inte har möjlighet att skapa de DNS-poster som krävs när de distribuerar Azure PaaS-tjänster med privata slutpunkter.
Följande diagram visar en typisk arkitektur på hög nivå för företagsmiljöer med central DNS-matchning och namnmatchning för Private Link-resurser via Azure Private DNS:
I föregående diagram är det viktigt att markera följande:
Lokala DNS-servrar har konfigurerats med villkorliga vidarebefordrare för varje offentlig DNS-zon för privata slutpunkter, som pekar mot den privata DNS-upplösaren värda i hubbens virtuella nätverk.
Den privata DNS-upplösaren som finns i navets virtuella nätverk använder Azure-tillhandahållen DNS (168.63.129.16) som vidarebefordrare.
Det virtuella hubbnätverket måste vara länkat till namnen på den privata DNS-zonen för Azure-tjänster, till exempel
privatelink.blob.core.windows.net, som visas i diagrammet.Alla virtuella Azure-nätverk använder den privata DNS-lösaren som finns i det virtuella hubbnätverket.
Den privata DNS-matcharen är inte auktoritativ för kundens företagsdomäner, till exempel Active Directory-domännamn, eftersom den bara är en vidarebefordrare. Den privata DNS-resolvern bör ha utgående slutpunktsvidarebefordrare till kundens företagsdomäner, som pekar på de lokalt installerade DNS-servrarna (172.16.1.10 och 172.16.1.11) eller på DNS-servrar som distribuerats i Azure och är auktoritativa för sådana zoner.
Anmärkning
Du kan implementera en privat DNS-upplösare i ditt virtuella hubbnätverk tillsammans med din ExpressRoute-gateway. Du måste dock se till att lösningen för offentliga FQDN tillåts och svarar med ett giltigt svar via en regel för DNS-vidarebefordran av regeluppsättningar till mål-DNS-servern. Vissa Azure-tjänster förlitar sig på möjligheten att lösa offentliga DNS-namn så att de fungerar. Mer information finns i regler för DNS-vidarebefordran.
Det föregående diagrammet visar en enda hub-and-spoke-arkitektur, men kunderna kan behöva utöka sitt Azure-fotavtryck i flera regioner för att hantera kraven på återhämtning, närhet eller datahemvist. I flera scenarier måste samma Private Link-aktiverade PaaS-instans nås via flera privata slutpunkter.
Följande diagram visar en typisk arkitektur på hög nivå för företagsmiljöer som har central DNS-matchning distribuerad i hubben (en för varje region) där namnmatchning för Private Link-resurser görs via Azure Private DNS.
Du bör distribuera flera regionala privata slutpunkter som är associerade med PaaS-instansen, en i varje region där klienter finns. Aktivera Private Link och privata DNS-zoner för varje region. När du arbetar med PaaS-tjänster som har inbyggda funktioner för katastrofåterställning, till exempel geo-redundanta lagringskonton och SQL-databasens övertagningsgrupper, måste du ha privata slutpunkter i flera regioner.
Det här scenariot kräver manuellt underhåll och uppdateringar av DNS-posten Private Link som anges i varje region eftersom det för närvarande inte finns någon automatiserad livscykelhantering för dessa.
I andra användningsfall kan en enda global privat slutpunkt distribueras, vilket gör den tillgänglig för alla klienter genom att lägga till routning från relevanta regioner till den enskilda privata slutpunkten i en enda region.
Om du vill aktivera lösning och därmed anslutning, från lokala nätverk till den privatelink privata DNS-zonen och privata slutpunkter, etablerar du lämplig DNS-konfiguration, till exempel villkorliga vidarebefordrare, i DNS-infrastrukturen.
Två villkor som måste vara uppfyllda för att programteamen ska kunna skapa nödvändiga Azure PaaS-resurser i sin prenumeration:
Centrala nätverksteam eller centrala plattformsteam måste se till att programteam endast kan distribuera och komma åt Azure PaaS-tjänster via privata slutpunkter.
Centrala nätverks- eller plattformsteam måste se till att de, när de skapar privata slutpunkter, konfigurerar hur motsvarande poster ska hanteras. Konfigurera motsvarande poster så att de skapas automatiskt i den centraliserade privata DNS-zonen som matchar den tjänst som skapas.
DNS-poster måste följa livscykeln för den privata slutpunkten så att posterna tas bort automatiskt när den privata slutpunkten tas bort.
Anmärkning
Utifrån DNS-upplösning, om du behöver FQDN:er i nätverksregler för Azure Firewall och Azure Firewall-policy, kan du aktivera DNS-proxyn för Azure Firewall för att använda FQDN i dina nätverksregler. Sedan måste de virtuella ekernätverken ändra dns-inställningen från den anpassade DNS-servern till Azure Firewall DNS-proxyn. Med FQDN:er i nätverksregler kan du filtrera utgående trafik med valfritt TCP- eller UDP-protokoll, inklusive NTP, SSH och RDP. När du ändrar DNS-inställningarna för ett spoke-virtuellt nätverk måste du starta om alla virtuella datorer i det virtuella nätverket.
I följande avsnitt beskrivs hur programteam aktiverar dessa villkor med hjälp av Azure Policy. I exemplet används Azure Storage som den Azure-tjänst som programteamen behöver distribuera. Men samma princip gäller för de flesta Azure-tjänster som stöder Private Link.
Konfigurationskrav för plattformsteamet
Konfigurationskraven för plattformsteamet omfattar att skapa privata DNS-zoner, konfigurera principdefinitioner, distribuera principer och konfigurera principtilldelningarna.
Skapa privata DNS-zoner
Skapa privata DNS-zoner i den centrala anslutningsprenumerationen för private link-tjänster som stöds. Mer information finns i DNS-konfiguration för privata Slutpunkter i Azure.
I det här fallet är Lagringskonto med blob exemplet. Det innebär att skapa en privatelink.blob.core.windows.net privat DNS-zon i anslutningsprenumerationen.
Skapa principdefinitioner
Förutom de privata DNS-zonerna måste du också skapa en uppsättning anpassade Azure Policy-definitioner. Dessa definitioner framtvingar användningen av privata slutpunkter och automatiserar skapandet av DNS-posten i DEN DNS-zon som du skapar:
Den
Denyoffentliga slutpunkten för PaaS-tjänsterpolicyn.Den här principen hindrar användare från att skapa Azure PaaS-tjänster med offentliga slutpunkter.
Användarna får ett felmeddelande om de inte väljer den privata slutpunkten när de skapar resursen.
Den exakta principregeln kan skilja sig mellan PaaS-tjänster. För Azure Storage-konton definierar egenskapen networkAcls.defaultAction om begäranden från offentliga nätverk tillåts eller inte. I det här fallet anger du ett villkor för att neka skapandet av resurstypen Microsoft.Storage/storageAccounts om egenskapen networkAcls.defaultAction inte är
Deny. Följande principdefinition visar beteendet:{ "mode": "All", "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "field": "Microsoft.Storage/storageAccounts/networkAcls.defaultAction", "notEquals": "Deny" } ] }, "then": { "effect": "Deny" } } }Denymöjligheten att skapa en privat DNS-zon med prefixprincipenprivatelink.Använd en centraliserad DNS-arkitektur med en villkorlig vidarebefordrare och privata DNS-zoner i prenumerationerna som hanteras av plattformsteamet. Det är nödvändigt att förhindra att programteamens ägare skapar egna privata DNS-zoner för Private Link och länkar tjänster till sina prenumerationer.
Se till att när programteamet skapar en privat slutpunkt är alternativet
Integrate with private DNS zoneinställt påNoi Azure-portalen.
Om du väljer
Yeshindrar Azure Policy dig från att skapa den privata slutpunkten. I principdefinitionen nekas möjligheten att skapa resurstypen Microsoft.Network/privateDnsZones om zonen har prefixetprivatelink. Följande principdefinition visar prefixetprivatelink:{ "description": "This policy restricts creation of private DNS zones with the `privatelink` prefix", "displayName": "Deny-PrivateDNSZone-PrivateLink", "mode": "All", "parameters": null, "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/privateDnsZones" }, { "field": "name", "contains": "privatelink." } ] }, "then": { "effect": "Deny" } } }DeployIfNotExistsprincip för att automatiskt skapa den dns-post som krävs i den centrala privata DNS-zonen.Följande principexempel visar två metoder för att identifiera vilka som
privateDNSZoneGroupskapas på en privat slutpunkt.Den första policyn förlitar sig på
groupIdmedan den andra policyn använder bådeprivateLinkServiceIdochgroupID. Använd den andra principen närgroupIdkolliderar eller konfliktar med en annan resurs.En lista över
groupIdför Private Link-resurser finns i kolumnen subresources i Vad är en privat slutpunkt?.
Tips/Råd
Inbyggda Azure Policy-definitioner läggs ständigt till, tas bort och uppdateras. Du bör använda inbyggda principer i stället för att hantera dina egna principer, där det är tillgängligt. Använd AzPolicyAdvertizer för att hitta befintliga inbyggda principer som har följande namn: "xxx ... för att använda privata DNS-zoner". Dessutom har Azure-landningszoner (ALZ) ett principinitiativ, Konfigurera Azure PaaS-tjänster att använda privata DNS-zoner som innehåller inbyggda principer som uppdateras regelbundet. Om en inbyggd princip inte är tillgänglig för din situation kan du överväga att skapa en idé på feedbackwebbplatsen azure-policyAzure Governance Community genom att följa processen med inbyggda principförslag på Azure Policy GitHub-lagringsplatsen.
DeployIfNotExists-princip endast för groupId
Den här principen utlöses om du skapar en privat slutpunktsresurs som har en tjänstspecifik groupId.
groupId är ID:t för gruppen som hämtats från fjärrresursen (tjänsten) som den här privata slutpunkten ska ansluta till. Sedan utlöses en distribution av en privateDNSZoneGroup inom den privata slutpunkten, som associerar den privata slutpunkten med den privata DNS-zonen. I exemplet är groupId, som gäller för Azure Storage-blobar, blob. Mer information om groupId för andra Azure-tjänster finns i kolumnen Subresource i DNS-konfigurationen för privata Slutpunkter i Azure. När principen hittar groupId i den privata slutpunkten distribueras en privateDNSZoneGroup i den privata slutpunkten och länkar den till resurs-ID:t för den privata DNS-zonen som anges som parameter. I exemplet är resurs-ID:t för den privata DNS-zonen:
/subscriptions/<subscription-id>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/privateDnsZones/privatelink.blob.core.windows.net
Följande kodexempel visar principdefinitionen:
{
"mode": "Indexed",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/privateEndpoints"
},
{
"count": {
"field": "Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].groupIds[*]",
"where": {
"field": "Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].groupIds[*]",
"equals": "blob"
}
},
"greaterOrEquals": 1
}
]
},
"then": {
"effect": "deployIfNotExists",
"details": {
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"roleDefinitionIds": [
"/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7"
],
"deployment": {
"properties": {
"mode": "incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"privateDnsZoneId": {
"type": "string"
},
"privateEndpointName": {
"type": "string"
},
"location": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('privateEndpointName'), '/deployedByPolicy')]",
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"apiVersion": "2020-03-01",
"location": "[parameters('location')]",
"properties": {
"privateDnsZoneConfigs": [
{
"name": "storageBlob-privateDnsZone",
"properties": {
"privateDnsZoneId": "[parameters('privateDnsZoneId')]"
}
}
]
}
}
]
},
"parameters": {
"privateDnsZoneId": {
"value": "[parameters('privateDnsZoneId')]"
},
"privateEndpointName": {
"value": "[field('name')]"
},
"location": {
"value": "[field('location')]"
}
}
}
}
}
}
},
"parameters": {
"privateDnsZoneId": {
"type": "String",
"metadata": {
"displayName": "privateDnsZoneId",
"strongType": "Microsoft.Network/privateDnsZones"
}
}
}
}
DeployIfNotExists-princip för groupId och privateLinkServiceId
Den här policyn aktiveras om du skapar en privat slutpunktsresurs med en tjänstspecifik groupId och privateLinkServiceId.
groupId är ID:t för gruppen som hämtats från fjärrresursen (tjänsten) som den här privata slutpunkten ska ansluta till.
privateLinkServiceId är resurs-ID för fjärrresursen (tjänsten) som den privata slutpunkten ska ansluta till. Utlös sedan en distribution av en privateDNSZoneGroup inom den privata slutpunkten, som associerar den privata slutpunkten med den privata DNS-zonen.
I exemplet är groupId för Azure Cosmos DB (SQL) SQL och privateLinkServiceId måste innehålla Microsoft.DocumentDb/databaseAccounts. Mer information om groupId och privateLinkServiceId för andra Azure-tjänster finns i kolumnen Subresource i DNS-konfigurationen för privata Slutpunkter i Azure. När principen hittar groupId och privateLinkServiceId i den privata slutpunkten distribueras en privateDNSZoneGroup i den privata slutpunkten. Och den är länkad till resurs-ID:t för den privata DNS-zonen som anges som parameter. Följande principdefinition visar resurs-ID:t för den privata DNS-zonen:
/subscriptions/<subscription-id>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/privateDnsZones/privatelink.documents.azure.com
Följande kodexempel visar principdefinitionen:
{
"mode": "Indexed",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/privateEndpoints"
},
{
"count": {
"field": "Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*]",
"where": {
"allOf": [
{
"field": "Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].privateLinkServiceId",
"contains": "Microsoft.DocumentDb/databaseAccounts"
},
{
"field": "Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].groupIds[*]",
"equals": "[parameters('privateEndpointGroupId')]"
}
]
}
},
"greaterOrEquals": 1
}
]
},
"then": {
"effect": "[parameters('effect')]",
"details": {
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"roleDefinitionIds": [
"/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7"
],
"deployment": {
"properties": {
"mode": "incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"privateDnsZoneId": {
"type": "string"
},
"privateEndpointName": {
"type": "string"
},
"location": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('privateEndpointName'), '/deployedByPolicy')]",
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"apiVersion": "2020-03-01",
"location": "[parameters('location')]",
"properties": {
"privateDnsZoneConfigs": [
{
"name": "cosmosDB-privateDnsZone",
"properties": {
"privateDnsZoneId": "[parameters('privateDnsZoneId')]"
}
}
]
}
}
]
},
"parameters": {
"privateDnsZoneId": {
"value": "[parameters('privateDnsZoneId')]"
},
"privateEndpointName": {
"value": "[field('name')]"
},
"location": {
"value": "[field('location')]"
}
}
}
}
}
}
},
"parameters": {
"privateDnsZoneId": {
"type": "String",
"metadata": {
"displayName": "Private Dns Zone Id",
"description": "The private DNS zone to deploy in a new private DNS zone group and link to the private endpoint",
"strongType": "Microsoft.Network/privateDnsZones"
}
},
"privateEndpointGroupId": {
"type": "String",
"metadata": {
"displayName": "Private Endpoint Group Id",
"description": "A group Id for the private endpoint"
}
},
"effect": {
"type": "String",
"metadata": {
"displayName": "Effect",
"description": "Enable or disable the execution of the policy"
},
"allowedValues": [
"DeployIfNotExists",
"Disabled"
],
"defaultValue": "DeployIfNotExists"
}
}
}
Policytilldelningar
När principdefinitioner har distribuerats tilldelar du principerna i önskat omfång i hanteringsgruppens hierarki. Se till att principtilldelningarna riktar in sig på de Azure-prenumerationer som programteamen använder för att distribuera PaaS-tjänster med privat slutpunktsåtkomst exklusivt.
Viktigt!
Förutom att tilldela rolldefinitionen som har definierats i principen, tilldela rollen Privat DNS-Zone Medverkande till den hanterade identiteten som skapats av principtilldelningenDeployIfNotExists. Den här rollen bör tilldelas i den prenumeration och resursgrupp där de privata DNS-zonerna finns. Den hanterade identiteten skapar och hanterar DNS-posten för den privata slutpunkten i den privata DNS-zonen. Den här konfigurationen är nödvändig eftersom den privata slutpunkten finns i programägarens Azure-prenumeration, medan den privata DNS-zonen finns i en annan prenumeration, till exempel en central anslutningsprenumeration.
När plattformsteamet har slutfört konfigurationen:
Programteamens Azure-prenumerationer är redo för teamet att skapa Azure PaaS-tjänster som har exklusiv åtkomst till privata slutpunkter.
Teamet måste se till att DNS-posterna för privata slutpunkter automatiskt registreras i motsvarande privata DNS-zoner och att DNS-posterna tas bort när en privat slutpunkt har tagits bort.
Programägaren distribuerar en Azure PaaS-tjänst
När plattformsteamet har distribuerat plattformsinfrastrukturkomponenterna (privata DNS-zoner och principer) utför programägaren följande steg när de försöker distribuera en Azure PaaS-tjänst till Azure-prenumerationen. De här stegen är desamma oavsett om de utför sina aktiviteter via Azure-portalen eller andra klienter, till exempel PowerShell eller CLI, eftersom Azure-principer styr deras prenumerationer.
Skapa ett lagringskonto via Azure-portalen. På fliken Grundläggande inställningar väljer du önskade inställningar, anger ett namn för ditt lagringskonto och väljer Nästa.
På fliken Nätverk väljer du Privat slutpunkt. Om du väljer ett annat alternativ än Privat slutpunkt tillåter azure-portalen inte att du skapar lagringskontot i avsnittet Granska + skapa i distributionsguiden. Principen hindrar dig från att skapa den här tjänsten om den offentliga slutpunkten är aktiverad.
Det går att skapa den privata slutpunkten nu eller efter att du har skapat lagringskontot. Det här exemplet visar hur du skapar den privata slutpunkten när lagringskontot har skapats. Välj Granska och skapa för att slutföra steget.
När du har skapat lagringskontot skapar du en privat slutpunkt via Azure-portalen.
I avsnittet Resurs letar du reda på lagringskontot som du skapade i föregående steg. Under målunderresurs väljer du Blob och sedan Nästa.
När du har valt ditt virtuella nätverk och undernät i avsnittet Konfiguration kontrollerar du att Integrera med privat DNS-zon har angetts till Nej. Annars hindrar Azure-portalen dig från att skapa den privata slutpunkten. Med Azure Policy kan du inte skapa en privat DNS-zon med prefixet
privatelink.
Välj Granska + skapa och välj sedan Skapa för att implementera den privata slutpunkten.
Efter några minuter utlöses
DeployIfNotExists-policyn. Den efterföljandednsZoneGroupdistributionen lägger sedan till nödvändiga DNS-poster för den privata slutpunkten i den centralt hanterade DNS-zonen.När du har skapat den privata slutpunkten väljer du den och granskar dess fullständiga domännamn och privata IP-adress:
Kontrollera aktivitetsloggen för resursgruppen där den privata slutpunkten skapades. Eller så kan du kontrollera aktivitetsloggen för själva den privata slutpunkten. Efter några minuter körs en
DeployIfNotExistprincipåtgärd som konfigurerar DNS-zongruppen på den privata slutpunkten:
Om det centrala nätverksteamet går till den
privatelink.blob.core.windows.netprivata DNS-zonen bekräftar de att DNS-posten finns där för den privata slutpunkten som du skapade och att både namnet och IP-adressen matchar värdena i den privata slutpunkten.
Nu kan programteam använda lagringskontot via en privat slutpunkt från valfritt virtuellt nätverk i nätverksmiljön hub-and-spoke och lokalt. DNS-posten har registrerats automatiskt i den privata DNS-zonen.
Om en programägare tar bort den privata slutpunkten tas motsvarande poster i den privata DNS-zonen bort automatiskt.
Viktigt!
Du kan fortfarande skapa privata slutpunkter i infrastrukturen som kodverktyg. Men om du använder principmetoden i den DeployIfNotExists här artikeln bör du inte integrera DNS i koden. De DeployIfNotExists principer som har nödvändig RBAC för de privata DNS-zonerna hanterar DNS-integreringen.
Nästa steg
- DNS för lokala resurser och Azure-resurser
- Använda Azure Bastion för fjärråtkomst till virtuella datorer
- Snabbstart: Skapa en privat slutpunkt med hjälp av Bicep.
- Skapa en privat slutpunkt med hjälp av den azurerm_private_endpoint resursen i Terraform-registret.