Dela via

Dns-integreringsscenarier för privat slutpunkt i Azure

DNS-integrering med privata Slutpunkter i Azure är viktigt för att möjliggöra säker, privat anslutning till Azure-tjänster i ditt virtuella nätverk. Den här artikeln beskriver vanliga DNS-konfigurationsscenarier för privata Azure-slutpunkter, inklusive alternativ för virtuella nätverk, peer-kopplade nätverk och lokala miljöer. Använd dessa scenarier och metodtips för att säkerställa tillförlitlig och säker namnmatchning för dina program och tjänster.

Privata DNS-zoninställningar för Azure-tjänster som stöder en privat slutpunkt finns i Privata DNS-zonvärden för Azure Private Endpoint.

DNS-konfigurationsscenarier

Tjänstens fullständiga domännamn matchas automatiskt till en offentlig IP-adress. Om du vill matcha den privata IP-adressen för den privata slutpunkten ändrar du DNS-konfigurationen.

DNS är viktigt för att programmet ska fungera korrekt eftersom det löser ip-adressen för den privata slutpunkten.

Du kan använda följande DNS-matchningsscenarier:

Arbetsbelastningar för virtuella nätverk utan Azure Private Resolver

Den här konfigurationen är lämplig för arbetsbelastningar i virtuella nätverk utan en anpassad DNS-server. I det här scenariot frågar klienten efter IP-adressen för den privata slutpunkten till den Azure-tillhandahållna DNS-tjänsten 168.63.129.16. Azure DNS ansvarar för DNS-matchning av de privata DNS-zonerna.

Anmärkning

I det här scenariot används den Azure SQL Database-rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.

För att konfigurera korrekt behöver du följande resurser:

Följande skärmbild visar DNS-matchningssekvensen från virtuella nätverksarbetsbelastningar med hjälp av den privata DNS-zonen:

Diagram över ett enskilt virtuellt nätverk och Azure-tillhandahållen DNS.

Peer-kopplade virtuella nätverksarbetsbelastningar utan Azure Private Resolver

Du kan utöka den här modellen till peer-kopplade virtuella nätverk som är kopplade till samma privata slutpunkt. Lägg till nya virtuella nätverkslänkar till den privata DNS-zonen för alla peer-kopplade virtuella nätverk.

Viktigt!

  • En enskild privat DNS-zon krävs för den här konfigurationen. Att skapa flera zoner med samma namn för olika virtuella nätverk skulle behöva manuella åtgärder för att slå samman DNS-posterna.

  • Om du använder en privat slutpunkt i en hub-and-spoke-modell från en annan prenumeration eller till och med inom samma prenumeration länkar du samma privata DNS-zoner till alla ekrar och virtuella navnätverk som innehåller klienter som behöver DNS-matchning från zonerna.

I det här scenariot finns det en nätverkstopologi för nav och ekrar . Ekernätverken delar en privat slutpunkt. De virtuella nätverksgrenarna är länkade till samma privata DNS-zon.

Diagram över nav och ekrar med DNS tillhandahållen av Azure.

Lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare utan Azure Private Resolver

För att lokala arbetsbelastningar ska kunna matcha FQDN för en privat slutpunkt konfigurerar du en DNS-vidarebefordrare i Azure. DNS-vidarebefordraren ska distribueras i det virtuella nätverk som är länkat till den privata DNS-zonen för din privata slutpunkt.

En DNS-vidarebefordrare är vanligtvis en virtuell dator som kör DNS-tjänster eller en hanterad tjänst som Azure Firewall. DNS-vidarebefordraren tar emot DNS-frågor från lokala eller andra virtuella nätverk och vidarebefordrar dem till Azure DNS.

Anmärkning

DNS-frågor för privata slutpunkter måste komma från det virtuella nätverk som är länkat till den privata DNS-zonen. DNS-vidarebefordraren aktiverar detta genom att proxyfrågor för lokala klienters räkning. I det här scenariot används den Azure SQL Database-rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.

Följande scenario gäller för ett lokalt nätverk som har en DNS-vidarebefordrare i Azure. Den här vidarebefordraren löser DNS-frågor via en vidarebefordrare på servernivå till azure-angivet DNS 168.63.129.16.

För att konfigurera korrekt behöver du följande resurser:

Viktigt!

Den villkorliga vidarebefordran måste göras till den rekommenderade offentliga DNS-zonvidarebefordrare. Istället för: database.windows.netprivatelink.database.windows.net.

  • Utöka den här konfigurationen för lokala nätverk som redan har en anpassad DNS-lösning.
  • Konfigurera din lokala DNS-lösning med en villkorlig vidarebefordrare för den privata DNS-zonen. Den villkorsstyrda vidarebefordraren bör peka på DNS-vidarebefordraren som distribueras i Azure, så att DNS-frågor för privata slutpunkter löses korrekt.

Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk:

Diagram över lokal vidarebefordran till Azure DNS utan Azure Private Resolver.

Azure Private Resolver för lokala arbetsbelastningar

För lokala arbetsbelastningar för att lösa FQDN för en privat slutpunkt använder du Azure Private Resolver för att lösa den offentliga DNS-zonen för Azure-tjänsten i Azure. Azure Private Resolver är en Azure-hanterad tjänst som kan lösa DNS-frågor utan att behöva en virtuell dator som fungerar som DNS-vidarebefordrare.

Följande scenario gäller för ett lokalt nätverk som har konfigurerats för att använda en privat Azure Resolver. Den privata upplösaren skickar vidare begäran om den privata slutpunkten till Azure DNS.

Anmärkning

I det här scenariot används den Azure SQL Database-rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: DNS-zonvärden för Azure-tjänster.

Följande resurser krävs för en korrekt konfiguration:

Följande diagram illustrerar DNS-matchningssekvensen från ett lokalt nätverk. Konfigurationen använder en privat resolver som är distribuerad i Azure. Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk:

Diagram över lokala installationer som använder en privat DNS-zon i Azure.

Azure Private Resolver med lokal DNS-vidarebefordrare

Den här konfigurationen kan utökas för ett lokalt nätverk som redan har en DNS-lösning på plats.

Den lokala DNS-lösningen är konfigurerad för att vidarebefordra DNS-trafik till Azure DNS via en villkorlig vidarebefordrare. Den villkorliga vidarebefordraren refererar till den privata resolvern som distribuerats i Azure.

Anmärkning

I det här scenariot används den Azure SQL Database-rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: DNS-zonvärden för Azure-tjänster

För att konfigurera korrekt behöver du följande resurser:

Följande diagram illustrerar DNS-upplösningen i ett lokalt nätverk. DNS-upplösningen är villkorat vidarebefordrad till Azure. Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk.

Viktigt!

Den villkorliga vidarebefordran måste ske till den rekommenderade publika DNS-zonvidarebefordrare. Istället för: database.windows.netprivatelink.database.windows.net.

Diagram över lokal vidarebefordran till Azure DNS.

Azure Private Resolver för virtuella nätverk och lokala arbetsbelastningar

För arbetsbelastningar som har åtkomst till en privat slutpunkt från virtuella och lokala nätverk använder du Azure Private Resolver för att lösa den offentliga DNS-zonen för Azure-tjänsten som distribueras i Azure.

Följande scenario gäller för ett lokalt nätverk med virtuella nätverk i Azure. Båda nätverken har åtkomst till den privata slutpunkten som finns i ett delat hubbnätverk.

Den privata matcharen ansvarar för att lösa alla DNS-frågor via den Azure-tillhandahållna DNS-tjänsten 168.63.129.16.

Viktigt!

En enskild privat DNS-zon krävs för den här konfigurationen. Alla klientanslutningar som görs från lokala och peer-kopplade virtuella nätverk måste också använda samma privata DNS-zon.

Anmärkning

I det här scenariot används den Azure SQL Database-rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.

För att konfigurera korrekt behöver du följande resurser:

Följande diagram visar DNS-matchningen för både nätverk, lokala och virtuella nätverk. Lösningen använder Azure Private Resolver.

Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk:

Diagram över hybridscenario med privat DNS-zon.

Privat DNS zongrupp

Om du väljer att integrera din privata slutpunkt med en privat DNS-zon skapas även en privat DNS-zongrupp. DNS-zongruppen har en stark association mellan den privata DNS-zonen och den privata slutpunkten. Det hjälper dig att hantera privata DNS-zonposter när det finns en uppdatering på den privata slutpunkten. När du till exempel lägger till eller tar bort regioner uppdateras den privata DNS-zonen automatiskt med rätt antal poster.

Tidigare skapades DNS-posterna för den privata slutpunkten via skript (hämtar viss information om den privata slutpunkten och lägger sedan till den i DNS-zonen). Med DNS-zongruppen behöver du inte skriva några extra CLI/PowerShell-rader för varje DNS-zon. När du tar bort den privata slutpunkten tas även alla DNS-poster i DNS-zongruppen bort.

I en topologi med nav och eker tillåter ett vanligt scenario att privata DNS-zoner endast skapas en gång i hubben. Med den här konfigurationen kan ekrarna registrera sig för den i stället för att skapa olika zoner i varje eker.

Anmärkning

  • Varje DNS-zongrupp har stöd för upp till fem DNS-zoner.
  • Det går inte att lägga till flera DNS-zongrupper i en enskild privat slutpunkt.
  • Åtgärder för att ta bort och uppdatera DNS-poster utförs av Azure Traffic Manager och DNS. Detta är en normal plattformsåtgärd som är nödvändig för att hantera era DNS-poster.

Relaterat innehåll