Azure 私人端點 DNS 整合

Azure 私人端點是一種網路介面，可讓您以私人且安全地方式連線至 Azure Private Link 所支援的服務。 私人端點會使用您虛擬網路中的私人 IP 位址，有效地將服務帶入您的虛擬網路。 此服務可以是 Azure 服務，例如Azure 儲存體、Azure Cosmos DB、SQL 等，或您自己的 Private Link 服務。 本文說明 Azure 私人端點的 DNS 設定案例。

如需支援私人端點之 Azure 服務的私人 DNS 區域設定，請參閱 Azure 私人端點私人 DNS 區域值 。

DNS 設定案例

服務的 FQDN 會自動解析為公用 IP 位址。 若要解析為私人端點的私人 IP 位址，請變更您的 DNS 組態。

DNS 是成功解析私人端點 IP 位址，讓應用程式正常運作的重要元件。

您可根據喜好設定，選用下列整合了 DNS 解析的案例：

• 沒有 Azure 私人解析程式的虛擬網路工作負載

• 沒有 Azure 私人解析程式的對等互連虛擬網路工作負載

• 適用于內部部署工作負載的 Azure 私人解析程式

• 具有內部部署 DNS 轉寄站的 Azure 私人解析程式

• 適用于虛擬網路和內部部署工作負載的 Azure 私人解析程式

沒有 Azure 私人解析程式的虛擬網路工作負載

此設定適用於沒有自訂 DNS 伺服器的虛擬網路工作負載。 在此案例中，用戶端會查詢私人端點 IP 位址至 Azure 提供的 DNS 服務 168.63.129.16 。 Azure DNS 負責私人 DNS 區域的 DNS 解析。

注意

此案例會使用 Azure SQL Database 建議的私人 DNS 區域。 對於其他服務，您可以使用下列參考來調整模型： Azure 服務 DNS 區域設定 。

您需要下列資源才能正確設定：

• 用戶端虛擬網路

• 類型為 A 記錄的私用 DNS區域 privatelink.database.windows.net

• 私人端點資訊 （FQDN 記錄名稱和私人 IP 位址）

下圖說明使用私人 DNS 區域的虛擬網路工作負載 DNS 解析順序：

沒有 Azure 私人解析程式的對等互連虛擬網路工作負載

您可以將此模型擴充至與相同私人端點相關聯的對等互連虛擬網路。 為所有對等互連的虛擬網路新增虛擬網路連結 至私人 DNS 區域。

重要

• 此設定需要單一私人 DNS 區域。 為不同的虛擬網路建立多個同名區域時，需要手動合併 DNS 記錄。

• 如果您在中樞和輪輻模型中使用來自不同訂用帳戶或甚至是相同訂用帳戶的私人端點，請將相同的私人 DNS 區域連結到包含需要來自區域 DNS 解析之用戶端的所有支點和中樞虛擬網路。

在此案例中，有中 樞和輪輻 網路拓撲。 輪輻網路會共用私人端點。 輪輻虛擬網路會連結到相同的私人 DNS 區域。

適用于內部部署工作負載的 Azure 私人解析程式

若要讓內部部署工作負載解析私人端點的 FQDN，請使用 Azure 私人解析程式來解析 Azure 中的 Azure 服務公用 DNS 區域。 Azure 私人解析程式是一項 Azure 受控服務，可解析 DNS 查詢，而不需要做為 DNS 轉寄站的虛擬機器。

下列案例適用于設定為使用 Azure 私人解析程式的內部部署網路。 私人解析程式會將私人端點的要求轉送至 Azure DNS。

注意

此案例會使用 Azure SQL Database 建議的私人 DNS 區域。 對於其他服務，您可以使用下列參考來調整模型： Azure 服務 DNS 區域值 。

適當的設定需要下列資源：

• 內部部署網路

• 連線至內部部署的虛擬網路

• Azure 私人解析程式

• 具有 A 類型的私用 DNS區域 privatelink.database.windows.net

• 私人端點資訊 （FQDN 記錄名稱和私人 IP 位址）

下圖顯示來自內部部署網路的 DNS 解析序列。 組態會使用部署在 Azure 中的私人解析程式。 解析是由連結至虛擬網路 的私人 DNS 區域 所建立：

具有內部部署 DNS 轉寄站的 Azure 私人解析程式

已有 DNS 解決方案的內部部署網路可擴充此設定。

內部部署 DNS 解決方案已設定為透過 條件式轉寄站 將 DNS 流量轉送至 Azure DNS。 條件式轉寄站會參考部署在 Azure 中的私人解析程式。

注意

此案例會使用 Azure SQL Database 建議的私人 DNS 區域。 對於其他服務，您可以使用下列參考來調整模型： Azure 服務 DNS 區域值

您需要下列資源才能正確設定：

• 具備自訂 DNS 解決方案的內部部署網路

• 連線至內部部署的虛擬網路

• Azure 私人解析程式

• 具有 A 類型的私用 DNS區域 privatelink.database.windows.net

• 私人端點資訊 （FQDN 記錄名稱和私人 IP 位址）

下圖顯示來自內部部署網路的 DNS 解析。 DNS 解析會有條件地轉送至 Azure。 解析是由連結至虛擬網路 的私人 DNS 區域 所建立。

重要

條件式轉送必須提供給建議 的公用 DNS 區域轉寄站 。 例如： database.windows.net 而不是 privatelink.database.windows.net 。

適用于虛擬網路和內部部署工作負載的 Azure 私人解析程式

針對從虛擬和內部部署網路存取私人端點的工作負載，請使用 Azure 私人解析程式來解析部署在 Azure 中的 Azure 服務 公用 DNS 區域 。

下列案例適用於在 Azure 中具有虛擬網路的內部部署網路。 這兩個網路都會存取位於共用中樞網路的私人端點。

私人解析程式負責透過 Azure 提供的 DNS 服務 168.63.129.16 解析所有 DNS 查詢。

重要

此設定需要單一私人 DNS 區域。 從內部部署和 對等互連虛擬網路 建立的所有用戶端連線也必須使用相同的私人 DNS 區域。

注意

此案例會使用 Azure SQL Database 建議的私人 DNS 區域。 對於其他服務，您可以使用下列參考來調整模型： Azure 服務 DNS 區域設定 。

您需要下列資源才能正確設定：

• 內部部署網路

• 連線至內部部署的虛擬網路

• 對等互連虛擬網路 

• Azure 私人解析器

• 具有 A 類型的私用 DNS區域 privatelink.database.windows.net

• 私人端點資訊 （FQDN 記錄名稱和私人 IP 位址）

下圖顯示內部部署網路和虛擬網路的 DNS 解析。 解析是使用 Azure 私人解析程式。

解析是由連結至虛擬網路 的私人 DNS 區域 所建立：

私人 DNS 區域群組

如果您選擇整合私人端點與私人 DNS 區域，也會建立私人 DNS 區域群組。 DNS 區域群組在私人 DNS 區域與私人端點之間具有強關聯。 當私人端點有更新時，它有助於管理私人 DNS 區域記錄。 例如，當您新增或移除區域時，私人 DNS 區域會自動以正確的記錄數目進行更新。

先前，私人端點的 DNS 記錄是透過腳本建立的（擷取私人端點的特定資訊，然後在 DNS 區域上新增它）。 使用 DNS 區域群組時，不需要為每個 DNS 區域撰寫任何額外的 CLI/PowerShell 線路。 此外，當您刪除私人端點時，將會刪除 DNS 區域群組內的所有 DNS 記錄。

在中樞和輪輻拓撲中，常見案例只允許在中樞中建立私人 DNS 區域一次。 此設定允許輪輻註冊，而不是在每個輪輻中建立不同的區域。

注意

• 每個 DNS 區域群組最多可支援 5 個 DNS 區域。
• 不支援將多個 DNS 區域群組新增至單一私人端點。
• 您可以透過Azure 流量管理員和 DNS 來 查看 DNS 記錄的刪除和更新作業。 這是管理 DNS 記錄所需的一般平臺作業。

下一步

• 瞭解私人端點