將私人端點與 DNS 整合

17 分鐘

私人 DNS 區域通常會集中託管在部署了中樞 VNet 的同一個 Azure 訂閱中。這種集中託管做法的驅動力來自跨單位 DNS 名稱解析及其他其中 DNS 解析需求 (例如 Active Directory)。在多數情況下，只有網路/身分識別管理員有權管理這些區域中的 DNS 記錄。

Azure 私人端點 DNS 設定

下圖顯示使用中央 DNS 解析之企業環境的典型概略架構，以及透過 Azure 私人 DNS 的 Private Link 資源名稱解析在何處進行：

Diagram of high-level workflow of enterprise environments with central DNS resolution and where name resolution for Private Link resources is done via Azure Private DNS.

上圖必須強調的部分包括：

內部部署 DNS 伺服器的每個私人端點公用 DNS 區域轉寄站都設定了條件轉寄站，指向裝載於中樞 VNet 中的 DNS 轉寄站 (10.100.2.4 和 10.100.2.5)。
裝載於中樞 VNet 的 DNS 伺服器 10.100.2.4 和 10.100.2.5 使用 Azure 提供的 DNS 解析程式 (168.63.129.16) 作為轉寄站。
所有 Azure Vnet 都有設定為主要和次要 DNS 伺服器的 DNS 轉寄站 (10.100.2.4 和 10.100.2.5)。
必須達成以下兩個條件，才能讓應用程式小組自由地在其訂閱中建立任何必要的 Azure PaaS 資源：
中央網路和 (或) 中央平台小組必須確保應用程式小組只能透過私人端點部署和存取 Azure PaaS 服務。
中央網路和 (或) 中央平台小組必須確保每次建立私人端點時，都會自動在符合所建立服務的集中式私人 DNS 區域中建立對應的記錄。
DNS 記錄必須遵循私人端點的生命週期，並在刪除私人端點時自動移除 DNS 記錄。

IP 位址 168.63.129.16 的重要性

IP 位址 168.63.129.16 是虛擬公用 IP 位址，有助於建構 Azure 平台資源的通訊通道。客戶可以在 Azure 中為其私人虛擬網路定義任何位址空間。 Azure 平台資源必須顯示為唯一的公用 IP 位址。此虛擬公用 IP 位址有助於達成下列事項：

使 VM 代理程式能夠與平台通訊，藉以表示它處於「就緒」狀態
啟用與 DNS 虛擬伺服器的通訊，以提供篩選後的名稱解析給沒有自訂 DNS 伺服器的資源 (例如 VM)。此篩選可確保客戶只能解析其資源的主機名稱
可從 Azure Load Balancer 啟用健康情況探查，以確認 VM 的健康狀態
允許 VM 從 Azure 中的 DHCP 服務取得動態 IP 位址
為 PaaS 角色啟用客體代理程式活動訊號訊息

Azure 服務私用 DNS 區域設定範例

Azure 會在公用 DNS 上建立正式名稱 DNS 記錄 (CNAME)。 CNAME 記錄會將解析重新導向至私人網域名稱。您可以使用私人端點的私人 IP 位址來覆寫解析。

您的應用程式不需要變更連線 URL。當解析為公用 DNS 服務時，系統會將 DNS 伺服器解析為您的私人端點。此程序不會影響您現有的應用程式。

如果私人網路已針對指定的類型使用私人 DNS 區域，則只有在沒有任何私人端點連線時，才能連線至公用資源，否則私人 DNS 區域上需要有對應的 DNS 設定，才能完成 DNS 解析序列。

如果是 Azure 服務，請使用文件中建議的區域名稱。

DNS 設定案例

服務的 FQDN 會自動解析為公用 IP 位址。若要解析為私人端點的私人 IP 位址，請變更您的 DNS 設定。

DNS 是成功解析私人端點 IP 位址，讓應用程式正確運作的重要元件。

您可根據喜好設定，選用下列整合了 DNS 解析的案例：

使用 DNS 轉寄站的內部部署工作負載

若要讓內部部署工作負載解析私人端點的 FQDN，請使用 DNS 轉寄站來解析 Azure 中的 Azure 服務公用 DNS 區域。 DNS 轉寄站是在連結至私人 DNS 區域的虛擬網路上執行的虛擬機器，可以 Proxy 來自其他虛擬網路或內部部署的 DNS 查詢。因為查詢必須從虛擬網路送往 Azure DNS，所以這是必要項目。適用於 DNS Proxy 的幾個選項包括：執行 DNS 服務的 Windows、執行 DNS 服務的 Linux，以及 Azure 防火牆。

下列案例適用於在 Azure 中具有 DNS 轉寄站的內部部署網路。此轉寄站會透過伺服器層級轉寄站，將 DNS 查詢解析為 Azure 提供的 DNS 168.63.129.16。

此案例會使用 Azure SQL Database 建議的私人 DNS 區域。針對其他服務，您可以使用下列參考來調整模型：Azure 服務 DNS 區域設定。

您需要下列資源才能正確設定：

內部部署網路
連線到內部部署的虛擬網路
部署在 Azure 中的 DNS 轉寄站
包含類型 A 記錄的私人 DNS 區域 privatelink.database.windows.net
私人端點資訊 (FQDN 記錄名稱與私人 IP 位址)

下圖顯示來自內部部署網路的 DNS 解析序列。設定會使用在 Azure 中部署的 DNS 轉寄站。解析是由連結至虛擬網路的私人 DNS 區域所建立的：

Diagram illustrating the DNS resolution sequence from an on-premises network using a DNS forwarder deployed in Azure.

使用 Azure DNS 私人解析器的虛擬網路和內部部署工作負載

使用 DNS 私人解析器時，不需要 DNS 轉寄站 VM，且 Azure DNS 能夠解析內部部署網域名稱。

下圖使用中樞輪輻網路拓撲中的 DNS 私人解析器。作為最佳做法，Azure 登陸區域設計模式建議使用此類型的拓撲。使用 Azure ExpressRoute 和 Azure 防火牆建立混合式網路連線。此設定提供安全的混合式網路。 DNS 私人解析器會部署在中樞網路中。

Diagram illustrating on-premises workloads using Azure DNS Private Resolver.

檢定您的知識

與私人端點相關，並包含設定私人端點 DNS 資訊的資源是什麼？

虛擬網路

網路介面

私用 DNS 區域

IP 位址 168.63.129.16 的重要性為何？

這是用來協助建立 Azure 平台資源通訊通道的非虛擬 (傳統) 公用 IP 位址。

其為 DNS 轉寄站的靜態位址。

這是用來協助建立 Azure 平台資源通訊通道的虛擬公用 IP 位址。

您必須先回答所有問題，才能檢查進度。

繼續