Konfigurace DNS privátního koncového bodu v Azure
Je důležité správně nakonfigurovat nastavení DNS k překladu IP adresy privátního koncového bodu na plně kvalifikovaný název domény (FQDN) připojovacího řetězce.
existující služby Microsoft Azure services už můžou mít konfiguraci DNS pro veřejný koncový bod. Tato konfigurace musí být přepsána, aby se mohla připojit pomocí privátního koncového bodu.
Síťové rozhraní spojené s privátním koncovým bodem obsahuje informace pro konfiguraci DNS. Informace o síťovém rozhraní zahrnují plně kvalifikovaný název domény a privátní IP adresy pro prostředek privátního propojení.
Pomocí následujících možností můžete nakonfigurovat nastavení DNS privátních koncových bodů:
- Použijte soubor hostitele (doporučeno pouze pro testování). K přepsání DNS můžete použít soubor hostitele na virtuálním počítači.
- Použijte privátní ZÓNU DNS. Pomocí privátních zón DNS můžete přepsat překlad DNS privátního koncového bodu. Privátní zóna DNS se dá propojit s vaší virtuální sítí a vyřešit konkrétní domény.
- Použijte službu DNS pro přeposílání (volitelné). K přepsání překladu DNS pro prostředek privátního propojení můžete použít službu DNS pro přeposílání. Vytvořte pravidlo předávání DNS pro použití privátní zóny DNS na serveru DNS hostovaném ve virtuální síti.
Důležité
Nedoporučujeme potlačit zónu, která je aktivně používána k řešení veřejných koncových bodů. Připojení k prostředkům nebude možné správně přeložit bez předávání DNS do veřejného serveru DNS. Pokud se chcete vyhnout problémům, vytvořte jiný název domény nebo použijte navrhovaný název pro každou službu níže.
Konfigurace zóny DNS služeb Azure
Azure na veřejném serveru DNS vytvoří záznam DNS kanonického názvu (CNAME). Záznam CNAME přesměruje rozlišení na název privátní domény. Řešení můžete přepsat privátní IP adresou vašich privátních koncových bodů.
Vaše aplikace nemusí měnit adresu URL připojení. Při překladu na veřejnou službu DNS se server DNS přeloží na vaše soukromé koncové body. Proces nemá vliv na vaše stávající aplikace.
Důležité
Privátní sítě, které už používají privátní zónu DNS pro daný typ, se můžou připojovat k veřejným prostředkům jenom v případě, že nemají žádná připojení privátního koncového bodu, jinak se v privátní zóně DNS vyžaduje odpovídající konfigurace DNS, aby bylo možné dokončit pořadí překladu DNS.
Pro služby Azure použijte doporučené názvy zón, jak je popsáno v následující tabulce:
| Typ prostředku/podprostředek privátního propojení | Název Privátní DNS zóny | Veřejné servery DNS pro přeposílání zóny |
|---|---|---|
| Azure Automation/(Microsoft. Automation/automationAccounts)/Webhook, DSCAndHybridWorker | privatelink.azure-automation.net | azure-automation.net |
| Azure SQL Database (Microsoft. SQL/servery)/sqlServer | privatelink.database.windows.net | database.windows.net |
| Azure synapse Analytics (Microsoft. synapse/pracovní prostory)/SQL | privatelink.sql.azuresynapse.net | sql.azuresynapse.net |
| Azure synapse Analytics (Microsoft. synapse/pracovní prostory)/SqlOnDemand | privatelink.sql.azuresynapse.net | sqlondemand.azuresynapse.net |
| Azure synapse Analytics (Microsoft. synapse/pracovní prostory)/vývoj | privatelink.dev.azuresynapse.net | dev.azuresynapse.net |
| Azure synapse Studio (Microsoft. synapse/privateLinkHubs)/Web | privatelink.azuresynapse.net | azuresynapse.net |
| účet Storage (Microsoft. Storage/storageAccounts)/blob (blob, blob_secondary) | privatelink.blob.core.windows.net | blob.core.windows.net |
| účet Storage (Microsoft. Storage/storageAccounts)/table (tabulka; table_secondary) | privatelink.table.core.windows.net | table.core.windows.net |
| účet Storage (Microsoft. Storage/storageAccounts)/queue (fronta, queue_secondary) | privatelink.queue.core.windows.net | queue.core.windows.net |
| účet Storage (Microsoft. Storage/storageAccounts)/soubor (soubor, file_secondary) | privatelink.file.core.windows.net | file.core.windows.net |
| účet Storage (Microsoft. Storage/storageAccounts)/web (web, web_secondary) | privatelink.web.core.windows.net | web.core.windows.net |
| Azure Data Lake Gen2 systému souborů (Microsoft. Storage/storageAccounts)/Data Lake souborového systému Gen2 (dfs, dfs_secondary) | privatelink.dfs.core.windows.net | dfs.core.windows.net |
| Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)/SQL | privatelink.documents.azure.com | documents.azure.com |
| Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)/MongoDB | privatelink.mongo.cosmos.azure.com | mongo.cosmos.azure.com |
| Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)/Cassandra | privatelink.cassandra.cosmos.azure.com | cassandra.cosmos.azure.com |
| Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)/Gremlin | privatelink.gremlin.cosmos.azure.com | gremlin.cosmos.azure.com |
| Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)/Table | privatelink.table.cosmos.azure.com | table.cosmos.azure.com |
| Azure Batch (Microsoft. Batch/batchAccounts)/účet Batch | privatelink. {region}. batch. Azure. com | {region}. batch. Azure. com |
| Azure Database for PostgreSQL – jeden server (Microsoft. DBforPostgreSQL/servery)/postgresqlServer | privatelink.postgres.database.azure.com | postgres.database.azure.com |
| Azure Database for MySQL (Microsoft. DBforMySQL/servery)/mysqlServer | privatelink.mysql.database.azure.com | mysql.database.azure.com |
| Azure Database for MariaDB (Microsoft. DBforMariaDB/servery)/mariadbServer | privatelink.mariadb.database.azure.com | mariadb.database.azure.com |
| Azure Key Vault (Microsoft. webrecovery/trezory)/trezor | privatelink.vaultcore.azure.net | vault.azure.net vaultcore.azure.net |
| Azure Kubernetes Service – rozhraní Kubernetes API (Microsoft. ContainerService/managedClusters)/Správa | privatelink. {region}. azmk8s. IO | {region}. azmk8s. IO |
| Azure Search (Microsoft. Search/searchServices)/searchService | privatelink.search.windows.net | search.windows.net |
| Azure Container Registry (Microsoft. ContainerRegistry/registrys)/registr | privatelink.azurecr.io | azurecr.io |
| Konfigurace aplikace Azure (Microsoft. AppConfiguration/configurationStores)/configurationStores | privatelink.azconfig.io | azconfig.io |
| Azure Backup (Microsoft. RecoveryServices/trezory)/AzureBackup | privatelink. {region}. Backup. windowsazure. com | {region}. Backup. windowsazure. com |
| Azure Site Recovery (Microsoft. RecoveryServices/trezory)/AzureSiteRecovery | privatelink.siterecovery.windowsazure.com | {region}. hypervrecoverymanager. windowsazure. com |
| Azure Event Hubs (Microsoft. EventHub/obory názvů)/obor názvů | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Service Bus (Microsoft. ServiceBus/obory názvů)/obor názvů | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure IoT Hub (Microsoft. Devices/IotHubs)/iotHub | privatelink.azure-devices.net privatelink.servicebus.windows.net1 |
azure-devices.net servicebus.windows.net |
| Azure Relay (Microsoft. Relay/obory názvů)/obor názvů | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Event Grid (Microsoft. EventGrid/témata)/téma | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Event Grid (Microsoft. EventGrid/domény)/doména | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Web Apps (Microsoft. Web/weby)/lokality | privatelink.azurewebsites.net | azurewebsites.net |
| Azure Machine Learning (Microsoft. MachineLearningServices/pracovní prostory)/amlworkspace | privatelink.api.azureml.ms privatelink.notebooks.azure.net |
api.azureml.ms notebooks.azure.net instances.azureml.ms aznbcontent.net |
| Signál (Microsoft. SignalRService/Signaler)/Signal | privatelink.service.signalr.net | service.signalr.net |
| Azure Monitor (Microsoft. Přehledy/privateLinkScopes)/azuremonitor | privatelink.monitor.azure.com privatelink.oms.opinsights.azure.com privatelink.ods.opinsights.azure.com privatelink.agentsvc.azure-automation.net privatelink.blob.core.windows.net |
monitor.azure.com oms.opinsights.azure.com ods.opinsights.azure.com agentsvc.azure-automation.net blob.core.windows.net |
| Cognitive Services (Microsoft. Cognitiveservices Account/Accounts)/Account | privatelink.cognitiveservices.azure.com | cognitiveservices.azure.com |
| Synchronizace souborů Azure (Microsoft. StorageSync/storageSyncServices)/AFS | privatelink.afs.azure.net | afs.azure.net |
| Azure Data Factory (Microsoft. DataFactory/Factory)/DataFactory | privatelink.datafactory.azure.net | datafactory.azure.net |
| Azure Data Factory (Microsoft. DataFactory/Factory)/portál | privatelink.adf.azure.com | adf.azure.com |
| Mezipaměť Azure pro Redis (Microsoft. cache/Redis)/redisCache | privatelink.redis.cache.windows.net | redis.cache.windows.net |
| mezipaměť Azure pro Redis Enterprise (Microsoft. Cache/RedisEnterprise)/redisCache | privatelink.redisenterprise.cache.azure.net | redisenterprise.cache.azure.net |
| Azure dosah (Microsoft. dosah) | privatelink.purview.azure.com | purview.azure.com |
| Azure dosah (Microsoft. dosah) | privatelink.purviewstudio.azure.com | purview.azure.com |
| Digitální vlákna Azure (Microsoft. DigitalTwins)/digitalTwinsInstances | privatelink.digitaltwins.azure.net | digitaltwins.azure.net |
| Azure HDInsight (Microsoft. HDInsight) | privatelink.azurehdinsight.net | azurehdinsight.net |
1 Pro použití s integrovaným koncovým bodem centra událostí s IoT Hub Další informace najdete v tématu Podpora privátních odkazů pro integrovaný koncový bod IoT Hub .
Čína
| Typ prostředku/podprostředek privátního propojení | Název Privátní DNS zóny | Veřejné servery DNS pro přeposílání zóny |
|---|---|---|
| Azure SQL Database (Microsoft. SQL/servery)/SQL Server | privatelink.database.chinacloudapi.cn | database.chinacloudapi.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.cn | documents.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.cn | mongo.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.cn | cassandra.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.cn | gremlin.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Table | privatelink.table.cosmos.azure.cn | table.cosmos.azure.cn |
| Azure Database for PostgreSQL – Jeden server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer | privatelink.mariadb.database.chinacloudapi.cn | mariadb.database.chinacloudapi.cn |
| Azure HDInsight (Microsoft.HDInsight) | privatelink.azurehdinsight.cn | azurehdinsight.cn |
Scénáře konfigurace DNS
Plně kvalifikovaný název domény služeb se automaticky překládá na veřejnou IP adresu. Pokud chcete přeložit na privátní IP adresu privátního koncového bodu, změňte konfiguraci DNS.
DNS je důležitou součástí, aby aplikace správně fungovala, a to úspěšným překladem IP adresy privátního koncového bodu.
Na základě vašich preferencí jsou s integrovaným překladem DNS k dispozici následující scénáře:
- Úlohy virtuální sítě bez vlastního serveru DNS
- Místní úlohy využívající službu předávání DNS
- Virtuální síť a místní úlohy využívající službu předávání DNS
Poznámka
Azure Firewall dns je možné použít jako službu předávání DNS pro místní úlohy a úlohy virtuální sítě pomocí služby dns pro předávání.
Úlohy virtuální sítě bez vlastního serveru DNS
Tato konfigurace je vhodná pro úlohy virtuální sítě bez vlastního serveru DNS. V tomto scénáři se klient dotazuje na IP adresu privátního koncového bodu na službu DNS poskytovanou Azure 168.63.129.16. Azure DNS bude zodpovědná za překlad DNS privátních zón DNS.
Poznámka
V tomto scénáři se Azure SQL Database doporučená privátní zóna DNS. U ostatních služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Ke správné konfiguraci potřebujete následující prostředky:
Klientská virtuální síť
Privátní DNS zóny privatelink.database.windows.net typu A
Informace o privátním koncovém bodu (název záznamu plně kvalifikovaný název domény a privátní IP adresa)
Následující snímek obrazovky znázorňuje posloupnost překladu DNS z úloh virtuální sítě pomocí privátní zóny DNS:
Tento model můžete rozšířit do partnerských virtuálních sítí přidružených ke stejnému privátnímu koncovému bodu. Přidejte nová propojení virtuálních sítí do privátní zóny DNS pro všechny partnerské virtuální sítě.
Důležité
Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Vytvoření více zón se stejným názvem pro různé virtuální sítě by k sloučení záznamů DNS potřebovalo ruční operace.
Důležité
Pokud používáte privátní koncový bod v modelu centra a paprsku z jiného předplatného nebo dokonce v rámci stejného předplatného, propoojte stejné privátní zóny DNS se všemi paprsky a virtuálními sítěmi centra, které obsahují klienty, kteří potřebují překlad DNS z zón.
V tomto scénáři je topologie sítě s centrem a paprsky. Paprskové sítě sdílejí privátní koncový bod. Paprskové virtuální sítě jsou propojené se stejnou privátní zónou DNS.
Místní úlohy využívající službu předávání DNS
Aby místní úlohy překládaly plně kvalifikovaný název domény privátního koncového bodu, použijte k překladu veřejné zóny DNS služby Azure v Azure službu předávání DNS. Služba předávání DNS je virtuální počítač spuštěný v Virtual Network propojený se zónou Privátní DNS, který může proxyovat dotazy DNS pocházející z jiných virtuálních sítí nebo z místního prostředí. To se vyžaduje, protože dotaz musí pocházet z Virtual Network do Azure DNS. Mezi možnosti pro servery DNS pro servery DNS Windows služby DNS, Linux se službami DNS a Azure Firewall.
Následující scénář je pro místní síť, která má v Azure službu předávání DNS. Tento server pro předávání překládá dotazy DNS prostřednictvím služby předávání na úrovni serveru do DNS 168.63.129.16od Azure.
Poznámka
V tomto scénáři se Azure SQL Database doporučená privátní zóna DNS. U ostatních služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Ke správné konfiguraci potřebujete následující prostředky:
- Místní síť
- Virtuální síť připojená k místnímu prostředí
- Služba předávání DNS nasazená v Azure
- Privátní DNS zóny privatelink.database.windows.net typu záznam A
- Informace o privátním koncovém bodu (název záznamu plně kvalifikovaný název domény a privátní IP adresa)
Následující diagram znázorňuje posloupnost překladu DNS z místní sítě. Konfigurace používá službu předávání DNS nasazenou v Azure. Překlad provádí privátní zóna DNS propojená s virtuální sítí:
Tuto konfiguraci je možné rozšířit pro místní síť, která už má řešení DNS. Místní řešení DNS je nakonfigurované tak, aby přeposílání provozu DNS Azure DNS přes podmíněný server pro předávání. Podmíněný předávání odkazuje na službu předávání DNS nasazenou v Azure.
Poznámka
V tomto scénáři se Azure SQL Database doporučená privátní zóna DNS. U ostatních služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure
Ke správné konfiguraci potřebujete následující prostředky:
- Místní síť s vlastním řešením DNS
- Virtuální síť připojená k místnímu prostředí
- Služba předávání DNS nasazená v Azure
- Privátní DNS zóny privatelink.database.windows.net typu záznam A
- Informace o privátním koncovém bodu (název záznamu plně kvalifikovaný název domény a privátní IP adresa)
Následující diagram znázorňuje překlad DNS z místní sítě. Překlad DNS se podmíněně předává do Azure. Překlad provádí privátní zóna DNS propojená s virtuální sítí.
Důležité
Podmíněné předávání se musí provést do doporučeného veřejného serveru pro předávání zón DNS. Příklad: database.windows.net místo privatelink.database.windows.net.
Virtuální síť a místní úlohy využívající službu předávání DNS
Pro úlohy, které přistupují k privátnímu koncovému bodu z virtuálních a místních sítí, použijte službu předávání DNS k překladu veřejné zóny DNS služby Azure nasazené v Azure.
Následující scénář je pro místní síť s virtuálními sítěmi v Azure. Obě sítě přistupovat k privátnímu koncovému bodu ve sdílené centrální síti.
Tento modul pro předávání DNS zodpovídá za vyřešení všech dotazů DNS přes modul pro předávání na úrovni serveru do služby DNS zřízené v Azure (168.63.129.16).
Důležité
Pro tuto konfiguraci se vyžaduje jedna privátní zóna DNS. Všechna klientská připojení z místních a partnerských virtuálních sítí musí také používat stejnou privátní zónu DNS.
Poznámka
V tomto scénáři se Azure SQL Database doporučená privátní zóna DNS. U ostatních služeb můžete model upravit pomocí následujícího odkazu: Konfigurace zóny DNS služeb Azure.
Ke správné konfiguraci potřebujete následující prostředky:
- Místní síť
- Virtuální síť připojená k místnímu prostředí
- Virtuální síť s partnerským vztahem
- Služba předávání DNS nasazená v Azure
- Privátní DNS zóny privatelink.database.windows.net typu A
- Informace o privátním koncovém bodu (název záznamu plně kvalifikovaný název domény a privátní IP adresa)
Následující diagram znázorňuje překlad DNS pro místní i virtuální sítě. Překlad používá službu předávání DNS. Překlad provádí privátní zóna DNS propojená s virtuální sítí:
