DNS-továbbítás konfigurálása Azure Fileshoz virtuális gépek vagy Azure DNS Private Resolver használatával

Az Azure Files lehetővé teszi privát végpontok létrehozását a fájlmegosztásokat tartalmazó tárfiókokhoz. Bár számos különböző alkalmazás esetében hasznos, a privát végpontok különösen hasznosak az Azure-fájlmegosztásokhoz való csatlakozáshoz a helyszíni hálózatról VPN- vagy ExpressRoute-kapcsolat használatával, privát társviszony-létesítéssel.

Ahhoz, hogy a tárfiókhoz való kapcsolatok átmenjenek a hálózati alagúton, a tárfiók teljes tartománynevét (FQDN) fel kell oldania a privát végpont privát IP-címére. Ennek eléréséhez továbbítania kell a tárvégpont utótagját (core.windows.net nyilvános felhőrégiók esetén) a virtuális hálózaton belül elérhető Azure privát DNS-szolgáltatásnak. Ez az útmutató bemutatja, hogyan állíthatja be és konfigurálhatja a DNS-továbbítást a tárfiók privát végpontjának IP-címére való megfelelő feloldás érdekében.

Javasoljuk, hogy a cikkben ismertetett lépések elvégzése előtt olvassa el az Azure Files üzembe helyezésének tervezésével és az Azure Files hálózatkezelési szempontjaival kapcsolatos szempontokat .

A következőre érvényes:

Fájlmegosztás típusa	SMB	NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS
Standard szintű fájlmegosztások (GPv2), GRS/GZRS
Prémium fájlmegosztások (FileStorage), LRS/ZRS

Áttekintés

Az Azure Files az alábbi végponttípusokat biztosítja az Azure-fájlmegosztások eléréséhez:

• Nyilvános végpontok, amelyek nyilvános IP-címmel rendelkeznek, és a világ bármely pontjáról elérhetők.
• Privát végpontok, amelyek egy virtuális hálózaton belül léteznek, és a virtuális hálózat címteréből származó privát IP-címmel rendelkeznek.
• Szolgáltatásvégpontok, amelyek bizonyos virtuális hálózatokhoz korlátozzák a nyilvános végponthoz való hozzáférést. A tárfiókot továbbra is a nyilvános IP-címen keresztül érheti el, de a hozzáférés csak a konfigurációban megadott helyekről lehetséges.

Nyilvános és privát végpontok léteznek az Azure Storage-fiókban. A tárfiókok olyan felügyeleti szerkezetek, amelyek egy megosztott tárolókészletet jelölnek, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobtárolókat vagy üzenetsorokat helyezhet üzembe.

Minden tárfiók teljes tartománynévvel (FQDN) rendelkezik. A nyilvános felhőrégiók esetében ez a teljes tartománynév azt a mintát storageaccount.file.core.windows.net követi, ahol storageaccount a tárfiók neve szerepel. Ha ezzel a névvel kapcsolatos kéréseket küld, például csatlakoztatja a megosztást a munkaállomásra, az operációs rendszer dns-kereséssel oldja fel a teljes tartománynevet EGY IP-címre.

Alapértelmezés szerint storageaccount.file.core.windows.net a nyilvános végpont IP-címére lesz feloldva. A tárfiók nyilvános végpontja egy Azure Storage-fürtben található, amely sok más tárfiók nyilvános végpontját tárolja. Privát végpont létrehozásakor a rendszer egy privát DNS-zónát csatol ahhoz a virtuális hálózathoz, amelyhez hozzá lett adva, egy CNAME rekordleképezéssel storageaccount.file.core.windows.net a tárfiók privát végpontjának privát IP-címéhez tartozó A rekordbejegyzéshez. Ez lehetővé teszi a teljes tartománynév használatát storageaccount.file.core.windows.net a virtuális hálózaton belül, és feloldhatja azt a privát végpont IP-címére.

Mivel végső célunk a tárfiókban üzemeltetett Azure-fájlmegosztások elérése a helyszínen egy hálózati alagút, például VPN- vagy ExpressRoute-kapcsolat használatával, konfigurálnia kell a helyszíni DNS-kiszolgálókat, hogy továbbíthassák az Azure Files szolgáltatásnak küldött kéréseket az Azure privát DNS-szolgáltatásnak.

A DNS-továbbítás kétféleképpen konfigurálható:

• DNS-kiszolgáló virtuális gépek használata: Az Azure-beli virtuális hálózaton üzemeltetett DNS-kiszolgáló virtuális gépre történő feltételes továbbítás*.core.windows.net beállítása (vagy az USA kormányzati, németországi vagy kínai nemzeti felhőinek megfelelő tárolási végpont utótagja). Ez a DNS-kiszolgáló ezután rekurzív módon továbbítja a kérést az Azure privát DNS-szolgáltatásának, amely feloldja a tárfiók teljes tartománynevét a megfelelő privát IP-címre. Ez egy egyszeri lépés a virtuális hálózaton belül üzemeltetett összes Azure-fájlmegosztáshoz.

• Az Azure DNS Private Resolver használata: Ha nem szeretne virtuálisgép-alapú DNS-kiszolgálót üzembe helyezni, ugyanezt a feladatot az Azure DNS Private Resolver használatával is elvégezheti.

Az Azure Fileson kívül más Azure Storage-szolgáltatások (Azure Blob Storage, Azure Table Storage, Azure Queue Storage stb.) DNS-névfeloldási kérései is továbbítva lesznek az Azure privát DNS-szolgáltatásába. Szükség esetén további végpontokat is hozzáadhat más Azure-szolgáltatásokhoz.

Előfeltételek

Ahhoz, hogy beállíthassa a DNS-továbbítást az Azure Filesba, a következőkre lesz szüksége:

• Egy csatlakoztatni kívánt Azure-fájlmegosztást tartalmazó tárfiók. A tárfiókok és az Azure-fájlmegosztások létrehozásáról további információt az Azure-fájlmegosztás létrehozása című témakörben talál.
• A tárfiók privát végpontja. Lásd: Privát végpont létrehozása.
• Az Azure PowerShell-modul legújabb verziója .

DNS-továbbítás konfigurálása virtuális gépek használatával

Ha már rendelkezik DNS-kiszolgálókkal az Azure-beli virtuális hálózaton belül, vagy ha a szervezet által használt módszerekkel szeretné üzembe helyezni saját DNS-kiszolgálói virtuális gépeit, a DNS-t a beépített DNS-kiszolgáló PowerShell-parancsmagjaival konfigurálhatja.

Fontos

Ez az útmutató feltételezi, hogy a Dns-kiszolgálót a Windows Serveren belül használja a helyszíni környezetben. Az itt leírt összes lépés bármely DNS-kiszolgálóval lehetséges, nem csak a Windows DNS Serverrel.

A helyszíni DNS-kiszolgálókon hozzon létre egy feltételes továbbítót a használatával Add-DnsServerConditionalForwarderZone. Ezt a feltételes továbbítót az összes helyszíni DNS-kiszolgálón üzembe kell helyezni, hogy hatékonyan lehessen továbbítani a forgalmat az Azure-ba. Ne felejtse el lecserélni a <azure-dns-server-ip> bejegyzéseket a környezetének megfelelő IP-címekre.

$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $vnetDnsServers

Az Azure-beli virtuális hálózaton belüli DNS-kiszolgálókon egy továbbítót is üzembe kell helyeznie, hogy a tárfiók DNS-zónájára vonatkozó kérések az Azure privát DNS-szolgáltatásához legyenek irányítva, amelyet a fenntartott IP-cím 168.63.129.16előz meg. (Ne felejtse el kitölteni $storageAccountEndpoint , ha a parancsokat egy másik PowerShell-munkamenetben futtatja.)

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers "168.63.129.16"

DNS-továbbítás konfigurálása az Azure DNS Private Resolver használatával

Ha nem szeretne DNS-kiszolgálói virtuális gépeket üzembe helyezni, ugyanezt a feladatot az Azure DNS Private Resolver használatával is elvégezheti. Lásd: Azure DNS Private Resolver létrehozása az Azure Portal használatával.

Nincs különbség a helyszíni DNS-kiszolgálók konfigurálásának módjában, kivéve, hogy ahelyett, hogy az Azure-beli DNS-kiszolgálók IP-címeire mutat, a feloldó bejövő végpontJÁNAK IP-címére mutat. A feloldó nem igényel konfigurációt, mivel alapértelmezés szerint továbbítja a lekérdezéseket az Azure privát DNS-kiszolgálóra. Ha egy privát DNS-zóna kapcsolódik ahhoz a virtuális hálózathoz, amelyen a feloldó telepítve van, a feloldó képes lesz válaszolni az adott DNS-zóna rekordjaival.

Figyelmeztetés

Amikor a core.windows.net zónához konfigurálja a továbbítókat, a rendszer az ehhez a nyilvános tartományhoz tartozó összes lekérdezést továbbítja az Azure DNS-infrastruktúrába. Ez problémát okoz, ha egy másik, privát végpontokkal konfigurált bérlő tárfiókját próbálja elérni, mert az Azure DNS megválaszolja a tárfiók nyilvános nevének lekérdezését egy olyan CNAME-val, amely nem létezik a privát DNS-zónában. A probléma kerülő megoldása egy bérlőközi privát végpont létrehozása a környezetben a tárfiókhoz való csatlakozáshoz.

A DNS-továbbítás Azure DNS Private Resolverrel való konfigurálásához futtassa ezt a szkriptet a helyszíni DNS-kiszolgálókon. Cserélje le <resolver-ip> a feloldó bejövő végpontJÁNAK IP-címére.

$privateResolver = "<resolver-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $privateResolver

DNS-továbbítók megerősítése

Mielőtt tesztelnénk, hogy a DNS-továbbítók alkalmazása sikeresen megtörtént-e, javasoljuk, hogy törölje a DNS-gyorsítótárat a helyi munkaállomáson a használatával Clear-DnsClientCache. Annak ellenőrzéséhez, hogy sikerült-e feloldani a tárfiók teljes tartománynevét, használja Resolve-DnsName vagy nslookup.

# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note that the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net

Ha a névfeloldás sikeres, látnia kell, hogy a feloldott IP-cím megegyezik a tárfiók IP-címével.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4

Ha SMB-fájlmegosztást csatlakoztat, a Test-NetConnection paranccsal azt is ellenőrizheti, hogy sikerült-e TCP-kapcsolatot létesíteni a tárfiókjával.

Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB

Lásd még

• Azure Files üzembe helyezésének tervezése
• Az Azure Files hálózatkezelési szempontjai
• Az Azure Files hálózati végpontjainak konfigurálása