Mengonfigurasi penerusan DNS untuk Azure Files

Azure Files memungkinkan Anda membuat titik akhir privat untuk akun penyimpanan yang berisi berbagi file Anda. Meskipun berguna untuk berbagai aplikasi, titik akhir privat sangat berguna untuk menyambungkan ke berbagi file Azure Anda dari jaringan lokal Anda menggunakan koneksi VPN atau ExpressRoute menggunakan peering privat.

Agar koneksi ke akun penyimpanan Anda melalui terowongan jaringan Anda, nama domain yang sepenuhnya memenuhi syarat (FQDN) dari akun penyimpanan Anda harus mengatasi alamat IP privat titik akhir Anda. Untuk mencapai hal ini, Anda harus meneruskan akhiran titik akhir penyimpanan (core.windows.netuntuk wilayah cloud publik) ke layanan DNS privat Azure yang dapat diakses dari dalam jaringan virtual Anda. Panduan ini akan memperlihatkan cara menyiapkan dan mengonfigurasi penerusan DNS untuk mengatasi alamat IP titik akhir privat akun penyimpanan Anda dengan benar.

Kami sangat menyarankan Anda membaca Perencanaan untuk penyebaran Azure Files dan Pertimbangan jaringan Azure Files sebelum menyelesaikan langkah yang dijelaskan dalam artikel ini.

Berlaku untuk

Jenis berbagi File	SMB	NFS
Berbagi file standar (GPv2), LRS/ZRS
Berbagi file standar (GPv2), GRS/GZRS
Berbagi file premium (FileStorage), LRS/ZRS

Gambaran Umum

Azure Files menyediakan dua jenis titik akhir utama untuk mengakses berbagi file Azure:

• Titik akhir publik, yang memiliki alamat IP publik dan dapat diakses dari mana saja di seluruh dunia.
• Titik akhir privat, yang ada di dalam jaringan virtual dan memiliki alamat IP privat dari dalam ruang alamat jaringan virtual.

Titik akhir publik dan privat ada di akun penyimpanan Azure. Akun penyimpanan adalah konstruksi pengelolaan yang mewakili kumpulan penyimpanan bersama tempat Anda dapat menyebarkan beberapa berbagi file, serta sumber daya penyimpanan lainnya, seperti kontainer blob atau antrean.

Setiap akun penyimpanan memiliki nama domain yang sepenuhnya memenuhi syarat (FQDN). Untuk wilayah cloud publik, FQDN ini mengikuti pola storageaccount.file.core.windows.net yang mana storageaccount adalah nama akun penyimpanan. Saat Anda membuat permintaan terhadap nama ini, seperti memasang bagian di stasiun kerja Anda, sistem operasi melakukan pencarian DNS untuk menyelesaikan nama domain yang sepenuhnya memenuhi syarat ke alamat IP.

Secara default, storageaccount.file.core.windows.net mengatasi alamat IP titik akhir publik. Titik akhir publik untuk akun penyimpanan dihosting di kluster penyimpanan Azure yang menghosting banyak titik akhir publik akun penyimpanan lainnya. Saat Anda membuat titik akhir privat, zona DNS pribadi ditautkan ke jaringan virtual tempat zona DNS ditambahkan, dengan pemetaan data CNAME storageaccount.file.core.windows.net ke entri data A untuk alamat IP privat titik akhir privat akun penyimpanan Anda. Ini memungkinkan Anda untuk menggunakan storageaccount.file.core.windows.net FQDN dalam jaringan virtual dan membuatnya menyelesaikan ke alamat IP titik akhir privat.

Karena tujuan utama kami adalah mengakses berbagi file Azure yang dihosting dalam akun penyimpanan dari lokal menggunakan terowongan jaringan seperti koneksi VPN atau ExpressRoute, Anda harus mengonfigurasi server DNS lokal Anda untuk meneruskan permintaan yang dibuat ke layanan Azure Files ke layanan DNS privat Azure. Untuk melakukannya, Anda perlu menyiapkan penerusan bersyarat dari *.core.windows.net (atau akhiran titik akhir penyimpanan yang sesuai untuk cloud nasional Pemerintah AS, Jerman, atau Tiongkok) ke server DNS yang dihosting dalam jaringan virtual Azure. Server DNS ini kemudian akan secara rekursif meneruskan permintaan ke layanan DNS privat Azure yang akan menyelesaikan nama domain akun penyimpanan yang sepenuhnya memenuhi syarat ke alamat IP privat yang sesuai.

Mengonfigurasi penerusan DNS untuk Azure Files akan mengharuskan untuk menjalankan mesin virtual guna menghosting server DNS untuk meneruskan permintaan, namun ini adalah langkah satu kali untuk semua berbagi file Azure yang dihosting dalam jaringan virtual Anda. Selain itu, ini bukan persyaratan eksklusif untuk Azure Files - layanan Azure apa pun yang mendukung titik akhir privat yang ingin Anda akses dari lokal dapat menggunakan penerusan DNS yang akan Anda konfigurasi dalam panduan ini: Penyimpanan Azure Blob, SQL Azure, Cosmos DB, dll.

Panduan ini menunjukkan langkah untuk mengonfigurasi penerusan DNS untuk titik akhir penyimpanan Azure, jadi selain Azure Files, permintaan resolusi nama DNS untuk semua layanan penyimpanan Azure lainnya (penyimpanan Azure Blob, penyimpanan Azure Table, penyimpanan Azure Queue, dll.) akan diteruskan ke layanan DNS privat Azure. Titik akhir tambahan untuk layanan Azure lainnya juga dapat ditambahkan jika diinginkan. Penerusan DNS yang kembali ke server DNS lokal Anda juga akan dikonfigurasi, memungkinkan sumber daya cloud dalam jaringan virtual Anda (seperti server DFS-N) mengatasi nama mesin lokal.

Prasyarat

Sebelum Anda dapat menyiapkan penerusan DNS ke Azure Files, Anda harus menyelesaikan langkah berikut:

• Akun penyimpanan yang berisi berbagi file Azure yang ingin Anda pasang. Untuk mempelajari cara membuat akun penyimpanan dan berbagi file Azure, lihat Membuat berbagi file Azure.
• Titik akhir privat untuk akun penyimpanan. Untuk mempelajari cara membuat titik akhir privat untuk Azure Files, lihat Membuat titik akhir privat.
• Versi terbaru modul Azure PowerShell.

Penting

Panduan ini mengasumsikan Anda menggunakan server DNS dalam Windows Server di lingkungan lokal Anda. Semua langkah yang dijelaskan dalam panduan ini dimungkinkan dengan server DNS apa pun, bukan hanya Server DNS Windows.

Mengonfigurasi penerusan DNS

Jika Anda sudah memiliki server DNS di dalam jaringan virtual Azure Anda, atau jika Anda memilih untuk menyebarkan mesin virtual Anda sendiri untuk menjadi server DNS dengan metodologi apa pun yang digunakan organisasi Anda, Anda dapat mengonfigurasi DNS dengan cmdlet PowerShell server DNS bawaan.

Di server DNS lokal Anda, buat penerus bersyarat menggunakan Add-DnsServerConditionalForwarderZone. Penerus bersyarat ini harus disebarkan di semua server DNS lokal Anda agar efektif untuk meneruskan lalu lintas ke Azure dengan benar. Ingatlah untuk mengganti <azure-dns-server-ip> dengan alamat IP yang sesuai untuk lingkungan Anda.

$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $vnetDnsServers

Di server DNS dalam jaringan virtual Azure Anda, Anda juga harus menempatkan penerus sedemikian rupa sehingga permintaan untuk zona DNS akun penyimpanan diarahkan ke layanan DNS privat Azure, yang didukung oleh alamat IP 168.63.129.16 yang dipesan. (Ingatlah untuk mengisi $storageAccountEndpoint jika Anda menjalankan perintah dalam sesi PowerShell yang berbeda.)

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers "168.63.129.16"

Mengonfirmasi penerus DNS

Sebelum pengujian untuk melihat apakah penerus DNS telah berhasil diterapkan, kami sarankan untuk menghapus cache DNS di stasiun kerja lokal Anda menggunakan Clear-DnsClientCache. Untuk menguji apakah Anda berhasil mengatasi nama domain yang sepenuhnya memenuhi syarat dari akun penyimpanan Anda, gunakan Resolve-DnsName atau nslookup.

# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net

Jika resolusi nama berhasil, Anda akan melihat alamat IP yang diselesaikan cocok dengan alamat IP akun penyimpanan Anda.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4

Jika Anda memasang berbagi file SMB, Anda juga dapat menggunakan perintah Test-NetConnection berikut untuk melihat bahwa koneksi TCP dapat berhasil dibuat ke akun penyimpanan Anda.

Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB

Lihat juga

• Merencanakan penyebaran Azure File Sync
• Pertimbangan jaringan Azure Files
• Mengonfigurasi titik akhir jaringan Azure Files