Integrazione di DNS dell'endpoint privato di Azure

L'endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato su collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato della rete virtuale, portando il servizio nella rete virtuale in modo efficace. Il servizio può essere un servizio di Azure, ad esempio Archiviazione di Azure, Azure Cosmos DB, SQL e così via, o il proprio servizio collegamento privato. Questo articolo descrive gli scenari di configurazione DNS per l'endpoint privato di Azure.

Per le impostazioni della zona DNS privata per i servizi di Azure che supportano un endpoint privato, vedere Valori della zona DNS privata dell'endpoint privato dell'endpoint di Azure.

Scenari di configurazione DNS

Il nome di dominio completo dei servizi viene risolto automaticamente in un indirizzo IP pubblico. Per risolvere l'indirizzo IP privato dell'endpoint privato, modificare la configurazione DNS.

DNS è un componente fondamentale per il corretto funzionamento dell'applicazione risolvendo correttamente l'indirizzo IP dell'endpoint privato.

In base alle proprie preferenze, per la risoluzione DNS integrata sono disponibili gli scenari seguenti:

• Carichi di lavoro di rete virtuale senza resolver privato di Azure

• Carichi di lavoro di rete virtuale con peering senza resolver privato di Azure

• Sistema di risoluzione privato di Azure per carichi di lavoro locali

• Sistema di risoluzione privato di Azure con server d'inoltro DNS locale

• Sistema di risoluzione privato di Azure per la rete virtuale e i carichi di lavoro locali

Carichi di lavoro di rete virtuale senza resolver privato di Azure

Questa configurazione è appropriata per i carichi di lavoro di rete virtuale senza server DNS personalizzato. In questo scenario, il client esegue una query per l'indirizzo IP dell'endpoint privato al servizio DNS fornito da Azure 168.63.129.16. DNS di Azure è responsabile della risoluzione DNS delle zone DNS private.

Nota

Questo scenario usa la zona DNS privato consigliata per il database SQL di Azure. Per altri servizi, è possibile modificare il modello usando il riferimento seguente: Configurazione della zona DNS dei servizi di Azure.

Per eseguire correttamente la configurazione, sono necessarie le risorse seguenti:

• Rete virtuale client

• DNS privato privatelink.database.windows.net di zona con un record di tipo A

• Informazioni sull'endpoint privato (nome del record FQDN e indirizzo IP privato)

Lo screenshot seguente illustra la sequenza di risoluzione DNS di carichi di lavoro di rete virtuale con la zona DNS privato:

Carichi di lavoro di rete virtuale con peering senza resolver privato di Azure

È possibile estendere questo modello alle reti virtuali con peering associate allo stesso endpoint privato. Aggiungere nuovi collegamenti di rete virtuale alla zona DNS privata per tutte le reti virtuali con peering.

Importante

• Per questa configurazione è necessaria una singola zona DNS privato. La creazione di più zone con lo stesso nome per reti virtuali diverse richiederebbe operazioni manuali per unire i record DNS.

• Se si usa un endpoint privato in un modello hub-spoke da una sottoscrizione diversa o anche all'interno della stessa sottoscrizione, collegare le stesse zone DNS private a tutti gli spoke e alle reti virtuali hub che contengono client che necessitano di risoluzione DNS dalle zone.

In questo scenario è presente una topologia di rete hub-spoke . Le reti spoke condividono un endpoint privato. Le reti virtuali spoke sono collegate alla stessa zona DNS privato.

Sistema di risoluzione privato di Azure per carichi di lavoro locali

Per i carichi di lavoro locali per risolvere il nome di dominio completo di un endpoint privato, usare il resolver privato di Azure per risolvere la zona DNS pubblica del servizio di Azure in Azure. Il resolver privato di Azure è un servizio gestito di Azure che può risolvere le query DNS senza la necessità di una macchina virtuale che funge da server d'inoltro DNS.

Lo scenario seguente riguarda una rete locale configurata per l'uso di un sistema di risoluzione privato di Azure. Il resolver privato inoltra la richiesta per l'endpoint privato a DNS di Azure.

Nota

Questo scenario usa la zona DNS privato consigliata per il database SQL di Azure. Per altri servizi, è possibile modificare il modello usando il riferimento seguente: Valori della zona DNS dei servizi di Azure.

Per una configurazione corretta sono necessarie le risorse seguenti:

• Rete locale

• Rete virtuale connessa all'ambiente locale

• Sistema di risoluzione privato di Azure

• DNS privato zone privatelink.database.windows.net con un record di tipo A

• Informazioni sull'endpoint privato (nome del record FQDN e indirizzo IP privato)

Il diagramma seguente illustra la sequenza di risoluzione DNS da una rete locale. La configurazione usa un sistema di risoluzione privato distribuito in Azure. La risoluzione viene eseguita da una zona DNS privata collegata a una rete virtuale:

Sistema di risoluzione privato di Azure con server d'inoltro DNS locale

Questa configurazione può essere estesa per una rete locale in cui è già presente una soluzione DNS.

La soluzione DNS locale è configurata per inoltrare il traffico DNS a DNS di Azure tramite un server d'inoltro condizionale. Il server d'inoltro condizionale fa riferimento al sistema di risoluzione privato distribuito in Azure.

Nota

Questo scenario usa la zona DNS privato consigliata per il database SQL di Azure. Per altri servizi, è possibile modificare il modello usando il riferimento seguente: Valori della zona DNS dei servizi di Azure

Per eseguire correttamente la configurazione, sono necessarie le risorse seguenti:

• Rete locale con una soluzione DNS personalizzata

• Rete virtuale connessa all'ambiente locale

• Sistema di risoluzione privato di Azure

• DNS privato zone privatelink.database.windows.net con un record di tipo A

• Informazioni sull'endpoint privato (nome del record FQDN e indirizzo IP privato)

Il diagramma seguente illustra la risoluzione DNS da una rete locale. La risoluzione DNS viene inoltrata in modo condizionale ad Azure. La risoluzione viene eseguita da una zona DNS privata collegata a una rete virtuale.

Importante

L'inoltro condizionale deve essere eseguito al server d'inoltro della zona DNS pubblico consigliato. Ad esempio: database.windows.net anziché privatelink.database.windows.net.

Sistema di risoluzione privato di Azure per la rete virtuale e i carichi di lavoro locali

Per i carichi di lavoro che accedono a un endpoint privato da reti virtuali e locali, usare il sistema di risoluzione privato di Azure per risolvere la zona DNS pubblica del servizio di Azure distribuita in Azure.

Lo scenario seguente si riferisce a una rete locale con reti virtuali in Azure. Entrambe le reti accedono all'endpoint privato che si trova in una rete hub condiviso.

Il resolver privato è responsabile della risoluzione di tutte le query DNS tramite il servizio DNS fornito da Azure 168.63.129.16.

Importante

Per questa configurazione è necessaria una singola zona DNS privato. Tutte le connessioni client effettuate da reti virtuali locali e con peering devono usare anche la stessa zona DNS privata.

Nota

Questo scenario usa la zona DNS privato consigliata per il database SQL di Azure. Per altri servizi, è possibile modificare il modello usando il riferimento seguente: Configurazione della zona DNS dei servizi di Azure.

Per eseguire correttamente la configurazione, sono necessarie le risorse seguenti:

• Rete locale

• Rete virtuale connessa all'ambiente locale

• Rete virtuale con peering 

• Resolver privato di Azure

• DNS privato zone privatelink.database.windows.net con un record di tipo A

• Informazioni sull'endpoint privato (nome del record FQDN e indirizzo IP privato)

Il diagramma seguente mostra la risoluzione DNS per entrambe le reti, locale e virtuale. La risoluzione usa il sistema di risoluzione privato di Azure.

La risoluzione viene eseguita da una zona DNS privata collegata a una rete virtuale:

Gruppo zona DNS privato

Se si sceglie di integrare l'endpoint privato con una zona DNS privata, viene creato anche un gruppo di zone DNS privato. Il gruppo di zone DNS ha un'associazione forte tra la zona DNS privata e l'endpoint privato. Consente di gestire i record di zona DNS privati quando è presente un aggiornamento nell'endpoint privato. Ad esempio, quando si aggiungono o si rimuovono aree, la zona DNS privata viene aggiornata automaticamente con il numero corretto di record.

In precedenza, i record DNS per l'endpoint privato sono stati creati tramite scripting (recuperando determinate informazioni sull'endpoint privato e quindi aggiungendolo nella zona DNS). Con il gruppo di zone DNS non è necessario scrivere righe aggiuntive dell'interfaccia della riga di comando o di PowerShell per ogni zona DNS. Inoltre, quando si elimina l'endpoint privato, vengono eliminati tutti i record DNS all'interno del gruppo di zone DNS.

In una topologia hub-spoke, uno scenario comune consente la creazione di zone DNS private una sola volta nell'hub. Questa configurazione consente agli spoke di registrarlo, invece di creare zone diverse in ogni spoke.

Nota

• Ogni gruppo di zone DNS può supportare fino a 5 zone DNS.
• L'aggiunta di più gruppi di zone DNS a un singolo endpoint privato non è supportata.
• Le operazioni di eliminazione e aggiornamento per i record DNS possono essere visualizzate da Gestione traffico di Azure e DNS. Si tratta di una normale operazione della piattaforma necessaria per la gestione dei record DNS.

Passaggi successivi

• Informazioni sugli endpoint privati