DNS-configuratie van Azure-privé-eindpunt
Het is belangrijk dat u uw DNS-instellingen correct configureert om het IP-adres van het privé-eindpunt om te passen in de FQDN (Fully Qualified Domain Name) van de connection string.
Bestaande Microsoft Azure hebben mogelijk al een DNS-configuratie voor een openbaar eindpunt. Deze configuratie moet worden overschrijven om verbinding te maken met uw privé-eindpunt.
De netwerkinterface die is gekoppeld aan het privé-eindpunt bevat de informatie voor het configureren van uw DNS. De informatie over de netwerkinterface bevat FQDN en privé-IP-adressen voor uw Private Link-resource.
U kunt de volgende opties gebruiken om uw DNS-instellingen voor privé-eindpunten te configureren:
- Gebruik het hostbestand (alleen aanbevolen voor testen). U kunt het hostbestand op een virtuele machine gebruiken om de DNS te overschrijven.
- Gebruik een privé-DNS-zone. U kunt privé-DNS-zones gebruiken om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone kan worden gekoppeld aan uw virtuele netwerk om specifieke domeinen om te zetten.
- Gebruik uw DNS-doorsturende (optioneel). U kunt uw DNS-doorschakeling gebruiken om de DNS-resolutie voor een Private Link-resource te overschrijven. Maak een DNS-regel voor doorsturen om een privé-DNS-zone te gebruiken op uw DNS-server die wordt gehost in een virtueel netwerk.
Belangrijk
Het wordt afgeraden om een zone te overschrijven die actief wordt gebruikt om openbare eindpunten op te lossen. Verbindingen met resources kunnen niet correct worden opgelost zonder dat DNS wordt doorgestuurd naar de openbare DNS. Om problemen te voorkomen, maakt u een andere domeinnaam of volgt u de voorgestelde naam voor elke service hieronder.
Dns-zoneconfiguratie van Azure-services
Azure maakt een canonieke naam DNS-record (CNAME) op de openbare DNS. De CNAME-record leidt de resolutie om naar de naam van het privédomein. U kunt de oplossing overschrijven met het privé-IP-adres van uw privé-eindpunten.
Uw toepassingen hoeven de verbindings-URL niet te wijzigen. Bij het oplossen naar een openbare DNS-service wordt de DNS-server naar uw privé-eindpunten omgeslagen. Het proces heeft geen invloed op uw bestaande toepassingen.
Belangrijk
Particuliere netwerken die al gebruikmaken van de privé-DNS-zone voor een bepaald type, kunnen alleen verbinding maken met openbare resources als ze geen privé-eindpuntverbindingen hebben. Anders is een bijbehorende DNS-configuratie vereist voor de privé-DNS-zone om de DNS-resolutiereeks te voltooien.
Gebruik voor Azure-services de aanbevolen zonenamen zoals beschreven in de volgende tabel:
| Resourcetype Private Link / Subresource | Privé-DNS zonenaam | Doorsturen via openbare DNS-zone |
|---|---|---|
| Azure Automation / (Microsoft.Automation/automationAccounts) / Webhook, DSCAndHybridWorker | privatelink.azure-automation.net | azure-automation.net |
| Azure SQL Database (Microsoft.Sql/servers) / sqlServer | privatelink.database.windows.net | database.windows.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Sql | privatelink.sql.azuresynapse.net | sql.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / SqlOnDemand | privatelink.sql.azuresynapse.net | sqlondemand.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Dev | privatelink.dev.azuresynapse.net | dev.azuresynapse.net |
| Azure Synapse Studio (Microsoft.Synapse/privateLinkHubs) / Web | privatelink.azuresynapse.net | azuresynapse.net |
| Storage account (Microsoft.Storage/storageAccounts) / Blob (blob, blob_secondary) | privatelink.blob.core.windows.net | blob.core.windows.net |
| Storage account (Microsoft.Storage/storageAccounts) / Tabel (tabel, table_secondary) | privatelink.table.core.windows.net | table.core.windows.net |
| Storage account (Microsoft.Storage/storageAccounts) / Wachtrij (wachtrij, queue_secondary) | privatelink.queue.core.windows.net | queue.core.windows.net |
| Storage account (Microsoft.Storage/storageAccounts) / Bestand (bestand, file_secondary) | privatelink.file.core.windows.net | file.core.windows.net |
| Storage account (Microsoft.Storage/storageAccounts) / Web (web, web_secondary) | privatelink.web.core.windows.net | web.core.windows.net |
| Azure Data Lake File System Gen2 (Microsoft.Storage/storageAccounts) / Data Lake File System Gen2 (dfs, dfs_secondary) | privatelink.dfs.core.windows.net | dfs.core.windows.net |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.com | documents.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.com | mongo.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.com | cassandra.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.com | gremlin.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Table | privatelink.table.cosmos.azure.com | table.cosmos.azure.com |
| Azure Batch (Microsoft.Batch/batchAccounts) / batch-account | privatelink. {region}.batch.azure.com | {region}.batch.azure.com |
| Azure Database for PostgreSQL - Enkele server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.azure.com | postgres.database.azure.com |
| Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.azure.com | mysql.database.azure.com |
| Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer | privatelink.mariadb.database.azure.com | mariadb.database.azure.com |
| Azure Key Vault (Microsoft.KeyVault/vaults) / kluis | privatelink.vaultcore.azure.net | vault.azure.net vaultcore.azure.net |
| Azure Kubernetes Service Kubernetes-API (Microsoft.ContainerService/managedClusters) / beheer | privatelink. {region}.azmk8s.io | {region}.azmk8s.io |
| Azure Search (Microsoft.Search/searchServices) / searchService | privatelink.search.windows.net | search.windows.net |
| Azure Container Registry (Microsoft.ContainerRegistry/registries) / register | privatelink.azurecr.io | azurecr.io |
| Azure App Configuration (Microsoft.AppConfiguration/configurationStores) / configurationStores | privatelink.azconfig.io | azconfig.io |
| Azure Backup (Microsoft.RecoveryServices/vaults) / AzureBackup | privatelink. {region}.backup.windowsazure.com | {region}.backup.windowsazure.com |
| Azure Site Recovery (Microsoft.RecoveryServices/vaults) / AzureSiteRecovery | privatelink.siterecovery.windowsazure.com | {region}.hypervrecoverymanager.windowsazure.com |
| Azure Event Hubs (Microsoft.EventHub/namespaces) / naamruimte | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Service Bus (Microsoft.ServiceBus/namespaces) / naamruimte | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure IoT Hub (Microsoft.Devices/IotHubs) / iotHub | privatelink.azure-devices.net privatelink.servicebus.windows.net1 |
azure-devices.net servicebus.windows.net |
| Azure Relay (Microsoft.Relay/namespaces) / naamruimte | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Event Grid (Microsoft.EventGrid/topics) / onderwerp | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Event Grid (Microsoft.EventGrid/domains) / domein | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Web Apps (Microsoft.Web/sites) / sites | privatelink.azurewebsites.net | azurewebsites.net |
| Azure Machine Learning (Microsoft.MachineLearningServices/workspaces) / amlworkspace | privatelink.api.azureml.ms privatelink.notebooks.azure.net |
api.azureml.ms notebooks.azure.net instances.azureml.ms aznbcontent.net |
| SignalR (Microsoft.SignalRService/SignalR) / signalR | privatelink.service.signalr.net | service.signalr.net |
| Azure Monitor (Microsoft.Insights/privateLinkScopes) / azuremonitor | privatelink.monitor.azure.com privatelink.oms.opinsights.azure.com privatelink.ods.opinsights.azure.com privatelink.agentsvc.azure-automation.net privatelink.blob.core.windows.net |
monitor.azure.com oms.opinsights.azure.com ods.opinsights.azure.com agentsvc.azure-automation.net blob.core.windows.net |
| Cognitive Services (Microsoft.CognitiveServices/accounts) / account | privatelink.cognitiveservices.azure.com | cognitiveservices.azure.com |
| Azure File Sync (Microsoft.StorageSync/storageSyncServices) / afs | privatelink.afs.azure.net | afs.azure.net |
| Azure Data Factory (Microsoft.DataFactory/factories) / dataFactory | privatelink.datafactory.azure.net | datafactory.azure.net |
| Azure Data Factory (Microsoft.DataFactory/factories) / portal | privatelink.adf.azure.com | adf.azure.com |
| Azure Cache voor Redis (Microsoft.Cache/Redis) / redisCache | privatelink.redis.cache.windows.net | redis.cache.windows.net |
| Azure Cache voor Redis Enterprise (Microsoft.Cache/RedisEnterprise) / redisCache | privatelink.redisenterprise.cache.azure.net | redisenterprise.cache.azure.net |
| Azure Purview (Microsoft.Purview) | privatelink.purview.azure.com | purview.azure.com |
| Azure Purview (Microsoft.Purview) | privatelink.purviewstudio.azure.com | purview.azure.com |
| Azure Digital Twins (Microsoft.DigitalTwins) / digitalTwinsInstances | privatelink.digitaltwins.azure.net | digitaltwins.azure.net |
| Azure HDInsight (Microsoft.HDInsight) | privatelink.azurehdinsight.net | azurehdinsight.net |
1 Om te gebruiken IoT Hub ingebouwde Event Hub-compatibel eindpunt van de IoT Hub. Zie Private Link support for IoT Hub in built-in endpoint (Private Link-ondersteuning voor het ingebouwde eindpunt van uw IoT Hub) voor meer informatie
China
| Resourcetype Private Link / Subresource | Privé-DNS zonenaam | Doorsturen via openbare DNS-zone |
|---|---|---|
| Azure SQL Database (Microsoft.Sql/servers) / SQL Server | privatelink.database.chinacloudapi.cn | database.chinacloudapi.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.cn | documents.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.cn | mongo.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.cn | cassandra.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.cn | gremlin.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Table | privatelink.table.cosmos.azure.cn | table.cosmos.azure.cn |
| Azure Database for PostgreSQL - Enkele server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer | privatelink.mariadb.database.chinacloudapi.cn | mariadb.database.chinacloudapi.cn |
| Azure HDInsight (Microsoft.HDInsight) | privatelink.azurehdinsight.cn | azurehdinsight.cn |
DNS-configuratiescenario's
De FQDN van de services wordt automatisch opgelost naar een openbaar IP-adres. Als u wilt oplossen naar het privé-IP-adres van het privé-eindpunt, wijzigt u de DNS-configuratie.
DNS is een essentieel onderdeel om ervoor te zorgen dat de toepassing correct werkt door het IP-adres van het privé-eindpunt op te lossen.
Op basis van uw voorkeuren zijn de volgende scenario's beschikbaar met geïntegreerde DNS-resolutie:
- Werkbelastingen van virtuele netwerken zonder aangepaste DNS-server
- On-premises workloads met behulp van een DNS-doorsturende server
- Virtuele netwerk- en on-premises workloads met behulp van een DNS-doorsturende machine
Notitie
Azure Firewall DNS-proxy kan worden gebruikt als DNS-doorsturende voor on-premises workloads en werkbelastingen van virtuele netwerken met behulp van een DNS-doorsturende.
Werkbelastingen van virtuele netwerken zonder aangepaste DNS-server
Deze configuratie is geschikt voor werkbelastingen van virtuele netwerken zonder een aangepaste DNS-server. In dit scenario vraagt de client naar het IP-adres van het privé-eindpunt naar de door Azure geleverde DNS-service 168.63.129.16. Azure DNS is verantwoordelijk voor de DNS-resolutie van de privé-DNS-zones.
Notitie
In dit scenario wordt de Azure SQL Database privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.
Voor een juiste configuratie hebt u de volgende resources nodig:
Virtueel clientnetwerk
Privé-DNS zone privatelink.database.windows.net met het type A-record
Informatie over privé-eindpunten (FQDN-recordnaam en privé-IP-adres)
In de volgende schermopname ziet u de DNS-resolutiereeks van virtuele netwerkworkloads met behulp van de privé-DNS-zone:
U kunt dit model uitbreiden naar gekoppelde virtuele netwerken die zijn gekoppeld aan hetzelfde privé-eindpunt. Voeg nieuwe virtuele netwerkkoppelingen toe aan de privé-DNS-zone voor alle peered virtuele netwerken.
Belangrijk
Voor deze configuratie is één privé-DNS-zone vereist. Voor het maken van meerdere zones met dezelfde naam voor verschillende virtuele netwerken zijn handmatige bewerkingen nodig om de DNS-records samen te voegen.
Belangrijk
Als u een privé-eindpunt gebruikt in een hub-and-spoke-model van een ander abonnement of zelfs binnen hetzelfde abonnement, koppelt u dezelfde privé-DNS-zones aan alle spokes en virtuele hubnetwerken die clients bevatten die DNS-resolutie van de zones nodig hebben.
In dit scenario is er een hub-and-spoke-netwerktopologie. De spoke-netwerken delen een privé-eindpunt. De virtuele spoke-netwerken zijn gekoppeld aan dezelfde privé-DNS-zone.
On-premises workloads met behulp van een DNS-doorsturende server
Als u wilt dat on-premises workloads de FQDN van een privé-eindpunt kunnen oplossen, gebruikt u een DNS-doorsturende server om de openbare DNS-zone van de Azure-service om te zetten in Azure. Een DNS-doorsturen is een virtuele machine die wordt uitgevoerd op de Virtual Network die is gekoppeld aan de Privé-DNS-zone die een proxy kan uitvoeren voor DNS-query's die afkomstig zijn van andere virtuele netwerken of on-premises. Dit is vereist omdat de query afkomstig moet zijn van de Virtual Network om Azure DNS. Een aantal opties voor DNS-proxies zijn: Windows DNS-services uitvoeren, Linux met DNS-services, Azure Firewall.
Het volgende scenario is voor een on-premises netwerk met een DNS-doorsturende server in Azure. Met deze doorsturende server worden DNS-query's via een doorsturen op serverniveau naar de door Azure geleverde DNS 168.63.129.16 opgelost.
Notitie
In dit scenario wordt de Azure SQL Database privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.
Voor een juiste configuratie hebt u de volgende resources nodig:
- On-premises netwerk
- Virtueel netwerk verbonden met on-premises
- DNS-doorsturen geïmplementeerd in Azure
- Privé-DNS zones privatelink.database.windows.net met het type A-record
- Informatie over privé-eindpunten (FQDN-recordnaam en privé-IP-adres)
Het volgende diagram illustreert de DNS-resolutiereeks van een on-premises netwerk. De configuratie maakt gebruik van een DNS-doorsturender die is geïmplementeerd in Azure. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk:
Deze configuratie kan worden uitgebreid voor een on-premises netwerk dat al een DNS-oplossing heeft. De on-premises DNS-oplossing is geconfigureerd om DNS-verkeer door te Azure DNS via een voorwaardelijke doorsturende . De voorwaardelijke doorsturen verwijst naar de DNS-doorsturen die is geïmplementeerd in Azure.
Notitie
In dit scenario wordt de Azure SQL Database privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services
Voor een juiste configuratie hebt u de volgende resources nodig:
- On-premises netwerk met een aangepaste DNS-oplossing
- Virtueel netwerk verbonden met on-premises
- DNS-doorsturen geïmplementeerd in Azure
- Privé-DNS zones privatelink.database.windows.net met het type A-record
- Informatie over privé-eindpunten (FQDN-recordnaam en privé-IP-adres)
Het volgende diagram illustreert de DNS-resolutie van een on-premises netwerk. DNS-resolutie wordt voorwaardelijk doorgestuurd naar Azure. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk.
Belangrijk
De voorwaardelijke doorsturen moet worden gemaakt naar de aanbevolen openbare DNS-zone doorsturen. Bijvoorbeeld: database.windows.net in plaats van privatelink.database.windows.net.
Virtuele netwerk- en on-premises workloads met behulp van een DNS-doorsturende machine
Voor workloads die toegang hebben tot een privé-eindpunt vanuit virtuele en on-premises netwerken, gebruikt u een DNS-doorsturende machine om de openbare DNS-zone van de Azure-service om te zetten die in Azure is geïmplementeerd.
Het volgende scenario is voor een on-premises netwerk met virtuele netwerken in Azure. Beide netwerken hebben toegang tot het privé-eindpunt in een gedeeld hubnetwerk.
Deze DNS-doorstuurfunctie is verantwoordelijk voor het omzetten van alle DNS-query's, via een doorstuurfunctie op serverniveau, naar de met Azure geleverde DNS-service 168.63.129.16.
Belangrijk
Voor deze configuratie is één privé-DNS-zone vereist. Alle clientverbindingen die zijn gemaakt vanuit on-premises en virtuele peernetwerken, moeten ook gebruikmaken van dezelfde privé-DNS-zone.
Notitie
In dit scenario wordt de Azure SQL Database aanbevolen privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.
Voor een juiste configuratie hebt u de volgende resources nodig:
- On-premises netwerk
- Virtueel netwerk verbonden met on-premises
- Peered virtueel netwerk
- DNS-doorsturen geïmplementeerd in Azure
- Privé-DNS zones privatelink.database.windows.net met het type A-record
- Informatie over privé-eindpunt (FQDN-recordnaam en privé-IP-adres)
In het volgende diagram ziet u de DNS-resolutie voor beide netwerken, on-premises en virtuele netwerken. De oplossing maakt gebruik van een DNS-doorsturende. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk:
