DNS-configuratie van Azure-privé-eindpunt

Het is belangrijk om uw DNS-instellingen correct te configureren om het IP-adres van het privé-eindpunt om te gaan naar de FQDN (Fully Qualified Domain Name) van de connection string.

Bestaande Microsoft Azure services hebben mogelijk al een DNS-configuratie voor een openbaar eindpunt. Deze configuratie moet worden overschrijven om verbinding te maken met behulp van uw privé-eindpunt.

De netwerkinterface die is gekoppeld aan het privé-eindpunt bevat de informatie voor het configureren van uw DNS. De informatie over de netwerkinterface bevat FQDN en privé-IP-adressen voor uw private link-resource.

U kunt de volgende opties gebruiken om uw DNS-instellingen voor privé-eindpunten te configureren:

  • Gebruik het hostbestand (alleen aanbevolen voor het testen). U kunt het hostbestand op een virtuele machine gebruiken om de DNS te overschrijven.
  • Gebruik een privé-DNS-zone. U kunt privé-DNS-zones gebruiken om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone kan worden gekoppeld aan uw virtuele netwerk om specifieke domeinen om te zetten.
  • Gebruik uw DNS-doorsturende server (optioneel). U kunt uw DNS-doorschakeling gebruiken om de DNS-resolutie voor een private link-resource te overschrijven. Maak een dns-doorsturen regel voor het gebruik van een privé-DNS-zone op uw DNS-server gehost in een virtueel netwerk.

Belangrijk

Het wordt afgeraden om een zone te overschrijven die actief wordt gebruikt om openbare eindpunten op te lossen. Verbindingen met resources kunnen niet correct worden opgelost zonder dat DNS wordt doorgestuurd naar de openbare DNS. Om problemen te voorkomen, maakt u een andere domeinnaam of volgt u de voorgestelde naam voor elke onderstaande service.

Configuratie van DNS-zone van Azure-services

Azure maakt een canonieke naam DNS-record (CNAME) op de openbare DNS. De CNAME-record leidt de resolutie om naar de naam van het privédomein. U kunt de oplossing overschrijven met het privé-IP-adres van uw privé-eindpunten.

Uw toepassingen hoeven de verbindings-URL niet te wijzigen. Bij het oplossen naar een openbare DNS-service wordt de DNS-server naar uw privé-eindpunten opgelost. Het proces heeft geen invloed op uw bestaande toepassingen.

Belangrijk

Privénetwerken die al gebruikmaken van de privé-DNS-zone voor een bepaald type, kunnen alleen verbinding maken met openbare resources als ze geen privé-eindpuntverbindingen hebben, anders is een bijbehorende DNS-configuratie vereist voor de privé-DNS-zone om de DNS-resolutiereeks te voltooien.

Gebruik voor Azure-services de aanbevolen zonenamen zoals beschreven in de volgende tabel:

Resourcetype private link / Subresource Privé-DNS zonenaam Doorsturen via openbare DNS-zone
Azure Automation / (Microsoft.Automation/automationAccounts) / Webhook, DSCAndHybridWorker privatelink.azure-automation.net azure-automation.net
Azure SQL Database (Microsoft.Sql/servers) / sqlServer privatelink.database.windows.net database.windows.net
Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Sql privatelink.sql.azuresynapse.net sql.azuresynapse.net
Azure Synapse Analytics (Microsoft.Synapse/workspaces) / SqlOnDemand privatelink.sql.azuresynapse.net sqlondemand.azuresynapse.net
Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Dev privatelink.dev.azuresynapse.net dev.azuresynapse.net
Storage account (Microsoft.Storage/storageAccounts) / Blob (blob, blob_secondary) privatelink.blob.core.windows.net blob.core.windows.net
Storage account (Microsoft.Storage/storageAccounts) / Tabel (tabel, table_secondary) privatelink.table.core.windows.net table.core.windows.net
Storage account (Microsoft.Storage/storageAccounts) / Wachtrij (wachtrij, queue_secondary) privatelink.queue.core.windows.net queue.core.windows.net
Storage account (Microsoft.Storage/storageAccounts) / Bestand (bestand, file_secondary) privatelink.file.core.windows.net file.core.windows.net
Storage account (Microsoft.Storage/storageAccounts) / Web (web, web_secondary) privatelink.web.core.windows.net web.core.windows.net
Azure Data Lake File System Gen2 (Microsoft.Storage/storageAccounts) / Data Lake File System Gen2 (dfs, dfs_secondary) privatelink.dfs.core.windows.net dfs.core.windows.net
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL privatelink.documents.azure.com documents.azure.com
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB privatelink.mongo.cosmos.azure.com mongo.cosmos.azure.com
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra privatelink.cassandra.cosmos.azure.com cassandra.cosmos.azure.com
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin privatelink.gremlin.cosmos.azure.com gremlin.cosmos.azure.com
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Table privatelink.table.cosmos.azure.com table.cosmos.azure.com
Azure Batch (Microsoft.Batch/batchAccounts) / batch-account privatelink. {region}.batch.azure.com {region}.batch.azure.com
Azure Database for PostgreSQL - Enkele server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer privatelink.postgres.database.azure.com postgres.database.azure.com
Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer privatelink.mysql.database.azure.com mysql.database.azure.com
Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer privatelink.mariadb.database.azure.com mariadb.database.azure.com
Azure Key Vault (Microsoft.KeyVault/vaults) / kluis privatelink.vaultcore.azure.net vault.azure.net
vaultcore.azure.net
Azure Kubernetes Service Kubernetes-API (Microsoft.ContainerService/managedClusters) / beheer privatelink. {region}.azmk8s.io {region}.azmk8s.io
Azure Search (Microsoft.Search/searchServices) / searchService privatelink.search.windows.net search.windows.net
Azure Container Registry (Microsoft.ContainerRegistry/registries) / register privatelink.azurecr.io azurecr.io
Azure App Configuration (Microsoft.AppConfiguration/configurationStores) / configurationStores privatelink.azconfig.io azconfig.io
Azure Backup (Microsoft.RecoveryServices/vaults) / AzureBackup privatelink. {region}.backup.windowsazure.com {region}.backup.windowsazure.com
Azure Site Recovery (Microsoft.RecoveryServices/vaults) / AzureSiteRecovery {region}.privatelink.siterecovery.windowsazure.com {region}.hypervrecoverymanager.windowsazure.com
Azure Event Hubs (Microsoft.EventHub/namespaces) / naamruimte privatelink.servicebus.windows.net servicebus.windows.net
Azure Service Bus (Microsoft.ServiceBus/namespaces) / naamruimte privatelink.servicebus.windows.net servicebus.windows.net
Azure IoT Hub (Microsoft.Devices/IotHubs) / iotHub privatelink.azure-devices.net
privatelink.servicebus.windows.net1
azure-devices.net
servicebus.windows.net
Azure Relay (Microsoft.Relay/namespaces) / naamruimte privatelink.servicebus.windows.net servicebus.windows.net
Azure Event Grid (Microsoft.EventGrid/topics) / onderwerp privatelink.eventgrid.azure.net eventgrid.azure.net
Azure Event Grid (Microsoft.EventGrid/domains) / domein privatelink.eventgrid.azure.net eventgrid.azure.net
Azure Web Apps (Microsoft.Web/sites) / sites privatelink.azurewebsites.net azurewebsites.net
Azure Machine Learning (Microsoft.MachineLearningServices/workspaces) / amlworkspace privatelink.api.azureml.ms
privatelink.notebooks.azure.net
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
SignalR (Microsoft.SignalRService/SignalR) / signalR privatelink.service.signalr.net service.signalr.net
Azure Monitor (Microsoft.Insights/privateLinkScopes) / azuremonitor privatelink.monitor.azure.com
privatelink.oms.opinsights.azure.com
privatelink.ods.opinsights.azure.com
privatelink.agentsvc.azure-automation.net
privatelink.blob.core.windows.net
monitor.azure.com
oms.opinsights.azure.com
ods.opinsights.azure.com
agentsvc.azure-automation.net
blob.core.windows.net
Cognitive Services (Microsoft.CognitiveServices/accounts) / account privatelink.cognitiveservices.azure.com cognitiveservices.azure.com
Azure File Sync (Microsoft.StorageSync/storageSyncServices) / afs privatelink.afs.azure.net afs.azure.net
Azure Data Factory (Microsoft.DataFactory/factories) / dataFactory privatelink.datafactory.azure.net datafactory.azure.net
Azure Data Factory (Microsoft.DataFactory/factories) / portal privatelink.adf.azure.com adf.azure.com
Azure Cache voor Redis (Microsoft.Cache/Redis) / redisCache privatelink.redis.cache.windows.net redis.cache.windows.net
Azure Cache voor Redis Enterprise (Microsoft.Cache/RedisEnterprise) / redisCache privatelink.redisenterprise.cache.azure.net redisenterprise.cache.azure.net

1 Om te gebruiken IoT Hub ingebouwde Event Hub-compatibel eindpunt van de IoT Hub. Zie Private Link-ondersteuning voor het ingebouwde eindpunt IoT Hub meer informatie

China

Resourcetype Private Link / Subresource Privé-DNS zonenaam Doorsturen via openbare DNS-zone
Azure SQL Database (Microsoft.Sql/servers) / SQL Server privatelink.database.chinacloudapi.cn database.chinacloudapi.cn
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL privatelink.documents.azure.cn documents.azure.cn
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB privatelink.mongo.cosmos.azure.cn mongo.cosmos.azure.cn
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra privatelink.cassandra.cosmos.azure.cn cassandra.cosmos.azure.cn
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin privatelink.gremlin.cosmos.azure.cn gremlin.cosmos.azure.cn
Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Table privatelink.table.cosmos.azure.cn table.cosmos.azure.cn
Azure Database for PostgreSQL - Enkele server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer privatelink.postgres.database.chinacloudapi.cn postgres.database.chinacloudapi.cn
Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer privatelink.mysql.database.chinacloudapi.cn mysql.database.chinacloudapi.cn
Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer privatelink.mariadb.database.chinacloudapi.cn mariadb.database.chinacloudapi.cn

DNS-configuratiescenario's

De FQDN van de services wordt automatisch opgelost naar een openbaar IP-adres. Als u wilt oplossen naar het privé-IP-adres van het privé-eindpunt, wijzigt u de DNS-configuratie.

DNS is een essentieel onderdeel om ervoor te zorgen dat de toepassing correct werkt door het IP-adres van het privé-eindpunt op te lossen.

Op basis van uw voorkeuren zijn de volgende scenario's beschikbaar met geïntegreerde DNS-resolutie:

Notitie

Azure Firewall DNS-proxy kan worden gebruikt als DNS-doorsturende voor on-premises workloads en werkbelastingen van virtuele netwerken met behulp van een DNS-doorsturende .

Werkbelastingen van virtuele netwerken zonder aangepaste DNS-server

Deze configuratie is geschikt voor werkbelastingen van virtuele netwerken zonder een aangepaste DNS-server. In dit scenario vraagt de client het IP-adres van het privé-eindpunt op naar de door Azure geleverde DNS-service 168.63.129.16. Azure DNS is verantwoordelijk voor de DNS-resolutie van de privé-DNS-zones.

Notitie

In dit scenario wordt de Azure SQL Database aanbevolen privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.

Voor een juiste configuratie hebt u de volgende resources nodig:

In de volgende schermopname ziet u de DNS-resolutiereeks van virtuele netwerkworkloads met behulp van de privé-DNS-zone:

Eén virtueel netwerk en door Azure geleverde DNS

U kunt dit model uitbreiden naar gekoppelde virtuele netwerken die zijn gekoppeld aan hetzelfde privé-eindpunt. Voeg nieuwe virtuele netwerkkoppelingen toe aan de privé-DNS-zone voor alle virtuele netwerken met peering.

Belangrijk

Voor deze configuratie is één privé-DNS-zone vereist. Voor het maken van meerdere zones met dezelfde naam voor verschillende virtuele netwerken zijn handmatige bewerkingen nodig om de DNS-records samen te voegen.

Belangrijk

Als u een privé-eindpunt gebruikt in een hub-and-spoke-model van een ander abonnement of zelfs binnen hetzelfde abonnement, koppelt u dezelfde privé-DNS-zones aan alle spokes en virtuele hubnetwerken die clients bevatten die DNS-resolutie van de zones nodig hebben.

In dit scenario is er een hub en spoke-netwerktopologie. De spoke-netwerken delen een privé-eindpunt. De virtuele spoke-netwerken zijn gekoppeld aan dezelfde privé-DNS-zone.

Hub en spoke met door Azure geleverde DNS

On-premises workloads met behulp van een DNS-doorsturende server

Als u wilt dat on-premises workloads de FQDN van een privé-eindpunt kunnen oplossen, gebruikt u een DNS-doorsturende rol om de openbare DNS-zone van de Azure-service om te zetten in Azure. Een DNS-doorsturende is een virtuele machine die wordt uitgevoerd op de Virtual Network die is gekoppeld aan de Privé-DNS-zone die een proxy kan uitvoeren voor DNS-query's die afkomstig zijn van andere virtuele netwerken of on-premises. Dit is vereist omdat de query afkomstig moet zijn van de Virtual Network om Azure DNS. Een aantal opties voor DNS-proxies zijn: Windows DNS-services uitvoeren, Linux met DNS-services, Azure Firewall.

Het volgende scenario is voor een on-premises netwerk met een DNS-doorsturende server in Azure. Met deze doorsturende server worden DNS-query's via een doorsturen op serverniveau naar de door Azure geleverde DNS 168.63.129.16 opgelost.

Notitie

In dit scenario wordt de Azure SQL Database aanbevolen privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.

Voor een juiste configuratie hebt u de volgende resources nodig:

Het volgende diagram illustreert de DNS-resolutiereeks van een on-premises netwerk. De configuratie maakt gebruik van een DNS-doorsturende server die is geïmplementeerd in Azure. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk:

On-premises met Azure DNS

Deze configuratie kan worden uitgebreid voor een on-premises netwerk dat al een DNS-oplossing heeft. De on-premises DNS-oplossing is geconfigureerd om DNS-verkeer door te Azure DNS via een voorwaardelijke doorsturende . De voorwaardelijke doorsturen verwijst naar de DNS-doorsturende die is geïmplementeerd in Azure.

Notitie

In dit scenario wordt de Azure SQL Database aanbevolen privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services

Voor een juiste configuratie hebt u de volgende resources nodig:

Het volgende diagram illustreert de DNS-resolutie van een on-premises netwerk. DNS-resolutie wordt voorwaardelijk doorgestuurd naar Azure. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk.

Belangrijk

De voorwaardelijke doorsturen moet worden gedaan naar de aanbevolen openbare DNS-zone doorsturen. Bijvoorbeeld: database.windows.net in plaats van privatelink.database.windows.net.

On-premises doorsturen naar Azure DNS

Virtuele netwerk- en on-premises workloads met behulp van een DNS-doorsturende machine

Voor workloads die toegang hebben tot een privé-eindpunt vanaf virtuele en on-premises netwerken, gebruikt u een DNS-doorsturende machine om de openbare DNS-zone van de Azure-service om te zetten die in Azure is geïmplementeerd.

Het volgende scenario is voor een on-premises netwerk met virtuele netwerken in Azure. Beide netwerken hebben toegang tot het privé-eindpunt dat zich in een gedeeld hubnetwerk bevindt.

Deze DNS-doorstuurfunctie is verantwoordelijk voor het omzetten van alle DNS-query's, via een doorstuurfunctie op serverniveau, naar de met Azure geleverde DNS-service 168.63.129.16.

Belangrijk

Voor deze configuratie is één privé-DNS-zone vereist. Alle clientverbindingen die zijn gemaakt vanuit on-premises en virtuele netwerken met peering, moeten ook gebruikmaken van dezelfde privé-DNS-zone.

Notitie

In dit scenario wordt de Azure SQL Database aanbevolen privé-DNS-zone gebruikt. Voor andere services kunt u het model aanpassen met behulp van de volgende naslag: Dns-zoneconfiguratie van Azure-services.

Voor een juiste configuratie hebt u de volgende resources nodig:

In het volgende diagram ziet u de DNS-resolutie voor beide netwerken, on-premises en virtuele netwerken. De oplossing maakt gebruik van een DNS-doorsturende. De oplossing wordt gemaakt door een privé-DNS-zone die is gekoppeld aan een virtueel netwerk:

Hybride scenario

Volgende stappen