DNS doorsturen configureren voor Azure Files

  • Artikel

met Azure Files kunt u privé-eindpunten maken voor de opslagaccounts die uw bestandsshares bevatten. Hoewel deze functie nuttig is voor veel verschillende toepassingen, zijn privé-eindpunten vooral handig voor het maken van verbinding met uw Azure-bestandsshares vanuit uw on-premises netwerk met behulp van een VPN- of ExpressRoute-verbinding met behulp van privé-peering.

Als u wilt dat verbindingen met uw opslagaccount via uw netwerktunnel gaan, moet de FQDN (Fully Qualified Domain Name) van uw opslagaccount worden omgezet in het privé-IP-adres van uw privé-eindpunt. Om dit te bereiken, moet u het achtervoegsel van het opslageindpunt (core.windows.net voor openbare cloudregio's) doorsturen naar de privé-DNS-service van Azure die toegankelijk is vanuit uw virtuele netwerk. Deze handleiding laat zien hoe u DNS-doorsturen instelt en configureert om het IP-adres van het privé-eindpunt van uw opslagaccount correct op te lossen.

We raden u ten zeerste aan planning voor een Azure Files implementatie en Azure Files netwerkoverwegingen te lezen voordat u de stappen uitvoert die in dit artikel worden beschreven.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Ja Nee
Standaardbestandsshares (GPv2), GRS/GZRS Ja Nee
Premium bestandsshares (FileStorage), LRS/ZRS Ja Yes

Overzicht

Azure Files biedt de volgende typen eindpunten voor toegang tot Azure-bestandsshares:

  • Openbare eindpunten, die een openbaar IP-adres hebben en overal ter wereld toegankelijk zijn.
  • Privé-eindpunten, die zich binnen een virtueel netwerk bevinden en een privé-IP-adres hebben in de adresruimte van het virtuele netwerk.
  • Service-eindpunten, die de toegang tot het openbare eindpunt beperken tot specifieke virtuele netwerken. U hebt nog steeds toegang tot het opslagaccount via het openbare IP-adres, maar toegang is alleen mogelijk vanaf de locaties die u in uw configuratie opgeeft.

Openbare en privé-eindpunten bestaan in het Azure-opslagaccount. Een opslagaccount is een beheerconstructie die een gedeelde opslaggroep vertegenwoordigt waarin u meerdere bestandsshares kunt implementeren, evenals andere opslagresources, zoals blob-containers of wachtrijen.

Elk opslagaccount heeft een FQDN (Fully Qualified Domain Name). Voor de openbare cloudregio's volgt deze FQDN het patroon storageaccount.file.core.windows.net waarbij storageaccount de naam van het opslagaccount is. Wanneer u aanvragen voor deze naam indient, zoals het koppelen van de share op uw werkstation, voert uw besturingssysteem een DNS-zoekopdracht uit om de Fully Qualified Domain Name om te zetten in een IP-adres.

Wordt standaard storageaccount.file.core.windows.net omgezet in het IP-adres van het openbare eindpunt. Het openbare eindpunt voor een opslagaccount wordt gehost op een Azure-opslagcluster dat als host fungeert voor veel andere openbare eindpunten van opslagaccounts. Wanneer u een privé-eindpunt maakt, wordt er een privé-DNS-zone gekoppeld aan het virtuele netwerk waaraan deze is toegevoegd, met een CNAME-recordtoewijzing storageaccount.file.core.windows.net aan een A-recordvermelding voor het privé-IP-adres van het privé-eindpunt van uw opslagaccount. Hierdoor kunt u FQDN binnen het virtuele netwerk gebruiken storageaccount.file.core.windows.net en deze omzetten in het IP-adres van het privé-eindpunt.

Omdat ons uiteindelijke doel is om toegang te krijgen tot de Azure-bestandsshares die worden gehost in het opslagaccount vanuit een on-premises netwerktunnel, zoals een VPN- of ExpressRoute-verbinding, moet u uw on-premises DNS-servers configureren om aanvragen die zijn ingediend bij de Azure Files-service door te sturen naar de privé-DNS-service van Azure.

U kunt dns-doorsturen op twee manieren configureren:

  • DNS-server-VM's gebruiken: Stel voorwaardelijk doorsturen in van *.core.windows.net (of het juiste achtervoegsel voor het opslageindpunt voor de nationale clouds van de Amerikaanse overheid, Duitsland of China) naar een virtuele DNS-servermachine die wordt gehost in uw virtuele Azure-netwerk. Deze DNS-server stuurt de aanvraag vervolgens recursief door naar de privé-DNS-service van Azure, die de FQDN van het opslagaccount omzet naar het juiste privé-IP-adres. Dit is een eenmalige stap voor alle Azure-bestandsshares die worden gehost in uw virtuele netwerk.

  • Azure DNS Private Resolver gebruiken: Als u geen OP EEN VM gebaseerde DNS-server wilt implementeren, kunt u dezelfde taak uitvoeren met behulp van Azure DNS Private Resolver.

Naast Azure Files worden DNS-naamomzettingsaanvragen voor andere Azure-opslagservices (Azure Blob Storage, Azure Table Storage, Azure Queue Storage, enzovoort) doorgestuurd naar de privé-DNS-service van Azure. U kunt desgewenst extra eindpunten voor andere Azure-services toevoegen.

Vereisten

Voordat u DNS-doorsturen naar Azure Files kunt instellen, hebt u het volgende nodig:

DNS-doorsturen configureren met behulp van VM's

Als u al DNS-servers in uw virtuele Azure-netwerk hebt of als u liever uw eigen DNS-server-VM's implementeert volgens de methodologie die uw organisatie gebruikt, kunt u DNS configureren met de ingebouwde PowerShell-cmdlets voor DNS-servers.

Diagram met de netwerktopologie voor het configureren van D N S forwarding met behulp van virtuele machines in Azure.

Belangrijk

In deze handleiding wordt ervan uitgegaan dat u de DNS-server in Windows Server gebruikt in uw on-premises omgeving. Alle stappen die hier worden beschreven, zijn mogelijk met elke DNS-server, niet alleen met de Windows DNS-server.

Maak op uw on-premises DNS-servers een voorwaardelijke doorstuurserver met behulp van Add-DnsServerConditionalForwarderZone. Deze voorwaardelijke doorstuurserver moet worden geïmplementeerd op al uw on-premises DNS-servers om effectief verkeer door te kunnen sturen naar Azure. Vergeet niet om de <azure-dns-server-ip> vermeldingen te vervangen door de juiste IP-adressen voor uw omgeving.

$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $vnetDnsServers

Op de DNS-servers in uw virtuele Azure-netwerk moet u ook een doorstuurserver plaatsen, zodat aanvragen voor de DNS-zone van het opslagaccount worden omgeleid naar de privé-DNS-service van Azure, die wordt geleid door het gereserveerde IP-adres 168.63.129.16. (Vergeet niet om te vullen $storageAccountEndpoint als u de opdrachten uitvoert binnen een andere PowerShell-sessie.)

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers "168.63.129.16"

Dns-doorsturen configureren met behulp van Azure DNS Private Resolver

Als u liever geen DNS-server-VM's implementeert, kunt u dezelfde taak uitvoeren met behulp van Azure DNS Private Resolver. Zie Een Azure DNS Private Resolver maken met behulp van de Azure Portal.

Diagram met de netwerktopologie voor het configureren van D N S forwarding met behulp van Azure D N S Private Resolver.

Er is geen verschil in hoe u uw on-premises DNS-servers configureert, behalve dat u in plaats van te verwijzen naar de IP-adressen van de DNS-servers in Azure, u verwijst naar het ip-adres van het inkomende eindpunt van de resolver. De resolver vereist geen configuratie, omdat deze standaard query's doorstuurt naar de privé-DNS-server van Azure. Als een privé-DNS-zone is gekoppeld aan het VNet waar de resolver is geïmplementeerd, kan de resolver antwoorden met records uit die DNS-zone.

Waarschuwing

Wanneer u doorstuurservers configureert voor de core.windows.net zone, worden alle query's voor dit openbare domein doorgestuurd naar uw Azure DNS-infrastructuur. Dit veroorzaakt een probleem wanneer u toegang probeert te krijgen tot een opslagaccount van een andere tenant die is geconfigureerd met privé-eindpunten, omdat Azure DNS de query voor de openbare naam van het opslagaccount beantwoordt met een CNAME die niet bestaat in uw privé-DNS-zone. Een tijdelijke oplossing voor dit probleem is het maken van een privé-eindpunt tussen tenants in uw omgeving om verbinding te maken met dat opslagaccount.

Voer dit script uit op uw on-premises DNS-servers om DNS-doorsturen te configureren met behulp van Azure DNS Private Resolver. Vervang door <resolver-ip> het IP-adres van het binnenkomende eindpunt van de resolver.

$privateResolver = "<resolver-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $privateResolver

DNS-doorstuurservers bevestigen

Voordat u test of de DNS-doorstuurservers zijn toegepast, raden we u aan de DNS-cache op uw lokale werkstation te wissen met behulp van Clear-DnsClientCache. Als u wilt testen of u de FQDN van uw opslagaccount kunt oplossen, gebruikt Resolve-DnsName u of nslookup.

# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note that the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net

Als de naamomzetting is geslaagd, ziet u dat het opgeloste IP-adres overeenkomt met het IP-adres van uw opslagaccount.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4

Als u een SMB-bestandsshare wilt koppelen, kunt u ook de Test-NetConnection opdracht gebruiken om te bevestigen dat er een TCP-verbinding kan worden gemaakt met uw opslagaccount.

Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB

Zie ook