DNS-konfiguration för privat slutpunkt i Azure
Det är viktigt att konfigurera DNS-inställningarna korrekt för att matcha IP-adressen för den privata slutpunkten med det fullständiga domännamnet (FQDN) för anslutningssträngen.
Befintliga Microsoft Azure-tjänster kanske redan har en DNS-konfiguration för en offentlig slutpunkt. Den här konfigurationen måste åsidosättas för att ansluta med din privata slutpunkt.
Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller information om hur du konfigurerar din DNS. Nätverksgränssnittsinformationen innehåller FQDN och privata IP-adresser för din privata länkresurs.
Du kan använda följande alternativ för att konfigurera DNS-inställningarna för privata slutpunkter:
- Använd värdfilen (rekommenderas endast för testning). Du kan använda värdfilen på en virtuell dator för att åsidosätta DNS.
- Använd en privat DNS-zon. Du kan använda privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon kan länkas till ditt virtuella nätverk för att lösa specifika domäner.
- Använd din DNS-vidarebefordrare (valfritt). Du kan använda din DNS-vidarebefordrare för att åsidosätta DNS-upplösningen för en privat länkresurs. Skapa en regel för DNS-vidarebefordran för att använda en privat DNS-zon på dns-servern som finns i ett virtuellt nätverk.
Viktigt
Vi rekommenderar inte att åsidosätta en zon som aktivt används för att lösa offentliga slutpunkter. Anslutningar till resurser kan inte matcha korrekt utan DNS-vidarekoppling till offentlig DNS. Undvik problem genom att skapa ett annat domännamn eller följa det föreslagna namnet för varje tjänst nedan.
Dns-zonkonfiguration för Azure-tjänster
Azure skapar en kanonisk namn-DNS-post (CNAME) på den offentliga DNS:en. CNAME-posten omdirigerar lösningen till det privata domännamnet. Du kan åsidosätta lösningen med den privata IP-adressen för dina privata slutpunkter.
Dina program behöver inte ändra anslutnings-URL:en. När du matchar en offentlig DNS-tjänst matchas DNS-servern mot dina privata slutpunkter. Processen påverkar inte dina befintliga program.
Viktigt
Privata nätverk som redan använder den privata DNS-zonen för en viss typ kan bara ansluta till offentliga resurser om de inte har några privata slutpunktsanslutningar. Annars krävs en motsvarande DNS-konfiguration i den privata DNS-zonen för att slutföra DNS-lösningssekvensen.
För Azure-tjänster använder du de rekommenderade zonnamnen enligt beskrivningen i följande tabell:
| Resurstyp för privat länk/underresurs | Privat DNS zonnamn | Vidarebefordrare för offentliga DNS-zoner |
|---|---|---|
| Azure Automation / (Microsoft.Automation/automationAccounts) / Webhook, DSCAndHybridWorker | privatelink.azure-automation.net | azure-automation.net |
| Azure SQL Database (Microsoft.Sql/servers) / sqlServer | privatelink.database.windows.net | database.windows.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Sql | privatelink.sql.azuresynapse.net | sql.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / SqlOnDemand | privatelink.sql.azuresynapse.net | sqlondemand.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Dev | privatelink.dev.azuresynapse.net | dev.azuresynapse.net |
| Azure Synapse Studio (Microsoft.Synapse/privateLinkHubs) / Webb | privatelink.azuresynapse.net | azuresynapse.net |
| Storage konto (Microsoft.Storage/storageAccounts) / Blob (blob, blob_secondary) | privatelink.blob.core.windows.net | blob.core.windows.net |
| Storage-konto (Microsoft.Storage/storageAccounts) /Tabell (tabell, table_secondary) | privatelink.table.core.windows.net | table.core.windows.net |
| Storage(Microsoft.Storage/storageAccounts) /Kö (kö, queue_secondary) | privatelink.queue.core.windows.net | queue.core.windows.net |
| Storage (Microsoft.Storage/storageAccounts) / Fil (fil, file_secondary) | privatelink.file.core.windows.net | file.core.windows.net |
| Storage (Microsoft.Storage/storageAccounts) /Webb (webb, web_secondary) | privatelink.web.core.windows.net | web.core.windows.net |
| Azure Data Lake File System Gen2 (Microsoft.Storage/storageAccounts) / Data Lake File System Gen2 (dfs, dfs_secondary) | privatelink.dfs.core.windows.net | dfs.core.windows.net |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.com | documents.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.com | mongo.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.com | cassandra.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.com | gremlin.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Tabell | privatelink.table.cosmos.azure.com | table.cosmos.azure.com |
| Azure Batch (Microsoft.Batch/batchAccounts) /batch-konto | privatelink. {region}.batch.azure.com | {region}.batch.azure.com |
| Azure Database for PostgreSQL – Enskild server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.azure.com | postgres.database.azure.com |
| Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.azure.com | mysql.database.azure.com |
| Azure Database for MariaDB (Microsoft.DBforServerServer/servers) / mariadbServer | privatelink.mariadb.database.azure.com | mariadb.database.azure.com |
| Azure Key Vault (Microsoft.KeyVault/vaults) / valv | privatelink.vaultcore.azure.net | vault.azure.net vaultcore.azure.net |
| Azure Kubernetes Service – Kubernetes API (Microsoft.ContainerService/managedClusters) / hantering | privatelink. {region}.azmk8s.io | {region}.azmk8s.io |
| Azure Search (Microsoft.Search/searchServices) / searchService | privatelink.search.windows.net | search.windows.net |
| Azure Container Registry (Microsoft.ContainerRegistry/registries) /register | privatelink.azurecr.io | azurecr.io |
| Azure App Configuration (Microsoft.AppConfiguration/configurationStores) /configurationStores | privatelink.azconfig.io | azconfig.io |
| Azure Backup (Microsoft.RecoveryServices/vaults) / AzureBackup | privatelink. {region}.backup.windowsazure.com | {region}.backup.windowsazure.com |
| Azure Site Recovery (Microsoft.RecoveryServices/vaults) / AzureSiteRecovery | privatelink.siterecovery.windowsazure.com | {region}.hypervrecoverymanager.windowsazure.com |
| Azure Event Hubs (Microsoft.EventHub/namespaces) /namnområde | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Service Bus (Microsoft.ServiceBus/namespaces) /namnområde | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure IoT Hub (Microsoft.Devices/IotHubs) /iotHub | privatelink.azure-devices.net privatelink.servicebus.windows.net1 |
azure-devices.net servicebus.windows.net |
| Azure Relay (Microsoft.Relay/namespaces) /namnområde | privatelink.servicebus.windows.net | servicebus.windows.net |
| Azure Event Grid (Microsoft.EventGrid/topics) /topic | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Event Grid (Microsoft.EventGrid/domäner) /domän | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Azure Web Apps (Microsoft.Web/sites) /sites | privatelink.azurewebsites.net | azurewebsites.net |
| Azure Machine Learning (Microsoft.MachineLearningServices/workspaces) /amlworkspace | privatelink.api.azureml.ms privatelink.notebooks.azure.net |
api.azureml.ms notebooks.azure.net instances.azureml.ms aznbcontent.net |
| SignalR (Microsoft.SignalRService/SignalR) /signalR | privatelink.service.signalr.net | service.signalr.net |
| Azure Monitor (Microsoft.Insights/privateLinkScopes) /azuremonitor | privatelink.monitor.azure.com privatelink.oms.opinsights.azure.com privatelink.ods.opinsights.azure.com privatelink.agentsvc.azure-automation.net privatelink.blob.core.windows.net |
monitor.azure.com oms.opinsights.azure.com ods.opinsights.azure.com agentsvc.azure-automation.net blob.core.windows.net |
| Cognitive Services (Microsoft.CognitiveServices/accounts) /konto | privatelink.cognitiveservices.azure.com | cognitiveservices.azure.com |
| Azure File Sync (Microsoft.StorageSync/storageSyncServices) /afs | privatelink.afs.azure.net | afs.azure.net |
| Azure Data Factory (Microsoft.DataFactory/factories) /dataFactory | privatelink.datafactory.azure.net | datafactory.azure.net |
| Azure Data Factory (Microsoft.DataFactory/factories) /portal | privatelink.adf.azure.com | adf.azure.com |
| Azure Cache for Redis (Microsoft.Cache/Redis) / redisCache | privatelink.redis.cache.windows.net | redis.cache.windows.net |
| Azure Cache for Redis Enterprise (Microsoft.Cache/RedisEnterprise) /redisCache | privatelink.redisenterprise.cache.azure.net | redisenterprise.cache.azure.net |
| Azure Purview (Microsoft.Purview) | privatelink.purview.azure.com | purview.azure.com |
| Azure Purview (Microsoft.Purview) | privatelink.purviewstudio.azure.com | purview.azure.com |
| Azure Digital Twins (Microsoft.DigitalTwins) /digitalTwinsInstances | privatelink.digitaltwins.azure.net | digitaltwins.azure.net |
| Azure HDInsight (Microsoft.HDInsight) | privatelink.azurehdinsight.net | azurehdinsight.net |
1 Att använda med IoT Hub inbyggda event hub-kompatibla slutpunkter. Mer information finns i private link support for IoT Hub den inbyggda slutpunkten
Kina
| Resurstyp för privat länk/underresurs | Privat DNS zonnamn | Vidarebefordrare för offentliga DNS-zoner |
|---|---|---|
| Azure SQL Database (Microsoft.Sql/servers) /SQL Server | privatelink.database.chinacloudapi.cn | database.chinacloudapi.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) /SQL | privatelink.documents.azure.cn | documents.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.cn | mongo.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.cn | cassandra.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.cn | gremlin.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) /Table | privatelink.table.cosmos.azure.cn | table.cosmos.azure.cn |
| Azure Database for PostgreSQL – Enskild server (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| Azure Database for MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| Azure Database for MariaDB (Microsoft.DBforServerServer/servers) / mariadbServer | privatelink.mariadb.database.chinacloudapi.cn | mariadb.database.chinacloudapi.cn |
| Azure HDInsight (Microsoft.HDInsight) | privatelink.azurehdinsight.cn | azurehdinsight.cn |
DNS-konfigurationsscenarier
FQDN för tjänsterna matchas automatiskt till en offentlig IP-adress. Ändra DNS-konfigurationen för att matcha den privata IP-adressen för den privata slutpunkten.
DNS är en viktig komponent för att programmet ska fungera korrekt genom att den privata slutpunktens IP-adress matchas korrekt.
Baserat på dina inställningar är följande scenarier tillgängliga med integrerad DNS-upplösning:
- Arbetsbelastningar för virtuella nätverk utan anpassad DNS-server
- Lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare
- Virtuella nätverk och lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare
Anteckning
Azure Firewall DNS-proxy kan användas som DNS-vidarebefordrare för lokala arbetsbelastningar och arbetsbelastningar i virtuella nätverk med hjälp av en DNS-vidarebefordrare.
Arbetsbelastningar för virtuella nätverk utan anpassad DNS-server
Den här konfigurationen är lämplig för arbetsbelastningar i virtuella nätverk utan en anpassad DNS-server. I det här scenariot frågar klienten efter IP-adressen för den privata slutpunkten till DEN Azure-tillhandahållna DNS-tjänsten 168.63.129.16. Azure DNS ansvarar för DNS-upplösningen för de privata DNS-zonerna.
Anteckning
Det här scenariot använder Azure SQL Database rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.
För att konfigurera korrekt behöver du följande resurser:
Virtuellt klientnätverk
Privat DNS zon privatelink.database.windows.net med typen A-post
Information om privat slutpunkt (FQDN-postnamn och privat IP-adress)
Följande skärmbild visar DNS-lösningssekvensen från arbetsbelastningar i virtuella nätverk med hjälp av den privata DNS-zonen:
Du kan utöka den här modellen till peer-kopplade virtuella nätverk som är associerade med samma privata slutpunkt. Lägg till nya virtuella nätverkslänkar i den privata DNS-zonen för alla peer-ägda virtuella nätverk.
Viktigt
En enda privat DNS-zon krävs för den här konfigurationen. Att skapa flera zoner med samma namn för olika virtuella nätverk skulle behöva manuella åtgärder för att sammanfoga DNS-posterna.
Viktigt
Om du använder en privat slutpunkt i en hubb- och ekermodell från en annan prenumeration eller till och med inom samma prenumeration länkar du samma privata DNS-zoner till alla ekrar och virtuella hubbnätverk som innehåller klienter som behöver DNS-upplösning från zonerna.
I det här scenariot finns det en nätverkstopologi med nav och ekrar. Ekernätverken delar en privat slutpunkt. De virtuella ekernätverken är länkade till samma privata DNS-zon.
Lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare
För lokala arbetsbelastningar för att matcha FQDN för en privat slutpunkt använder du en DNS-vidarebefordrare för att matcha Azure-tjänstens offentliga DNS-zon i Azure. En DNS-vidarebefordrare är en virtuell dator som körs på den Virtual Network som är länkad till Privat DNS-zonen och som kan skicka DNS-frågor via proxy från andra virtuella nätverk eller från en lokal plats. Detta krävs eftersom frågan måste ha sitt ursprung från Virtual Network till Azure DNS. Några alternativ för DNS-proxys är: Windows dns-tjänster, Linux som kör DNS-tjänster Azure Firewall.
Följande scenario gäller för ett lokalt nätverk som har en DNS-vidarebefordrare i Azure. Den här vidarebefordraren matchar DNS-frågor via en vidarebefordrare på servernivå till den Azure-tillhandahållna DNS 168.63.129.16.
Anteckning
Det här scenariot använder Azure SQL Database rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.
För att konfigurera korrekt behöver du följande resurser:
- Lokalt nätverk
- Virtuellt nätverk som är anslutet till en lokal plats
- DNS-vidarebefordrare distribuerad i Azure
- Privat DNS zoner privatelink.database.windows.net med typen A-post
- Information om privat slutpunkt (FQDN-postnamn och privat IP-adress)
Följande diagram illustrerar DNS-lösningssekvensen från ett lokalt nätverk. Konfigurationen använder en DNS-vidarebefordrare som distribueras i Azure. Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk:
Den här konfigurationen kan utökas för ett lokalt nätverk som redan har en DNS-lösning på plats. Den lokala DNS-lösningen är konfigurerad för att vidarebefordra DNS-trafik till Azure DNS via en villkorsstyrd vidarebefordrare. Den villkorliga vidarebefordraren refererar till DEN DNS-vidarebefordrare som distribueras i Azure.
Anteckning
Det här scenariot använder Azure SQL Database rekommenderade privata DNS-zonen. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster
För att konfigurera korrekt behöver du följande resurser:
- Lokalt nätverk med en anpassad DNS-lösning på plats
- Virtuellt nätverk som är anslutet till en lokal plats
- DNS-vidarebefordrare distribuerad i Azure
- Privat DNS zoner privatelink.database.windows.net med typen A-post
- Information om privat slutpunkt (FQDN-postnamn och privat IP-adress)
Följande diagram illustrerar DNS-upplösningen från ett lokalt nätverk. DNS-upplösning vidarebefordras villkorligt till Azure. Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk.
Viktigt
Den villkorliga vidarebefordran måste göras till den rekommenderade offentliga DNS-zon vidarebefordraren. Till exempel: database.windows.net i stället för privatelink.database.windows.net.
Virtuella nätverk och lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare
För arbetsbelastningar som har åtkomst till en privat slutpunkt från virtuella och lokala nätverk använder du en DNS-vidarebefordrare för att matcha Azure-tjänstens offentliga DNS-zon som distribueras i Azure.
Följande scenario är för ett lokalt nätverk med virtuella nätverk i Azure. Båda nätverken har åtkomst till den privata slutpunkten som finns i ett delat hubbnätverk.
DNS-vidarebefordraren ansvarar för att matcha alla DNS-frågor via en vidarebefordrare på servernivå till DNS-tjänsten som tillhandahålls av Azure, 168.63.129.16.
Viktigt
En enda privat DNS-zon krävs för den här konfigurationen. Alla klientanslutningar som görs från lokala och peer-ägda virtuella nätverk måste också använda samma privata DNS-zon.
Anteckning
I det här scenariot Azure SQL Database den privata DNS-zonen som rekommenderas. För andra tjänster kan du justera modellen med hjälp av följande referens: Dns-zonkonfiguration för Azure-tjänster.
För att konfigurera korrekt behöver du följande resurser:
- Lokalt nätverk
- Virtuellt nätverk som är anslutet till en lokal plats
- Peer-peer-hanterat virtuellt nätverk
- DNS-vidarebefordrare distribuerad i Azure
- Privat DNS zoner privatelink.database.windows.net med typ A-post
- Information om privat slutpunkt (FQDN-postnamn och privat IP-adress)
Följande diagram visar DNS-upplösningen för både nätverk, lokala och virtuella nätverk. Lösningen använder en DNS-vidarebefordrare. Lösningen görs av en privat DNS-zon som är länkad till ett virtuellt nätverk:
