Azure Dosyalar için DNS iletmeyi yapılandırma
Azure Dosyalar, dosya paylaşımlarınızı içeren depolama hesapları için özel uç noktalar oluşturmanıza olanak tanır. Birçok farklı uygulama için yararlı olsa da, özel uç noktalar özel eşleme kullanarak VPN veya ExpressRoute bağlantısı kullanarak şirket içi ağınızdan Azure dosya paylaşımlarınıza bağlanmak için özellikle kullanışlıdır.
Depolama hesabınıza yönelik bağlantıların ağ tüneliniz üzerinden geçebilmesi için depolama hesabınızın tam etki alanı adının (FQDN) özel uç noktanızın özel IP adresine çözümlenmesi gerekir. Bunu başarmak için depolama uç noktası son ekini (core.windows.net
genel bulut bölgeleri için) sanal ağınızdan erişilebilen Azure özel DNS hizmetine iletmeniz gerekir. Bu kılavuzda, depolama hesabınızın özel uç nokta IP adresine düzgün bir şekilde çözümlemek için DNS iletmenin nasıl ayarlanıp yapılandırılacağı gösterilir.
Bu makalede açıklanan adımları tamamlamadan önce Azure Dosyalar dağıtımı planlama ve ağ ile ilgili dikkat edilmesi gerekenleri Azure Dosyalar makalesini okumanızı kesinlikle öneririz.
Şunlara uygulanır
Dosya paylaşımı türü | SMB | NFS |
---|---|---|
Standart dosya paylaşımları (GPv2), LRS/ZRS | ||
Standart dosya paylaşımları (GPv2), GRS/GZRS | ||
Premium dosya paylaşımları (filestorage), LRS/ZRS |
Genel Bakış
Azure Dosyalar, Azure dosya paylaşımlarına erişmek için aşağıdaki uç nokta türlerini sağlar:
- Genel IP adresine sahip olan ve dünyanın her yerinden erişilebilen genel uç noktalar.
- Bir sanal ağ içinde bulunan ve bu sanal ağın adres alanının içinden özel bir IP adresine sahip olan özel uç noktalar.
- Genel uç noktaya erişimi belirli sanal ağlarla kısıtlayan hizmet uç noktaları. Depolama hesabına genel IP adresi üzerinden erişmeye devam edebilirsiniz, ancak yalnızca yapılandırmanızda belirttiğiniz konumlardan erişim mümkündür.
Genel ve özel uç noktalar Azure depolama hesabında bulunur. Depolama hesabı, birden çok dosya paylaşımının yanı sıra blob kapsayıcıları veya kuyruklar gibi diğer depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden bir yönetim yapısıdır.
Her depolama hesabının tam etki alanı adı (FQDN) vardır. Genel bulut bölgeleri için bu FQDN, depolama hesabının adı olan storageaccount
deseni storageaccount.file.core.windows.net
izler. Paylaşımı iş istasyonunuza bağlamak gibi bu ada yönelik isteklerde bulunursanız, işletim sisteminiz tam etki alanı adını bir IP adresine çözümlemek için bir DNS araması gerçekleştirir.
Varsayılan olarak, storageaccount.file.core.windows.net
genel uç noktanın IP adresine çözümler. Depolama hesabının genel uç noktası, diğer birçok depolama hesabının genel uç noktasını barındıran bir Azure depolama kümesinde barındırılır. Özel uç nokta oluşturduğunuzda, depolama hesabınızın özel uç noktasının özel IP adresi için bir A kaydı girişine CNAME kaydı eşlemesiyle storageaccount.file.core.windows.net
, özel bir DNS bölgesi eklendiği sanal ağa bağlanır. Bu, sanal ağ içinde FQDN kullanmanıza storageaccount.file.core.windows.net
ve özel uç noktanın IP adresine çözümlenmesine olanak tanır.
Nihai hedefimiz, VPN veya ExpressRoute bağlantısı gibi bir ağ tüneli kullanarak şirket içinden depolama hesabında barındırılan Azure dosya paylaşımlarına erişmek olduğundan, şirket içi DNS sunucularınızı Azure Dosyalar hizmetine gönderilen istekleri Azure özel DNS hizmetine iletecek şekilde yapılandırmanız gerekir.
DNS iletmeyi iki yoldan birini yapılandırabilirsiniz:
DNS sunucusu VM'lerini kullanın: Koşullu iletmeyi
*.core.windows.net
(veya ABD Kamu, Almanya veya Çin ulusal bulutları için uygun depolama uç noktası sonekini) Azure sanal ağınızda barındırılan bir DNS sunucusu sanal makinesine ayarlayın. Bu DNS sunucusu daha sonra isteği yinelemeli olarak Azure'ın özel DNS hizmetine iletir ve bu da depolama hesabının FQDN'sini uygun özel IP adresine çözümler. Bu, sanal ağınızda barındırılan tüm Azure dosya paylaşımları için tek seferlik bir adımdır.Azure DNS Özel Çözümleyicisi'ni kullanın: VM tabanlı DNS sunucusu dağıtmak istemiyorsanız, Azure DNS Özel Çözümleyicisi'ni kullanarak aynı görevi gerçekleştirebilirsiniz.
Azure Dosyalar ek olarak, diğer Azure depolama hizmetleri için DNS ad çözümleme istekleri (Azure Blob depolama, Azure Tablo depolama, Azure Kuyruk depolama vb.) Azure'ın özel DNS hizmetine iletilir. İsterseniz diğer Azure hizmetleri için ek uç noktalar ekleyebilirsiniz.
Önkoşullar
Azure Dosyalar'a DNS iletmeyi ayarlamadan önce aşağıdakiler gerekir:
- Bağlamak istediğiniz Azure dosya paylaşımını içeren bir depolama hesabı. Depolama hesabı ve Azure dosya paylaşımı oluşturmayı öğrenmek için bkz. Azure dosya paylaşımı oluşturma.
- Depolama hesabı için özel uç nokta. Bkz. Özel uç nokta oluşturma.
- Azure PowerShell modülünün en son sürümü.
VM'leri kullanarak DNS iletmeyi yapılandırma
Azure sanal ağınızda zaten DNS sunucularınız varsa veya kendi DNS sunucusu VM'lerinizi kuruluşunuzun kullandığı metodolojiye göre dağıtmayı tercih ediyorsanız, YERLEŞIK DNS sunucusu PowerShell cmdlet'leri ile DNS'yi yapılandırabilirsiniz.
Önemli
Bu kılavuzda, şirket içi ortamınızda Windows Server içindeki DNS sunucusunu kullandığınız varsayılır. Burada açıklanan adımların tümü yalnızca Windows DNS Sunucusu ile değil tüm DNS sunucularıyla mümkündür.
Şirket içi DNS sunucularınızda kullanarak Add-DnsServerConditionalForwarderZone
bir koşullu iletici oluşturun. Trafiğin Azure'a düzgün bir şekilde iletilmesinde etkili olması için bu koşullu ileticinin tüm şirket içi DNS sunucularınıza dağıtılması gerekir. Girdileri ortamınız için uygun IP adresleriyle değiştirmeyi <azure-dns-server-ip>
unutmayın.
$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"
$storageAccountEndpoint = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers $vnetDnsServers
Azure sanal ağınızdaki DNS sunucularında, depolama hesabı DNS bölgesi isteklerinin ayrılmış IP adresi 168.63.129.16
tarafından önlenen Azure özel DNS hizmetine yönlendirilmesi için bir iletici de yerleştirmeniz gerekir. (Komutları farklı bir PowerShell oturumunda çalıştırıyorsanız doldurmayı $storageAccountEndpoint
unutmayın.)
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers "168.63.129.16"
Azure DNS Özel Çözümleyici'yi kullanarak DNS iletmeyi yapılandırma
DNS sunucusu VM'lerini dağıtmamayı tercih ediyorsanız, Azure DNS Özel Çözümleyicisi'ni kullanarak aynı görevi gerçekleştirebilirsiniz. Bkz. Azure portal kullanarak Azure DNS Özel Çözümleyicisi oluşturma.
Şirket içi DNS sunucularınızı yapılandırma yönteminizde fark yoktur, ancak Azure'daki DNS sunucularının IP adreslerine işaret etmek yerine çözümleyicinin gelen uç nokta IP adresine işaret edebilirsiniz. Çözümleyici, sorguları varsayılan olarak Azure özel DNS sunucusuna ileteceği için herhangi bir yapılandırma gerektirmez. Çözümleyicinin dağıtıldığı sanal ağa özel bir DNS bölgesi bağlıysa, çözümleyici bu DNS bölgesindeki kayıtlarla yanıt verebilir.
Uyarı
core.windows.net bölgesi için ileticileri yapılandırırken, bu genel etki alanına yönelik tüm sorgular Azure DNS altyapınıza iletilir. Azure DNS özel DNS bölgenizde mevcut olmayan bir CNAME ile depolama hesabı genel adı sorgusunu yanıtladığından, özel uç noktalarla yapılandırılmış farklı bir kiracının depolama hesabına erişmeye çalıştığınızda bu sorun oluşur. Bu sorunun geçici bir çözümü, ortamınızda söz konusu depolama hesabına bağlanmak için kiracılar arası özel uç nokta oluşturmaktır.
Azure DNS Özel Çözümleyici'yi kullanarak DNS iletmeyi yapılandırmak için bu betiği şirket içi DNS sunucularınızda çalıştırın. değerini çözümleyicinin gelen uç nokta IP adresiyle değiştirin <resolver-ip>
.
$privateResolver = "<resolver-ip>"
$storageAccountEndpoint = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers $privateResolver
DNS ileticilerini onaylama
DNS ileticilerinin başarıyla uygulanıp uygulanmadığını test etmeden önce, kullanarak Clear-DnsClientCache
yerel iş istasyonunuzda DNS önbelleğini temizlemenizi öneririz. Depolama hesabınızın FQDN'sini başarıyla çözümleyebildiğinizi test etmek için veya nslookup
kullanınResolve-DnsName
.
# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note that the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net
Ad çözümlemesi başarılı olursa, çözümlenen IP adresinin depolama hesabınızın IP adresiyle eşleşdiğini görmeniz gerekir.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
SMB dosya paylaşımını bağlıyorsanız, komutunu kullanarak Test-NetConnection
depolama hesabınıza başarıyla tcp bağlantısı yapılabilmesini de onaylayabilirsiniz.
Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB