【Azure云】Azure专用端点DNS集成

Azure Private Endpoint是一个网络接口，可将您安全地连接到由Azure Private Link提供支持的服务。专用端点使用虚拟网络中的专用IP地址，有效地将服务带入虚拟网络。该服务可以是Azure服务，如Azure Storage、Azure Cosmos DB、SQL等，也可以是您自己的专用链接服务。本文介绍Azure专用端点的DNS配置方案。

有关支持专用终结点的Azure服务的专用DNS区域设置，请参阅Azure专用终结点专用DNS区域值。

DNS配置方案

服务的FQDN自动解析为公共IP地址。若要解析为专用终结点的专用IP地址，请更改DNS配置。

DNS是通过成功解析专用端点IP地址使应用程序正常工作的关键组件。

根据您的偏好，以下场景可用于集成DNS解析：

• 没有Azure专用解析程序的虚拟网络工作负载
• 在没有Azure专用解析程序的情况下对等虚拟网络工作负载
• 用于内部部署工作负载的Azure专用解析程序
• 带有内部部署DNS转发器的Azure专用解析程序
• 用于虚拟网络和本地工作负载的Azure专用解析程序

没有Azure专用解析程序的虚拟网络工作负载

此配置适用于没有自定义DNS服务器的虚拟网络工作负载。在这种情况下，客户端向Azure提供的DNS服务168.63.129.16查询私有端点IP地址。Azure DNS负责私有DNS区域的DNS解析。

笔记

此方案使用Azure SQL数据库推荐的专用DNS区域。对于其他服务，您可以使用以下参考调整模型：Azure服务DNS区域配置。

要正确配置，您需要以下资源：

• 客户端虚拟网络
• 具有类型A记录的专用DNS区域privatelink.database.windows.net
• 专用端点信息（FQDN记录名称和专用IP地址）

以下屏幕截图显示了使用专用DNS区域的虚拟网络工作负载的DNS解析序列：

单个虚拟网络和Azure提供的DNS的关系图。

在没有Azure专用解析程序的情况下对等虚拟网络工作负载

您可以将此模型扩展到与同一专用端点关联的对等虚拟网络。将新的虚拟网络链接添加到所有对等虚拟网络的专用DNS区域。

重要的

• 此配置需要一个专用DNS区域。为不同的虚拟网络创建多个具有相同名称的区域将需要手动操作来合并DNS记录。
• 如果您在集线器和轮辐模型中使用来自不同订阅甚至同一订阅的专用端点，请将相同的专用DNS区域链接到所有轮辐和集线器虚拟网络，这些网络包含需要从区域进行DNS解析的客户端。

在这个场景中，有一个轮辐式网络拓扑。轮辐网络共享一个专用端点。轮辐虚拟网络链接到同一个专用DNS区域。

集线器和轮辐与Azure提供的DNS的关系图。

用于内部部署工作负载的Azure专用解析程序

对于要解析专用终结点FQDN的内部部署工作负载，请使用Azure专用解析程序解析Azure中的Azure服务公共DNS区域。Azure Private Resolver是一种Azure托管服务，它可以解析DNS查询，而不需要充当DNS转发器的虚拟机。

以下场景适用于配置为使用Azure专用解析程序的内部部署网络。专用解析程序将对专用终结点的请求转发到Azure DNS。

笔记

此方案使用Azure SQL数据库推荐的专用DNS区域。对于其他服务，您可以使用以下参考调整模型：Azure服务DNS区域值。

正确配置需要以下资源：

• 内部部署网络
• 连接到内部部署的虚拟网络
• Azure专用解析程序
• 具有类型A记录的专用DNS区域privatelink.database.windows.net
• 专用端点信息（FQDN记录名称和专用IP地址）

下图说明了来自本地网络的DNS解析序列。该配置使用部署在Azure中的专用解析程序。该解析由链接到虚拟网络的专用DNS区域进行：

使用Azure DNS的内部部署图。

带有内部部署DNS转发器的Azure专用解析程序

此配置可以扩展到已经有DNS解决方案的本地网络。

本地DNS解决方案配置为通过条件转发器将DNS流量转发到Azure DNS。条件转发器引用Azure中部署的专用解析程序。

笔记

此方案使用Azure SQL数据库推荐的专用DNS区域。对于其他服务，您可以使用以下参考调整模型：Azure服务DNS区域值

要正确配置，您需要以下资源：

• 具有自定义DNS解决方案的内部部署网络
• 连接到内部部署的虚拟网络
• Azure专用解析程序
• 具有类型A记录的专用DNS区域privatelink.database.windows.net
• 专用端点信息（FQDN记录名称和专用IP地址）

下图说明了来自本地网络的DNS解析。DNS解析有条件地转发到Azure。该解析是由链接到虚拟网络的专用DNS区域进行的。

重要的

必须向推荐的公共DNS区域转发器进行条件转发。例如：database.windows.net而不是privatelink.database.windows.net。

本地转发到Azure DNS的图表。

用于虚拟网络和本地工作负载的Azure专用解析程序

对于从虚拟和本地网络访问专用端点的工作负载，请使用Azure专用解析程序来解析部署在Azure中的Azure服务公共DNS区域。

以下场景适用于Azure中具有虚拟网络的内部部署网络。两个网络都访问位于共享集线器网络中的专用端点。

专用解析程序负责通过Azure提供的DNS服务168.63.129.16解析所有DNS查询。

重要的

此配置需要一个专用DNS区域。从内部部署和对等虚拟网络建立的所有客户端连接也必须使用相同的专用DNS区域。

笔记

此方案使用Azure SQL数据库推荐的专用DNS区域。对于其他服务，您可以使用以下参考调整模型：Azure服务DNS区域配置。

要正确配置，您需要以下资源：

• 内部部署网络
• 连接到内部部署的虚拟网络
• 对等虚拟网络
• Azure专用解析程序
• 具有类型A记录的专用DNS区域privatelink.database.windows.net
• 专用端点信息（FQDN记录名称和专用IP地址）

下图显示了网络、本地网络和虚拟网络的DNS解析。该解析正在使用Azure专用解析程序。

该解析由链接到虚拟网络的专用DNS区域进行：

混合场景图。

专用DNS区域组

如果您选择将专用端点与专用DNS区域集成，则还会创建一个专用DNS区域组。DNS区域组在专用DNS区域和专用终结点之间具有强关联。当专用端点上有更新时，它有助于管理专用DNS区域记录。例如，添加或删除区域时，专用DNS区域会自动更新为正确数量的记录。

以前，专用端点的DNS记录是通过脚本创建的（检索有关专用端点的某些信息，然后将其添加到DNS区域）。有了DNS区域组，就不需要为每个DNS区域写入任何额外的CLI/Phell行。此外，当您删除专用终结点时，DNS区域组中的所有DNS记录都将被删除。

在轮辐式拓扑中，一种常见的场景只允许在集线器中创建一次专用DNS区域。这种设置允许辐条注册到它，而不是在每个辐条中创建不同的区域。

笔记

• 每个DNS区域组最多可以支持5个DNS区域。
• 不支持将多个DNS区域组添加到单个专用终结点。
• 可以看到Azure Traffic Manager和DNS执行DNS记录的删除和更新操作。这是管理DNS记录所必需的正常平台操作。

接下来的步骤

• Learn about private endpoints