创建Azure专用终结点时,它默认使用Azure Private DNS区域进行名称解析。 对于访问终结点的本地工作负荷,需要将转发器转发到托管 DNS 或专用终结点的本地 DNS 记录Azure中的虚拟机。 Azure私有解析器可减少在 Azure 中部署用于 DNS 的 VM 或在本地 DNS 服务器上管理私有终结点 DNS 记录的需求。
本教程中,您将学习如何:
- 为云网络和模拟内部部署网络创建 Azure 虚拟网络,并实现虚拟网络对等互连。
- 创建Azure Web 应用来模拟云资源。
- 在Azure Virtual Network中为 Web 应用创建Azure专用终结点。
- 在云网络中创建Azure专用解析程序。
- 在模拟的本地网络中创建Azure虚拟机,以测试 Web 应用的 DNS 解析。
注释
与对等互连的 Azure 虚拟网络用于模拟本地网络,用于本教程。 在生产方案中,需要Express Route或 site to site VPN连接到Azure Virtual Network才能访问专用终结点。
模拟网络配置为Azure专用解析程序作为虚拟网络的 DNS 服务器。 在生产方案中,本地资源将使用本地 DNS 服务器进行名称解析。 本地 DNS 服务器上使用Azure专用解析程序的条件转发器来解析专用终结点 DNS 记录。 有关为 DNS 服务器配置条件转发器的详细信息,请参阅提供商的文档。
先决条件
- 具有活动订阅的Azure帐户。 创建试用版订阅。
登录到 Azure
使用Azure帐户登录到 Azure 门户。
概述
Azure Web 应用的虚拟网络和模拟的本地网络用于本教程中的资源。 创建两个虚拟网络并将其对等互连,以模拟本地与Azure之间的快速路由或 VPN 连接。 Azure Bastion主机部署在模拟的本地网络中,以连接到测试虚拟机。 测试虚拟机用于测试与 Web 应用的专用终结点连接和 DNS 解析。
本教程使用以下资源来模拟本地和云网络基础结构:
| 资源 | 名称 | 说明 |
|---|---|---|
| 模拟的本地虚拟网络 | vnet-1 | 模拟本地网络的虚拟网络。 |
| 云虚拟网络 | vnet-2 | 部署Azure Web 应用的虚拟网络。 |
| Bastion 主机 | bastion | 用于连接到模拟的本地网络中的虚拟机的 Bastion 主机。 |
| 测试虚拟机 | vm-1 | 用于测试与 Web 应用的专用终结点连接和 DNS 解析的虚拟机。 |
| 虚拟网络对等机 | vnet-1-to-vnet-2 | 模拟的本地网络环境与云虚拟网络之间的虚拟网络对等连接。 |
| 虚拟网络对等机 | vnet-2-to-vnet-1 | 云虚拟网络与模拟的本地网络环境之间的虚拟网络对等连接。 |
创建资源组
资源组是Azure资源的逻辑容器。 此过程为本教程中使用的所有资源创建资源组。
在门户中,搜索并选择“资源组”。
在 “资源组 ”页上,选择“ + 创建”。
在 “基本信息 ”选项卡上,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅。 资源组 输入 test-rg。 资源详细信息 Region 选择“中国东部 2”。 选择“查看 + 创建”,然后选择“创建”。
创建虚拟网络
以下过程将创建一个包含资源子网的虚拟网络。
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在“创建虚拟网络”的“基本信息”选项卡上,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅。 资源组 选择 test-rg。 实例详细信息 名称 输入“vnet-1”。 Region 选择“中国东部 2”。 选择下一步,转到安全性选项卡。
选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
设置 价值 子网详细信息 子网模板 保留默认值“默认”。 名称 输入subnet-1。 起始地址 保留默认值“10.0.0.0”。 子网大小 保留默认值 /24(256 个地址)。 选择“保存”。
选择屏幕底部的“查看 + 创建”,然后在验证通过时选择“创建”。
部署Azure Bastion
Azure Bastion 使用浏览器通过安全外壳协议(SSH)或远程桌面协议(RDP),利用私有 IP 地址连接到虚拟网络中的 VM。 虚拟机不需要公共 IP 地址、客户端软件或特殊配置。 有关Azure Bastion的详细信息,请参阅 Azure Bastion。
注释
无论出站数据使用情况如何,按小时定价都从部署 Bastion 的时间开始算起。 有关详细信息,请参阅 定价 和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
在门户顶部的搜索框中,输入“堡垒”。 在搜索结果中选择 Bastions 。
选择+ 新建。
在“创建 Bastion”的“基本”选项卡中,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅。 资源组 选择 test-rg。 实例详细信息 名称 输入 堡垒。 Region 选择“中国东部 2”。 级 选择 “开发人员”。 配置虚拟网络 虚拟网络 选择“vnet-1”。 选择“查看 + 创建”。
选择“创建”。
Bastion 主机部署完成需要几分钟时间。 稍后将在本教程中使用堡垒主机连接到“本地”虚拟机以测试专用终结点。 创建虚拟网络后,可以继续执行后续步骤。
创建云虚拟网络
重复上述步骤,为 Azure Web 应用专用终结点创建云虚拟网络。 请将下列数值替换为云虚拟网络的数值:
注释
可以跳过云虚拟网络的Azure Bastion部署部分。 只有模拟的本地网络才需要 Bastion 主机。
| 设置 | 价值 |
|---|---|
| 名称 | vnet-2 |
| 位置 | 中国东部 2**** |
| 地址空间 | 10.1.0.0/16 |
| 子网名称 | subnet-1 |
| 子网地址范围 | 10.1.0.0/24 |
创建虚拟网络对等连接
使用以下步骤在 vnet1 和 vnet2 之间创建双向网络对等连接。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-1”。
在设置中选择对等互连。
选择+ 添加。
在“添加对等连接”中输入或选择以下信息:
设置 价值 远程虚拟网络摘要 对等连接名称 输入 vnet-2-to-vnet-1。 虚拟网络部署模型 保留默认值 Resource Manager。 Subscription 选择订阅。 虚拟网络 选择“vnet-2”。 远程虚拟网络的对等互连设置 允许“vnet-2”访问“vnet-1” 保持默认选项为“已选择”。 允许“vnet-2”接收来自“vnet-1”的转发流量 选中复选框。 允许“vnet-2”中的网关或路由服务器将流量转发到“vnet-1” 保持默认设置为“已清除”。 启用“vnet-2”以使用“vnet-1”远程网关或路由服务器 保持默认设置为“已清除”。 本地虚拟网络对等互连概述 对等连接名称 输入 vnet-1-to-vnet-2。 本地虚拟网络对等连接设置 允许“vnet-1”访问“vnet-2” 保持默认选项为“已选择”。 允许“vnet-1”接收来自“vnet-2”的转发流量 选中复选框。 允许“vnet-1”中的网关或路由服务器将流量转发到“vnet-2” 保持默认设置为“已清除”。 启用“vnet-1”以使用“vnet-2”的远程网关或路由服务器 保持默认设置为“已清除”。 
选择 并添加。
创建 Web 应用
在门户顶部的搜索框中,输入“应用服务”。 在搜索结果中选择“应用服务”。
选择+ 新建。
在“创建 Web 应用”的“基本信息”选项卡中,输入或选择以下信息。
设置 价值 项目详情 Subscription 选择订阅。 资源组 选择 test-rg。 实例详细信息 名称 输入 Web 应用的唯一名称。 名称“webapp8675”用于本教程中的示例。 发布 选择 Code。 运行时堆栈 选择 .NET 8 (LTS)。 操作系统 选择 Windows。 Region 选择“中国东部 2”。 定价计划 Windows计划 (中国东部 2) 保留默认名称。 定价计划 选择更改大小。 在“规格选取器”中,为工作负载选择“生产”。
在“建议的定价层”中,选择“P1V2”。
选择应用。
选择“下一步: 部署”。
选择下一步:网络。
将“启用公共访问”更改为 false。
选择“查看 + 创建”。
选择“创建”。
创建专用终结点
Azure专用终结点为虚拟网络中受支持的Azure服务创建网络接口。 专用终结点允许通过专用连接从 Azure 虚拟网络或本地网络访问 Azure 服务。
为前面创建的 Web 应用创建一个专用终结点。
在门户顶部的搜索框中,输入“专用端点”。 在搜索结果中选择“专用终结点”。
选择+ 新建。
在“创建专用终结点”的“基本信息”选项卡中,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅 资源组 选择 test-rg。 实例详细信息 名称 输入 private-endpoint。 网络接口名称 保留默认名称。 Region 选择“中国东部 2”。 选择 “下一步:资源”。
在“资源”选项卡中输入或选择以下信息:
设置 价值 连接方法 选择连接到我目录中的 Azure 资源。 Subscription 选择订阅。 资源类型 选择 Microsoft.Web/sites。 资源 选择你的 Web 应用。 名称“webapp8675”用于本教程中的示例。 目标子资源 选择站点。 选择 Next: Virtual Network。
在 Virtual Network 选项卡中输入或选择以下信息:
设置 价值 网络 虚拟网络 选择 vnet-2 (test-rg)。 子网 选择 subnet-1。 私有终结点的网络策略 保留默认值“禁用”。 专用 IP 配置 选择“静态分配 IP 地址”。 名称 输入 ipconfig-1。 专用 IP 输入“10.1.0.10”。 选择 “下一步:DNS”。
在“DNS”选项卡中保留默认值。
选择 “下一步:标记”,然后选择 “下一步:查看 + 创建”。
选择“创建”。
创建专用解析程序
在专用终结点所在的虚拟网络中创建一个专用解析程序。 该解析程序会接收来自模拟的本地工作负载的 DNS 请求。 这些请求将转发到提供的Azure DNS。 Azure 提供的 DNS 服务器解析用于专用终结点的 Azure 专用 DNS 区域,并将 IP 地址返回到本地工作负载。
在门户顶部的搜索框中,输入“DNS 专用解析程序”。 在搜索结果中选择“DNS 专用解析程序”。
选择+ 新建。
在“创建 DNS 专用解析程序”的“基本信息”选项卡中,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅。 资源组 选择 test-rg 实例详细信息 名称 输入 private-resolver。 Region 选择“(亚太)中国东部 2”。 虚拟网络 虚拟网络 选择“vnet-2”。 选择“下一步: 入站终结点”。
在“入站节点”中,选择“+ 添加节点”。
在“添加入站终结点”中输入或选择以下信息:
设置 价值 终结点名称 输入 inbound-endpoint。 子网 选择“新建”。
在名称中输入子网解析程序。
保留默认 子网地址范围。
选择“创建”。选择“保存”。
选择“查看 + 创建”。
选择“创建”。
专用解析程序部署完成后,继续执行后续步骤。
为模拟网络设置 DNS
以下步骤将专用解析程序设置为模拟的本地网络 vnet-1 的主要 DNS 服务器。
在生产环境中不需要执行这些步骤,这些步骤只是用于模拟专用终结点的 DNS 解析。 你的本地 DNS 服务器具有一个指向此 IP 地址的条件转发器,用于解析来自本地网络的专用终结点 DNS 记录。
在门户顶部的搜索框中,输入“DNS 专用解析程序”。 在搜索结果中选择“DNS 专用解析程序”。
选择 private-resolver。
在设置中选择入站终结点。
记下名为 inbound-endpoint 的终结点的 IP 地址。 在本教程的示例中,IP 地址为 10.1.1.4。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-1”。
在“设置”中选择“DNS 服务器”。
在“DNS 服务器”中选择“自定义”。
输入前面记下的 IP 地址。 在本教程的示例中,IP 地址为 10.1.1.4。
选择“保存”。
创建测试虚拟机
以下过程会在虚拟网络中创建一个名为 vm-1 的测试虚拟机 (VM)。
在门户中,搜索并选择“虚拟机”。
在 Virtual machines 中,选择 + Create。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
设置 价值 项目详情 Subscription 选择订阅。 资源组 选择 test-rg。 实例详细信息 虚拟机名称 输入 vm-1。 Region 选择“中国东部 2”。 可用性选项 选择 “不需要基础结构冗余”。 安全类型 保留默认值 “标准”。 图像 选择 Windows Server 2022 Datacenter - x64 Gen2。 VM 架构 保留默认值 x64。 大小 请选择尺寸。 管理员帐户 身份验证类型 选择密码。 用户名 输入“azureuser”。 密码 输入密码。 确认密码 重新输入密码。 入站端口规则 公共入站端口 选择 “无”。 选择页面顶部的“网络”选项卡。
在“网络”选项卡中,输入或选择以下信息:
设置 价值 网络接口 虚拟网络 选择“vnet-1”。 子网 选择子网 1(10.0.0.0/24)。 公共 IP 选择 “无”。 NIC 网络安全组 选择 “高级”。 配置网络安全组 选择“新建”。
在“名称”中输入“nsg-1”。
将其余选项保留为默认设置,然后选择确定。将其余设置保留为默认值,然后选择“查看 + 创建”。
检查设置,然后选择“创建”。
注释
在具有堡垒主机的虚拟网络中,虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP,虚拟机使用专用 IP 在网络中进行通信。 可以从堡垒托管的虚拟网络的任何虚拟机中删除公共 IP。 有关详细信息,请参阅 从 Azure VM 分离公共 IP 地址。
注释
Azure 为未分配公共 IP 地址或在 Azure 内部基础负载均衡器后端池中的 VM 提供默认的出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机被放置在标准负载均衡器的后端池中,可以有出站规则,也可以没有。
- Azure NAT Gateway 资源分配给 VM 的子网。
在灵活协调模式下使用虚拟机规模集创建的 VM 没有默认的出站访问。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问 和 使用源网络地址转换(SNAT)进行出站连接。
测试与专用终端的连接
在本部分中,你使用在上一步骤中创建的虚拟机通过专用终结点连接到 Web 应用。
在门户顶部的搜索框中,输入 虚拟机。 在搜索结果中,选择“虚拟机”。
选择 vm-1。
在 vm-1 的概述页面上,选择“连接”,然后选择“Bastion”。
输入在创建虚拟机期间输入的用户名和密码。
选择“连接”按钮。
连接后,在服务器上打开 Windows PowerShell。
输入
nslookup <webapp-name>.chinacloudsites.cn。 将 <webapp-name> 替换为在之前的步骤中创建的 Web 应用的名称。 你将收到类似于以下输出的消息:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp.privatelink.chinacloudsites.cn Address: 10.1.0.10 Aliases: webapp.chinacloudsites.cnWeb 应用名称返回的专用 IP 地址是 10.1.0.10。 此地址位于你之前创建的 vnet-2 虚拟网络的 subnet-1 子网中。
打开Microsoft Edge,然后输入 Web 应用的 URL,
https://<webapp-name>.chinacloudsites.cn。验证是否收到默认 Web 应用页面。
关闭到 vm-1 的连接。
在本地计算机上打开 Web 浏览器并输入 Web 应用的 URL,即
https://<webapp-name>.chinacloudsites.cn。验证是否收到 403 页面。 此页面指示无法从外部访问 Web 应用。
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在Azure门户中,搜索并选择Resource 组。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
后续步骤
在本教程中,你已了解如何部署专用解析程序和专用终结点。 你已测试从模拟本地网络到专用终结点的连接。
请继续学习下一篇文章,了解如何...