Azure 专用终结点 DNS 集成

Azure 专用终结点是一种网络接口,你可通过该接口私密安全地连接到由 Azure 专用链接提供支持的服务。 专用终结点使用虚拟网络中的专用 IP 地址,从而将该服务有效地引入虚拟网络。 该服务可以是 Azure 服务,例如 Azure 存储、Azure Cosmos DB、SQL 等,也可以是你自己的专用链接服务。 本文介绍 Azure 专用终结点的 DNS 配置方案。

有关支持专用终结点的 Azure 服务的专用 DNS 区域设置,请参阅 Azure 专用终结点专用 DNS 区域值

DNS 配置方案

服务的 FQDN 自动解析为公共 IP 地址。 若要解析为专用终结点的专用 IP 地址,请更改 DNS 配置。

DNS 是通过成功解析专用终结点 IP 地址使应用程序正常工作的一个关键组件。

根据你的偏好,以下方案适用于集成的 DNS 解析:

未使用 Azure 专用解析程序的虚拟网络工作负载

此配置适用于不带自定义 DNS 服务器的虚拟网络工作负载。 在此方案中,客户端会向 Azure 提供的 DNS 服务 168.63.129.16 查询专用终结点 IP 地址。 Azure DNS 负责专用 DNS 区域的 DNS 解析。

注意

此方案使用 Azure SQL 数据库建议的专用 DNS 区域。 对于其他服务,可以使用以下参考来调整模型:Azure 服务 DNS 区域配置

若要正确进行配置,需要以下资源:

以下屏幕截图显示了使用专用 DNS 区域的虚拟网络工作负载中的 DNS 解析序列:

单个虚拟网络和 Azure 提供的 DNS 的示意图。

未使用 Azure 专用解析程序的对等虚拟网络工作负载

可将此模型扩展到与同一专用终结点关联的对等互连虚拟网络。 向所有对等虚拟网络的专用 DNS 区域添加新的虚拟网络链接

重要

  • 此配置需要使用单个专用 DNS 区域。 为不同的虚拟网络创建具有相同名称的多个区域时,需要通过手动操作来合并 DNS 记录。

  • 如果你在不同的订阅或甚至在同一订阅的中心辐射型模型中使用专用终结点,请将同一专用 DNS 区域链接到包含需要从区域进行 DNS 解析的客户端的所有中心辐射型虚拟网络。

在此方案中,有一个中心辐射型网络拓扑。 辐射型网络共用一个专用终结点。 辐射型虚拟网络关联到同一专用 DNS 区域。

具有 Azure 提供的 DNS 的中心辐射型拓扑的示意图。

用于本地工作负载的 Azure 专用解析程序

要使本地工作负载能够解析专用终结点的 FQDN,请使用 Azure 专用解析程序来解析 Azure 中的 Azure 服务公共 DNS 区域。 Azure 专用解析程序是一种 Azure 托管服务,它可以解析 DNS 查询,而无需虚拟机充当 DNS 转发器。

以下方案适用于配置为使用 Azure 专用解析程序的本地网络。 专用解析程序将专用终结点的请求转发到 Azure DNS。

注意

此方案使用 Azure SQL 数据库建议的专用 DNS 区域。 对于其他服务,可按照以下参考来调整模型:Azure 服务 DNS 区域值

正确配置需要以下资源:

下图显示了本地网络中的 DNS 解析顺序。 该配置使用部署在 Azure 中的专用解析程序。 该解析是通过关联到虚拟网络的专用 DNS 区域进行的:

使用 Azure 专用 DNS 区域的本地网络的示意图。

使用本地 DNS 转发器的 Azure 专用解析程序

可以为已有 DNS 解决方案的本地网络扩展此配置。

将本地 DNS 解决方案配置为通过条件转发器将 DNS 流量转发到 Azure DNS。 该条件转发器引用部署在 Azure 中的专用解析程序。

注意

此方案使用 Azure SQL 数据库建议的专用 DNS 区域。 对于其他服务,可按照以下参考来调整模型:Azure 服务 DNS 区域值

若要正确进行配置,需要以下资源:

下图显示了本地网络中的 DNS 解析。 DNS 解析按条件转发到 Azure。 该解析是通过关联到虚拟网络的专用 DNS 区域进行的。

重要

条件转发必须指向建议的公共 DNS 区域转发器。 例如,database.chinacloudapi.cn 而不是 privatelink.database.chinacloudapi.cn。

本地网络转发到 Azure DNS 的示意图。

用于虚拟网络和本地工作负载的 Azure 专用解析程序

对于从虚拟网络和本地网络访问专用终结点的工作负载,请使用 Azure 专用解析程序来解析部署在 Azure 中的 Azure 服务公共 DNS 区域

以下方案适用于在 Azure 中具有虚拟网络的本地网络。 这两种网络都可访问位于共享中心网络的专用终结点。

专用解析程序负责通过 Azure 提供的 DNS 服务 168.63.129.16 解析所有 DNS 查询。

重要

此配置需要使用单个专用 DNS 区域。 所有从本地和对等虚拟网络建立的客户端连接也必须使用同一专用 DNS 区域。

注意

此方案使用 Azure SQL 数据库建议的专用 DNS 区域。 对于其他服务,可以使用以下参考来调整模型:Azure 服务 DNS 区域配置

若要正确进行配置,需要以下资源:

下图显示了两种网络(本地网络和虚拟网络)的 DNS 解析。 解决方法是使用 Azure 专用解析程序。

该解析是通过关联到虚拟网络的专用 DNS 区域进行的:

使用专用 DNS 区域的混合应用场景的示意图。

专用 DNS 区域组

如果你选择将你的私有终结点与专用 DNS 区域集成,则还会创建一个专用 DNS 区域组。 DNS 区域组在专用 DNS 区域与专用终结点之间具有很强的关联。 当专用终结点有更新时,它有助于管理专用 DNS 区域记录。 例如,添加或删除区域时,专用 DNS 区域将自动更新为正确的记录数。

以前,专用终结点的 DNS 记录是通过脚本创建的(检索有关专用终结点的某些信息,然后将其添加到 DNS 区域)。 如果使用 DNS 区域组,就无需为每个 DNS 区域编写任何额外的 CLI/PowerShell 行。 此外,删除专用终结点时,会删除 DNS 区域组中的所有 DNS 记录。

在中心辐射型拓扑中,常见方案仅允许在中心中创建一次专用 DNS 区域。 这种设置允许分支注册到它,而不是在每个分支中创建不同的区域。

注意

  • 每个 DNS 区域组最多可支持 5 个 DNS 区域。
  • 不支持将多个 DNS 区域组添加到单个专用终结点。
  • 可以看到,DNS 记录的删除和更新操作通过 Azure 流量管理器和 DNS 来执行。这是管理 DNS 记录所需的正常平台操作。

后续步骤