正确配置 DNS 设置,以将专用终结点 IP 地址解析为连接字符串(连接字符串)的完全限定域名(FQDN)非常重要。
现有Azure服务可能已有公共终结点的 DNS 配置。 必须替代此配置才能使用专用终结点进行连接。
与专用终结点关联的网络接口包含配置 DNS 所需的信息。 网络接口信息包括专用链接资源的 FQDN 和专用 IP 地址。
可使用以下选项来配置专用终结点的 DNS 设置:
使用主机文件(仅推荐用于测试)。 可以使用虚拟机上的主机文件来替代 DNS。
使用专用 DNS 区域。 可以使用 专用 DNS Zone 替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析特定域。
使用Azure专用解析程序(可选)。 可以使用Azure专用解析程序替代专用链接资源的 DNS 解析。 有关Azure专用解析程序的详细信息,请参阅 什么是Azure专用解析程序?
Caution
不建议覆盖正在有效用于解析公共终结点的区域。 如果不将 DNS 转发到公共 DNS,与资源的连接就无法正确解析。 为了避免出现问题,请为本文后面部分列出的每个服务创建不同的域名或使用建议的名称。
链接到单个Azure服务的现有专用 DNS区域不应与两个不同的Azure服务专用终结点相关联。 这将导致初始 A 记录被删除,并在尝试从各自的专用终结点访问该服务时,导致解析问题。 为类似服务的每个专用终结点创建一个 DNS 区域。 不要将多个服务的记录放置在同一 DNS 区域中。
Azure服务 DNS 区域配置
Azure在公共 DNS 上创建规范名称 DNS 记录(CNAME)。 CNAME 记录可将解析重定向到专用域名。 可以用专用终结点的专用 IP 地址替代解析。
现有应用程序的连接 URL 不会更改。 对公共 DNS 服务器的客户端 DNS 请求会解析到专用终结点。 此过程不会影响现有应用程序。
DNS 解析和访问控制是独立的。 公共 privatelink.<service>.<region>.<suffix> 区域中的 CNAME 链被特意设置为可以从 Internet 上的任何位置解析,以确保混合和渐进迁移方案能够继续运行,而不会中断现有的客户端。 成功的公共 DNS 查找仅确认全局Azure命名空间中存在具有该确切名称的资源。 它不会确认是否已附加专用终结点、显示专用终结点的 IP 或授予任何数据平面访问权限。 当资源具有公共 网络访问权限 设置为 “已禁用 ”(或服务防火墙拒绝调用方)时,无论 DNS 解析如何,服务都会拒绝前门的连接。 资源存在是可枚举的;资源访问不是。
Important
如果连接到公共终结点,则必须重新装载Azure文件共享。
Caution
- 对于任何给定资源类型(例如,privatelink.blob.core.chinacloudapi.cn/Storage 帐户),使用专用 DNS区域专用网络,如果这些公共资源没有任何现有的专用终结点连接,则只能将 DNS 查询解析为公共资源/公共 IP。 如果适用,则需要在专用 DNS区域中执行其他 DNS 配置才能完成 DNS 解析序列。 否则,专用 DNS区域将使用 NXDOMAIN 响应 DNS 查询,因为专用 DNS区域中找不到匹配的 DNS 记录。
- 回退为 Internet 可以通过私有 DNS 区域的虚拟网络链接来实现,以确保对公共资源的公共 IP 进行正确的 DNS 解析。 这允许将到达专用 DNS区域的 DNS 查询转发到Azure DNS进行公共解析。
- 或者,在包含公共资源公共 IP 的专用 DNS区域中手动输入的 A 记录将允许适当的 DNS 解析。 不建议使用此过程,因为如果公共资源对应的公共 IP 地址发生更改,则不会自动更新专用 DNS区域中 A 记录的公共 IP。
- 只有在使用下表中建议的命名方案时,才会自动生成专用终结点专用 DNS 区域配置。
对于Azure服务,请使用建议的区域名称,如下表所述:
China
AI + 机器学习
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 机器学习 (Microsoft.MachineLearningServices/workspaces) | amlworkspace | privatelink.api.ml.azure.cn privatelink.notebooks.chinacloudapi.cn |
api.ml.azure.cn notebooks.chinacloudapi.cn instances.azureml.cn aznbcontent.net inference.ml.azure.cn |
Analytics
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 数据工厂 (Microsoft.DataFactory/factories) | dataFactory | privatelink.datafactory.azure.cn | datafactory.azure.cn |
| Azure 数据工厂 (Microsoft.DataFactory/factories) | 门户 | privatelink.adf.azure.cn | adf.azure.cn |
| Azure HDInsight (Microsoft.HDInsight) | gateway headnode |
privatelink.azurehdinsight.cn | azurehdinsight.cn |
| Azure 数据资源管理器 (Microsoft.Kusto/Clusters) | 群集 | privatelink.{regionName}.kusto.windows.cn | {regionName}.kusto.windows.cn |
计算
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure Batch (Microsoft.Batch/batchAccounts) | batchAccount | privatelink.batch.chinacloudapi.cn | {region}.batch.chinacloudapi.cn |
| Azure Batch (Microsoft.Batch/batchAccounts) | nodeManagement | privatelink.batch.chinacloudapi.cn | {region}.service.batch.chinacloudapi.cn |
| Azure 虚拟桌面 (Microsoft.DesktopVirtualization/workspaces) | global | privatelink-global.wvd.azure.cn | wvd.azure.cn |
| Azure 虚拟桌面 (Microsoft.DesktopVirtualization/workspaces 和 Microsoft.DesktopVirtualization/hostpools) | feed 连接 |
privatelink.wvd.azure.cn | wvd.azure.cn |
容器
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|
Databases
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure SQL 数据库 (Microsoft.Sql/servers) | sqlServer | privatelink.database.chinacloudapi.cn | database.chinacloudapi.cn |
| Azure Cosmos DB (Microsoft.DocumentDB/databaseAccounts) | Sql | privatelink.documents.azure.cn | documents.azure.cn |
| Azure Cosmos DB (Microsoft.DocumentDB/databaseAccounts) | MongoDB | privatelink.mongo.cosmos.azure.cn | mongo.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.DocumentDB/databaseAccounts) | Cassandra | privatelink.cassandra.cosmos.azure.cn | cassandra.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.DocumentDB/databaseAccounts) | Gremlin | privatelink.gremlin.cosmos.azure.cn | gremlin.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.DocumentDB/databaseAccounts) | Table | privatelink.table.cosmos.azure.cn | table.cosmos.azure.cn |
| Azure Database for PostgreSQL - 单一服务器(Microsoft.DBforPostgreSQL/servers) | postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| Azure Database for PostgreSQL - 灵活服务器(Microsoft.DBforPostgreSQL/flexibleServers) | postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| Azure Database for MySQL - 单一服务器(Microsoft.DBforMySQL/servers) | mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| Azure Database for MySQL - 灵活服务器(Microsoft.DBforMySQL/flexibleServers) | mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) | mariadbServer | privatelink.mariadb.database.chinacloudapi.cn | mariadb.database.chinacloudapi.cn |
| Azure Cache for Redis (Microsoft.Cache/Redis) | redisCache | privatelink.redis.cache.chinacloudapi.cn | redis.cache.chinacloudapi.cn |
混合 + 多云
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|
Integration
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 服务总线 (Microsoft.ServiceBus/namespaces) | 命名空间 | privatelink.servicebus.chinacloudapi.cn | servicebus.chinacloudapi.cn |
物联网 (IoT)
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure IoT 中心 (Microsoft.Devices/IotHubs) | iotHub | privatelink.azure-devices.cn privatelink.servicebus.chinacloudapi.cn 1 |
azure-devices.cn servicebus.chinacloudapi.cn |
| Azure IoT 中心设备预配服务(Microsoft.Devices/ProvisioningServices) | iotDps | privatelink.azure-devices-provisioning.cn | azure-devices-provisioning.cn |
Media
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|
管理和治理
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 自动化/ (Microsoft.Automation/automationAccounts) | Webhook DSCAndHybridWorker |
privatelink.azure-automation.cn | azure-automation.cn |
安全性
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 密钥保管库 (Microsoft.KeyVault/vaults) | vault | privatelink.vaultcore.azure.cn | vaultcore.azure.cn |
存储
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| 存储帐户 (Microsoft.Storage/storageAccounts) | blob blob_secondary |
privatelink.blob.core.chinacloudapi.cn | blob.core.chinacloudapi.cn |
| 存储帐户 (Microsoft.Storage/storageAccounts) | table table_secondary |
privatelink.table.core.chinacloudapi.cn | table.core.chinacloudapi.cn |
| 存储帐户 (Microsoft.Storage/storageAccounts) | queue queue_secondary |
privatelink.queue.core.chinacloudapi.cn | queue.core.chinacloudapi.cn |
| 存储帐户 (Microsoft.Storage/storageAccounts) | file file_secondary |
privatelink.file.core.chinacloudapi.cn | file.core.chinacloudapi.cn |
| 存储帐户 (Microsoft.Storage/storageAccounts) | web web_secondary |
privatelink.web.core.chinacloudapi.cn | web.core.chinacloudapi.cn |
| Azure Data Lake 文件系统 Gen2 (Microsoft.Storage/storageAccounts) | dfs dfs_secondary |
privatelink.dfs.core.chinacloudapi.cn | dfs.core.chinacloudapi.cn |
| Azure 文件同步 (Microsoft.StorageSync/storageSyncServices) | afs | privatelink.afs.azure.cn | afs.azure.cn |
Web
| 私有链接资源类型 | Subresource | 专用 DNS区域名称 | 公共 DNS 区域转发器 |
|---|---|---|---|
| Azure 事件中心 (Microsoft.EventHub/namespaces) | 命名空间 | privatelink.servicebus.chinacloudapi.cn | servicebus.chinacloudapi.cn |
| Azure 中继 (Microsoft.Relay/namespaces) | 命名空间 | privatelink.servicebus.chinacloudapi.cn | servicebus.chinacloudapi.cn |
| Azure Web 应用(Microsoft.Web/sites) | sites | privatelink.chinacloudsites.cn | chinacloudsites.cn |
| SignalR (Microsoft.SignalRService/SignalR) | signalR | privatelink.signalr.azure.cn | service.signalr.azure.cn |
1若要使用与IoT 中心 内置的事件中心兼容的终结点。 有关详细信息,请参阅IoT 中心对具有 Azure 专用链接 的虚拟网络的支持。
后续步骤
若要详细了解 DNS 集成以及 Azure 专用链接 的使用场景,请阅读以下文章。