Integrieren eines privaten Endpunkts in Domain Name Service

8 Minuten

Private DNS-Zonen werden in der Regel im selben Azure-Abonnement gehostet, in dem das virtuelle Hubnetzwerk bereitgestellt wird. Dieses zentrale Hosting wird für die standortübergreifende DNS-Namensauflösung empfohlen. In den meisten Fällen verfügen nur Netzwerk- und Identitätsadministratoren über Berechtigungen zum Verwalten von DNS-Einträgen in diesen Zonen.

DNS-Konfiguration für private Azure-Endpunkte

Dieses Diagramm zeigt eine typische allgemeine Architektur für Unternehmensumgebungen mit zentraler DNS-Auflösung (Domain Name Service). Die Namensauflösung für Private Link-Ressourcen erfolgt über Privates DNS in Azure.

Diagramm des allgemeinen Workflows von Unternehmensumgebungen mit zentraler DNS-Auflösung.

Im vorherigen Diagramm ist es wichtig, Folgendes hervorzuheben:

Lokale DNS-Server haben bedingte Weiterleitungen für jeden privaten Endpunkt konfiguriert.
Die DNS-Server im virtuellen Hubnetzwerk verwenden den von Azure bereitgestellten DNS-Konfliktlöser als Weiterleitung.
Für alle Azure-VNets sind die DNS-Weiterleitungen als primärer und sekundärer DNS-Server konfiguriert.
DNS-Datensätze folgen dem Lebenszyklus des privaten Endpunkts.

Bedeutung der IP-Adresse 168.63.129.16

Die IP-Adresse 168.63.129.16 ist eine virtuelle öffentliche IP-Adresse, die einen Kommunikationskanal zu den Ressourcen der Azure-Plattform ermöglicht.

Ermöglicht die Kommunikation zwischen VM-Agent und Azure-Plattform, um zu signalisieren, dass er sich im Zustand „Bereit“ befindet.
Ermöglicht die Kommunikation mit dem virtuellen DNS-Server, um eine gefilterte Namensauflösung bereitzustellen. Diese Filterung stellt sicher, dass Kunden nur die Hostnamen ihrer Ressourcen auflösen können.
Ermöglicht Integritätstests des Azure Load Balancers, um den Integritätszustand der Virtual Machines zu ermitteln.
Ermöglicht es Virtual Machines, eine dynamische IP-Adresse vom DHCP-Dienst in Azure abzurufen.
Ermöglicht Heartbeatnachrichten für die PaaS-Rolle.

Szenarien der DNS-Konfiguration

Der FQDN der Dienste wird automatisch in eine öffentliche IP-Adresse aufgelöst. Ändern Sie die DNS-Konfiguration, um die private IP-Adresse in den privaten Endpunkt aufzulösen.

DNS ist durch die Auflösung der IP-Adresse des privaten Endpunkts eine kritische Komponente für die ordnungsgemäße Funktion der Anwendung.

Basierend auf Ihren Einstellungen sind die folgenden Szenarien mit integrierter DNS-Auflösung verfügbar.

Lokale Workloads mit DNS-Weiterleitung

Damit der FQDN eines privaten Endpunkts von lokalen Workloads aufgelöst werden kann, verwenden Sie eine DNS-Weiterleitung, um die öffentliche DNS-Zone des Azure-Diensts in Azure aufzulösen. Eine DNS-Weiterleitung ist eine Virtual Machine, die im virtuellen Netzwerk ausgeführt wird, das mit der privaten DNS-Zone verknüpft ist. Die Abfrage muss vom virtuellen Netzwerk an Azure DNS erfolgen. Einige Optionen für DNS-Proxys sind: Unter Windows ausgeführte DNS-Dienste, unter Linux ausgeführte DNS-Dienste und Azure Firewall.

Dieses Diagramm veranschaulicht die DNS-Auflösungssequenz von einem lokalen Netzwerk. In der Konfiguration wird eine in Azure bereitgestellte DNS-Weiterleitung verwendet. Die Auflösung erfolgt durch eine private DNS-Zone, die mit einem virtuellen Netzwerk verknüpft ist.

Diagramm, das die DNS-Auflösungssequenz von einem lokalen Netzwerk mithilfe einer in Azure bereitgestellten DNS-Weiterleitung veranschaulicht.

Für die Konfiguration dieses Szenario benötigen Sie Folgendes:

Lokales Netzwerk.
Virtuelles Netzwerk mit Verbindung zum lokalem Standort.
In Azure bereitgestellte DNS-Weiterleitung.
Zonen im privaten DNS „privatelink.database.windows.net“ mit A-Datensatz.
Informationen zum privaten Endpunkt (Name des FQDN-Datensatzes und private IP-Adresse).

Virtuelles Netzwerk und lokale Workloads mit Azure DNS Private Resolver

Wenn Sie DNS Private Resolver verwenden, benötigen Sie keine VM zur DNS-Weiterleitung, da Azure DNS in der Lage ist, lokale Domänennamen aufzulösen.

Dieses Diagramm verwendet DNS Private Resolver in einer Hub-Spoke-Netzwerktopologie. Als bewährte Methode empfiehlt das Entwurfsmuster der Azure-Zielzone die Verwendung dieser Art von Topologie. Eine Hybridnetzwerkverbindung wird mithilfe von Azure ExpressRoute und Azure Firewall eingerichtet. Dieses Setup bietet ein sicheres Hybridnetzwerk. DNS Private Resolver wird im Hubnetzwerk bereitgestellt.

Diagramm, das lokale Workloads mit Azure DNS Private Resolver veranschaulicht.

Überprüfen der DNS Private Resolver-Lösungskomponenten
Überprüfen des Datenverkehrsflusses für eine lokale DNS-Abfrage
Überprüfen des Datenverkehrsflusses für eine VM-DNS-Abfrage
Überprüfen des Datenverkehrsflusses für eine VM-DNS-Abfrage über DNS Private Resolver
Überprüfen des Datenverkehrsflusses für eine VM-DNS-Abfrage über einen lokalen DNS-Server

Überprüfen Sie Ihr Wissen

Welche Ressource ist einem privaten Endpunkt zugeordnet und enthält die Informationen zum Konfigurieren Ihres DNS für den privaten Endpunkt?

Das virtuelle Netzwerk

Die Netzwerkschnittstelle

Die private DNS-Zone

Welche Bedeutung hat die IP-Adresse 168.63.129.16?

Sie ist eine nichtvirtuelle öffentliche IP-Adresse, die verwendet wird, um einen Kommunikationskanal zu Azure-Plattformressourcen zu unterstützen.

Es handelt sich um die statische Adresse einer DNS-Weiterleitung.

Sie ist eine virtuelle öffentliche IP-Adresse, die verwendet wird, um einen Kommunikationskanal zu Azure-Plattformressourcen zu unterstützen.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.