Integrare un endpoint privato con DNS

Completato

Le zone DNS privato sono in genere ospitate nella stessa sottoscrizione di Azure in cui viene distribuita la rete virtuale dell'hub. Questa procedura di hosting centrale è consigliata per la risoluzione dei nomi DNS cross-premise. Nella maggior parte dei casi, solo gli amministratori di rete e identità hanno le autorizzazioni per gestire i record DNS in queste zone.

Configurazione DNS dell'endpoint privato di Azure

Questo diagramma illustra un'architettura generale tipica per gli ambienti aziendali con risoluzione DNS (Domain Name Service) centrale. La risoluzione dei nomi per le risorse Collegamento privato viene eseguita tramite DNS privato di Azure.

Nel diagramma precedente è importante evidenziare:

• I server DNS locali hanno server d'inoltro condizionale configurati per ogni Endpoint privato.
• I server DNS nella rete virtuale dell'hub usano il resolver DNS fornito da Azure come server d'inoltro.
• Tutte le reti virtuali di Azure hanno i server d'inoltro DNS configurati come server DNS primario e secondario.
• I record DNS seguono il ciclo di vita dell'Endpoint privato.

Significato dell'indirizzo IP 168.63.129.16

L'indirizzo IP 168.63.129.16 è un indirizzo IP pubblico virtuale che offre un semplice canale di comunicazione per le risorse della piattaforma Azure.

• Consente all'agente di macchine virtuali di comunicare con la piattaforma Azure per segnalare che si trova in uno stato "Pronto".
• Consente la comunicazione con il server virtuale DNS per fornire la risoluzione dei nomi filtrati. Il filtraggio assicura che i clienti possano risolvere solo i nomi host delle proprie risorse.
• Consente ai probe di integrità del servizio di bilanciamento del carico di Azure di determinare lo stato di integrità delle macchine virtuali.
• Consente alle macchine virtuali di ottenere un indirizzo IP dinamico dal servizio DHCP in Azure.
• Consente i messaggi heartbeat per il ruolo PaaS.

Scenari di configurazione DNS

Il nome di dominio completo dei servizi viene risolto automaticamente in un indirizzo IP pubblico. Per risolvere il nome nell'indirizzo IP privato dell'endpoint privato, modificare la configurazione DNS.

DNS è un componente fondamentale per il corretto funzionamento dell'applicazione in quanto consente di risolvere l'indirizzo IP dell'endpoint privato nel modo appropriato.

In base alle proprie preferenze, per la risoluzione DNS integrata sono disponibili gli scenari seguenti.

• Carichi di lavoro rete virtuale senza server DNS personalizzato.
• Carichi di lavoro locali che usano un server d'inoltro DNS.
• Rete virtuale e carichi di lavoro locali che usano un server d'inoltro DNS.
• Gruppo zona DNS privato.

Carichi di lavoro locali con server d'inoltro DNS

Per risolvere il nome di dominio completo di un endpoint privato per i carichi di lavoro virtuali, usare un server d'inoltro DNS per effettuare la risoluzione della zona DNS pubblico del servizio Azure in Azure. Un server d'inoltro DNS è una macchina virtuale in esecuzione nella rete virtuale collegata alla zona DNS privata. La query deve provenire dalla rete virtuale verso DNS di Azure. Alcune opzioni di proxy DNS sono Windows che esegue servizi DNS, Linux che esegue servizi DNS e Firewall di Azure.

Questo diagramma illustra la sequenza di risoluzione DNS da una rete locale. La configurazione usa un server d'inoltro DNS distribuito in Azure. La risoluzione viene effettuata da una zona DNS privato collegata a una rete virtuale.

Per configurare questo scenario, è necessario quanto segue:

• Rete locale.
• Rete virtuale connessa all'ambiente locale.
• Server d'inoltro DNS distribuito in Azure.
• Zone DNS privato privatelink.database.windows.net con record tipo A.
• Informazioni sull'endpoint privato (nome record FQDN e indirizzo IP privato).

Rete virtuale e carichi di lavoro locali con il sistema di risoluzione privato DNS di Azure

Quando si usa il sistema di risoluzione privato DNS, non è necessaria una macchina virtuale del server d'inoltro DNS e DNS di Azure è in grado di risolvere i nomi di dominio locali.

Questo diagramma usa il resolver privato DNS in una topologia di rete hub-spoke. Come procedura consigliata, il modello di progettazione della zona di destinazione di Azure consiglia di usare questo tipo di topologia. Viene stabilita una connessione di rete ibrida usando Azure ExpressRoute e Firewall di Azure. Questa configurazione fornisce una rete ibrida sicura. Il resolver privato DNS viene distribuito nella rete hub.

• Esaminare i componenti della soluzione Resolver privato DNS di Azure
• Esaminare il flusso di traffico per una query DNS locale
• Esaminare il flusso di traffico per una query DNS della macchina virtuale
• Esaminare il flusso di traffico per una query DNS della macchina virtuale tramite il resolver privato DNS
• Esaminare il flusso di traffico per una query DNS della macchina virtuale tramite un server DNS locale

Verificare le conoscenze

1.

Quale risorsa è associata a un endpoint privato e contiene le informazioni per la configurazione del DNS dell'endpoint privato?

Rete virtuale

Interfaccia di rete

Zona DNS privata

2.

Qual è il significato dell'indirizzo IP 168.63.129.16?

Si tratta di un indirizzo IP pubblico virtuale usato per offrire un semplice canale di comunicazione con le risorse della piattaforma Azure.

Si tratta di un indirizzo statico di un server di inoltro DNS.

Si tratta di un indirizzo IP pubblico virtuale usato per offrire un semplice canale di comunicazione con le risorse della piattaforma Azure.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.