Partilhar via


Configurar o encaminhamento de DNS para Arquivos do Azure usando VMs ou o Resolvedor Privado de DNS do Azure

Os Arquivos do Azure permitem que você crie pontos de extremidade privados para as contas de armazenamento que contêm seus compartilhamentos de arquivos. Embora úteis para muitos aplicativos diferentes, os pontos de extremidade privados são especialmente úteis para se conectar aos compartilhamentos de arquivos do Azure a partir de sua rede local usando uma conexão VPN ou ExpressRoute usando emparelhamento privado.

Para que as conexões com sua conta de armazenamento passem pelo túnel de rede, o FQDN (nome de domínio totalmente qualificado) da sua conta de armazenamento deve ser resolvido para o endereço IP privado do seu ponto de extremidade privado. Para conseguir isso, você deve encaminhar o sufixo de ponto de extremidade de armazenamento (core.windows.net para regiões de nuvem pública) para o serviço DNS privado do Azure acessível de dentro de sua rede virtual. Este guia mostrará como configurar o encaminhamento DNS para resolver corretamente para o endereço IP de ponto final privado da sua conta de armazenamento.

É altamente recomendável que você leia Planejando uma implantação de Arquivos do Azure e considerações de rede dos Arquivos do Azure antes de concluir as etapas descritas neste artigo.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Sim Sim

Descrição geral

Os Arquivos do Azure fornecem os seguintes tipos de pontos de extremidade para acessar compartilhamentos de arquivos do Azure:

  • Pontos finais públicos, que têm um endereço IP público e podem ser acessados de qualquer lugar do mundo.
  • Pontos de extremidade privados, que existem dentro de uma rede virtual e têm um endereço IP privado de dentro do espaço de endereço dessa rede virtual.
  • Pontos de extremidade de serviço, que restringem o acesso ao ponto de extremidade público a redes virtuais específicas. Você ainda acessa a conta de armazenamento através do endereço IP público, mas o acesso só é possível a partir dos locais especificados em sua configuração.

Os pontos de extremidade públicos e privados existem na conta de armazenamento do Azure. Uma conta de armazenamento é uma construção de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como contêineres de blob ou filas.

Cada conta de armazenamento tem um nome de domínio totalmente qualificado (FQDN). Para as regiões de nuvem pública, esse FQDN segue o padrão storageaccount.file.core.windows.net em que storageaccount é o nome da conta de armazenamento. Quando você faz solicitações contra esse nome, como montar o compartilhamento em sua estação de trabalho, seu sistema operacional executa uma pesquisa de DNS para resolver o nome de domínio totalmente qualificado para um endereço IP.

Por padrão, storageaccount.file.core.windows.net resolve para o endereço IP do ponto de extremidade público. O ponto de extremidade público de uma conta de armazenamento é hospedado em um cluster de armazenamento do Azure que hospeda muitos pontos de extremidade públicos de outras contas de armazenamento. Quando você cria um ponto de extremidade privado, uma zona DNS privada é vinculada à rede virtual à qual foi adicionada, com um mapeamento storageaccount.file.core.windows.net de registro CNAME para uma entrada de registro A para o endereço IP privado do ponto de extremidade privado da sua conta de armazenamento. Isso permite que você use storageaccount.file.core.windows.net o FQDN dentro da rede virtual e resolva para o endereço IP do ponto de extremidade privado.

Como nosso objetivo final é acessar os compartilhamentos de arquivos do Azure hospedados na conta de armazenamento localmente usando um túnel de rede, como uma conexão VPN ou ExpressRoute, você deve configurar seus servidores DNS locais para encaminhar solicitações feitas ao serviço Arquivos do Azure para o serviço DNS privado do Azure.

Você pode configurar o encaminhamento DNS de duas maneiras:

  • Usar VMs de servidor DNS: configure o encaminhamento condicional de (ou o sufixo de ponto de extremidade de armazenamento apropriado para as nuvens nacionais do governo dos EUA, Alemanha ou China) para uma máquina virtual de servidor DNS hospedada *.core.windows.net em sua rede virtual do Azure. Esse servidor DNS encaminhará recursivamente a solicitação para o serviço DNS privado do Azure, que resolverá o FQDN da conta de armazenamento para o endereço IP privado apropriado. Esta é uma etapa única para todos os compartilhamentos de arquivos do Azure hospedados em sua rede virtual.

  • Usar o Resolvedor Privado de DNS do Azure: se você não quiser implantar um servidor DNS baseado em VM, poderá realizar a mesma tarefa usando o Resolvedor Privado de DNS do Azure.

Além dos Arquivos do Azure, as solicitações de resolução de nomes DNS para outros serviços de armazenamento do Azure (armazenamento de Blob do Azure, armazenamento de Tabela do Azure, armazenamento de Fila do Azure, etc.) serão encaminhadas para o serviço DNS privado do Azure. Você pode adicionar pontos de extremidade adicionais para outros serviços do Azure, se desejar.

Pré-requisitos

Antes de configurar o encaminhamento de DNS para os Arquivos do Azure, você precisará do seguinte:

  • Uma conta de armazenamento contendo um compartilhamento de arquivos do Azure que você gostaria de montar. Para saber como criar uma conta de armazenamento e um compartilhamento de arquivos do Azure, consulte Criar um compartilhamento de arquivos do Azure.
  • Um ponto de extremidade privado para a conta de armazenamento. Consulte Criar um ponto de extremidade privado.
  • A versão mais recente do módulo do Azure PowerShell.

Configurar o encaminhamento de DNS usando VMs

Se você já tiver servidores DNS instalados em sua rede virtual do Azure ou se preferir implantar suas próprias VMs de servidor DNS por qualquer metodologia usada pela sua organização, poderá configurar o DNS com os cmdlets internos do PowerShell do servidor DNS.

Diagrama mostrando a topologia de rede para configurar o encaminhamento de D N S usando máquinas virtuais no Azure.

Importante

Este guia pressupõe que você esteja usando o servidor DNS no Windows Server em seu ambiente local. Todas as etapas descritas aqui são possíveis com qualquer servidor DNS, não apenas com o Windows DNS Server.

Em seus servidores DNS locais, crie um encaminhador condicional usando Add-DnsServerConditionalForwarderZoneo . Esse encaminhador condicional deve ser implantado em todos os seus servidores DNS locais para ser eficaz no encaminhamento adequado do tráfego para o Azure. Lembre-se de substituir as <azure-dns-server-ip> entradas pelos endereços IP apropriados para o seu ambiente.

$vnetDnsServers = "<azure-dns-server-ip>", "<azure-dns-server-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $vnetDnsServers

Nos servidores DNS em sua rede virtual do Azure, você também precisará colocar um encaminhador no lugar para que as solicitações para a zona DNS da conta de armazenamento sejam direcionadas para o serviço DNS privado do Azure, que é encabeçado pelo endereço 168.63.129.16IP reservado. (Lembre-se de preencher $storageAccountEndpoint se estiver executando os comandos em uma sessão diferente do PowerShell.)

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers "168.63.129.16"

Configurar o encaminhamento de DNS usando o Resolvedor Privado de DNS do Azure

Se preferir não implantar VMs de servidor DNS, você poderá realizar a mesma tarefa usando o Resolvedor Privado de DNS do Azure. Consulte Criar um resolvedor privado de DNS do Azure usando o portal do Azure.

Diagrama mostrando a topologia de rede para configurar o encaminhamento de D N S usando o Azure D N S Private Resolver.

Não há diferença na forma como você configura seus servidores DNS locais, exceto que, em vez de apontar para os endereços IP dos servidores DNS no Azure, você aponta para o endereço IP do ponto de extremidade de entrada do resolvedor. O resolvedor não requer nenhuma configuração, pois encaminhará consultas para o servidor DNS privado do Azure por padrão. Se uma zona DNS privada estiver vinculada à VNet onde o resolvedor está implantado, o resolvedor poderá responder com registros dessa zona DNS.

Aviso

Ao configurar encaminhadores para a zona core.windows.net , todas as consultas para este domínio público serão encaminhadas para sua infraestrutura DNS do Azure. Isso causa um problema quando você tenta acessar uma conta de armazenamento de um locatário diferente que foi configurado com pontos de extremidade privados, porque o DNS do Azure responderá à consulta para o nome público da conta de armazenamento com um CNAME que não existe em sua zona DNS privada. Uma solução alternativa para esse problema é criar um ponto de extremidade privado entre locatários em seu ambiente para se conectar a essa conta de armazenamento.

Para configurar o encaminhamento de DNS usando o Resolvedor Privado de DNS do Azure, execute esse script em seus servidores DNS locais. Substitua <resolver-ip> pelo endereço IP do ponto de extremidade de entrada do resolvedor.

$privateResolver = "<resolver-ip>"

$storageAccountEndpoint = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

Add-DnsServerConditionalForwarderZone `
        -Name $storageAccountEndpoint `
        -MasterServers $privateResolver

Confirmar encaminhadores DNS

Antes de testar para ver se os encaminhadores DNS foram aplicados com êxito, recomendamos limpar o cache DNS em sua estação de trabalho local usando Clear-DnsClientCache. Para testar se consegue resolver com êxito o FQDN da sua conta de armazenamento, utilize Resolve-DnsName ou nslookup.

# Replace storageaccount.file.core.windows.net with the appropriate FQDN for your storage account.
# Note that the proper suffix (core.windows.net) depends on the cloud you're deployed in.
Resolve-DnsName -Name storageaccount.file.core.windows.net

Se a resolução de nomes for bem-sucedida, você verá que o endereço IP resolvido corresponde ao endereço IP da sua conta de armazenamento.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4

Se você estiver montando um compartilhamento de arquivos SMB, também poderá usar o Test-NetConnection comando para confirmar se uma conexão TCP pode ser feita com êxito à sua conta de armazenamento.

Test-NetConnection -ComputerName storageaccount.file.core.windows.net -CommonTCPPort SMB

Consulte também