将专用终结点与域名服务集成
专用 DNS 区域通常托管在部署中心 VNet 的同一 Azure 订阅中。 建议将这种集中托管做法用于跨界 DNS 名称解析。 在大多数情况下,只有网络和标识管理员才有权管理这些区域中的 DNS 记录。
Azure 专用终结点 DNS 配置
此图显示了具有中心域名服务 (DNS) 解析的企业环境的典型简要体系结构。 专用链接资源的名称解析是通过 Azure 专用 DNS 完成的。
在上图中,必须要强调的是:
- 本地 DNS 服务器为每个专用终结点配置了条件转发器。
- 中心 VNet 中的 DNS 服务器使用 Azure 提供的 DNS 解析程序作为转发器。
- 所有 Azure VNet 都将 DNS 转发器配置为主要和辅助 DNS 服务器。
- DNS 记录遵循专用终结点的生命周期。
IP 地址 168.63.129.16 的用途
IP 地址 168.63.129.16 是虚拟公共 IP 地址,可以简化 Azure 平台资源的通道。
- 使 VM 代理能够与 Azure 平台通信,以表明它处于“就绪”状态。
- 启用与 DNS 虚拟服务器的通信,以便提供筛选的名称解析。 此筛选确保客户只能解析其自己资源的主机名。
- 启用来自 Azure 负载均衡器的运行状况探测,以确定虚拟机的运行状况状态。
- 使虚拟机能够从 Azure 中的 DHCP 服务获取动态 IP 地址。
- 为 PaaS 角色启用检测信号消息。
DNS 配置方案
服务的 FQDN 自动解析为公共 IP 地址。 若要解析为专用终结点的专用 IP 地址,请更改 DNS 配置。
DNS 是通过成功解析专用终结点 IP 地址使应用程序正常工作的一个关键组件。
根据你的偏好,这些方案适用于集成的 DNS 解析。
使用 DNS 转发器的本地工作负荷
要使本地工作负载解析专用终结点的 FQDN,可使用 DNS 转发器在 Azure 中解析 Azure 服务公共 DNS 区域。 DNS 转发器是在链接到专用 DNS 区域的虚拟网络上运行的虚拟机。 这是查询必须从虚拟网络发起到 Azure DNS。 DNS 代理的一些选项包括:运行 DNS 服务的 Windows、运行 DNS 服务的 Linux、Azure 防火墙。
示意图说明了来自本地网络的 DNS 解析序列。 配置使用 Azure 中部署的 DNS 转发器。 该解析是通过关联到虚拟网络的专用 DNS 区域进行的。
要配置此方案,需要满足以下条件:
- 本地网络。
- 连接到本地的虚拟网络。
- 部署在 Azure 中的 DNS 转发器。
- 有类型 A 记录的专用 DNS 区域 privatelink.database.windows.net。
- 专用终结点信息(FQDN 记录名称和专用 IP 地址)。
使用 Azure DNS 专用解析程序的虚拟网络和本地工作负载
使用 DNS 专用解析程序时,不需要 DNS 转发器 VM,Azure DNS 能够解析本地域名。
此图显示在中心辐射型网络拓扑中使用 DNS 专用解析程序。 作为最佳做法,Azure 登陆区域设计模式建议使用这种类型的拓扑。 使用 Azure ExpressRoute 和 Azure 防火墙建立混合网络连接。 此设置提供安全的混合网络。 DNS 专用解析程序部署在中心网络中。
- 查看 DNS 专用解析程序解决方案组件
- 查看本地 DNS 查询的流量流
- 查看 VM DNS 查询的流量流
- 查看通过 DNS 专用解析程序进行 VM DNS 查询的流量流
- 查看通过本地 DNS 服务器进行 VM DNS 查询的流量流