将专用终结点与 DNS 集成

已完成

专用 DNS 区域通常集中托管在部署中心 VNet 的同一 Azure 订阅中。 这种集中托管做法是由跨界 DNS 名称解析以及中心 DNS 解析的其他需求（如 Active Directory）驱动的。 在大多数情况下，只有网络/标识管理员才有权管理这些区域中的 DNS 记录。

Azure 专用终结点 DNS 配置

下图显示了具有中心 DNS 解析的企业环境的典型高级体系结构，其中专用链接资源的名称解析是通过 Azure 专用 DNS 完成的：

在上图中，必须要强调的是：

• 本地 DNS 服务器为指向托管在中心 VNet 中的 DNS 转发器（10.100.2.4 和 10.100.2.5）的每个专用终结点公共 DNS 区域转发器配置了条件转发器。
• 托管在中心 VNet 中的 DNS 服务器 10.100.2.4 和 10.100.2.5 使用 Azure 提供的 DNS 解析程序 (168.63.129.16) 作为转发器。
• 所有 Azure VNet 都将 DNS 转发器（10.100.2.4 和 10.100.2.5）配置为主要和辅助 DNS 服务器。
• 必须满足两个条件，应用程序团队才能自由地在订阅中创建任何所需的 Azure PaaS 资源：
• 中心网络和/或中心平台团队必须确保应用程序团队只能通过专用终结点部署和访问 Azure PaaS 服务。
• 中心网络和/或中心平台团队必须确保，无论何时创建专用终结点，都会在与创建的服务匹配的中心化专用 DNS 区域中自动创建相应的记录。
• DNS 记录需要遵循专用终结点的生命周期，并在删除专用终结点时自动删除 DNS 记录。

IP 地址 168.63.129.16 的用途

IP 地址 168.63.129.16 是虚拟公共 IP 地址，用于简化 Azure 平台资源的通信通道。 客户可以在 Azure 中为其专有虚拟网络定义任何地址空间。 Azure 平台资源必须呈现为唯一的公共 IP 地址。 此虚拟公共 IP 地址有助于实现以下几个方面：

• 使 VM 代理能够与 Azure 平台通信，以表明它处于“就绪”状态
• 启用与 DNS 虚拟服务器的通信，以便为没有自定义 DNS 服务器的资源（如 VM）提供筛选的名称解析。 此筛选确保客户只能解析其自己资源的主机名
• 启用来自 Azure 负载均衡器的运行状况探测，以确定 VM 的运行状况状态
• 使 VM 能够从 Azure 中的 DHCP 服务获取动态 IP 地址
• 为 PaaS 角色启用来宾代理检测信号消息

Azure 服务专用 DNS 区域配置示例

Azure 将在公共 DNS 上创建一个规范名称 DNS 记录 (CNAME)。 CNAME 记录可将解析重定向到专用域名。 可以用专用终结点的专用 IP 地址替代解析。

应用程序无需更改连接 URL。 使用公共 DNS 服务进行解析时，DNS 服务器将解析为专用终结点。 此过程不会影响现有应用程序。

如果已将专用 DNS 区域用于给定类型的专用网络没有任何专用终结点连接，则只能连接到公共资源，否则需要在专用 DNS 区域上进行相应的 DNS 配置才能完成 DNS 解析序列。

对于 Azure 服务，请使用文档中的推荐区域名称。

DNS 配置方案

服务的 FQDN 自动解析为公共 IP 地址。 若要解析为专用终结点的专用 IP 地址，请更改 DNS 配置。

DNS 是通过成功解析专用终结点 IP 地址使应用程序正常工作的一个关键组件。

根据你的偏好，以下方案适用于集成的 DNS 解析：

• 不带自定义 DNS 服务器的虚拟网络工作负荷
• 使用 DNS 转发器的本地工作负荷
• 使用 DNS 转发器的虚拟网络和本地工作负载
• 专用 DNS 区域组

使用 DNS 转发器的本地工作负荷

要使本地工作负载解析专用终结点的 FQDN，可使用 DNS 转发器在 Azure 中解析 Azure 服务公共 DNS 区域。 DNS 转发器是在与专用 DNS 区域链接的虚拟网络上运行的虚拟机，可以代理来自其他虚拟网络或本地的 DNS 查询。 这是必需的，因为查询必须从虚拟网络发起到 Azure DNS。 DNS 代理的一些选项包括：运行 DNS 服务的 Windows、运行 DNS 服务的 Linux、Azure 防火墙。

以下方案适用于在 Azure 中具有 DNS 转发器的本地网络。 此转发器通过服务器级转发器将所有 DNS 查询解析为 Azure 提供的 DNS 168.63.129.16。

此方案使用 Azure SQL 数据库建议的专用 DNS 区域。 对于其他服务，可以使用以下参考来调整模型：Azure 服务 DNS 区域配置。

若要正确进行配置，需要以下资源：

• 本地网络
• 连接到本地的虚拟网络
• 部署在 Azure 中的 DNS 转发器
• 有类型 A 记录的专用 DNS 区域 privatelink.database.windows.net
• 专用终结点信息（FQDN 记录名称和专用 IP 地址）

下图显示了本地网络中的 DNS 解析顺序。 配置使用 Azure 中部署的 DNS 转发器。 该解析是通过关联到虚拟网络的专用 DNS 区域进行的：

使用 Azure DNS 专用解析程序的虚拟网络和本地工作负载

使用 DNS 专用解析程序时，不需要 DNS 转发器 VM，Azure DNS 能够解析本地域名。

下图使用中心辐射型网络拓扑中的 DNS 专用解析程序。 作为最佳做法，Azure 登陆区域设计模式建议使用这种类型的拓扑。 使用 Azure ExpressRoute 和 Azure 防火墙建立混合网络连接。 此设置提供安全的混合网络。 DNS 专用解析程序部署在中心网络中。

• 查看 DNS 专用解析程序解决方案组件
• 查看本地 DNS 查询的流量流
• 查看 VM DNS 查询的流量流
• 查看通过 DNS 专用解析程序进行 VM DNS 查询的流量流
• 查看通过本地 DNS 服务器进行 VM DNS 查询的流量流

知识检查

1.

哪个与专用终结点相关联的资源包含专用终结点 DNS 配置信息？

虚拟网络

网络接口

专用 DNS 区域

2.

IP 地址 168.63.129.16 的用途是什么？

它是非虚拟公共 IP 地址，用于简化到 Azure 平台资源的通信通道。

它是 DNS 转发器的静态地址。

它是虚拟公共 IP 地址，用于简化到 Azure 平台资源的通信通道。

在检查工作前，必须回答所有问题。