整合私人端點與網域名稱服務
私人 DNS 區域通常會託管在部署了中樞 VNet 的同一個 Azure 訂用帳戶中。 建議使用這個集中託管做法來進行跨單位的 DNS 名稱解析。 在大多數情況下,只有網路和身分識別管理員有權管理這些區域中的 DNS 記錄。
Azure 私人端點 DNS 設定
此圖顯示的是具有中央網域名稱服務 (DNS) 解析之企業環境的典型高階架構。 Private Link 資源的名稱解析會透過 Azure 私人 DNS 來進行。
在上圖中必須強調的是:
- 內部部署 DNS 伺服器已針對每個私人端點設定了條件式轉寄站。
- 中樞 VNet 中的 DNS 伺服器使用 Azure 提供的網域名稱系統解析程式作為轉寄站。
- 所有 Azure VNet 已將 DNS 轉寄站設定為主要和次要 DNS 伺服器。
- DNS 記錄會遵循私人端點的生命週期。
IP 位址 168.63.129.16 的重要性
IP 位址 168.63.129.16 是虛擬公用 IP 位址,有助於建構 Azure 平台資源的通訊通道。
- 使 VM 代理程式能夠與平台通訊,藉以表示它處於「就緒」狀態。
- 啟用與 DNS 虛擬伺服器的通訊,以提供經過篩選的名稱解析。 此篩選可確保客戶只能解析其資源的主機名稱。
- 啟用從 Azure Load Balancer 探查健康情況的功能,以判斷虛擬機器的健全狀態。
- 允許虛擬機器從 Azure 中的 DHCP 服務取得動態 IP 位址。
- 啟用 PaaS 角色的活動訊號訊息。
DNS 設定案例
服務的 FQDN 會自動解析為公用 IP 位址。 若要解析為私人端點的私人 IP 位址,請變更您的 DNS 設定。
DNS 是成功解析私人端點 IP 位址,讓應用程式正確運作的重要元件。
根據您的喜好設定,整合了 DNS 解析的可用案例如下。
- 沒有自訂 DNS 伺服器的虛擬網路工作負載 (部分機器翻譯)。
- 使用 DNS 轉寄站的內部部署工作負載 (部分機器翻譯)。
- 使用 DNS 轉寄站的虛擬網路和內部部署工作負載 (部分機器翻譯)。
- 私人 DNS 區域群組 (部分機器翻譯)。
使用 DNS 轉寄站的內部部署工作負載
若要讓內部部署工作負載解析私人端點的 FQDN,請使用 DNS 轉寄站來解析 Azure 中的 Azure 服務公用 DNS 區域。 DNS 轉寄站是在連結至私人 DNS 區域的虛擬網路上執行的虛擬機器。 查詢必須從虛擬網路送往 Azure DNS。 適用於 DNS Proxy 的幾個選項包括:執行 DNS 服務的 Windows、執行 DNS 服務的 Linux,以及 Azure 防火牆。
此圖顯示來自內部部署網路的 DNS 解析序列。 設定會使用在 Azure 中部署的 DNS 轉寄站。 解析是由連結至虛擬網路的私人 DNS 區域所建立。
若要設定此案例,您需要:
- 內部部署網路。
- 連線到內部部署的虛擬網路。
- 部署在 Azure 中的 DNS 轉寄站。
- 包含類型 A 記錄的私人 DNS 區域 privatelink.database.windows.net。
- 私人端點資訊 (FQDN 記錄名稱與私人 IP 位址)。
使用 Azure DNS 私人解析器的虛擬網路和內部部署工作負載
使用 DNS 私人解析器時,不需要 DNS 轉寄站 VM,且 Azure DNS 能夠解析內部部署網域名稱。
此圖使用中樞輪輻網路拓撲中的 DNS 私人解析器。 作為最佳做法,Azure 登陸區域設計模式建議使用此類型的拓撲。 使用 Azure ExpressRoute 和 Azure 防火牆建立混合式網路連線。 此設定提供安全的混合式網路。 DNS 私人解析器會部署在中樞網路中。
- 檢閱 DNS 私人解析器解決方案元件
- 檢閱內部部署 DNS 查詢的流量流程
- 檢閱 VM DNS 查詢的流量流程
- 檢閱透過 DNS 私人解析器的 VM DNS 查詢的流量流程
- 檢閱透過內部部署 DNS 伺服器的 VM DNS 查詢的流量流程