Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Integration von Azure Private Endpoint DNS ist für die Aktivierung sicherer, privater Verbindungen mit Azure-Diensten innerhalb Ihres virtuellen Netzwerks unerlässlich. In diesem Artikel werden allgemeine DNS-Konfigurationsszenarien für Azure Private Endpunkte beschrieben, einschließlich Optionen für virtuelle Netzwerke, Peered-Netzwerke und lokale Umgebungen. Verwenden Sie diese Szenarien und bewährten Methoden, um eine zuverlässige und sichere Namensauflösung für Ihre Anwendungen und Dienste sicherzustellen.
Private DNS-Zoneneinstellungen für Azure-Dienste, die einen privaten Endpunkt unterstützen, finden Sie unter Private DNS-Zonenwerte von Azure Private Endpoint.
Szenarien der DNS-Konfiguration
Der FQDN des Diensts wird automatisch in eine öffentliche IP-Adresse aufgelöst. Ändern Sie die DNS-Konfiguration, damit die Auflösung in die private IP-Adresse des privaten Endpunkts erfolgt.
DNS ist entscheidend dafür, dass Ihre Anwendung ordnungsgemäß funktioniert, da DNS die IP-Adresse des privaten Endpunkts auflöst.
Sie können die folgenden DNS-Auflösungsszenarien verwenden:
Workloads virtueller Netzwerke mit Peering ohne Azure Private Resolver
(Lokale Workloads mit einer DNS-Weiterleitung ohne Azure Private Resolver)
Azure Private Resolver für virtuelle Netzwerke und lokale Workloads
Virtuelle Netzwerkworkloads ohne Azure Private Resolver
Diese Konfiguration ist für Workloads virtueller Netzwerke ohne benutzerdefinierten DNS-Server geeignet. In diesem Szenario fragt der Client die IP-Adresse des privaten Endpunkts beim von Azure bereitgestellten DNS-Dienst als 168.63.129.16 ab. Azure DNS ist für die DNS-Auflösung der privaten DNS-Zonen verantwortlich.
Hinweis
In diesem Szenario wird die empfohlene private DNS-Zone für Azure SQL-Datenbank verwendet. Für andere Dienste können Sie das Modell mithilfe der folgenden Referenz anpassen: Azure-Dienste DNS-Zonenkonfiguration.
Für eine korrekte Konfiguration benötigen Sie die folgenden Ressourcen:
Virtuelles Clientnetzwerk
Private DNS-Zone privatelink.database.windows.net mit A-Datensatz
Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse)
Der folgende Screenshot veranschaulicht die DNS-Auflösungssequenz aus Workloads virtueller Netzwerke über private DNS-Zonen:
Workloads virtueller Netzwerke mit Peering ohne Azure Private Resolver
Sie können dieses Modell auf virtuelle Netzwerke mit Peering ausweiten, die demselben privaten Endpunkt zugeordnet sind. Dazu fügen Sie neue Verknüpfungen für virtuelle Netzwerke zur privaten DNS-Zone für alle mittels Peering verbundenen virtuellen Netzwerke hinzu.
Wichtig
Für diese Konfiguration ist eine einzelne private DNS-Zone erforderlich. Zum Erstellen mehrerer Zonen mit demselben Namen für verschiedene virtuelle Netzwerke müssen die DNS-Einträge manuell zusammengeführt werden.
Wenn Sie einen privaten Endpunkt in einem Hub-and-Spoke-Modell aus einem anderen Abonnement oder sogar innerhalb desselben Abonnements verwenden, müssen Sie die gleichen privaten DNS-Zonen mit allen Spokes und virtuellen Hubnetzwerken verknüpfen, die Clients enthalten, die DNS-Auflösung aus den Zonen benötigen.
In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet. Die Spoke-Netzwerke nutzen einen gemeinsamen privaten Endpunkt. Die virtuellen Spoke-Netzwerke sind mit derselben privaten DNS-Zone verknüpft.
Lokale Workloads mit einer DNS-Weiterleitung ohne Azure Private Resolver
Konfigurieren Sie für lokale Workloads zum Auflösen des FQDN eines privaten Endpunkts einen DNS-Weiterleitungsserver in Azure. Die DNS-Weiterleitung sollte im virtuellen Netzwerk bereitgestellt werden, das mit der privaten DNS-Zone für Ihren privaten Endpunkt verknüpft ist.
Eine DNS-Weiterleitung ist in der Regel ein virtueller Computer mit DNS-Diensten oder einem verwalteten Dienst wie Azure Firewall. Die DNS-Weiterleitung empfängt DNS-Abfragen von lokalen oder anderen virtuellen Netzwerken und leitet sie an Azure DNS weiter.
Hinweis
DNS-Abfragen für private Endpunkte müssen aus dem virtuellen Netzwerk stammen, das mit der privaten DNS-Zone verknüpft ist. Die DNS-Weiterleitung ermöglicht dies durch Proxyabfragen im Auftrag von lokalen Clients. In diesem Szenario wird die empfohlene private DNS-Zone für Azure SQL-Datenbank verwendet. Für andere Dienste können Sie das Modell mithilfe der folgenden Referenz anpassen: Azure-Dienste DNS-Zonenkonfiguration.
Im folgenden Szenario wird ein lokales Netzwerk verwendet, das über eine DNS-Weiterleitung in Azure verfügt. Dieser Weiterleitungsdienst löst DNS-Abfragen mittels einer Serverebene-Weiterleitung an den von Azure bereitgestellten DNS 168.63.129.16.
Für eine korrekte Konfiguration benötigen Sie die folgenden Ressourcen:
- Lokales Netzwerk mit einer benutzerdefinierten DNS-Lösung
- Virtuelles Netzwerk mit Verbindung mit lokalem Standort
- DNS-Lösung wird in Ihrer Azure-Umgebung mit der Funktion zum bedingten Weiterleiten von DNS-Anforderungen bereitgestellt
- Private DNS-Zone privatelink.database.windows.net mit A-Datensatz
- Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse)
Wichtig
Die bedingte Weiterleitung muss an die empfohlene öffentliche DNS-Zonenweiterleitung erfolgen. Beispiel: database.windows.net anstelle vonprivatelink.database.windows.net.
- Erweitern Sie diese Konfiguration für lokale Netzwerke, die bereits über eine benutzerdefinierte DNS-Lösung verfügen.
- Konfigurieren Sie Ihre lokale DNS-Lösung mit einer bedingten Weiterleitung für die private DNS-Zone. Die bedingte Weiterleitung sollte auf die in Azure bereitgestellte DNS-Weiterleitung verweisen, sodass DNS-Abfragen für private Endpunkte ordnungsgemäß aufgelöst werden.
Die Auflösung erfolgt durch eine private DNS-Zone, die mit einem virtuellen Netzwerk verknüpft ist:
Azure Private Resolver für lokale Workloads
Damit der FQDN eines privaten Endpunkts von lokalen Workloads aufgelöst werden kann, verwenden Sie einen Azure Private Resolver, um die öffentliche DNS-Zone des Azure-Diensts in Azure aufzulösen. Azure Private Resolver ist ein von Azure verwalteter Dienst, der DNS-Abfragen auflösen kann, ohne dass eine virtuelle Maschine als DNS-Weiterleitung fungiert.
Das folgende Szenario ist für ein lokales Netzwerk vorgesehen, das für die Verwendung eines Azure Private Resolver konfiguriert ist. Der private Resolver leitet die Anforderung für den privaten Endpunkt an Azure DNS weiter.
Hinweis
In diesem Szenario wird die empfohlene private DNS-Zone für Azure SQL-Datenbank verwendet. Für andere Dienste können Sie das Modell mithilfe der folgenden Referenz anpassen: DNS-Zonenwerte für Azure-Dienste.
Für eine ordnungsgemäße Konfiguration sind die folgenden Ressourcen erforderlich:
Lokales Netzwerk
Virtuelles Netzwerk mit Verbindung mit lokalem Standort
Zonen im privaten DNS privatelink.database.windows.net mit A-Datensatz
Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse)
Das folgende Diagramm veranschaulicht die DNS-Auflösungssequenz eines lokalen Netzwerks. Die Konfiguration verwendet einen Private Resolver, der in Azure bereitgestellt wird. Die Auflösung erfolgt durch eine private DNS-Zone, die mit einem virtuellen Netzwerk verknüpft ist:
Azure Private Resolver mit lokaler DNS-Weiterleitung
Diese Konfiguration kann für ein lokales Netzwerk erweitert werden, das bereits über eine DNS-Lösung verfügt.
Die lokale DNS-Lösung ist so konfiguriert, dass der DNS-Datenverkehr über eine bedingte Weiterleitung an Azure geleitet wird. Die bedingte Weiterleitung verweist auf den in Azure bereitgestellten Private Resolver.
Hinweis
In diesem Szenario wird die empfohlene private DNS-Zone für Azure SQL-Datenbank verwendet. Für andere Dienste können Sie das Modell mithilfe der folgenden Referenz anpassen: DNS-Zonenwerte für Azure-Dienste
Für eine korrekte Konfiguration benötigen Sie die folgenden Ressourcen:
Lokales Netzwerk mit einer benutzerdefinierten DNS-Lösung
Virtuelles Netzwerk mit Verbindung mit lokalem Standort
Zonen im privaten DNS privatelink.database.windows.net mit A-Datensatz
Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse)
Das folgende Diagramm veranschaulicht die DNS-Auflösung eines lokalen Netzwerks. Die DNS-Auflösung wird bedingt an Azure weitergeleitet. Die Auflösung erfolgt durch eine private DNS-Zone, die mit einem virtuellen Netzwerk verknüpft ist.
Wichtig
Die bedingte Weiterleitung muss an die empfohlene öffentliche DNS-Zonenweiterleitung erfolgen. Beispiel: database.windows.net anstelle vonprivatelink.database.windows.net.
Azure Private Resolver für virtuelle Netzwerke und lokale Workloads
Verwenden Sie für Workloads, die von virtuellen und lokalen Netzwerken auf einen privaten Endpunkt zugreifen, einen Azure Private Resolver zum Auflösen der öffentlichen DNS-Zone des Azure-Diensts, die in Azure bereitgestellt wird.
Im folgenden Szenario wird ein lokales Netzwerk mit virtuellen Netzwerken in Azure verwendet. Beide Netzwerke greifen auf den privaten Endpunkt in einem Netzwerk mit freigegebenem Hub zu.
Der Private Resolver ist dafür zuständig, alle DNS-Abfragen über den von Azure bereitgestellten DNS-Dienst 168.63.129.16aufzulösen.
Wichtig
Für diese Konfiguration ist eine einzelne private DNS-Zone erforderlich. Alle Clientverbindungen aus lokalen Netzwerken und virtuellen Netzwerken mit Peering müssen ebenfalls dieselbe private DNS-Zone verwenden.
Hinweis
In diesem Szenario wird die empfohlene private DNS-Zone für Azure SQL-Datenbank verwendet. Für andere Dienste können Sie das Modell mithilfe der folgenden Referenz anpassen: Azure-Dienste DNS-Zonenkonfiguration.
Für eine korrekte Konfiguration benötigen Sie die folgenden Ressourcen:
Lokales Netzwerk
Virtuelles Netzwerk mit Verbindung mit lokalem Standort
Azure Private Resolver
Zonen im privaten DNS privatelink.database.windows.net mit A-Datensatz
Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse)
Das folgende Diagramm veranschaulicht die DNS-Auflösung für beide Netzwerke, d. h. das lokale und das virtuelle Netzwerk. Die Auflösung verwendet Azure Private Resolver.
Die Auflösung erfolgt durch eine private DNS-Zone, die mit einem virtuellen Netzwerk verknüpft ist:
Private DNS-Zonengruppe
Wenn Sie sich entschließen, Ihren privaten Endpunkt in eine private DNS-Zone zu integrieren, wird auch eine private DNS-Zonengruppe erstellt. Die DNS-Zonengruppe verfügt über eine starke Verknüpfung zwischen der privaten DNS-Zone und dem privaten Endpunkt. Dies hilft bei der Verwaltung der privaten DNS-Zoneneinträge, wenn der private Endpunkt aktualisiert wird. Wenn Sie z. B. Regionen hinzufügen oder entfernen, wird die private DNS-Zone automatisch mit der korrekten Anzahl von Einträgen aktualisiert.
Zuvor wurden die DNS-Einträge für den privaten Endpunkt über Skripts erstellt (wobei bestimmte Informationen zum privaten Endpunkt abgerufen und dann in der DNS-Zone hinzugefügt wurden). Bei der DNS-Zonengruppe müssen keine zusätzlichen CLI-/PowerShell-Zeilen für jede DNS-Zone geschrieben werden. Wenn Sie den privaten Endpunkt löschen, werden außerdem alle DNS-Einträge innerhalb der DNS-Zonengruppe ebenfalls gelöscht.
In einer Hub-and-Spoke-Topologie ermöglicht ein häufiges Szenario die Erstellung privater DNS-Zonen nur einmal im Hub. Dieses Setup ermöglicht es den Spokes, sich dafür zu registrieren, anstatt in allen Spokes verschiedene Zonen zu erstellen.
Hinweis
- Jede DNS-Zonengruppe kann bis zu fünf DNS-Zonen unterstützen.
- Das Hinzufügen mehrerer DNS-Zonengruppen zu einem einzelnen privaten Endpunkt wird nicht unterstützt.
- Lösch- und Aktualisierungsvorgänge für DNS-Einträge können von Azure Traffic Manager und DNS ausgeführt werden. Dies ist ein normaler Plattformvorgang, der für die Verwaltung Ihrer DNS-Einträge erforderlich ist.