частная зона dns что это
Частный ДНС в телефоне: что это такое
10.12.2019 10,484 Просмотры
Представленный персональный DNS-сервер представляет собой новую настройку в разделе мобильной сети. Это значительно облегчает процесс настройки пользовательского или приватного DNS для зашифровки запросов между пользователем и сайтом. В основе этого лежит протокол TLS, который отвечает за зеленые значки блокирования, которые можно увидеть при посещении сайта «HTTPS».
Чтобы проделать это самостоятельно, необходимо выполнить следующие действия:
Можно указать адрес 1dot1dot1dot1.cloudflare-dns.com. Это бесплатный доступ, который представлен крупной компанией «Cloudflare». Есть и другие, которые могут быть чуть лучше или чуть хуже. Но компания «Аdguard.com» очень хорошо блокирует различные рекламные окна, это касается и сайта, и софтов. Оба представленных адреса полностью безопасны.
Даже программа «Google» в справке Android не рекомендует отключать персональный DNS-сервер. Это говорит о многом.
Итак, можно сделать пару однозначных выводов:
DNS-сервер является необыкновенно полезной возможностью для безопасности собственного персонального компьютера от различных вредоносных страниц. Работа новичкам кажется довольно сложной, но на самом деле все еще проще, а процесс установки сервера занимает очень мало времени и происходит быстро.
Деятельность выстраивается следующим образом: браузер открывается, далее переход на сайт, обращение к ДНС-серверу и узнаем адрес, который искали. Server сам определит сайт, посылает ему необходимый запрос и отправляет полученный ответ образно клиенту.
Что такое DNS простыми словами
Любой сайт в интернете фактически находится на каком-либо устройстве. Отдельный компьютер, подключенный к интернету, имеет индивидуальный номер, который называется IP-адресом. Он представляет собой набор из четырех чисел от 0 до 255. Благодаря этому адресу можно узнать, откуда загружается страница нужного нам ресурса.
IP-адрес устройства можно сравнить с номером мобильного телефона, а DNS — с телефонной книгой. Если говорить конкретнее, DNS — система доменных имен, которая обеспечивает связь между наименованием сайта и его цифровым адресом.
Иными словами, пользователь набирает доменное имя ресурса в адресной строке браузера, а DNS конвертирует его в IP-адрес и передает вашему устройству. После чего компьютер, находящийся по этому адресу, обрабатывает запрос и присылает информацию для открытия необходимой страницы сайта.
Структуру DNS можно сравнить с логическим деревом. Система содержит распределенную базу доменных имен — пространство, которое организовано по принципу иерархии. На верхнем уровне располагается корневой домен, к которому примыкают домены первого уровня. К каждому из них присоединяются домены второго уровня и так далее.
Что такое DNS-сервер
Система доменных имен действует посредством DNS-сервера, который нужен для выполнения двух основных функций:
Если пользователь собирается посетить сайт, находящийся в другой стране, то регулярная передача запросов к первичному серверу занимает много времени и приводит к медленной загрузке страниц. Чтобы избежать подобных неудобств, DNS-сервер, находящийся рядом с вашим устройством, кэширует данные о запрашиваемых ранее IP-адресах и выдает их при следующем обращении.
Источниками хранения ресурсных записей являются исходные DNS-серверы, содержащие начальные связи между доменами и сетевыми адресами узлов.
Как правило, рекомендуют задействовать два сервера: первичный и вторичный. Это гарантирует получение доступа к вашему домену, потому как, если будет недоступен один сервер, ответит другой.
Как работают DNS-серверы
Рассмотрим поэтапно функционирование приложений, предназначенных для ответа на DNS-запросы:
Также возможна обратная процедура — поиск имени домена в DNS-сервере, соответствующего запрашиваемому IP-адресу. К примеру, это происходит в случае работы с сервером электронной почты.
Читайте также
Где находятся DNS-серверы
Фундаментом для обработки запросов о доменных именах являются корневые серверы, отвечающие за корневую DNS-зону. Ими руководят разные операторы, которые обеспечивают бесперебойное функционирование серверов. Первые корневые серверы появились в Северной Америке, но с течением времени они стали появляться в других странах мира. На сегодня существует 123 корневых сервера, которые располагаются в разных точках мира (в зависимости от интенсивности пользования всемирной паутиной).
Типы записей DNS-сервера
Одному домену могут подходить несколько сетевых адресов, например, интернет-сайт и почтовый сервер. Более того, каждое доменное имя содержит один или несколько поддоменов.
Все соответствия домена и его IP-адресов хранятся в файле на DNS-сервере, содержимое которого называется DNS-зона. Чтобы внести информацию в систему DNS, необходимо прописать ресурсные записи.
Различают несколько ключевых типов ресурсных записей, информация о которых хранится на DNS-сервере:
Зачем нужно прописывать DNS-серверы
Представьте, что вы только что зарегистрировали домен. Чтобы остальным серверам стала доступна информация о существовании вашего домена, необходимо прописать ресурсные записи. Первым делом нужно произвести настройку и прописать для домена DNS-серверы.
Серверы такого формата обновляются до 24 часов, в этот период сайт может не работать. Поэтому необходимо подождать сутки после того, как вы их прописали.
Зачастую такие серверы прописывают парами. У каждого домена существует один первичный и до 12 вторичных серверов. Это нужно для обеспечения надежности работы сайта. Если один из них полетит, то домен и ресурс будут функционировать.
Читайте также
Защита DNS-серверов от атак
В наши дни опасность воздействия хакеров на DNS приобрела глобальные масштабы. Ранее уже были ситуации атак на серверы такого формата, которые приводили к многочисленным сбоям в работе всемирной паутины, в особенности известных социальных сетей.
Наиболее опасными считают нападения на корневые серверы, хранящие данные об IP-адресах. Например, в историю вошла произошедшая в октябре 2002 года DDoS-атака на 10 из 13 серверов верхнего уровня.
Протокол DNS получает результаты по запросам с помощью протокола пользовательских датаграмм UDP. UDP использует модель передачи данных без соединений для обеспечения безопасности и целостности информации. Таким образом, большинство атак производятся на этот протокол с помощью подделки IP-адресов.
Существует несколько схем, настройка которых позволит защитить DNS-сервер от атак хакеров:
Вывод
DNS-сервер хранит информацию о соответствии домена IP-адресу, а также содержит сведения об остальных ресурсных записях.
Значительное внимание уделяется усилению безопасности системы и снижению чувствительности к перебоям в работе. В наши дни интернет является существенной частью жизни, поэтому стихийные бедствия, перепады напряжения в сети и отключение электроэнергии не должны влиять на его производительность.
Вы можете получить бесплатно первичные и вторичные DNS-серверы с базовой функциональностью при покупке веб-хостинга для сайта. Либо разместить DNS на собственном сервере. О том, как выбрать сервер такого формата, подробно рассказывается в статье «Как выбрать DNS-сервер».
Что собой представляет Частная зона DNS
Служба доменных имен, или DNS, отвечает за преобразование (или разрешение) имени службы в IP-адрес. Azure DNS является службой размещения доменов и разрешения имен на базе инфраструктуры Microsoft Azure. Azure DNS поддерживает не только DNS-домены в Интернете, но и частные зоны DNS.
Частная зона DNS Azure предоставляет надежную и безопасную службу DNS для виртуальной сети. Частная зона DNS Azure управляет доменными именами в виртуальной сети и разрешает их, позволяя обойтись без собственного решения для поддержки DNS. Частные зоны DNS позволяют использовать доменные имена, созданные пользователем, а не только предоставленные Azure во время развертывания. Пользовательские доменные имена помогут адаптировать архитектуру виртуальной сети к потребностям вашей организации. Поддерживается разрешение имен для виртуальных машин в пределах виртуальной сети и в подключенных виртуальных сетях. Кроме того, вы можете настроить имена зон по схеме «расщепление горизонта», чтобы присваивать частной и общедоступной DNS-зонам одно и то же имя.
Чтобы разрешить записи частной зоны DNS из вашей виртуальной сети, вы должны связать виртуальную сеть с этой зоной. Связанные виртуальные сети имеют полный доступ и могут разрешать все записи DNS, опубликованные в частной зоне. Вы также можете включить автоматическую регистрацию в канале виртуальной сети. Если вы включите автоматическую регистрацию для канала виртуальной сети, записи DNS для виртуальных машин в этой виртуальной сети будут зарегистрированы в частной зоне. После включения автоматической регистрации Azure DNS будет обновлять записи зоны каждый раз при создании, удалении виртуальной машины или изменении ее IP-адреса.
Рекомендуется не использовать .local домен для частной зоны DNS. Не все операционные системы поддерживают такую возможность.
Преимущества
Azure DNS обеспечивает следующие преимущества.
Избавляет от необходимости создавать собственное решение DNS. Ранее многие клиенты создавали пользовательские решения DNS для управления зонами DNS в виртуальной сети. Теперь можно управлять зонами DNS с помощью собственной инфраструктуры Azure, что устраняет необходимость создания пользовательских решений DNS.
Поддерживает все стандартные типы записей DNS. Azure DNS поддерживает записи DNS типов A, AAAA, CNAME, MX, PTR, SOA, SRV и TXT.
Автоматическое управление записями для имени узла. Помимо размещения пользовательских записей DNS, Azure автоматически хранит записи для имен узлов всех виртуальных машин в указанных виртуальных сетях. В этом сценарии можно оптимизировать использование доменных имен, не создавая пользовательские решения DNS и не изменяя код приложений.
Разрешение имен узлов между виртуальными сетями. В отличие от имен узлов, которые предоставляются Azure, частные зоны DNS можно совместно использовать в нескольких виртуальных сетях. Эта возможность упрощает работу в многосетевой топологии и процессы обнаружения служб, например при использовании пиринга между виртуальными сетями.
Привычные средства и взаимодействие с пользователем. Чтобы сократить время обучения, эта служба использует хорошо зарекомендовавшие себя инструменты Azure DNS (портал Azure, Azure PowerShell, интерфейс командной строки Azure, шаблоны Azure Resource Manager и REST API).
Поддержка «расщепления горизонта» DNS. Azure DNS позволяет создавать зоны так, чтобы запросы одного и того же имени возвращали разные ответы внутри виртуальной сети и из Интернета. Типичный сценарий для «расщепления горизонта» DNS — отдельная версия службы для использования внутри виртуальной сети.
Доступность во всех регионах Azure. Служба «Частные зоны Azure DNS» доступна во всех регионах общедоступного облака Azure.
Возможности
Частная зона DNS Azure предоставляет следующие возможности.
Автоматическая регистрация виртуальных машин из виртуальной сети, которая связана с частной зоной сj включенной автоматической регистрацией. Виртуальные машины регистрируются в частной зоне как записи A с указанием на их частные IP-адреса. При удалении виртуальной машины из канала виртуальной сети, для которого настроена автоматическая регистрация, Azure DNS автоматически удалит соответствующие записи DNS из связанной частной зоны.
Прямое разрешение DNS поддерживается во всех виртуальных сетях, которые связаны с частной зоной в качестве виртуальных сетей разрешения. Чтобы разрешение DNS работало между виртуальными сетями, нет явной необходимости настраивать пиринговую связь между этими виртуальными сетями. Однако пиринговая связь между виртуальными сетями может потребоваться клиентам для других целей (например, для передачи HTTP-трафика).
Обратный просмотр DNS поддерживается в пределах виртуальной сети. Обратный просмотр DNS для частного IP-адреса, сопоставленного с частной зоной, возвращает полное доменное имя, состоящее из имени узла или записи и суффикса доменной зоны.
Другие замечания
Частная зона DNS Azure имеет следующие ограничения.
Дополнительные сведения см. на странице цены на Azure DNS.
Следующие шаги
Узнайте, как создать частную зону в Azure DNS с помощью Azure PowerShell или интерфейса командной строки Azure.
Ознакомьтесь с распространенными сценариями для частных зон, которые можно реализовать с использованием частных зон в Azure DNS.
Ознакомьтесь с ответами на часто задаваемые вопросы о частных зонах в Azure DNS в статье Частная зона DNS: часто задаваемые вопросы.
Дополнительные сведения о записях и зонах DNS см. в обзоре зон и записей DNS.
Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.
Частная зона DNS: часто задаваемые вопросы
Ниже приведены часто задаваемые вопросы о службе «Частная зона DNS Azure».
Поддерживает ли Azure DNS частные домены?
Частные домены поддерживаются Azure с помощью функции частных зон DNS. Частные зоны DNS разрешимы только в указанных виртуальных сетях. Дополнительные сведения см. в статье Использование Azure DNS для частных доменов.
Сведения о других внутренних параметрах DNS в Azure см. в статье Разрешение имен ресурсов в виртуальных сетях Azure.
Будут ли частные зоны DNS Azure работать в разных регионах Azure?
Да. Частные зоны поддерживаются для разрешения DNS между виртуальными сетями в разных регионах Azure. Частные зоны работают даже без явной настройки пиринга виртуальных сетей. Все виртуальные сети должны быть связаны с частной зоной DNS.
Нужно ли подключение к Интернету из виртуальных сетей для работы частных зон?
Нет. Частные зоны работают вместе с виртуальными сетями. Они используются для управления доменами виртуальных машин или других ресурсов в виртуальных сетях и между ними. Для разрешения имен не нужно подключение к Интернету.
Можно ли использовать одну частную зону для разрешения имен в нескольких виртуальных сетях?
Да. Вы можете связать частную зону DNS с тысячами виртуальных сетей. Дополнительные сведения см. в статье Ограничения Azure DNS.
Можно ли связать с частной зоной виртуальную сеть, которая относится к другой подписке?
Да. Вы должны обладать разрешением на операцию записи для виртуальных сетей и частной зоны DNS. Разрешение на запись может быть предоставлено нескольким ролям Azure. Например, у роли Azure «Участник классической сети» есть разрешения на запись в виртуальные сети, а у роли «Участник частной зоны DNS» — разрешения на запись в частные зоны DNS. Дополнительные сведения о ролях Azure см. в статье Управление доступом на основе ролей в Azure (Azure RBAC).
Будут ли автоматически зарегистрированные в частной зоне записи DNS виртуальной машины автоматически удаляться при удалении виртуальной машины?
Да. При удалении виртуальной машины в связанной виртуальной сети с включенной автоматической регистрацией зарегистрированные записи удаляются автоматически.
Я изменил конфигурацию ОС в своей виртуальной машине, указав новое имя узла или статический IP-адрес. Почему не видно, что это изменение отражено в частной зоне?
Записи частной зоны заполняются службой DHCP Azure, а сообщения о регистрации клиентов игнорируются. Если вы отключили поддержку DHCP-клиентов виртуальной машиной, настроив статический IP-адрес, изменения имени узла или статического IP-адреса в виртуальной машине не отражаются в зоне.
Я настроила предпочитаемый DNS-суффикс в своей виртуальной машине Windows. Почему мои записи все равно зарегистрированы в зоне, связанной с виртуальной сетью?
Можно ли вручную удалить автоматически зарегистрированную в частной зоне запись виртуальной машины из связанной виртуальной сети?
Да. Однако вы можете перезаписать их записями DNS, созданными в зоне вручную. Чтобы узнать об этом больше, ознакомьтесь со следующими вопросом и ответом.
Что происходит при попытке вручную создать запись DNS в частной зоне с таким же именем узла, как и у автоматически зарегистрированной существующей виртуальной машины в связанной виртуальной сети?
Вы пытаетесь вручную создать запись DNS в частной зоне с таким же именем узла, как и у автоматически зарегистрированной виртуальной машины в связанной виртуальной сети. При этом новая запись DNS перезаписывает автоматически зарегистрированную виртуальную машину. Повторное удаление этой созданной записи DNS из зоны происходит успешно. Автоматическая регистрация выполняется еще раз, пока существует виртуальная машина и к ней присоединен частный IP-адрес. Запись DNS автоматически не будет создана повторно в зоне.
Что происходит при удалении связи между связанной виртуальной сетью и частной зоной? Будут ли также удалены из зоны автоматически зарегистрированные записи виртуальных машин из виртуальной сети?
Да. Чтобы удалить связь с частной зоной связанной виртуальной сети, обновите зону DNS, удалив ссылку на связанную виртуальную сеть. В этом процессе записи виртуальных машин, которые были автоматически зарегистрированы, удаляются из зоны.
Что происходит при удалении виртуальной сети, связанной с частной зоной? Требуется ли вручную обновить частную зону, чтобы удалить из зоны связь со связанной виртуальной сетью?
Нет. Если удалить связанную виртуальную сеть, не удалив сначала ее связь с частной зоной, операция удаления будет успешно выполнена, а ссылки на зону DNS будут автоматически удалены.
Будет ли по-прежнему работать разрешение DNS с помощью полного доменного имени по умолчанию (internal.cloudapp.net), даже если частная зона (например, private.contoso.com) связана с виртуальной сетью?
Да. Частные зоны не заменяют зону internal.cloudapp.net, предоставляемую Azure. При использовании зоны internal.cloudapp.net, предоставляемой Azure, или собственной частной зоны используйте полное доменное имя зоны, выбранной для разрешения имен.
Изменится ли DNS-суффикс виртуальных машин в связанной виртуальной сети с учетом этой частной зоны?
Нет. В настоящее время DNS-суффикс виртуальных машин в связанной виртуальной сети сохраняет формат суффикса Azure по умолчанию («*.internal.cloudapp.net»). Однако можно вручную изменить этот DNS-суффикс на виртуальных машинах, указав частную зону. Инструкции по изменению этого суффикса см. в статье Использование DDNS для регистрации имен узлов на собственном DNS-сервере.
Как ограничивается использование частных зон Azure DNS?
Дополнительные сведения об ограничениях на использование частных зон Azure DNS см. в статье Ограничения Azure DNS.
Почему мои существующие частные зоны DNS не видны на новом портале?
Если существующая частная зона DNS создана с помощью API предварительного просмотра, необходимо перенести эту зону в новую модель ресурсов. Частные зоны DNS, созданные с помощью API предварительного просмотра, не будут видны в новом интерфейсе портала. Инструкции по их переносу в новую модель ресурсов см. ниже.
Как перенести существующие частные зоны DNS в новую модель?
Мы настоятельно рекомендуем как можно быстрее перенести их в новую модель ресурсов. Поддержка устаревшей модели ресурсов сохранится. Однако дополнительные функции для этой модели разрабатываться не будут. В будущем мы планируем объявить ее нерекомендуемой и заменить новой моделью ресурсов. Инструкции по переносу существующих частных зон DNS в новую модель ресурсов см. в руководстве по миграции частных зон Azure DNS.
Хранится ли какой-нибудь контент клиента в частных зонах Azure DNS?
Нет, в частных зонах Azure DNS не хранится никакого контента клиента.
Конфигурация DNS частной конечной точки Azure
Важно правильно настроить параметры DNS, чтобы IP-адрес частной конечной точки разрешался в полное доменное имя (FQDN) строки подключения.
Возможно, существующие службы Microsoft Azure уже используют конфигурацию DNS для общедоступной конечной точки. Эту конфигурацию нужно переопределить для подключения с помощью частной конечной точки.
Сетевой интерфейс, связанный с частной конечной точкой, содержит сведения для настройки DNS. Сведения о сетевом интерфейсе содержат полное доменное имя и частные IP-адреса для ресурса приватного канала.
Чтобы настраивать параметры DNS для частных конечных точек, можно использовать следующие варианты.
Мы не рекомендуем переопределять зону, которая активно используется для разрешения общедоступных конечных точек. Подключения к ресурсам не смогут правильно разрешаться без переадресации DNS в общедоступную службу DNS. Чтобы избежать проблем, создайте другое доменное имя или следуйте предлагаемому имени для каждой службы ниже.
Настройка зоны DNS служб Azure
Azure создает каноническую DNS-запись имени (CNAME) на общедоступном DNS-сервере. Запись CNAME перенаправляет разрешение в имя частного домена. Разрешение можно переопределить с помощью частного IP-адреса частных конечных точек.
Приложениям не нужно изменять URL-адрес подключения. Когда выполняется разрешение для общедоступной службы DNS, DNS-сервер будет выполнять разрешение в частные конечные точки. Этот процесс не повлияет на существующие приложения.
Частные сети, которые уже используют частную зону DNS для заданного типа, смогут подключаться только к общедоступным ресурсам, если у них нет подключений к частным конечным точкам. В противном случае для завершения последовательности разрешения DNS требуется соответствующая конфигурация DNS в частной зоне DNS.
Для служб Azure используйте рекомендуемые имена зон, описанные в следующей таблице.
| Тип ресурса частной ссылки/Подресурс | Имя Частной зоны DNS | Общедоступные серверы переадресации зоны DNS |
|---|---|---|
| Служба автоматизации Azure / (Microsoft.Automation/automationAccounts) / веб-перехватчик, DSCAndHybridWorker | privatelink.azure-automation.net | azure-automation.net |
| База данных SQL Azure (Microsoft.Sql/servers) / sqlServer | privatelink.database.windows.net | database.windows.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Sql | privatelink.sql.azuresynapse.net | sql.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / SqlOnDemand | privatelink.sql.azuresynapse.net | sqlondemand.azuresynapse.net |
| Azure Synapse Analytics (Microsoft.Synapse/workspaces) / Dev | privatelink.dev.azuresynapse.net | dev.azuresynapse.net |
| Azure Synapse Studio (Microsoft.Synapse/privateLinkHubs) / Web | privatelink.azuresynapse.net | azuresynapse.net |
| Учетная запись хранения (Microsoft.Storage/storageAccounts)/Большой двоичный объект (blob, blob_secondary) | privatelink.blob.core.windows.net | blob.core.windows.net |
| Учетная запись хранения (Microsoft.Storage/storageAccounts)/Таблица (table, table_secondary) | privatelink.table.core.windows.net | table.core.windows.net |
| Учетная запись хранения (Microsoft.Storage/storageAccounts)/Очередь (queue, queue_secondary) | privatelink.queue.core.windows.net | queue.core.windows.net |
| Учетная запись хранения (Microsoft.Storage/storageAccounts)/Файл (file, file_secondary) | privatelink.file.core.windows.net | file.core.windows.net |
| Учетная запись хранения (Microsoft.Storage/storageAccounts)/Сеть (web, web_secondary) | privatelink.web.core.windows.net | web.core.windows.net |
| Файловая система Azure Data Lake 2-го поколения (Microsoft.Storage/storageAccounts)/Файловая система Data Lake 2-го поколения (dfs, dfs_secondary) | privatelink.dfs.core.windows.net | dfs.core.windows.net |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.com | documents.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.com | mongo.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.com | cassandra.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.com | gremlin.cosmos.azure.com |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Таблица | privatelink.table.cosmos.azure.com | table.cosmos.azure.com |
| Пакетная служба Azure (Microsoft.Batch/batchAccounts) / учетная запись пакетной службы | privatelink. | |
| База данных Azure для PostgreSQL — одиночный сервер (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.azure.com | postgres.database.azure.com |
| База данных Azure для MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.azure.com | mysql.database.azure.com |
| База данных Azure для MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer | privatelink.mariadb.database.azure.com | mariadb.database.azure.com |
| Azure Key Vault (Microsoft.KeyVault/vaults) / vault | privatelink.vaultcore.azure.net | vault.azure.net vaultcore.azure.net |
| Служба Azure Kubernetes — Kubernetes API (Microsoft.ContainerService/managedClusters) / management | privatelink. | |
| Поиск Azure (Microsoft.Search/searchServices) / searchService | privatelink.search.windows.net | search.windows.net |
| Реестр контейнеров Azure (Microsoft.ContainerRegistry/registries) / реестр | privatelink.azurecr.io | azurecr.io |
| Конфигурация приложений Azure (Microsoft.AppConfiguration/configurationStores) / configurationStores | privatelink.azconfig.io | azconfig.io |
| Azure Backup (Microsoft.RecoveryServices/vaults) / AzureBackup | privatelink. | |
| Azure Site Recovery (Microsoft.RecoveryServices/vaults) / AzureSiteRecovery | privatelink.siterecovery.windowsazure.com | <регион>.hypervrecoverymanager.windowsazure.com |
| Центры событий Azure (Microsoft.EventHub/namespaces)/Пространство имен | privatelink.servicebus.windows.net | servicebus.windows.net. |
| Служебная шина Azure (Microsoft.ServiceBus/namespaces) / пространство имен | privatelink.servicebus.windows.net | servicebus.windows.net. |
| Центр Интернета вещей Azure (Microsoft.Devices/IotHubs) / iotHub | privatelink.azure-devices.net privatelink.servicebus.windows.net 1 | azure-devices.net servicebus.windows.net. |
| Azure Relay (Microsoft.Relay/namespaces) / пространство имен | privatelink.servicebus.windows.net | servicebus.windows.net. |
| Сетка событий Azure (Microsoft.EventGrid/topics) / тема | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Сетка событий Azure (Microsoft.EventGrid/domains) / домен | privatelink.eventgrid.azure.net | eventgrid.azure.net |
| Веб-приложения Azure (Microsoft.Web/sites) / sites | privatelink.azurewebsites.net | azurewebsites.net; |
| Машинное обучение Azure (Microsoft.MachineLearningServices/workspaces) / amlworkspace | privatelink.api.azureml.ms privatelink.notebooks.azure.net | api.azureml.ms notebooks.azure.net instances.azureml.ms aznbcontent.net |
| SignalR (Microsoft.SignalRService/SignalR) / signalR | privatelink.service.signalr.net | service.signalr.net |
| Azure Monitor (Microsoft.Insights/privateLinkScopes) / azuremonitor | privatelink.monitor.azure.com privatelink.oms.opinsights.azure.com privatelink.ods.opinsights.azure.com privatelink.agentsvc.azure-automation.net privatelink.blob.core.windows.net | monitor.azure.com oms.opinsights.azure.com ods.opinsights.azure.com agentsvc.azure-automation.net blob.core.windows.net |
| Cognitive Services (Microsoft.CognitiveServices/accounts) / account | privatelink.cognitiveservices.azure.com | cognitiveservices.azure.com |
| Синхронизация файлов Azure (Microsoft.StorageSync/storageSyncServices) / afs | privatelink.afs.azure.net | afs.azure.net |
| Фабрика данных Azure (Microsoft.DataFactory/factories) / dataFactory | privatelink.datafactory.azure.net | datafactory.azure.net |
| Фабрика данных Azure (Microsoft.DataFactory/factories) / portal | privatelink.adf.azure.com | adf.azure.com |
| Кэш Azure для Redis (Microsoft.Cache/Redis) / redisCache | privatelink.redis.cache.windows.net | redis.cache.windows.net |
| Кэш Azure для Redis Enterprise (Microsoft.Cache/RedisEnterprise) / redisCache | privatelink.redisenterprise.cache.azure.net | redisenterprise.cache.azure.net |
| Azure Purview (Microsoft.Purview) | privatelink.purview.azure.com | purview.azure.com |
| Azure Purview (Microsoft.Purview) | privatelink.purviewstudio.azure.com | purview.azure.com |
| Azure Digital Twins (Microsoft.DigitalTwins) / digitalTwinsInstances | privatelink.digitaltwins.azure.net | digitaltwins.azure.net |
| Azure HDInsight (Microsoft. HDInsight) | privatelink.azurehdinsight.net | azurehdinsight.net |
1 Для использования со встроенной конечной точкой Центра Интернета вещей, совместимой с концентратором событий. Дополнительные сведения см. в статье о поддержке приватных каналов для встроенной конечной точки Центра Интернета вещей.
Китай
| Тип ресурса частной ссылки/Подресурс | Имя Частной зоны DNS | Общедоступные серверы переадресации зоны DNS |
|---|---|---|
| База данных SQL Azure (Microsoft.SQL/Servers)/SQL Server | privatelink.database.chinacloudapi.cn | database.chinacloudapi.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / SQL | privatelink.documents.azure.cn | documents.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / MongoDB | privatelink.mongo.cosmos.azure.cn | mongo.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Cassandra | privatelink.cassandra.cosmos.azure.cn | cassandra.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Gremlin | privatelink.gremlin.cosmos.azure.cn | gremlin.cosmos.azure.cn |
| Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) / Таблица | privatelink.table.cosmos.azure.cn | table.cosmos.azure.cn |
| База данных Azure для PostgreSQL — одиночный сервер (Microsoft.DBforPostgreSQL/servers) / postgresqlServer | privatelink.postgres.database.chinacloudapi.cn | postgres.database.chinacloudapi.cn |
| База данных Azure для MySQL (Microsoft.DBforMySQL/servers) / mysqlServer | privatelink.mysql.database.chinacloudapi.cn | mysql.database.chinacloudapi.cn |
| База данных Azure для MariaDB (Microsoft.DBforMariaDB/servers) / mariadbServer | privatelink.mariadb.database.chinacloudapi.cn | mariadb.database.chinacloudapi.cn |
| Azure HDInsight (Microsoft. HDInsight) | privatelink.azurehdinsight.cn | azurehdinsight.cn |
Сценарии настройки DNS
Полное доменное имя служб автоматически разрешается в общедоступный IP-адрес. Чтобы выполнить разрешение в частный IP-адрес частной конечной точки, измените соответствующим образом конфигурацию DNS.
DNS является критически важным компонентом, обеспечивающим правильную работу приложения за счет правильного разрешения IP-адреса частной конечной точки.
Доступны следующие встроенные сценарии, связанные с разрешением DNS:
Рабочие нагрузки виртуальных сетей без пользовательского DNS-сервера
Эта конфигурация подходит для рабочих нагрузок виртуальных сетей без пользовательского DNS-сервера. В этом сценарии клиент запрашивает IP-адрес частной конечной точки для предоставленной Azure службы DNS 168.63.129.16. Azure DNS будет отвечать за разрешение DNS для частных зон DNS.
В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить эту модель, используя следующий ресурс: Настройка зоны DNS служб Azure.
Для правильной настройки необходимы следующие ресурсы:
виртуальная сеть клиента;
сведения о частной конечной точке (имя записи FQDN и частный IP-адрес).
На следующем снимке экрана показана последовательность разрешения DNS из рабочих нагрузок виртуальной сети с использованием частной зоны DNS.
Эту модель можно расширить на одноранговые виртуальные сети, связанные с той же частной конечной точкой. Добавьте новые ссылки на виртуальную сеть в частную зону DNS для всех одноранговых виртуальных сетей.
Для этой конфигурации требуется одна частная зона DNS. При создании нескольких зон с одинаковым именем для разных виртуальных сетей потребуется выполнить операции объединения записей DNS вручную.
Если вы используете частную конечную точку в звездообразной топологии из другой подписки или даже в той же подписке, свяжите одни и те же зоны DNS со всеми центральными и периферийными виртуальными сетями, в которых есть клиенты с потребностью разрешать адреса DNS в этих зонах.
В этом сценарии используется звездообразная топология сети. Все периферийные сети совместно используют частную конечную точку. Периферийные виртуальные сети связаны с одной частной зоной DNS.
Локальные рабочие нагрузки с использованием DNS-сервера переадресации
Чтобы локальные рабочие нагрузки могли разрешать полное доменное имя частной конечной точки, примените DNS-сервер перенаправления для разрешения общедоступной зоны DNS службы Azure через Azure. DNS-сервер перенаправления — это виртуальная машина, работающая в виртуальной сети и связанная с Частной зоной DNS, которая может выполнять роль прокси-сервера для запросов DNS из других виртуальных сетей или из локальной среды. Это необходимо, так как запрос к Azure DNS должен отправляться из виртуальной сети. Для прокси-серверов DNS доступны следующие варианты: службы DNS под управлением Windows, службы DNS под управлением Linux или Брандмауэр Azure.
Следующий сценарий подходит для локальной сети, в которой есть DNS-сервер перенаправления в Azure. Этот DNS-сервер перенаправления разрешает запросы DNS, перенаправляя их на уровне сервера к предоставленному платформой Azure DNS-серверу 168.63.129.16.
В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить эту модель, используя следующий ресурс: Настройка зоны DNS служб Azure.
Для правильной настройки необходимы следующие ресурсы:
На следующей схеме показана последовательность разрешения DNS из локальной сети. В этой конфигурации используется DNS-сервер перенаправления, развернутый в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
Эту конфигурацию можно расширить для локальной сети, в которой уже есть решение DNS. В локальном решении DNS настроено перенаправление трафика DNS в службу Azure DNS через сервер условного перенаправления. Сервер условного перенаправления ссылается на DNS-сервер перенаправления, развернутый в Azure.
В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб эту модель можно скорректировать по инструкциям из справочника Настройка зоны DNS служб Azure.
Для правильной настройки необходимы следующие ресурсы:
На следующей схеме демонстрируется разрешение DNS из локальной сети. Разрешение DNS условно перенаправляется в Azure. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.
Условную переадресацию следует выполнять для рекомендуемого сервера пересылки общедоступной зоны DNS. Например, database.windows.net вместо privatelink.database.windows.net.
Рабочие нагрузки виртуальных сетей и локальные рабочие нагрузки с использованием DNS-сервера пересылки
Для рабочих нагрузок, которые обращаются к частной конечной точке из виртуальных и локальных сетей, следует использовать DNS-сервер перенаправления для разрешения развернутой в Azure общедоступной зоны DNS для службы Azure.
Следующий сценарий подходит для локальной сети с виртуальными сетями в Azure. Обе сети обращаются к частной конечной точке, расположенной в общей центральной сети.
Этот DNS-сервер пересылки отвечает за разрешение всех запросов DNS с помощью серверной пересылки в предоставленную Azure службу DNS 168.63.129.16.
Для этой конфигурации требуется одна частная зона DNS. Все клиентские подключения из локальных и пиринговых виртуальных сетей также должны использовать одну частную зону DNS.
В этом сценарии используется частная зона DNS, рекомендуемая Базой данных SQL Azure. Для других служб можно настроить эту модель, используя следующий ресурс: Настройка зоны DNS служб Azure.
Для правильной настройки необходимы следующие ресурсы:
На следующей схеме демонстрируется разрешение DNS для локальной и виртуальной сетей. Для разрешения здесь используется DNS-сервер перенаправления. Разрешение осуществляется с помощью частной зоны DNS, связанной с виртуальной сетью.