Azure Files s Privátním bodem bez vlastního DNS

DETAILNÍ ŘEŠENÍ V KOMENTÁŘÍCH - https://learn.microsoft.com/en-us/azure/dns/dns-private-resolver-overview

Ahoj pánové,

hledám nějaké vedení, protože jsem vyčerpal nápady, jak získat funkční řešení pro tento scénář.

Mám zákazníka, který požaduje nasazení Účet ukládání (SA) s privátním bodem (PE).

Zákazník má zařízení AADJ bez řadiče domény, takže nemá vlastní DNS.

Přidal jsem Azure Privátní DNS zónu a přidal jsem A záznam pro SA (storageaccount.privatelink.file.core.windows.net)

Nicméně při pokusu o rozlišení A záznamu se resolve pouze veřejná IP

Postrádám něco, když budu muset vždy řešit pouze interní IP, bez ohledu na místo uživatele. Ideálně bych nechtěl používat upravený soubor hostitelů, pokud je to možné.

lnmv01zl8iab11449×536 20.5 KB

Připojili jste privátní DNS zónu ke vNetu, který zařízení dokážou rozlišit?

Začněte tím, jaký DNS server vaše zařízení AADJ používají. Ten server musí být schopen rozpoznat záznamy v privátní DNS zóně.

Nezapomeňte, že vaše zařízení také potřebují přístup k vNetu, který má přístup k privátnímu bodu. To může být přes ExpressRoute, S2S VPN, P2S VPN.

Upravte soubor profile.xml, který stáhnete z portálu Azure pro VPN klienta, přidáním dnssuffixů, které chcete rozlišovat přes VPN (ujistěte se, že před doménové jméno vložíte tečku)

Takže uživatelé mají přístup přes P2S VPN pomocí Azure VPN klienta.

Jádrový VNET, kde sídlí VPN GW, má povolené výchozí Azure DNS, stejně tak i produkční VNET. Privátní Azure DNS zóna je propojena s oběma VNETy, ale to nedělá žádný rozdíl.

Přikládám screenshoty, kde je moje endpoint připojen k VPN GW.

https://imgur.com/HuS2PSU

https://imgur.com/H9KFRal

Ano, port SMB není problém, je to prostě otázka DNS.

Čtu otázku, uvádí, že není žádný řadič domény. Zákazník je AAD.

Odstranil jsem předchozí profil, upravil XML a znovu načetl, ale stále stejné rozlišení.

Uprava: S připojeným P2S VPN samozřejmě)

https://imgur.com/XB26X3k

https://imgur.com/4knmp70

Zkontrolujte, jaký DNS server je přiřazen VPN od Azure. To můžete zkontrolovat v konfiguračním XML souboru

Stojí za to nakonfigurovat privátního resolvra a ručně nastavit P2S VPN, aby používala tento endpoint pro DNS.

Potřebujete privátního DNS resolveru s příjmovým endpointem do vašeho VNet.

Také musí být propojen s rozsáhem sítě DNS serveru, který používají vaši klienti.

Pokud je to místní, musíte vytvořit přesměrovače v místní doméně
Na DNS server v síti Azure.

Například
Použili jsme možnost směrování DNS na Azure Firewall
A nasměrovali místní DNS forwardery na Azure Firewall pro tyto privátní prostory.

Haha! To jsem přehlédl! Má OP podíval na veřejnou adresu, nikoliv na privátní bod? Rozpoznání DNS by mělo směřovat na privátní IP, pokud je žádáno z vnitřního prostředí vNetu.

Do vNetu, kde sídlí PE pro SA, správně?

Bohužel tato implementace obsahuje základní Azure Firewall, který nepodporuje DNS proxy, což by to vyřešilo. Ale děkuji.

Zjistil jsem, že obě rozlišení ukazují veřejnou adresu.

Jak bylo zmíněno v původním příspěvku - budu potřebovat, aby uživatelé rozlišovali soukromou adresu bez ohledu na jejich polohu, protože většinou budou pracovat vzdáleně, kde DNS bude poskytovat jejich domácí router/ISP.

VNet, ke které je vaše privátní DNS zóna vázána, konkrétně.

V takovém případě nastavte Windows server jako DNS server v této VNet a používejte ho k řešení, i když to může být trochu drahé.

Možná byste mohli najít levnější DNS zařízení na trhu.

Jak jsou vaši uživatelé připojeni ke vNet/snet, kde je privátní bod? Připojují se přes VPN? Nemohou rozpoznat privátní DNS zónu, pokud ji nevidí?

Budou dostávat pouze veřejný endpoint, pokud nemají přímý přístup k privátnímu bodu.

Takže pokud odkazujete na diagram, který jsem zveřejnil dříve, bude to produkční VNET?

Obě VNET jsou aktuálně propojeny s privátní zónou, ale uživatelé vstupují do Azure z jádra, kde sídlí GW? Děkuji.

Ano, to by byl váš centrální VNet ve vašem diagramu!