如果您能在Azure中使用DNS转发器正确设置本地工作负载,我将不胜感激。我已经遵循了下面的链接,并使其适用于我的on-prem网络,以连接到Azure中VNET中具有私有端点的资源。不起作用的是,如果我们试图连接到其他具有专用端点但我们希望通过其公共端点连接的资源。
示例:我们有一个资源secnetwork1.blob.core.windows.net,它有一个专用端点,我们的预DNS服务器将流量转发到VPN链接的VNET。一切正常,我们返回了预期的10.X.X.X地址,而不是公共地址。我们想连接到其他不属于我们网络的公司.blob.core.windows。当我们的预处理资源查找时,他们会从nslookup得到以下响应:
nslookup someothercompanies.blob.core.windows.net
Server: 168.63.129.16
Address: 168.63.129.16#53
Non-authoritative answer:
someothercompanies.blob.core.windows.net canonical name = someothercompanies.privatelink.blob.core.windows.net.
** server can't find someothercompanies.privatelink.blob.core.windows.net: NXDOMAIN
Link: https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns#on-premises-workloads-using-a-dns-forwarder
我认为,即使我们有一个设置了私人链接和DNS转发器的私人端点,我们仍然应该能够与其他对互联网开放的公司进行对话,即使该公司有一个为自己的内部使用设置的私人端点和私人链接。想象一下,我们从第三方公司获取数据,而该公司通过一个blob提供数据,他们有一个内部专用端点和专用链接设置,可以在内部访问以供自己使用。我的猜测是我们的DNS转发设置不正确。
最后,我在这里建立了一个github repo,它使用terraform模拟了这个问题:https://github.com/westridgegroup/wrg-terraform-networking
在MS网站上读到这句话后,我相信我想要实现的是不可能的。"已经使用给定类型的专用DNS区域的专用网络,只有在没有任何专用端点连接的情况下才能连接到公共资源,否则需要在专用DNS区域上进行相应的DNS配置才能完成DNS解析序列">
MS链接:https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns#azure-服务dns区域配置