问题标签 [azure-private-dns]

我正在使用 Azure CLI 脚本来自动在我们的云基础架构中创建 vnet。此脚本中的一部分是将 VNET 链接到 Azure 私有 DNS。这应该很容易，但显然困难在于 VNET 和私有 DNS 位于不同的资源组中。

这是我的脚本；

现在，当我退出时，我收到以下错误；

无法对嵌套资源执行请求的操作。未找到父资源“myzone.nu”。

所以我更新了脚本来查看私有 DNS 的资源组；

这给了我以下错误；

部署失败。相关 ID：（SomeGuid）。找不到“/subscriptions//resourceGroups/my-privatedns-resourcegroup/providers/Microsoft.Network/virtualNetworks/my-own-vnet”的虚拟网络资源

我现在很困惑如何解决这个问题。以前有人遇到过这个吗？我愿意接受建议！

任何人都可以为这种情况提出一些解决方案吗？：

我在 VNet 中部署了两个资源：应用程序网关和应用程序网关后面的虚拟机。（子网 1 中的应用程序网关和子网 2 中的虚拟机）没有与应用程序网关关联的公共 ip（只有私有 ip 的内部应用程序网关）。我在另一个租户的存储帐户中有自动化脚本，我需要能够使用 azure cli 在 vm 中下载这些脚本。使用给定的架构，我希望能够从存储帐户下载 vm 中的脚本。目前，如果我从 VM 运行“az login”，则没有任何反应。我在 Azure 文档上找到了一些帮助：https ://docs.microsoft.com/en-us/azure/application-gateway/configuration-overview#allow-application-gateway-access-to-a-few-source-ips但是这没有帮助。

我还附加了允许 VM 的 VnetInbound 的网络安全组。在 while 架构中，由于客户要求，我不能使用任何公共 ip，而且他们不希望有任何互联网连接。

有什么建议么？

提前致谢！

根据有关私有链接和 Azure SQL 故障转移组的 MS Docs，在创建到主和故障转移 SQL 服务器实例的私有链接之后，随后创建故障转移组应该（我认为？）向私有 DNS 区域添加一个条目，以便应用程序可以直接指向故障转移组 DNS，而不是根据专用链接过程添加到主/辅助 SQL 服务器的原始 DNS 条目。

https://docs.microsoft.com/en-us/azure/sql-database/sql-database-configure-failover-group?tabs=azure-portal#use-private-link

在添加专用链接之后添加故障转移组后，它不会使用条目来扩充专用 DNS 区域，然后应用程序可以使用该条目私下使用故障转移组端点，并且故障转移组设置仅显示要连接到的 FG DNS根据非私有链接设置。

遵循上述文档后的预期结果是什么？应该如何访问私有链接故障转移组 DNS？据我所知，它让您仍然需要访问之前创建的两个私有链接 DNS 条目？

谢谢

我在 Azure 中创建了 VNET。我放入了一个 Azure Private Link 子集，它在 VNET 之外和另一台虚拟机中调用 Azure Function。
当我尝试通过私有 IP 调用私有端点时，出现 400 异常。如果我尝试从 VM ping 私有 IP，它就不起作用。
但是通过 URL 它运行良好。
有没有办法通过IP调用它？

他们正试图将 Oracle 数据库迁移到雪花中。他们将把所有现有的预言机账户转换为雪花账户。现在，如果启用了 AD LDAP 登录，是否只需要在 LDAP 端创建新用户，并且在连接雪花时可以将这些用户标记到帐户吗？假设目前有 10 个 oracle 帐户被转换为 10 个雪花帐户。如果启用 LDAP，可以通过创建 LDAP 帐户添加多个员工 ID 以使用 10 个雪花帐户之一。

对不起，如果我听起来很愚蠢。我对 LDAP/AD/admin 工作经验不足

问题大纲

Azure Function App 一旦集成到 VNET 并且 WEBSITE_VNET_ROUTE_ALL 设置为 1，就无法访​​问。

这是必需的，以便函数应用可以安全地连接到 SQL，而无需公开 SQL。

错误：

无法列出函数应用键。

来自同一网络中 VM 内的 HTTP 请求 (CURL) 失败：504 网关超时

架构图

重现步骤

1. 创建资源组
2. 创建具有 10.20.11.0/26 地址空间的 VNET
3. 为函数应用程序创建一个子网以集成到地址范围为 10.20.11.0/27
4. 创建一个 Linux Function App 并集成到您在步骤 2 中创建的 VNET。
5. 看到应用程序键仍然正常加载。
6. 为数据库创建一个子网，地址范围为 10.20.11.32/27
7. 创建 SQL Server 和 SQL 数据库。
8. 在数据库上创建带有 DNS 区域的专用链接并限制公共访问。
9. 将 DNS 区域链接到在步骤 2 中创建的 VNET。
10. 函数应用将 SQL 专用链接解析为公共 IP 地址。
11. 在 Function App 配置中，添加应用程序设置 WEBSITE_VNET_ROUTE_ALL 并将其设置为 1。
12. 看到函数应用程序现在将 SQL 私有链接解析为私有 IP 地址
13. 看到 Function App 键未加载。
14. 尝试通过来自网络或公共链接的连接连接到 Azure Functions。
15. 看到函数应用网关超时。

通过 SSH 连接到 Function App 并使用 nslookup，我们确定与专用链接的连接按预期解析了 SQL 数据库的本地 IP 地址。

将 WEBSITE_VNET_ROUTE_ALL 标志设置为 0，nslookup 解析 SQL 数据库的公共 IP。

由于 SQL 数据库受到限制且仅在网络上可用，因此将 WEBSITE_VNET_ROUTE_ALL 设置设置为 1 至关重要。

WEBSITE_VNET_ROUTE_ALL = 1

WEBSITE_VNET_ROUTE_ALL = 0

参考

https://docs.microsoft.com/en-us/azure/app-service/web-sites-integrate-with-vnet

我们在不同的办公室有一些内部 DNS 设置，但我正在考虑使用 Azure 私有 DNS 服务器是否有意义。混淆是否是明智的做法还是不是最佳实践。此功能是否普遍可用或它仍在预览中。

我们正在为我们的云服务使用 azure 存储帐户。此存储帐户是虚拟网络的一部分，因此对存储帐户的访问受到限制selected networks并添加了 vnet。这在我们的服务中非常有效。

当我们尝试在 azure 管道中将数据复制到此存储帐户时，就会出现问题。在管道中，我们临时将防火墙规则添加到存储帐户，以允许从管道代理的 IP 地址到存储帐户的流量。然后我们复制数据（通过 azcopy），最后删除防火墙规则。这适用于私人代理。但是，我们也使用托管在 azure中的私人代理。问题是，如果代理在 azure 中运行，则与存储帐户的连接使用私有 azure ip 地址，并且防火墙规则不起作用。这是在这个文档中指定的：

与存储帐户部署在同一区域的服务使用私有 Azure IP 地址进行通信。因此，您不能根据公共出站 IP 地址范围限制对特定 Azure 服务的访问。

有没有办法强制外部路由？在我看来，在当前配置下，我们无法从 azure 中连接到存储帐户，但我们能够从 azure 之外的私有代理（或任何其他 pc）连接，这似乎真的很愚蠢。

我已经尝试使用存储帐户部分中的routing preference设置，并使用端点，但这没有任何区别。firewalls and virtual networks-internetrouting

创建 Azure Private Dns 区域的命令如下：

'''$dnszone = New-AzPrivateDnsZone -ResourceGroupName“测试”-名称“privatelink.database.windows.net”'''

名称参数值“privatelink.database.windows.net”我们需要手动输入。

我们如何根据我们正在为其创建私有端点的对象自动获取或自动创建它？

我们将 Azure Private Link 连接配置到 Snowflake 帐户。直接私有链接 URL<accountname>.<region>.privatelink.snowflakecomputing.com按预期工作。然而，我们的目标是在任何地方都使用公共 URL <accountname>.<region>.azure.snowflakecomputing.com。它应该通过 VPN 中的私有端点解决。我们在 Private DNS zone 中设置了一条记录azure.snowflakecomputing.com。此 A 记录指向私有端点，nslookup <accountname>.<region>.azure.snowflakecomputing.com确认：

但是它不起作用。在 TLS 握手期间返回了错误的证书。用openssl检查：

用 . 返回证书CN = *.west-europe.privatelink.snowflakecomputing.com。看起来雪花根据源 IP 地址而不是源站点名称返回证书。

问题：我做错了什么以获得期望的行为？这是否意味着雪花不希望将公共 URL 与私有端点一起使用？