Azure:如何跨订阅将专用DNS区域与虚拟网络关联?

j9per5c4  于 2022-12-24  发布在  其他
关注(0)|答案(1)|浏览(176)

我有2个虚拟网络在2个不同的订阅如下:

  • VNET1:192.168.0.0/24,订阅编号1(集线器
  • VNET2:192.168.1.0/24,订阅编号2(发言

我已经创建了对等连接,并且能够从两端正确地ping。
现在,我已经在订阅#1(HUB)中创建了专用区域,如下所示

resource "azurerm_private_dns_zone" "keyvalutzone" {
  name                = "privatelink.vaultcore.azure.net"
  resource_group_name = azurerm_resource_group.ipz12-dat-np-connection-rg.name

  depends_on = [
    azurerm_resource_group.ipz12-dat-np-connection-rg
  ]
}

并与VNET链接,如下所示

resource "azurerm_private_dns_zone_virtual_network_link" "network_link_hub_vnet_keyvalut" {
  name                  = "vnet_link_hub_keyvalut"
  resource_group_name   = azurerm_resource_group.ipz12-dat-np-connection-rg.name
  private_dns_zone_name = azurerm_private_dns_zone.keyvalutzone.name
  virtual_network_id    = azurerm_virtual_network.hub_vnet.id

  depends_on = [
    azurerm_private_dns_zone.keyvalutzone, 
    azurerm_virtual_network.hub_vnet
  ]  
}

问题:是否需要将此专用DNS区域与所有虚拟网络(包括订阅#2(SPOKE)中的VNET2)相关联,以便可以在VNET2中解析专用终结点?如果需要,如何将此专用DNS区域与VNET2相关联?
注意:我在订阅#1(HUB)中有专用DNS解析程序,因为它的入站终结点地址用作订阅#1(HUB)中VNET1的自定义DNS

resource "azurerm_private_dns_resolver" "hub_private_dns_resolver" {
  name                = "hub_private_dns_resolver"
  resource_group_name = azurerm_resource_group.ipz12-dat-np-connection-rg.name
  location            = azurerm_resource_group.ipz12-dat-np-connection-rg.location
  virtual_network_id  = azurerm_virtual_network.hub_vnet.id
}

resource "azurerm_private_dns_resolver_inbound_endpoint" "hub_private_dns_resolver_ie" {
  name                    = "hub_private_dns_resolver_ie"
  private_dns_resolver_id = azurerm_private_dns_resolver.hub_private_dns_resolver.id
  location                = azurerm_private_dns_resolver.hub_private_dns_resolver.location
  
  ip_configurations {
    private_ip_allocation_method = "Dynamic"
    subnet_id                    = azurerm_subnet.dns_resolver_inbound_subnet.id
  }
}
iswrvxsc

iswrvxsc1#

我尝试在我的环境中重现相同的结果,结果如下:

您可以将属于不同订阅的虚拟网络与专用DNS区域一起使用,请确保您对虚拟网络和专用DNS区域(如**Network ContributorPrivate DNS zone Contributor roles)具有*写入**操作权限
如果您正在使用来自不同订阅或相同订阅的轴辐式模型中的专用终结点,建议将相同的专用DNS区域链接到包含需要从区域进行DNS解析的客户端的所有辐条和中心虚拟网络。

您可以将private DNS zone与N个虚拟网络链接。也可以将专用区域连接到属于不同订阅的虚拟网络。

确保在创建新虚拟机时***启用自动注册***,并自动向此专用DNS区域注册。
然后,我创建了虚拟机,它自动注册,并尝试添加如下记录:

现在尝试测试私有dns区域,并在两台虚拟机上配置防火墙,以允许RDP powershell中的入站ICMP数据包,如下所示:

New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

现在,从这台计算机vm2(infra002),我可以使用自动注册的主机名ping vm1,如下所示:

参考:

Azure专用终结点DNS配置|微软

相关问题