문제
Azure에 배포된 Cisco VA(Secure Access Virtual Appliance)를 통해 트래픽이 라우팅되는 경우 Azure 작업 영역 및 작업 로드에서 Azure Private Link 리소스에 액세스할 수 없습니다. Azure 개인 도메인에 대한 보안 액세스를 우회하도록 트래픽 조정 예외를 구성하고, DNS 백오프를 사용하도록 설정하고, VA에서 개인 DNS를 구성하더라도 이 문제는 지속됩니다.
Secure Access VA 뒤에 있는 Azure 워크로드에서 Azure Private Link 끝점에 액세스하려고 하면 확인 및 연결이 실패합니다.
환경
- Azure에 배포된 Cisco Secure Access VA(Virtual Appliance)
- Azure 작업 영역 및 Azure 호스팅 작업
- 개인 Azure 리소스 연결에 대해 Azure Private Link 사용
- Azure 개인 도메인에 대한 보안 액세스를 우회하도록 구성된 트래픽 조정 예외
- Secure Access VA 내에서 DNS 백오프 활성화
- Secure Access VA에 구성된 프라이빗 DNS 영역
- 소프트웨어 버전: ALL(버전에 구애받지 않음)
해결
해결 방법에는 Azure Private Link 도메인을 확인할 수 있는 내부 DNS 서버 항목을 포함하도록 Cisco Secure Access VA 내의 DNS 구성을 업데이트하는 작업이 포함됩니다. 다음 단계는 수행한 문제 해결 및 해결 작업에 대해 자세히 설명합니다.
Secure Access VA에서 로컬 DNS 컨피그레이션 진단
- 기존 DNS 컨피그레이션을 검사하고 내부 DNS 서버가 설정되었는지 확인하려면 Secure Access VA에서 다음 명령을 사용합니다.
config localdns show
- 출력 예(장치 이름이 교체된 경우):
device# config localdns show
No internal DNS servers configured.
Conditional forwarders present for Azure private domains.
Secure Access VA에 내부 DNS 서버 항목 추가
- Azure Private Link 도메인의 올바른 확인을 활성화하려면 다음 명령을 사용하여 적절한 내부 DNS 서버 IP 주소를 추가하십시오.
config localdns add <internal-DNS-server-IP>
<internal-DNS-server-IP>를 Azure Private Link 도메인을 확인할 수 있는 내부 DNS 서버의 실제 IP 주소로 바꿉니다.
Azure 개인 링크 도메인에 대한 DNS 확인 확인
- DNS 구성을 업데이트한 후 Azure Private Link 도메인이 Secure Access VA를 통해 확인될 수 있는지 확인합니다. 다음 명령을 사용하여 DNS 서버 구성을 확인합니다.
config localdns show
- 출력 예(장치 이름 대체):
device# config localdns show
Internal DNS servers configured:
- x.x.x.x
Conditional forwarders present for Azure private domains.
- DNS 서버가 없는 config localdns show에서 확인
이 확인된 작업 상태로의 변경을 표시하는 CLI 명령을 찾을 수 없습니다.
Azure 개인 링크 리소스에 대한 연결 유효성 검사
DNS가 올바르게 해결되면 Secure Access VA 뒤의 Azure 워크로드에서 의도한 Azure Private Link 엔드포인트로의 연결을 테스트하여 올바른 액세스를 보장합니다.
원인
문제의 근본 원인은 Cisco Secure Access VA 내에 내부 DNS 서버 컨피그레이션이 없기 때문입니다. VA는 Azure 개인 도메인에 대한 조건부 전달자로 구성되었지만 Azure 개인 링크 도메인의 올바른 DNS 확인에 필요한 내부 DNS 서버가 없습니다. 내부 DNS 서버 항목을 추가하면 문제가 해결되었습니다.
관련 콘텐츠
피드백