uitgeven
Azure Private Link-bronnen zijn niet toegankelijk vanuit Azure-werkruimten en -workloads wanneer het verkeer wordt geleid via een Cisco Secure Access Virtual Appliance (VA) die in Azure is geïmplementeerd. Dit probleem blijft bestaan ondanks het configureren van uitzonderingen voor verkeerssturing om Secure Access voor Azure-privédomeinen te omzeilen, DNS-back-off in te schakelen en privé-DNS op de VA te configureren.
Pogingen om toegang te krijgen tot Azure Private Link-eindpunten vanuit Azure-werklasten achter de Secure Access VA resulteren in een mislukte oplossing en connectiviteit.
milieu
- Cisco Secure Access Virtual Appliance (VA) geïmplementeerd in Azure
- Azure-werkruimten en door Azure gehoste werklasten
- Azure Private Link ingeschakeld voor private Azure-bronconnectiviteit
- Uitzonderingen voor verkeerssturing geconfigureerd om Secure Access voor Azure-privédomeinen te omzeilen
- DNS-back-up ingeschakeld binnen Secure Access VA
- Private DNS-zones geconfigureerd in Secure Access VA
- Softwareversie: ALL (probleem is versie-agnostisch)
resolutie
De oplossing betrof het bijwerken van de DNS-configuratie binnen de Cisco Secure Access VA om interne DNS-serververmeldingen op te nemen die in staat zijn Azure Private Link-domeinen op te lossen. In deze stappen worden de probleemoplossing en de genomen corrigerende maatregelen beschreven:
Diagnose van lokale DNS-configuratie op Secure Access VA
- Als u de bestaande DNS-configuratie wilt onderzoeken en wilt bevestigen of interne DNS-servers zijn ingesteld, gebruikt u deze opdracht op de VA voor beveiligde toegang:
config localdns show
- Voorbeeld uitvoer (met vervangen apparaatnaam):
device# config localdns show
No internal DNS servers configured.
Conditional forwarders present for Azure private domains.
Voeg interne DNS-serververmeldingen toe aan Secure Access VA
- Voeg met deze opdracht de juiste interne DNS-server-IP-adressen toe om de juiste oplossing van Azure Private Link-domeinen mogelijk te maken:
config localdns add <internal-DNS-server-IP>
- Vervang
<internal-DNS-server-IP> door het werkelijke IP-adres van uw interne DNS-server waarmee Azure Private Link-domeinen kunnen worden opgelost.
DNS-resolutie voor Azure Private Link-domeinen verifiëren
- Controleer na het bijwerken van de DNS-configuratie of Azure Private Link-domeinen kunnen worden opgelost via de Secure Access VA. Gebruik deze opdracht om de configuratie van de DNS-server te bevestigen:
config localdns show
- Voorbeeld uitvoer (apparaatnaam vervangen):
device# config localdns show
Internal DNS servers configured:
- x.x.x.x
Conditional forwarders present for Azure private domains.
- Geen CLI-opdracht gevonden die de verandering van
configuratielocalen weergeeft zonder DNS-servers naar een werkende toestand met bevestigde resolutie.
Connectiviteit met Azure Private Link-bronnen valideren
Zodra DNS correct is opgelost, test u de connectiviteit van Azure-werklasten achter de Secure Access VA naar de beoogde Azure Private Link-eindpunten om een goede toegang te garanderen.
Oorzaak
De hoofdoorzaak van het probleem was het ontbreken van interne DNS-serverconfiguraties binnen de Cisco Secure Access VA. De VA was geconfigureerd met voorwaardelijke doorstuurprogramma's voor Azure-privédomeinen, maar ontbrak interne DNS-servers die nodig waren voor een goede DNS-resolutie van Azure Private Link-domeinen. Het toevoegen van de interne DNS-serververmeldingen heeft het probleem opgelost.
Verwante inhoud
Feedback