DNS 流程
以下概述了使用 ZTNA 存取應用程式時 DNS 的運作方式。您可以使用 ZTNA 代理程式或透過瀏覽器存取應用程式。
具有代理程式的 DNS 流程
-
遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net。
-
DNS 請求被截獲並轉寄到 ZTNA 代理程式。
注意
ZTNA 代理程式將私人應用程式 FQDN 解析爲載波級網路地址轉換 (CGN) 網路 IP,並處理發往私人應用程式 FQDN 的所有流量。
-
ZTNA 代理程式向公共 DNS 伺服器傳送 DNS 請求以獲取 ZTNA 閘道的 IP 位址。這是與 ZTNA 閘道建立通道所必需的。
注意
公共 DNS 伺服器具有指向閘道 IP 的 ZTNA 閘道的 A 記錄條目。
-
公共 DNS 伺服器將 ZTNA 閘道的 IP 位址 (203.0.113.20) 傳回 ZTNA 代理程式。
-
在 ZTNA 代理程式和 ZTNA 閘道之間執行相互 TLS 加密,並建立通道。與 ZTNA 閘道的所有通訊都會透過安全通道進行。
-
代理程式透過通道將 app.mycompany.net 的應用程式流量傳送到 ZTNA 閘道。
-
ZTNA 閘道會將 app.mycompany.net 的 DNS 查詢傳送至私人 DNS 伺服器,以找出特定應用程式伺服器 IP 的位置。
-
私人 DNS 伺服器將返回應用程式伺服器的 IP 位址 (192.168.1.20),而流量則由 ZTNA 閘道轉寄到應用程式伺服器。
-
遠端使用者可以透過通道存取私人應用程式。
注意
使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。
DNS 無代理程式流量
-
遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net。
-
DNS 請求從遠端使用者的瀏覽器傳送到公共 DNS 伺服器,該伺服器將私人應用程式的名稱解析爲 ZTNA 閘道的名稱和 IP 位址。
注意
公用 DNS 伺服器有私人應用程式的 CNAME 記錄,指向 ZTNA 閘道的 FQDN。它還具有 ZTNA 閘道的 A 記錄,指向閘道的 IP 位址。
-
公共 DNS 伺服器將 ZTNA 閘道的 IP 位址 (203.0.113.20) 傳回使用者的瀏覽器。
-
然後,Web 請求將從使用者的瀏覽器傳送到 ZTNA 閘道。
-
ZTNA 閘道將 app.mycompany.net 的 DNS 請求傳送到私人 DNS 伺服器。
-
私人 DNS 伺服器返回 app.mycompany.net (192.168.1.20) 的 IP 位址。
-
ZTNA 閘道將請求 (app.mycompany.net) 轉寄到應用程式伺服器。
-
使用者可以連線到 ZTNA 閘道以存取私人應用程式。
注意
使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。