Información general sobre zonas y registros de DNS
En este artículo se explican los conceptos clave de los dominios, las zonas DNS, los registros DNS y los conjuntos de registros. Aprenderá cómo se admiten en Azure DNS.
Nombres de dominio
El sistema de nombres de dominio es una jerarquía de dominios. La jerarquía empieza por el dominio root
, cuyo nombre es sencillamente ".". Después de él, se encuentran los dominios de primer nivel, como com
, net
, org
, uk
o jp
. A continuación, se colocan los dominios de segundo nivel, como org.uk
o co.jp
. Los dominios están distribuidos globalmente, hospedados por servidores de nombres DNS de todo el mundo.
Un registrador de nombres de dominio es una organización que le permite adquirir un nombre de dominio, como contoso.com
. Comprar un nombre de dominio le concede el derecho a controlar la jerarquía DNS bajo ese nombre, por ejemplo, permitiéndole dirigir el nombre www.contoso.com
al sitio web de empresa. El propio registrador puede hospedar el dominio del usuario en los servidores de nombres de este último, o bien el usuario puede especificar servidores de nombres alternativos.
Azure DNS proporciona una infraestructura de servidores de nombre de alta disponibilidad distribuida globalmente, que se puede utilizar para hospedar el dominio. Al hospedar los dominios en DNS de Azure, puede administrar los registros DNS con las mismas credenciales, interfaces API, herramientas, facturación y soporte técnico que con los demás servicios de Azure.
Azure DNS actualmente no admite la adquisición de nombres de dominio. Por una tarifa anual, puede comprar un nombre de dominio mediante dominios de App Service o un registrador de nombres de dominio de terceros. Los dominios se pueden hospedar a continuación en Azure DNS para la administración de registros. Para más información, vea Delegación de un dominio en DNS de Azure.
Zonas DNS
Una zona DNS se usa para hospedar los registros DNS de un dominio concreto. Para iniciar el hospedaje de su dominio en DNS de Azure, debe crear una zona DNS para ese nombre de dominio. Cada registro DNS del dominio se crea luego en esta zona DNS.
Por ejemplo, puede que el dominio "contoso.com" contenga varios registros DNS, como "mail.contoso.com" (para un servidor de correo) y "www.contoso.com" (para un sitio web).
Al crear una zona DNS de Azure DNS:
- El nombre de la zona debe ser único en el grupo de recursos y la zona no debe existir aún. De lo contrario, la operación presentará un error.
- El mismo nombre de zona podrá reutilizarse en otro grupo de recursos o en otra suscripción de Azure.
- Cuando varias zonas comparten el mismo nombre, se asigna a cada instancia diferentes direcciones del servidor. Solo se puede configurar un único conjunto de direcciones con el registrador de nombres de dominio.
Nota:
No tiene que poseer un nombre de dominio para crear una zona DNS con dicho nombre de dominio en DNS de Azure. Sin embargo, es necesario ser propietario del dominio para configurar los servidores de nombres en DNS de Azure como los servidores de nombres correctos para el nombre de dominio con el registrador de nombres de dominio.
Para más información, vea Delegación de un dominio en DNS de Azure.
Registros DNS
Nombres de registro
En DNS de Azure, los registros se especifican mediante el uso de nombres relativos. En un nombre de dominio completo (FQDN) se incluye el nombre de zona, mientras que uno relativo, no. Por ejemplo, el nombre de registro relativo www
en la zona contoso.com
proporciona el nombre de registro completo www.contoso.com
.
Un registro de vértice es un registro DNS en la raíz (o vértice) de una zona DNS. Por ejemplo, en la zona DNS contoso.com
, un registro de vértice también tiene el nombre completo contoso.com
(que a veces se denomina dominio simple). Por convención, el nombre relativo \'\@\' se utiliza para representar registros de vértice.
Tipos de registro
Cada registro DNS tiene un nombre y un tipo. Los registros se organizan en distintos tipos según los datos que contengan. El tipo más común es un registro "A", que asigna un nombre a una dirección IPv4. Otro tipo común es un registro "MX", que asigna un nombre a un servidor de correo.
Azure DNS es compatible con todos los tipos de registro DNS comunes: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV y TXT. Tenga en cuenta que los registros de SPF se representan mediante registros TXT.
Se admiten tipos de registro adicionales si la zona está firmada con las extensiones de seguridad DNS (DNSSEC), como el firmante de delegación (DS) y los registros de recursos de autenticación de seguridad de la capa de transporte (TLSA).
Los tipos de registro de recursos DNSSEC, como DNSKEY, RRSIG y NSEC3, se agregan automáticamente cuando se firma una zona con DNSSEC. Estos tipos de registros de recursos DNSSEC no se pueden crear ni modificar después de la firma de zona.
Conjuntos de registros
En ocasiones, tendrá que crear más de un registro DNS con un nombre y un tipo concretos. Por ejemplo, supongamos que el sitio web 'www.contoso.com' se hospeda en dos direcciones IP diferentes. En este caso, se requieren dos registros A distintos, uno para cada dirección IP. Este es un ejemplo de un conjunto de registros:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Azure DNS administra todos los registros DNS con conjuntos de registros. Un conjunto de registros (también denominado conjunto de registros de recurso) es la colección de registros DNS de una zona con el mismo nombre y del mismo tipo. La mayoría de conjuntos de registros contienen un único registro. Sin embargo, es habitual encontrar ejemplos como el anterior, en el que un conjunto de registros contiene más de un registro.
Por ejemplo, supongamos que ya ha creado un registro "www" en la zona "contoso.com", que apunta a la dirección IP "134.170.185.46" (el primer registro anterior). Para crear el segundo registro se agregaría ese registro al conjunto de registros existente, en lugar de crear otro conjunto de registros.
Los tipos de registros SOA y CNAME se consideran excepciones. Los estándares DNS no permiten varios registros con el mismo nombre para estos tipos, por lo tanto, los conjuntos de estos registros solo pueden contener un único registro.
Período de vida
El tiempo de vida, o TTL, especifica cuánto tiempo los clientes almacenan en caché cada registro antes de consultarse. En el ejemplo anterior, el TTL es 3600 segundos o 1 hora.
En Azure DNS, el TTL se especifica para el conjunto de registros, no para cada registro, por lo que se usa el mismo valor para todos los registros del conjunto de registros. Se puede especificar cualquier valor TTL entre 1 y 2 147 483 647 segundos.
Registros de carácter comodín
DNS de Azure admite registros de carácter comodín. Estos se devuelven como respuesta a cualquier consulta con un nombre coincidente, a menos que haya una coincidencia más próxima de un conjunto de registros que no sean de caracteres comodín. Azure DNS admite los conjuntos de registros de carácter comodín para todos los tipos de registros, excepto NS y SOA.
Para crear un conjunto de registros comodín, utilice el nombre de conjunto de registros "*". También puede utilizar un nombre con "*" como su etiqueta a la izquierda, por ejemplo,"*.foo".
Registros CAA
Los registros CAA permiten a los propietarios especificar qué entidades de certificación (CA) están autorizadas para emitir certificados para su dominio. Este registro permite a las entidades de certificación evitar certificados no emitidos en algunas circunstancias. Los registros CAA tienen tres propiedades:
- Marcas: este campo es un número entero entre 0 y 255, que se utiliza para representar la marca crítica que tiene un significado especial según el RFC6844
- Etiqueta: una cadena ASCII que puede ser una de las siguientes:
- issue: si desea especificar entidades de certificación a las que se les permite emitir certificados (todos los tipos)
- issuewild: si desea especificar entidades de certificación a las que se les permite emitir certificados (solo certificados comodín)
- iodef: utilice esta etiqueta para especificar una dirección de correo electrónico o nombre de host a la que las entidades de certificación pueden notificar solicitudes de problemas de certificados no autorizados.
- Valor: el valor de la etiqueta específica elegida.
Registros CNAME
Los conjuntos de registros CNAME no pueden coexistir con otros conjuntos de registros que tienen el mismo nombre. Por ejemplo, no se puede crear un conjunto de registros CNAME con el nombre relativo www
y un registro A con el nombre relativo www
al mismo tiempo.
Dado que el vértice de la zona (nombre = "@") siempre contiene los conjuntos de registros NS y SOA durante la creación de la zona, no puede crear un conjunto de registros CNAME en el vértice de la zona.
Estas restricciones surgen de los estándares DNS; no son limitaciones de DNS de Azure.
Registros NS
El registro NS establecido en el vértice de la zona (nombre "@") se crea automáticamente con cada zona DNS y se elimina de forma automática cuando se elimina la zona. No se puede eliminar por separado.
Este conjunto de registros contiene los nombres de los servidores de nombres Azure DNS asignados a la zona. Puede agregar más servidores de nombres a este conjunto de registros NS, para admitir dominios de hospedaje conjunto con más de un proveedor DNS. También puede modificar el TTL y los metadatos de este conjunto de registros. Sin embargo, no se permite quitar o modificar los servidores de nombres de Azure DNS rellenados previamente.
Esta restricción solo se aplica al conjunto de registros NS en el vértice de zona. Otros conjuntos de registros NS de su zona (como los que se usan para delegar zonas secundarias) se pueden crear, modificar y eliminar sin restricciones.
Registros SOA
Un conjunto de registros SOA se crea automáticamente en el vértice de cada zona (nombre = "@") y se elimina automáticamente cuando se elimina la zona. Los registros SOA no pueden crearse ni eliminarse por separado.
Puede modificar todas las propiedades del registro SOA, excepto la propiedad host
. Esta propiedad se configura previamente para hacer referencia al nombre del servidor principal proporcionado por Azure DNS.
El número de serie de la zona en el registro SOA no se actualiza automáticamente cuando se realizan cambios en los registros de la zona. Se puede actualizar manualmente editando el registro SOA, si es necesario.
Nota:
Azure DNS no admite actualmente el uso de un punto (.) antes de "@" en la entrada del buzón del maestro de host de SOA. Por ejemplo: john.smith@contoso.xyz
(convertido a john.smith.contoso.xyz) y john\.smith@contoso.xyz
no se permiten.
Registros SPF
Los registros de marco de directivas de remitente (SPF) se utilizan para especificar los servidores de correo electrónico que tienen permiso para enviar correo en nombre de un nombre de dominio. Es importante configurar correctamente los registros SPF para evitar que los destinatarios marquen el correo como no deseado.
Las RFC de DNS originalmente incluyeron un nuevo tipo de registro SPF que admite este escenario. Para admitir servidores de nombres anteriores, permitían también el uso del tipo de registro TXT a fin de especificar registros SPF. Esta ambigüedad llevó a confusión, que se resolvió mediante RFC 7208. Indica que los registros SPF deben crearse con el tipo de registro TXT. También indica que el tipo de registro SPF está en desuso.
Los registros SPF son compatibles con Azure DNS y deben crearse con el tipo de registro TXT. No se admite el tipo de registro SPF obsoleto. Al importar un archivo de zona DNS, los registros SPF con el tipo de registro SPF se convierten al tipo de registro TXT.
Registros SRV
Los registros SRV se utilizan en diversos servicios para especificar ubicaciones de servidor. Al especificar un registro SRV en DNS de Azure:
- Debe especificarse el servicio y el protocolo como parte del nombre del conjunto de registros, precedidos por caracteres de subrayado, por ejemplo, "_sip._tcp.name". En un registro en el vértice de la zona, no es necesario especificar "@" en el nombre del registro; simplemente utilice el servicio y el protocolo, como "_sip._tcp".
- La prioridad, el peso, el puerto y el destino se especifican como parámetros de cada registro del conjunto de registros.
Registros TXT
Los registros TXT se usan para asignar nombres de dominio a cadenas de texto arbitrarias. Se utilizan en varias aplicaciones, especialmente en lo referente a la configuración de correo electrónico, como el marco de directivas de remitente (SPF) y el correo identificado por claves de dominio (DKIM).
Los estándares DNS permiten que un único registro TXT contenga varias cadenas, y cada una de ellas puede tener una longitud máxima de 255 caracteres. Cuando se utilizan varias cadenas, se concatenan según los clientes y se tratan como una sola cadena.
Cuando se llama a la API de REST de Azure DNS, debe especificar cada cadena TXT por separado. Cuando se use la interfaz de Azure Portal, PowerShell o de la CLI, debe especificar una sola cadena por registro. Esta cadena se divide automáticamente en segmentos de 255 caracteres si es necesario.
Las distintas cadenas de un registro DNS no deben confundirse con los diferentes registros TXT de un conjunto de registros TXT. Un conjunto de registros TXT puede contener varios registros, cada uno de los cuales puede contener varias cadenas. Azure DNS admite una longitud de cadena total de hasta 4096 caracteres en cada conjunto de registros TXT (entre todos los registros combinados).
Registros DS
El registro del firmante de delegación (DS) es un tipo de registro de recursos DNSSEC que se usa para proteger una delegación. Para crear un registro DS en una zona, la zona debe estar firmada primero con DNSSEC.
Registros TLSA
Un registro TLSA (autenticación de seguridad de la capa de transporte) se usa para asociar un certificado de servidor TLS o una clave pública con el nombre de dominio donde se encuentra el registro. Un registro TLSA vincula la clave pública (un certificado de servidor TLS) al nombre de dominio, lo que proporciona una capa adicional de seguridad para las conexiones TLS.
Para usar los registros TLSA de forma eficaz, DNSSEC debe estar habilitado en el dominio. Esto garantiza que los registros TLSA pueden ser de confianza y validarse correctamente
Etiquetas y metadatos
Etiquetas
Las etiquetas son una lista de pares nombre-valor que Azure Resource Manager usa para etiquetar los recursos. Azure Resource Manager utiliza etiquetas para habilitar vistas filtradas de la factura de Azure y también permite establecer una directiva para determinadas etiquetas. Para obtener más información sobre las etiquetas, consulte Uso de etiquetas para organizar los recursos de Azure.
DNS de Azure admite el uso de etiquetas de Azure Resource Manager en recursos de zona DNS. No admite etiquetas en conjuntos de registros de DNS, aunque, como alternativa, se admiten metadatos en estos tipos de conjuntos, como se explica a continuación.
Metadatos
Como alternativa a las etiquetas de conjunto de registros, Azure DNS admite la anotación de conjuntos de registros mediante metadatos. De forma similar a las etiquetas, los metadatos permiten asociar pares nombre-valor a cada conjunto de registros. Esta característica puede ser útil, por ejemplo, para registrar el propósito de cada conjunto de registros. A diferencia de las etiquetas, los metadatos no se pueden usar para proporcionar una vista filtrada de la factura de Azure ni se pueden especificar en una directiva de Azure Resource Manager.
Etag
Supongamos que dos personas o dos procesos tratan de modificar un registro DNS al mismo tiempo. ¿Cuál gana? ¿Y el ganador sabe que ha sobrescrito cambios creados por otra persona?
DNS de Azure usa Etag para administrar de forma segura los cambios simultáneos realizados al mismo recurso. Las etiquetas de entidad (ETag) son independientes de las "etiquetas" de Azure Resource Manager. Cada recurso DNS (zona o conjunto de registros) tiene un valor de Etag asociado a él. Siempre que se recupera un recurso, también se recupera su Etag. Al actualizar un recurso, puede elegir entre devolver el valor de ETag para que Azure DNS pueda verificar dicho valor en las coincidencias de servidor. Puesto que cada actualización a un recurso conlleva la regeneración de Etag, una incoherencia de Etag indica que se ha producido un cambio simultáneo. Los valores de ETag también se pueden usar al crear un recurso para asegurarse de que este no existe aún.
De forma predeterminada, PowerShell para DNS de Azure utiliza Etags para bloquear los cambios simultáneos a zonas y conjuntos de registros. El modificador -Overwrite se puede usar para suprimir las comprobaciones de ETag, en cuyo caso, se sobrescribirán todos los cambios simultáneos que se hayan producido.
En el nivel de la API de REST de DNS de Azure, los valores de Etag se especifican mediante los encabezados HTTP. Su comportamiento se indica en la siguiente tabla:
Encabezado | Comportamiento |
---|---|
None | PUT siempre se realiza correctamente (sin comprobaciones de ETag) |
<ETag> If-match | PUT solo se realiza correctamente si el recurso existe y ETag coincide |
If-match * | PUT solo se realiza correctamente si el recurso existe |
If-none-match * | PUT solo se realiza correctamente si el recurso no existe |
Límites
Se aplican los límites predeterminados siguientes cuando se usa DNS de Azure:
Zonas DNS públicas
Resource | Límite |
---|---|
Zonas DNS públicas por suscripción | 250 1 |
Conjuntos de registros por zona DNS pública | 10 000 1 |
Registros por conjunto de registros en la zona DNS pública | 20 |
Número de registros de alias para un único recurso de Azure | 20 |
1Si necesita aumentar estos límites, póngase en contacto con el soporte técnico de Azure.
Pasos siguientes
- Para empezar a usar DNS de Azure, vea cómo crear una zona DNS y crear registros DNS.
- Para migrar una zona DNS existente, vea cómo importar y exportar un archivo de zona DNS.