Compartir a través de


Arquitectura de resolución privada

En este artículo se describen dos opciones de diseño arquitectónico que están disponibles para resolver nombres DNS, incluidas las zonas DNS privadas en la red de Azure mediante Azure DNS Private Resolver. Los ejemplos de configuración se proporcionan con recomendaciones de diseño para la resolución DNS centralizada frente a distribuida en una topología de red virtual hub-and-spoke.

Arquitectura DNS distribuida

Tenga en cuenta la siguiente topología de red virtual hub-and-spoke en Azure con una resolución privada ubicada en el centro y un vínculo de conjunto de reglas a la red virtual de radio. Tanto el centro como el radio usan DNS proporcionado por Azure en su configuración de red virtual:

Hub and spoke with ruleset diagram.

Figura 1: Arquitectura de DNS distribuida mediante vínculos del conjunto de reglas

  • Una red virtual de centro está configurada con el espacio de direcciones 10.10.0.0/16.
  • Una red virtual de radio está configurada con el espacio de direcciones 10.11.0.0/16.
  • Una zona DNS privada azure.contoso.com está vinculada a la red virtual de centro.
  • Se aprovisiona una resolución privada en la red virtual de centro.
    • El solucionador privado tiene un punto de conexión de entrada con una dirección IP de 10.10.0.4.
    • La resolución privada tiene un punto de conexión de salida y un conjunto de reglas de reenvío DNS asociado.
      • El conjunto de reglas de reenvío DNS está vinculado a la red virtual de radio.
      • Se configura una regla de conjunto de reglas para reenviar las consultas de la zona privada al punto de conexión de entrada.

Resolución DNS en la red virtual de centro: el vínculo de red virtual de la zona privada a la red virtual de centro permite a los recursos dentro de la red virtual de centro resolver automáticamente los registros DNS en azure.contoso.com mediante el DNS proporcionado por Azure (168.63.129.16). Todos los demás espacios de nombres también se resuelven mediante el DNS proporcionado por Azure. La red virtual del centro de conectividad no usa reglas de conjunto de reglas para resolver nombres DNS porque no está vinculado al conjunto de reglas. Para usar reglas de reenvío en la red virtual de centro, cree y vincule otro conjunto de reglas a la red virtual de centro.

Resolución DNS en la red virtual de radio: el vínculo de red virtual del conjunto de reglas a la red virtual de radio permite que la red virtual de radio resuelva azure.contoso.com mediante la regla de reenvío configurada. Aquí no se requiere un vínculo de la zona privada a la red virtual de radio. La red virtual de radio envía consultas para azure.contoso.com al punto de conexión de entrada del centro a través de DNS proporcionado por Azure porque hay una regla que coincide con este nombre de dominio en el conjunto de reglas vinculado. Las consultas de otros espacios de nombres también se pueden reenviar mediante la configuración de reglas adicionales. Las consultas de DNS que no coinciden con una regla del conjunto de reglas no se reenvían y se resuelven usando el DNS proporcionado por Azure.

Importante

En esta configuración de ejemplo, la red virtual de centro debe estar vinculada a la zona privada, pero no debe estar vinculada a un conjunto de reglas de reenvío con una regla de reenvío de puntos de conexión de entrada. Vincular un conjunto de reglas de reenvío que contiene una regla con el punto de conexión de entrada como destino a la misma red virtual donde se aprovisiona el punto de conexión de entrada puede provocar bucles de resolución DNS.

Arquitectura DNS centralizada

Tenga en cuenta la siguiente topología de red virtual hub-and-spoke con un punto de conexión de entrada aprovisionado como DNS personalizado en la red virtual de radio. La red virtual de radios usa una configuración DNS personalizada de 10.10.0.4, que corresponde al punto de conexión de entrada del resolvedor privado del centro de conectividad:

Hub and spoke with custom DNS diagram.

Figura 2: Arquitectura de DNS centralizada mediante DNS personalizado

  • Una red virtual de centro está configurada con el espacio de direcciones 10.10.0.0/16.
  • Una red virtual de radio está configurada con el espacio de direcciones 10.11.0.0/16.
  • Una zona DNS privada azure.contoso.com está vinculada a la red virtual de centro.
  • Una resolución privada se encuentra en la red virtual de centro.
    • El solucionador privado tiene un punto de conexión de entrada con una dirección IP de 10.10.0.4.
    • La resolución privada tiene un punto de conexión de salida (opcional) y un conjunto de reglas de reenvío DNS asociado.
      • El conjunto de reglas de reenvío DNS está vinculado a la red virtual de centro.
      • No se configura una regla de conjunto de reglas para reenviar las consultas de la zona privada al punto de conexión de entrada.

Resolución DNS en la red virtual de centro: el vínculo de red virtual de la zona privada a la red virtual de centro permite a los recursos dentro de la red virtual de centro resolver automáticamente los registros DNS en azure.contoso.com mediante el DNS proporcionado por Azure (168.63.129.16). Si están configuradas, las reglas del conjunto de reglas determinan cómo se reenvían y resuelven los nombres DNS. Los espacios de nombres que no coinciden con una regla del conjunto de reglas se resuelven sin reenvío usando el DNS proporcionado por Azure.

Resolución DNS en la red virtual de radio: en este ejemplo, la red virtual de radio envía todo su tráfico DNS al punto de conexión entrante en la red virtual de centro. Dado que azure.contoso.com tiene un vínculo de red virtual a la red virtual de centro, todos los recursos del centro pueden resolver azure.contoso.com, incluido el punto de conexión de entrada (10.10.0.4). Por lo tanto, el radio usa el punto de conexión de entrada del centro de conectividad para resolver la zona privada. Otros nombres DNS se resuelven para la red virtual de radio según las reglas aprovisionadas en un conjunto de reglas de reenvío, si existen.

Nota

En el escenario de arquitectura DNS centralizada, las redes virtuales hub-and-spoke pueden usar el conjunto de reglas opcional vinculado al centro al resolver nombres DNS. Esto se debe a que todo el tráfico DNS de la red virtual de radio se envía al centro debido a la configuración de DNS personalizada de la red virtual. La red virtual de centro de conectividad no requiere un punto de conexión de salida o un conjunto de reglas aquí, pero si se aprovisiona y está vinculado al concentrador (como se muestra en la figura 2), las redes virtuales en estrella tipo hub-and-spoke usarán las reglas de reenvío. Como se mencionó anteriormente, es importante que una regla de reenvío para la zona privada no esté presente en el conjunto de reglas porque esta configuración puede provocar un bucle de resolución DNS.

Pasos siguientes