Compartir a través de


Resolución privada de Azure DNS

Azure DNS
Azure ExpressRoute
Azure Firewall
Azure Virtual Network
Azure VPN Gateway

En este artículo se presenta una solución para usar Azure DNS Private Resolver con el fin de simplificar la resolución del sistema de nombres de dominio (DNS) recursivo híbrido. Puede usar DNS Private Resolver para cargas de trabajo locales y cargas de trabajo de Azure. DNS Private Resolver simplifica la resolución de DNS privado desde el entorno local hasta el servicio DNS privado de Azure y desde el servicio DNS privado de Azure al entorno local.

Arquitectura

En las secciones siguientes se presentan alternativas para la resolución DNS recursiva híbrida. En la primera sección se describe una solución que usa una máquina virtual (VM) de reenviador DNS. En las secciones posteriores, se explica cómo usar DNS Private Resolver.

Uso de una máquina virtual de reenviador DNS

Antes de que DNS Private Resolver estuviera disponible, se ha implementado una máquina virtual reenviadora DNS para que un servidor local pudiera resolver las solicitudes al servicio DNS privado de Azure. En el diagrama siguiente se muestran los detalles de esta resolución de nombres. Un reenviador condicional en el servidor DNS local reenvía las solicitudes a Azure y una zona DNS privada está vinculada a una red virtual. A continuación, las solicitudes al servicio de Azure se resuelven en la dirección IP privada adecuada.

En esta solución, no puede usar el servicio DNS público de Azure para resolver nombres de dominio locales.

Diagrama de arquitectura que muestra una solución sin DNS Private Resolver. El tráfico de un servidor local a una base de datos de Azure es visible.

Descargue un archivo de PowerPoint de esta arquitectura.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

  1. Una máquina virtual cliente envía una solicitud de resolución de nombres a azsql1.database.windows.net un servidor DNS interno local.

  2. Un reenviador condicional se configura en el servidor DNS interno. Reenvía la consulta DNS a database.windows.net10.5.0.254, que es la dirección IP de una máquina virtual de reenviador DNS.

  3. La máquina virtual del reenviador DNS envía la solicitud a 168.63.129.16, que es la dirección IP del servidor DNS interno de Azure.

  4. El servidor DNS de Azure envía una solicitud de resolución de nombres a azsql1.database.windows.net los solucionadores recursivos de Azure. Los resolutores responden con el nombre canónico (CNAME) azsql1.privatelink.database.windows.net.

  5. El servidor DNS de Azure envía una solicitud de resolución de nombres a azsql1.privatelink.database.windows.net la zona privatelink.database.windows.netDNS privada. La zona DNS privada responde con la dirección 10.5.0.5IP privada.

  6. La respuesta que asocia el CNAME azsql1.privatelink.database.windows.net con el registro 10.5.0.5 llega al reenviador DNS.

  7. La respuesta llega al servidor DNS interno local.

  8. La respuesta llega a la máquina virtual cliente.

  9. La máquina virtual cliente establece una conexión privada con el punto de conexión privado que usa la dirección 10.5.0.5IP. El punto de conexión privado proporciona a la máquina virtual cliente una conexión más segura a una base de datos de Azure.

Para más información, consulte Configuración de DNS del punto de conexión privado de Azure.

Usar DNS Private Resolver

Al usar DNS Private Resolver, no necesita una máquina virtual reenviadora DNS, y Azure DNS puede resolver nombres de dominio locales.

En la siguiente solución se usa la resolución privada dns en una topología de red en estrella tipo hub-spoke. Como procedimiento recomendado, el patrón de diseño de la zona de aterrizaje de Azure recomienda usar este tipo de topología. Se establece una conexión de red híbrida mediante Azure ExpressRoute y Azure Firewall. Esta configuración proporciona una red híbrida segura. DNS Private Resolver se encuentra en la red del concentrador.

Diagrama de arquitectura que muestra una red local conectada a una red hub-and-spoke de Azure. DNS Private Resolver se encuentra en la red del concentrador.

Componentes de la solución DNS Private Resolver

La solución que usa DNS Private Resolver contiene los siguientes componentes:

  • Una red local. Esta red de centros de datos de clientes está conectada a Azure a través de ExpressRoute o una conexión de azure de sitio a sitio VPN Gateway. Los componentes de red incluyen dos servidores DNS locales. Un servidor utiliza la dirección 192.168.0.1IP . El otro servidor utiliza 192.168.0.2. Ambos servidores funcionan como solucionadores o reenviadores para todos los equipos dentro de la red local.

    Un administrador crea todos los registros de DNS y reenviadores de punto de conexión de Azure en estos servidores. Los reenviadores condicionales se configuran en estos servidores para los servicios Azure Blob Storage y Azure API Management. Estos reenviadores envían solicitudes a la conexión entrante de DNS Private Resolver. El punto de conexión de entrada usa la dirección 10.0.0.8 IP y se hospeda en la red virtual del centro de conectividad.

    En la tabla siguiente se enumeran los registros de los servidores locales.

    Nombre de dominio IP address (Dirección IP) Tipo de registro
    App1.onprem.company.com 192.168.0.8 Asignación de direcciones
    App2.onprem.company.com 192.168.0.9 Asignación de direcciones
    blob.core.windows.net 10.0.0.8 Reenviador DNS
    azure-api.net 10.0.0.8 Reenviador DNS
  • Una red de concentrador.

    • VPN Gateway o una conexión expressRoute se usa para la conexión híbrida a Azure.

    • Azure Firewall proporciona un firewall administrado. La instancia del firewall reside en su propia subred.

    • En la tabla siguiente, se enumeran los parámetros configurados para DNS Private Resolver. Para los nombres DNS de la aplicación 1 y la aplicación 2, se configura el conjunto de reglas de reenvío DNS.

      Parámetro IP address (Dirección IP)
      Red de área virtual 10.0.0.0/24
      Subred del punto de conexión de entrada 10.0.0.0/28
      Dirección IP del punto de conexión de entrada 10.0.0.8
      Subred del punto de conexión de salida 10.0.0.16/28
      Dirección IP del punto de conexión de salida 10.0.0.19
    • La red virtual del centro está vinculada a las zonas DNS privadas para Blob Storage y el servicio de API.

  • Redes de radio.

    • Las máquinas virtuales se hospedan en todas las redes de radio para probar y validar la resolución DNS.

    • Todas las redes virtuales de Azure spoke usan el servidor DNS de Azure predeterminado en la dirección 168.63.129.16IP. Y todas las redes virtuales tipo spoke se emparejan con la red virtual tipo hub. Todo el tráfico, incluido el tráfico hacia y desde DNS Private Resolver, se enruta a través del concentrador.

    • Las redes virtuales tipo spoke están vinculadas a zonas DNS privadas. Esta configuración permite resolver los nombres de los servicios de vínculo de punto de conexión privado como privatelink.blob.core.windows.net.

Flujo de tráfico para una consulta DNS local

En el diagrama siguiente se muestra el flujo de tráfico que da como resultado cuando un servidor local emite una solicitud DNS.

Diagrama de arquitectura que muestra el tráfico de resolución de nombres de resolución privada de DNS cuando un servidor local consulta un registro de servicio DNS privado de Azure.

  1. Un servidor local consulta un registro de servicio DNS privado de Azure, como blob.core.windows.net. La solicitud se envía al servidor DNS local en la dirección 192.168.0.1 IP o 192.168.0.2. Todos los equipos locales apuntan al servidor DNS local.

  2. Un reenviador condicional en el servidor DNS local para blob.core.windows.net reenvía la solicitud al solucionador DNS en la dirección 10.0.0.8IP .

  3. El solucionador DNS consulta Azure DNS y recibe información sobre un vínculo de red virtual del servicio DNS privado de Azure.

  4. El servicio DNS privado de Azure resuelve las consultas de DNS que se envían a través del servicio DNS público de Azure al punto de conexión de entrada del solucionador DNS.

Flujo de tráfico para una consulta de DNS de máquina virtual

El siguiente diagrama muestra el flujo de tráfico que resulta cuando la VM 1 emite una petición DNS. En este escenario, la red virtual de radio 1 intenta resolver la solicitud.

Diagrama de arquitectura que muestra el tráfico de resolución de nombres con DNS Private Resolver cuando una máquina virtual radial emite una solicitud DNS.

  1. VM 1 consulta un registro DNS. Las redes virtuales de radio están configuradas para usar la resolución de nombres que proporciona Azure. Como resultado, Azure DNS se usa para resolver la consulta DNS.

  2. Si la consulta intenta resolver un nombre privado, se contactará el servicio DNS privado de Azure.

  3. Si la consulta no coincide con una zona DNS privada vinculada a la red virtual, Azure DNS se conecta a DNS Private Resolver. La red virtual Spoke 1 tiene un vínculo de red virtual. DNS Private Resolver comprueba si existe un conjunto de reglas de reenvío DNS asociado a la red virtual Spoke 1.

  4. Si se encuentra una coincidencia en el conjunto de reglas de reenvío DNS, la consulta DNS se reenvía a través del punto de conexión de salida a la dirección IP especificada en el conjunto de reglas.

  5. Si el servicio DNS privado de Azure (2) y la resolución privada dns (3) no pueden encontrar un registro coincidente, se usa Azure DNS (5) para resolver la consulta.

Cada regla de reenvío de DNS especifica uno o más servidores DNS de destino que se utilizarán para el reenvío condicional. La información especificada incluye el nombre de dominio, la dirección IP de destino y el puerto.

Flujo de tráfico para una consulta de DNS de máquina virtual a través de DNS Private Resolver

En el diagrama siguiente, se muestra el flujo de tráfico que resulta cuando VM 1 emite una solicitud DNS a través de un punto de conexión de entrada de DNS Private Resolver. En este escenario, la red virtual de radio 1 intenta resolver la solicitud.

Diagrama de arquitectura que muestra el tráfico con DNS Private Resolver cuando una máquina virtual radial emite una solicitud DNS.

  1. VM 1 consulta un registro DNS. Las redes virtuales radiales están configuradas para usarlas 10.0.0.8 como servidor DNS de resolución de nombres. Como resultado, DNS Private Resolver se usa para resolver la consulta de DNS.

  2. Si la consulta intenta resolver un nombre privado, se contactará el servicio DNS privado de Azure.

  3. Si la consulta no coincide con una zona DNS privada vinculada a la red virtual, Azure DNS se conecta a DNS Private Resolver. La red virtual Spoke 1 tiene un vínculo de red virtual. DNS Private Resolver comprueba si existe un conjunto de reglas de reenvío DNS asociado a la red virtual Spoke 1.

  4. Si se encuentra una coincidencia en el conjunto de reglas de reenvío DNS, la consulta DNS se reenvía a través del punto de conexión de salida a la dirección IP especificada en el conjunto de reglas.

  5. Si el servicio DNS privado de Azure (2) y la resolución privada dns (3) no pueden encontrar un registro coincidente, se usa Azure DNS (5) para resolver la consulta.

Cada regla de reenvío de DNS especifica uno o más servidores DNS de destino que se utilizarán para el reenvío condicional. La información especificada incluye el nombre de dominio, la dirección IP de destino y el puerto.

Flujo de tráfico para una consulta de DNS de máquina virtual a través de un servidor DNS local

En el diagrama siguiente, se muestra el flujo de tráfico que da como resultado cuando VM 1 emite una solicitud DNS a través de un servidor DNS local. En este escenario, la red virtual de radio 1 intenta resolver la solicitud.

Diagrama de arquitectura que muestra el tráfico de resolución de nombres con DNS Private Resolver cuando una máquina virtual radial emite una solicitud DNS.

  1. VM 1 consulta un registro DNS. Las redes virtuales radiales están configuradas para usarlas 192.168.0.1/2 como servidor DNS de resolución de nombres. Como resultado, un servidor DNS local se usa para resolver la consulta de DNS. La solicitud se envía al servidor DNS local en la dirección 192.168.0.1 IP o 192.168.0.2.

  2. Un reenviador condicional en el servidor DNS local para blob.core.windows.net reenvía la solicitud al solucionador DNS en la dirección 10.0.0.8IP .

  3. El solucionador DNS consulta Azure DNS y recibe información sobre un vínculo de red virtual del servicio DNS privado de Azure.

  4. El servicio DNS privado de Azure resuelve las consultas de DNS que se envían a través del servicio DNS público de Azure al punto de conexión de entrada de DNS Private Resolver.

Componentes

  • VPN Gateway es una puerta de enlace de red virtual que permite enviar tráfico cifrado entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. En esta arquitectura, una puerta de enlace de VPN es un componente opcional para ExpressRoute que permite la conectividad híbrida entre Azure y los entornos locales para el tráfico de reenviador condicional DNS.

  • ExpressRoute es un servicio de red que extiende las redes locales a la nube de Microsoft. Establece conexiones privadas a componentes de la nube como los servicios de Azure y Microsoft 365 a través de un proveedor de conectividad. En esta arquitectura, ExpressRoute se usa para la conectividad híbrida entre Azure y entornos locales, específicamente para el tráfico de reenviador condicional DNS.

  • Azure Virtual Network es un servicio de red y el componente básico de las redes privadas de Azure. Permite que los recursos de Azure, como las máquinas virtuales, se comuniquen de forma segura entre sí, con Internet y con las redes locales. En el diseño anterior, el propósito principal de las redes virtuales es hospedar la resolución privada de DNS y las máquinas virtuales de Azure. Estas redes virtuales facilitan la comunicación y la integración sin problemas entre varios servicios de Azure y recursos locales.

  • Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que aplica directivas de conectividad de red y aplicaciones. Administra de forma centralizada las políticas en varias redes virtuales y suscripciones. En el caso de uso anterior, puede implementar Azure Firewall para mejorar la seguridad del tráfico de red. Proporciona protección avanzada contra amenazas, filtrado de tráfico de red y capacidades de registro para permitir solo el tráfico autorizado y bloquear posibles amenazas.

  • La resolución privada dns es un servicio que puentea un DNS local con Azure DNS. En esta arquitectura, su función principal es facilitar las consultas DNS entre las zonas privadas de Azure DNS y un entorno local. Esta facilitación elimina la necesidad de servidores DNS basados en máquinas virtuales. Esta configuración garantiza una resolución DNS fluida y eficaz en entornos híbridos, lo que permite que los recursos locales y de Azure comuniquen las resoluciones DNS de forma eficaz.

  • Azure DNS es un servicio de hospedaje para dominios DNS que aprovecha la infraestructura de Azure para la resolución de nombres. Desempeña un papel crucial en este diseño al administrar el tráfico de resolución DNS.

  • El servicio DNS privado de Azure es un servicio DNS administrado que resuelve nombres de dominio dentro de una red virtual y redes virtuales conectadas. Elimina la necesidad de una configuración de DNS personalizada. Con las zonas DNS privadas, puede asignar nombres de dominio personalizados en lugar de usar los nombres predeterminados que Azure proporciona durante la implementación.

  • Los reenviadores de DNS son servidores DNS que envían consultas a servidores externos cuando no pueden resolver los nombres de dominio por sí mismos. Este enfoque ha sido durante mucho tiempo un método estándar para la resolución del DNS. En este artículo y sus casos de uso, DNS Private Resolver reemplaza a los reenviadores de DNS basados en VM, lo que proporciona un enfoque más eficiente y optimizado para la resolución de DNS.

Detalles del escenario

Azure proporciona varias soluciones DNS, incluido Azure Traffic Manager. Traffic Manager actúa como un servicio de equilibrio de carga basado en DNS. Proporciona una manera de distribuir el tráfico entre regiones de Azure a aplicaciones orientadas al público.

Antes de que DNS Private Resolver estuviera disponible, tenía que usar servidores DNS personalizados para la resolución de DNS de los sistemas locales a Azure y de Azure a los sistemas locales. Las soluciones DNS personalizadas tienen muchas desventajas:

  • La administración de varios servidores DNS personalizados para varias redes virtuales implica altos costos de infraestructura y licencias.

  • Tiene que controlar todos los aspectos de la instalación, configuración y mantenimiento de servidores DNS.

  • Las tareas de sobrecarga, como la supervisión y la aplicación de revisiones a estos servidores, son complejas y propensas a errores.

  • No hay compatibilidad con DevOps para administrar registros DNS y reglas de reenvío.

  • Es caro implementar soluciones de servidor DNS escalables.

DNS Private Resolver aborda estos obstáculos al proporcionar las siguientes características y ventajas clave:

  • Un servicio de Microsoft totalmente administrado que tiene alta disponibilidad integrada y redundancia de zona.

  • Una solución escalable optimizada para una integración perfecta con DevOps.

  • Ahorro de costes en comparación con las soluciones personalizadas tradicionales basadas en infraestructura como servicio.

  • Reenvío condicional de Azure DNS a servidores locales. El punto de conexión de salida proporciona esta funcionalidad, que no estaba disponible anteriormente. Las cargas de trabajo de Azure ya no requieren conexiones directas a servidores DNS locales. En su lugar, las cargas de trabajo de Azure se conectan a la dirección IP saliente de DNS Private Resolver.

Posibles casos de uso

Esta solución simplifica la resolución DNS privada en redes híbridas. Se aplica a los siguientes escenarios:

  • Estrategias de transición durante la migración a largo plazo a soluciones totalmente nativas de la nube

  • Soluciones de recuperación de desastres y tolerancia a fallos que replican datos y servicios entre entornos locales y en la nube

  • Soluciones que hospedan componentes en Azure para reducir la latencia entre centros de datos locales y ubicaciones remotas

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para obtener más información, consulte Well-Architected Framework.

Confiabilidad

La confiabilidad ayuda a garantizar que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.

DNS Private Resolver es un servicio nativo de la nube diseñado para alta disponibilidad y creado para integrarse a la perfección con las prácticas de DevOps, lo que lo hace muy adecuado para flujos de trabajo colaborativos y automatizados. Ofrece una solución DNS de seguridad fiable y mejorada, al tiempo que mantiene la simplicidad y el mantenimiento cero para los usuarios.

No implemente la resolución privada de DNS en una red virtual que incluya una puerta de enlace de red virtual de ExpressRoute y use reglas de caracteres comodín para dirigir toda la resolución de nombres a un servidor DNS específico. Este tipo de configuración puede causar problemas de conectividad de administración. Para obtener más información, consulte Resolución privada de DNS con reglas comodín en una puerta de enlace de ExpressRoute.

Disponibilidad regional

Para obtener una lista de las regiones en las que está disponible la resolución privada de DNS, consulte Disponibilidad regional.

Una resolución de DNS solo puede hacer referencia a una red virtual que se encuentre en la misma región que la resolución de DNS.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el uso indebido de sus valiosos datos y sistemas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Azure DNS tiene extensiones de seguridad DNS en versión preliminar.

Optimización de costos

La optimización de costos se centra en formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costos.

  • Como solución, DNS Private Resolver es en gran medida rentable. Uno de los principales beneficios de DNS Private Resolver es que está completamente administrado. Esta característica elimina la necesidad de servidores dedicados.

  • Para calcular el costo de la resolución privada de DNS, use la calculadora de precios de Azure. Para ver los modelos de precios de la resolución privada de DNS, consulte Precios de Azure DNS.

  • Los precios también incluyen características de disponibilidad y escalabilidad.

  • ExpressRoute admite dos modelos de facturación:

    • Datos medidos, donde se le cobra por gigabyte por las transferencias de datos salientes.

    • Datos ilimitados, donde se le cobra una cuota de puerto mensual fija que cubre todas las transferencias de datos entrantes y salientes.

    Para más información, consulte Precios de ExpressRoute.

  • Si utiliza VPN Gateway en lugar de ExpressRoute, el coste varía según el producto y se cobra por hora. Para más información, consulte Precios de VPN Gateway.

Eficiencia del rendimiento

La eficiencia del rendimiento hace referencia a la capacidad de escalado de la carga de trabajo para satisfacer las demandas de los usuarios de forma eficaz. Para obtener más información, vea Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

DNS Private Resolver es un servicio de Microsoft totalmente administrado que puede controlar millones de solicitudes. Use un espacio de direcciones de subred entre /28 y /24. Para la mayoría de los usuarios, /26 es el más adecuado. Para obtener más información, consulte Restricciones de subred.

Redes

Los siguientes recursos proporcionan información sobre cómo crear un solucionador privado de DNS:

Compatibilidad con DNS inverso

Tradicionalmente, los registros DNS asignan un nombre DNS a una dirección IP. Por ejemplo, www.contoso.com se resuelve en 42.3.10.170. El DNS inverso realiza la función opuesta. Asigna una dirección IP a un nombre DNS. Por ejemplo, la dirección 42.3.10.170 IP se resuelve en www.contoso.com.

Para obtener más información sobre la compatibilidad de Azure con DNS inverso y cómo funciona DNS inverso, consulte Información general sobre DNS inverso y compatibilidad en Azure.

Restricciones

DNS Private Resolver tiene las siguientes limitaciones:

  • Los conjuntos de reglas de DNS Private Resolver solo pueden vincularse a redes virtuales que se encuentren dentro de la misma región geográfica que el solucionador.

  • Una red virtual no puede contener más de una instancia de DNS Private Resolver.

  • Debe asignar una subred dedicada a cada punto de conexión entrante y saliente.

Para más información, consulte Restricciones de red virtual.

Colaboradores

Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes