Azure DNS Private Resolver

En este artículo se presenta una solución para usar Azure DNS Private Resolver para simplificar la resolución híbrida del sistema de nombres de dominio recursivo (DNS). Puede usar DNS Private Resolver para cargas de trabajo locales y cargas de trabajo de Azure. DNS Private Resolver simplifica la resolución DNS privada desde el entorno local al servicio DNS privado de Azure y viceversa.

Architecture

En las secciones siguientes se presentan alternativas para la resolución DNS recursiva híbrida. En la primera sección se describe una solución que usa una máquina virtual (VM) del reenviador DNS. En las secciones posteriores, se explica cómo usar DNS Private Resolver.

Uso de una máquina virtual de reenviador DNS

Antes de que DNS Private Resolver estuviera disponible, se ha implementado una máquina virtual reenviadora DNS para que un servidor local pudiera resolver las solicitudes al servicio DNS privado de Azure. En el diagrama siguiente se muestran los detalles de esta resolución de nombres. Un reenviador condicional en el servidor DNS local reenvía las solicitudes a Azure y una zona DNS privada está vinculada a una red virtual. A continuación, las solicitudes al servicio de Azure se resuelven en la dirección IP privada adecuada.

En esta solución, no puede usar el servicio DNS público de Azure para resolver nombres de dominio locales.

Descargue un archivo de PowerPoint de esta arquitectura.

Flujo de trabajo

1. Una máquina virtual cliente envía una solicitud de resolución de nombres para azsql1.database.windows.net a un servidor DNS interno local.

2. Un reenviador condicional se configura en el servidor DNS interno. Reenvía la consulta DNS para database.windows.net a 10.5.0.254, que es la dirección de una máquina virtual de reenvío DNS.

3. La máquina virtual del reenviador DNS envía la solicitud a 168.63.129.16, la dirección IP del servidor DNS interno de Azure.

4. El servidor DNS de Azure envía una solicitud de resolución de nombres para azsql1.database.windows.net a los solucionadores recursivos de Azure. Los solucionadores responden con el nombre canónico (CNAME) azsql1.privatelink.database.windows.net.

5. El servidor DNS de Azure envía una solicitud de resolución de nombres para azsql1.privatelink.database.windows.net a la zona DNS privada privatelink.database.windows.net. La zona DNS privada responde con la dirección IP privada 10.5.0.5.

6. La respuesta que asocia el CNAME azsql1.privatelink.database.windows.net con el registro 10.5.0.5 llega al reenviador DNS.

7. La respuesta llega al servidor DNS interno local.

8. La respuesta llega a la máquina virtual cliente.

9. La máquina virtual cliente establece una conexión privada con el punto de conexión privado que utiliza la dirección IP 10.5.0.5. El punto de conexión privado proporciona a la máquina virtual cliente una conexión segura a una base de datos de Azure.

Para más información, consulte Configuración de DNS para puntos de conexión privados de Azure.

Usar DNS Private Resolver

Al usar DNS Private Resolver, no necesita una máquina virtual reenviadora DNS, y Azure DNS puede resolver nombres de dominio locales.

La siguiente solución usa DNS Private Resolver en una topología de red en estrella tipo hub-and-spoke. Como procedimiento recomendado, el patrón de diseño de la zona de aterrizaje de Azure recomienda usar este tipo de topología. Se establece una conexión de red híbrida mediante Azure ExpressRoute y Azure Firewall. Esta configuración proporciona una red híbrida segura. DNS Private Resolver se implementa en una red spoke (denotada como Red de servicios compartidos en los diagramas a lo largo de este artículo).

Descargue un archivo de PowerPoint de esta arquitectura.

Componentes de la solución DNS Private Resolver

La solución que usa DNS Private Resolver contiene los siguientes componentes:

• Una red local. Esta red de centros de datos de clientes está conectada a Azure a través de ExpressRoute o una conexión de azure de sitio a sitio VPN Gateway. Los componentes de red incluyen dos servidores DNS locales. Uno usa la dirección IP 192.168.0.1. El otro usa 192.168.0.2. Ambos servidores funcionan como solucionadores o reenviadores para todos los equipos dentro de la red local.

  Un administrador crea todos los puntos de conexión DNS y Azure locales en estos servidores. Los reenviadores condicionales se configuran en estos servidores para los servicios Azure Blob Storage y Azure API Management. Estos reenviadores envían solicitudes a la conexión entrante de DNS Private Resolver. El punto de conexión de entrada utiliza la dirección IP 10.0.0.8 y está alojado dentro de la red virtual de servicios compartidos (subred 10.0.0.0/28).

  En la tabla siguiente se enumeran los registros de los servidores locales.

  Nombre de dominio	IP address (Dirección IP)	Tipo de registro
  App1.onprem.company.com	192.168.0.8	Asignación de direcciones
  App2.onprem.company.com	192.168.0.9	Asignación de direcciones
  blob.core.windows.net	10.0.0.8	Reenviador DNS
  azure-api.net	10.0.0.8	Reenviador DNS

• Una red de concentrador.

  • VPN Gateway o una conexión expressRoute se usa para la conexión híbrida a Azure.
  • Azure Firewall proporciona un firewall administrado como servicio. La instancia del firewall reside en su propia subred.

• Una red de servicios compartidos.

  • DNS Private Resolver se implementa en su propia red virtual (separada de la red hub donde está implementado el ExpressRoute Gateway). En la tabla siguiente, se enumeran los parámetros configurados para DNS Private Resolver. En el caso de los nombres DNS app1 y App2, se configura el conjunto de reglas de reenvío dns.

  Parámetro	IP address (Dirección IP)
  Virtual network	10.0.0.0/24
  Subred del punto de conexión de entrada	10.0.0.0/28
  Dirección IP del punto de conexión de entrada	10.0.0.8
  Subred del punto de conexión de salida	10.0.0.16/28
  Dirección IP del punto de conexión de salida	10.0.0.19

  • La red virtual del servicio compartido (10.0.0.0/24) está vinculada a las zonas DNS privadas para Blob Storage y el servicio API.

• Redes de radio.

  • Las máquinas virtuales se hospedan en todas las redes de radio para probar y validar la resolución DNS.
  • Todas las redes virtuales de radio de Azure usan el servidor Azure DNS predeterminado en la dirección IP 168.63.129.16. Y todas las redes virtuales tipo spoke se emparejan con la red virtual tipo hub. Todo el tráfico, incluido el tráfico hacia y desde DNS Private Resolver, se enruta a través del concentrador.
  • Las redes virtuales tipo spoke están vinculadas a zonas DNS privadas. Esta configuración permite resolver los nombres de los servicios de enlace de extremos privados como privatelink.blob.core.windows.net.

Flujo de tráfico para una consulta DNS local

En el diagrama siguiente se muestra el flujo de tráfico que da como resultado cuando un servidor local emite una solicitud DNS.

Descargue un archivo de PowerPoint de esta arquitectura.

1. Un servidor local consulta un registro de servicio DNS privado de Azure, como blob.core.windows.net. La solicitud se envía al servidor DNS local en la dirección IP 192.168.0.1 o 192.168.0.2. Todos los equipos locales apuntan al servidor DNS local.

2. Un reenviador condicional en el servidor DNS local para blob.core.windows.net reenvía la solicitud a la resolución DNS en la dirección IP 10.0.0.8.

3. El solucionador DNS consulta Azure DNS y recibe información sobre un vínculo de red virtual del servicio DNS privado de Azure.

4. El servicio DNS privado de Azure resuelve las consultas de DNS que se envían a través del servicio DNS público de Azure al punto de conexión de entrada del solucionador DNS.

Flujo de tráfico para una consulta de DNS de máquina virtual

El siguiente diagrama muestra el flujo de tráfico que resulta cuando la VM 1 emite una petición DNS. En este caso, la red virtual de tipo spoke Spoke 1 intenta resolver la solicitud.

Descargue un archivo de PowerPoint de esta arquitectura.

1. VM 1 consulta un registro DNS. Las redes virtuales de radio están configuradas para usar la resolución de nombres que proporciona Azure. Como resultado, Azure DNS se usa para resolver la consulta DNS.

2. Si la consulta intenta resolver un nombre privado, se contactará el servicio DNS privado de Azure.

3. Si la consulta no coincide con una zona DNS privada vinculada a la red virtual, Azure DNS se conecta a DNS Private Resolver. La red virtual Spoke 1 tiene un vínculo de red virtual. DNS Private Resolver comprueba si existe un conjunto de reglas de reenvío DNS asociado a la red virtual Spoke 1.

4. Si se encuentra una coincidencia en el conjunto de reglas de reenvío DNS, la consulta DNS se reenvía a través del punto de conexión de salida a la dirección IP especificada en el conjunto de reglas.

5. Si el servicio DNS privado de Azure (2) y DNS Private Resolver (3) no pueden encontrar un registro coincidente, Azure DNS (5) se usa para resolver la consulta.

Cada regla de reenvío de DNS especifica uno o más servidores DNS de destino que se utilizarán para el reenvío condicional. La información especificada incluye el nombre de dominio, la dirección IP de destino y el puerto.

Flujo de tráfico para una consulta de DNS de máquina virtual a través de DNS Private Resolver

En el diagrama siguiente, se muestra el flujo de tráfico que resulta cuando VM 1 emite una solicitud DNS a través de un punto de conexión de entrada de DNS Private Resolver. En este caso, la red virtual de tipo spoke Spoke 1 intenta resolver la solicitud.

Descargue un archivo de PowerPoint de esta arquitectura.

1. VM 1 consulta un registro DNS. Las redes virtuales de tipo spoke están configuradas para usar 10.0.0.8 como el servidor DNS de resolución de nombres. Como resultado, DNS Private Resolver se usa para resolver la consulta de DNS.

2. Si la consulta intenta resolver un nombre privado, se contactará el servicio DNS privado de Azure.

3. Si la consulta no coincide con una zona DNS privada vinculada a la red virtual, Azure DNS se conecta a DNS Private Resolver. La red virtual Spoke 1 tiene un vínculo de red virtual. DNS Private Resolver comprueba si existe un conjunto de reglas de reenvío DNS asociado a la red virtual Spoke 1.

4. Si se encuentra una coincidencia en el conjunto de reglas de reenvío DNS, la consulta DNS se reenvía a través del punto de conexión de salida a la dirección IP especificada en el conjunto de reglas.

5. Si el servicio DNS privado de Azure (2) y DNS Private Resolver (3) no pueden encontrar un registro coincidente, Azure DNS (5) se usa para resolver la consulta.

Cada regla de reenvío de DNS especifica uno o más servidores DNS de destino que se utilizarán para el reenvío condicional. La información especificada incluye el nombre de dominio, la dirección IP de destino y el puerto.

Flujo de tráfico para una consulta de DNS de máquina virtual a través de un servidor DNS local

En el diagrama siguiente, se muestra el flujo de tráfico que da como resultado cuando VM 1 emite una solicitud DNS a través de un servidor DNS local. En este caso, la red virtual de tipo spoke Spoke 1 intenta resolver la solicitud.

Descargue un archivo de PowerPoint de esta arquitectura.

1. VM 1 consulta un registro DNS. Las redes virtuales de tipo spoke están configuradas para usar 192.168.0.1/2 como el servidor DNS de resolución de nombres. Como resultado, un servidor DNS local se usa para resolver la consulta de DNS.

2. La solicitud se envía al servidor DNS local en la dirección IP 192.168.0.1 o 192.168.0.2.

3. Un reenviador condicional en el servidor DNS local para blob.core.windows.net reenvía la solicitud a la resolución DNS en la dirección IP 10.0.0.8.

4. El solucionador DNS consulta Azure DNS y recibe información sobre un vínculo de red virtual del servicio DNS privado de Azure.

5. El servicio DNS privado de Azure resuelve las consultas de DNS que se envían a través del servicio DNS público de Azure al punto de conexión de entrada de DNS Private Resolver.

Componentes

• VPN Gateway es una puerta de enlace de red virtual que puede usar para enviar tráfico cifrado:

  • Entre una red virtual de Azure y una ubicación local a través de Internet público.
  • Entre redes virtuales de Azure a través de la red troncal de Azure.

• ExpressRoute extiende las redes locales a la nube de Microsoft. Al usar un proveedor de conectividad, ExpressRoute establece conexiones privadas a componentes de nube, como servicios de Azure y Microsoft 365.

• Azure Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. A través de Virtual Network, los recursos de Azure, como las VM, se pueden comunicar entre sí, con Internet y con redes del entorno local de forma segura.

• Azure Firewall aplica directivas de conectividad de red y aplicación. Este servicio de seguridad de red administra de forma centralizada las directivas en varias redes virtuales y suscripciones.

• DNS Private Resolver es un servicio que une un DNS local con Azure DNS. Puede utilizar este servicio para consultar las zonas privadas de Azure DNS desde un entorno local y viceversa, sin implementar servidores DNS basados en VM.

• Azure DNS es un servicio de hospedaje para dominios DNS. Azure DNS usa la infraestructura de Azure para proporcionar resolución de nombres.

• El servicio DNS privado de Azure administra y resuelve nombres de dominio en una red virtual y en redes virtuales conectadas. Al usar este servicio, no es necesario configurar una solución DNS personalizada. Cuando se usan zonas DNS privadas, puede usar nombres de dominio personalizados en lugar de los nombres que Azure proporciona durante la implementación.

• Los reenviadores de DNS son servidores DNS que reenvía consultas a servidores que están fuera de la red. El reenviador de DNS solo reenvía las consultas de nombres que no se pueden resolver.

Detalles del escenario

Azure ofrece varias soluciones DNS:

• Azure DNS es un servicio de hospedaje para dominios DNS. De forma predeterminada, las redes virtuales de Azure usan Azure DNS para la resolución DNS. Microsoft administra y mantiene Azure DNS.
• Azure Traffic Manager actúa como un servicio de equilibrio de carga basado en DNS. Proporciona una manera de distribuir el tráfico entre regiones de Azure a aplicaciones orientadas al público.
• El servicio DNS privado de Azure proporciona un servicio DNS para redes virtuales. Puede usar zonas de servicio DNS privadas de Azure para resolver sus propios nombres de dominio y nombres de máquina virtual sin tener que configurar una solución personalizada y sin modificar su propia configuración. Durante la implementación, puede usar nombres de dominio personalizados en lugar de nombres que Proporciona Azure si usa zonas DNS privadas.
• DNS Private Resolver es un servicio nativo de nube, de alta disponibilidad y fácil de usar de DevOps. Proporciona un servicio DNS sencillo, de mantenimiento cero, confiable y seguro. Puede usar este servicio para resolver nombres DNS hospedados en zonas privadas de Azure DNS desde redes locales. También puede usar el servicio para consultas DNS para sus propios nombres de dominio.

Antes de que DNS Private Resolver estuviera disponible, tenía que usar servidores DNS personalizados para la resolución DNS desde sistemas locales a Azure y viceversa. Las soluciones DNS personalizadas tienen muchas desventajas:

• La administración de varios servidores DNS personalizados para varias redes virtuales implica altos costos de infraestructura y licencias.
• Tiene que controlar todos los aspectos de la instalación, configuración y mantenimiento de servidores DNS.
• Las tareas de sobrecarga, como la supervisión y la aplicación de revisiones a estos servidores, son complejas y propensas a errores.
• No hay compatibilidad con DevOps para administrar registros DNS y reglas de reenvío.
• Es caro implementar soluciones de servidor DNS escalables.

DNS Private Resolver supera estos obstáculos al proporcionar las siguientes características y ventajas clave:

• Un servicio de Microsoft totalmente administrado con alta disponibilidad integrada y redundancia de zona.
• Una solución escalable que funciona bien con DevOps.
• Ahorro de costos en comparación con las soluciones personalizadas basadas en infraestructura como servicio (IaaS) tradicionales.
• Reenvío condicional de Azure DNS a servidores locales. El punto de conexión de salida proporciona esta capacidad, que no estaba disponible anteriormente. Las cargas de trabajo de Azure ya no requieren conexiones directas a servidores DNS locales. En su lugar, las cargas de trabajo de Azure se conectan a la dirección IP saliente de DNS Private Resolver.

Posibles casos de uso

Esta solución simplifica la resolución DNS privada en redes híbridas. Se aplica a muchos escenarios:

• Estrategias de transición durante la migración a largo plazo a soluciones totalmente nativas de la nube
• Soluciones de recuperación de desastres y tolerancia a fallos que replican datos y servicios entre entornos locales y en la nube
• Soluciones que hospedan componentes en Azure para reducir la latencia entre centros de datos locales y ubicaciones remotas

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

No recomendamos implementar un DNS Private Resolver en una red virtual que contenga una pasarela ExpressRoute. Para más información, vea Acerca de las puertas de enlace de red virtual de ExpressRoute.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.

DNS Private Resolver es un servicio nativo en la nube de alta disponibilidad y compatible con DevOps. Ofrece una solución DNS fiable y segura al tiempo que mantiene la sencillez y el mantenimiento cero para los usuarios.

Disponibilidad regional

Para obtener una lista de las regiones en las que está disponible DNS Private Resolver, consulte Disponibilidad regional.

Un solucionador DNS solo puede referirse a una red virtual que esté en la misma región que el solucionador DNS.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Azure DNS admite el conjunto de codificación ASCII ampliado para los conjuntos de registros de texto (TXT). Para más información, consulte Preguntas más frecuentes sobre Azure DNS.

Azure DNS no admite actualmente extensiones de seguridad DNS (DNSSEC). Sin embargo, los usuarios solicitan esta función.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costes.

• Como solución, DNS Private Resolver es en gran medida rentable. Una de las principales ventajas de DNS Private Resolver es que está totalmente administrada, lo que elimina la necesidad de servidores dedicados.

• Para calcular el costo de DNS Private Resolver, use la calculadora de precios de Azure. Para conocer los modelos de precios de DNS Private Resolver, consulte Precios de Azure DNS.

• Los precios también incluyen características de disponibilidad y escalabilidad.

• ExpressRoute admite dos modelos de facturación:

  • Datos medidos, donde se le cobra por gigabyte por las transferencias de datos salientes.
  • Datos ilimitados, donde se le cobra una cuota de puerto mensual fija que cubre todas las transferencias de datos entrantes y salientes.

  Para más información, consulte Precios de ExpressRoute.

• Si utiliza VPN Gateway en lugar de ExpressRoute, el coste varía según el producto y se cobra por hora. Para obtener más información, vea Precios de VPN Gateway.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad que tiene la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan realizado sobre ella. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

DNS Private Resolver es un servicio de Microsoft totalmente administrado que puede controlar millones de solicitudes. Use un espacio de direcciones de subred entre /28 y /24. Para la mayoría de los usuarios, /26 funciona mejor. Para más información, consulte Restricciones de subred.

Redes

Los siguientes recursos proporcionan más información sobre cómo crear una instancia de DNS Private Resolver:

• Creación de una instancia de DNS Private Resolver desde Azure Portal
• Creación de una instancia de DNS Private Resolver mediante Azure PowerShell

Compatibilidad con DNS inverso

Tradicionalmente, los registros DNS asignan un nombre DNS a una dirección IP. Por ejemplo, www.contoso.com se resuelve en 42.3.10.170. Con DNS inverso, la asignación va en la dirección opuesta. Una dirección IP se asigna de nuevo a un nombre. Por ejemplo, la dirección IP 42.3.10.170 se resuelve en www.contoso.com.

Para obtener información detallada sobre el soporte de Azure para el DNS inverso y cómo funciona el DNS inverso, consulte Información general sobre DNS inverso y soporte técnico en Azure.

Restricciones

DNS Private Resolver tiene las siguientes limitaciones:

• Los conjuntos de reglas de DNS Private Resolver solo pueden vincularse a redes virtuales que se encuentren dentro de la misma región geográfica que el solucionador.
• Una red virtual no puede contener más de una instancia de DNS Private Resolver.
• Debe asignar una subred dedicada a cada punto de conexión entrante y saliente.

Para más información, consulte Restricciones de la red virtual.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribió el siguiente colaborador.

Autor principal:

• Moorthy Annadurai | Arquitecto de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• ¿Qué es un vínculo de red virtual?
• ¿Qué es Azure DNS?
• ¿Qué es un servicio DNS privado de Azure?
• ¿Qué es DNS Private Resolver?
• Preguntas más frecuentes sobre DNS de Azure
• Introducción a DNS inverso y compatibilidad en Azure

Recursos relacionados

• Archivos de Azure a los que se accede de forma local y que protege AD DS
• Diseño de una solución DNS híbrida con Azure
• Recurso compartido de archivos de la nube empresarial de Azure