Editar

Share via

Resolvedor Privado de DNS do Azure

DNS do Azure
Azure ExpressRoute
Firewall do Azure
Rede Virtual do Azure
Gateway de VPN do Azure

Este artigo apresenta uma solução para usar o Resolvedor Privado de DNS do Azure para simplificar a resolução de DNS híbrido e recursivo. Você pode usar o Resolvedor Privado de DNS para cargas de trabalho locais e do Azure. O Resolvedor Privado de DNS simplifica a resolução de DNS privado do local para o serviço DNS privado do Azure e vice-versa.

Arquitetura

As próximas seções apresentam alternativas para a resolução de DNS híbrido e recursivo. A primeira seção discute uma solução que usa uma máquina virtual (VM) de encaminhador de DNS. As seções subsequentes explicam como usar o Resolvedor Privado de DNS.

Usar uma VM de encaminhador de DNS

Antes de o Resolvedor Privado de DNS ser disponibilizado, uma VM de encaminhador de DNS era implantada para que um servidor local pudesse resolver as solicitações para o serviço de DNS privado do Azure. O diagrama a seguir ilustra os detalhes dessa resolução de nomes. Um encaminhador condicional no servidor DNS local encaminha as solicitações para o Azure, e uma zona de DNS privado é vinculada a uma rede virtual. Na sequência, as solicitações para o serviço do Azure são resolvidas para o endereço IP privado apropriado.

Nesta solução, não é possível usar o serviço de DNS público do Azure para resolver nomes de domínios locais.

Diagrama de arquitetura que mostra uma solução sem Resolvedor Privado de DNS. O tráfego de um servidor local para um banco de dados do Azure é visível.

Baixe um arquivo do PowerPoint dessa arquitetura.

Workflow

  1. Uma VM cliente envia uma solicitação de resolução de nome de azsql1.database.windows.net a um servidor DNS interno local.

  2. Um encaminhador condicional é configurado no servidor DNS interno. Encaminha a consulta DNS de database.windows.net para 10.5.0.254, que é o endereço de uma VM de encaminhador de DNS.

  3. A VM do encaminhador de DNS envia a solicitação para 168.63.129.16, o endereço IP do servidor DNS interno do Azure.

  4. O servidor DNS do Azure envia uma solicitação de resolução de nome de azsql1.database.windows.net para os resolvedores recursivos do Azure. Os resolvedores respondem com o nome canônico (CNAME) azsql1.privatelink.database.windows.net.

  5. O servidor DNS do Azure envia uma solicitação de resolução de nome de azsql1.privatelink.database.windows.net para a zona de DNS privado privatelink.database.windows.net. A zona de DNS privado responde com o endereço IP privado 10.5.0.5.

  6. A resposta que associa o CNAME azsql1.privatelink.database.windows.net ao registro 10.5.0.5 chega ao encaminhador de DNS.

  7. A resposta chega ao servidor DNS interno local.

  8. A resposta chega à VM cliente.

  9. A VM cliente estabelece uma conexão privada com o ponto de extremidade privado que usa o endereço IP 10.5.0.5. O ponto de extremidade privado disponibiliza para a VM cliente uma conexão segura com um banco de dados do Azure.

Para obter mais informações, confira Configuração do DNS do ponto de extremidade privado do Azure.

Usar o Resolvedor Privado de DNS

Quando você usa o Resolvedor Privado de DNS, não precisa de uma VM de encaminhador DNS e o DNS do Azure é capaz de resolver nomes de domínio locais.

A solução a seguir usa o Resolvedor Privado de DNS em uma topologia de rede hub-spoke. Como prática recomendada, o padrão de design da zona de destino do Azure recomenda usar esse tipo de topologia. Uma conexão de rede híbrida é estabelecida usando o Azure ExpressRoute e o Firewall do Azure. Essa configuração fornece uma rede híbrida segura. O Resolvedor Privado de DNS é implantado em uma rede spoke (indicada como Rede de Serviço Compartilhado nos diagramas ao longo deste artigo).

Diagrama de arquitetura que mostra uma rede local conectada a uma rede hub-and-spoke do Azure. O Resolvedor Privado de DNS está na rede de hub.

Baixe um arquivo do PowerPoint dessa arquitetura.

Componentes da solução Resolvedor Privado de DNS

A solução que usa o Resolvedor Privado de DNS tem os seguintes componentes:

  • Uma rede local. Essa rede de datacenters do cliente é conectada ao Azure via ExpressRoute ou por uma conexão site a site do Gateway de VPN do Azure. Os componentes de rede incluem dois servidores DNS locais. Um deles usa o endereço IP 192.168.0.1. O outro usa 192.168.0.2. Os dois servidores funcionam como resolvedores ou encaminhadores para todos os computadores da rede local.

Um administrador cria todos os registos DNS locais e encaminhadores de pontos de extremidade do Azure nesses servidores. Os encaminhadores condicionais são configurados nesses servidores para os serviços de Armazenamento de Blobs do Azure e Gerenciamento de API do Azure. Esses encaminhadores envia as solicitações para a conexão de entrada do Resolvedor Privado de DNS. O ponto de extremidade de entrada usa o endereço IP 10.0.0.8 e é hospedado na rede virtual de Serviço Compartilhado (sub-rede 10.0.0.0/28).

A tabela a seguir lista os registros nos servidores locais.

Nome de domínio Endereço IP Tipo de registro
App1.onprem.company.com 192.168.0.8 Mapeamento de endereços
App2.onprem.company.com 192.168.0.9 Mapeamento de endereços
blob.core.windows.net 10.0.0.8 Encaminhador de DNS
azure-api.net 10.0.0.8 Encaminhador de DNS

  • Uma rede hub.

    • Uma conexão do Gateway de VPN ou do ExpressRoute é usada para a conexão híbrida com o Azure.
    • O Firewall do Azure fornece um firewall gerenciado como serviço. A instância do firewall reside na própria sub-rede.

  • Uma rede de serviços compartilhados.

    • O Resolvedor Privado de DNS é implantado em sua própria rede virtual (separada da rede de hub onde o ExpressRoute Gateway é implantado). A tabela a seguir lista os parâmetros configurados para o Resolvedor Privado de DNS. Para os nomes DNS App1 e App2, o conjunto de regras de encaminhamento de DNS é configurado.
    Parâmetro Endereço IP
    Rede virtual 10.0.0.0/24
    Sub-rede de ponto de extremidade de entrada 10.0.0.0/28
    Endereço IP do ponto de extremidade de entrada 10.0.0.8
    Sub-rede de ponto de extremidade de saída 10.0.0.16/28
    Endereço IP do ponto de extremidade de saída 10.0.0.19
    • A rede virtual de serviço compartilhado (10.0.0.0/24) é vinculada às zonas de DNS privado do Armazenamento de Blobs e do serviço de API.

  • Redes spoke.

    • As VMs são hospedadas em todas as redes spoke para testar e validar a resolução de DNS.
    • Todas as redes virtuais spoke do Azure usam o servidor DNS padrão do Azure no endereço IP 168.63.129.16. E todas as redes virtuais spoke são emparelhadas com as redes virtuais hub. Todo o tráfego, incluindo o tráfego de e para o Resolvedor Privado de DNS, é roteado através do hub.
    • As redes virtuais spoke estão vinculadas às zonas DNS privadas. Essa configuração torna possível resolver os nomes de serviços de link de ponto de extremidade privados, como privatelink.blob.core.windows.net.

Fluxo de tráfego de uma consulta DNS local

O diagrama a seguir mostra o fluxo de tráfego gerado quando um servidor local emite uma solicitação de DNS.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes do Resolvedor Privado de DNS quando um servidor local consulta um registro de serviço DNS privado do Azure.

Baixe um arquivo do PowerPoint dessa arquitetura.

  1. Um servidor local consulta um registro do serviço DNS privado do Azure, como blob.core.windows.net. A solicitação é enviada para o servidor DNS local no endereço IP 192.168.0.1 ou 192.168.0.2. Todos os computadores locais apontam para o servidor DNS local.

  2. Um encaminhador condicional no servidor DNS local para blob.core.windows.net encaminha a solicitação ao resolvedor de DNS no endereço IP 10.0.0.8.

  3. O resolvedor de DNS consulta o DNS do Azure e recebe as informações sobre um link de rede virtual do serviço de DNS privado do Azure.

  4. O serviço de DNS privado do Azure resolve as consultas DNS enviadas por meio do serviço de DNS público do Azure para o ponto de extremidade de entrada do resolvedor de DNS.

Fluxo de tráfego de uma consulta DNS de VM

O diagrama a seguir mostra o fluxo de tráfego que é gerado quando a VM 1 emite uma solicitação de DNS. Nesse caso, a rede virtual Spoke 1 tenta resolver a solicitação.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes com o Resolvedor Privado de DNS quando uma VM spoke emite uma solicitação de DNS.

Baixe um arquivo do PowerPoint dessa arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar a resolução de nomes fornecida pelo Azure. Assim, o DNS do Azure é usado para resolver a consulta DNS.

  2. Se a consulta tentar resolver um nome privado, o serviço de DNS privado do Azure será contatado.

  3. Se a consulta não corresponder a uma zona de DNS privado vinculada à rede virtual, o DNS do Azure se conectará ao Resolvedor Privado de DNS. A rede virtual Spoke 1 tem um link de rede virtual. O Resolvedor Privado de DNS verifica se há um conjunto de regras de encaminhamento de DNS associado à rede virtual Spoke 1.

  4. Se for encontrada uma correspondência no conjunto de regras de encaminhamento de DNS, a consulta DNS será encaminhada por meio do ponto de extremidade de saída ao endereço IP especificado no conjunto de regras.

  5. Se o serviço de DNS privado do Azure (2) e o Resolvedor Privado de DNS (3) não encontrarem um registro correspondente, o DNS do Azure (5) será usado para resolver a consulta.

Cada regra de encaminhamento de DNS especifica um ou mais servidores DNS de destino que deverão ser usados para encaminhamento condicional. As informações especificadas incluem o nome do domínio, o endereço IP de destino e a porta.

Fluxo de tráfego de uma consulta DNS de VM via Resolvedor Privado de DNS

O diagrama a seguir mostra o fluxo de tráfego que é gerado quando a VM 1 emite uma solicitação de DNS por meio de um ponto de extremidade de entrada do Resolvedor Privado de DNS. Nesse caso, a rede virtual Spoke 1 tenta resolver a solicitação.

Diagrama de arquitetura que mostra o tráfego com o Resolvedor Privado de DNS quando uma VM spoke emite uma solicitação de DNS.

Baixe um arquivo do PowerPoint dessa arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar 10.0.0.8 como o servidor DNS de resolução de nomes. Assim, o Resolvedor Privado de DNS é usado para resolver a consulta DNS.

  2. Se a consulta tentar resolver um nome privado, o serviço de DNS privado do Azure será contatado.

  3. Se a consulta não corresponder a uma zona de DNS privado vinculada à rede virtual, o DNS do Azure se conectará ao Resolvedor Privado de DNS. A rede virtual Spoke 1 tem um link de rede virtual. O Resolvedor Privado de DNS verifica se há um conjunto de regras de encaminhamento de DNS associado à rede virtual Spoke 1.

  4. Se for encontrada uma correspondência no conjunto de regras de encaminhamento de DNS, a consulta DNS será encaminhada por meio do ponto de extremidade de saída ao endereço IP especificado no conjunto de regras.

  5. Se o serviço de DNS privado do Azure (2) e o Resolvedor Privado de DNS (3) não encontrarem um registro correspondente, o DNS do Azure (5) será usado para resolver a consulta.

Cada regra de encaminhamento de DNS especifica um ou mais servidores DNS de destino que deverão ser usados para encaminhamento condicional. As informações especificadas incluem o nome do domínio, o endereço IP de destino e a porta.

Fluxo de tráfego de uma consulta DNS de VM por meio de um servidor DNS local

O diagrama a seguir mostra o fluxo de tráfego que é gerado quando a VM 1 emite uma solicitação de DNS por meio de um servidor DNS local. Nesse caso, a rede virtual Spoke 1 tenta resolver a solicitação.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes com o Resolvedor Privado de DNS quando uma VM spoke emite uma solicitação de DNS.

Baixe um arquivo do PowerPoint dessa arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar 192.168.0.1/2 como o servidor DNS de resolução de nomes. Assim, um servidor DNS local é usado para resolver a consulta DNS.

  2. A solicitação é enviada para o servidor DNS local no endereço IP 192.168.0.1 ou 192.168.0.2.

  3. Um encaminhador condicional no servidor DNS local para blob.core.windows.net encaminha a solicitação ao resolvedor de DNS no endereço IP 10.0.0.8.

  4. O resolvedor de DNS consulta o DNS do Azure e recebe as informações sobre um link de rede virtual do serviço de DNS privado do Azure.

  5. O serviço de DNS privado do Azure resolve as consultas DNS enviadas por meio do serviço de DNS público do Azure para o ponto de extremidade de entrada do Resolvedor Privado de DNS.

Componentes

  • O Gateway de VPN é um gateway de rede virtual que você pode usar para enviar tráfego criptografado:

    • Entre uma rede virtual do Azure e uma localização local pela internet pública.
    • Entre redes virtuais do Azure pela rede backbone do Azure.

  • O ExpressRoute estende as redes locais para a nuvem da Microsoft. O ExpressRoute estabelece conexões privadas com componentes na nuvem, como os serviços do Azure e o Microsoft 365, usando um provedor de conectividade.

  • A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. Por meio da Rede Virtual, os recursos do Azure, como as VMs, podem se comunicar com segurança entre si, com a Internet e com as redes locais.

  • O Firewall do Azure impõe políticas de conectividade de rede e de aplicativo. Esse serviço de segurança de rede gerencia centralmente as políticas em várias redes virtuais e assinaturas.

  • O Resolvedor Privado de DNS é um serviço que faz a ponte entre um DNS local e o DNS do Azure. Você pode usar esse serviço para consultar zonas privadas do DNS do Azure de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

  • O DNS do Azure é um serviço de hospedagem para domínios DNS. O DNS do Azure usa a infraestrutura do Azure para fornecer a resolução de nomes.

  • O serviço de DNS privado do Azure gerencia e resolve nomes de domínio em uma rede virtual e em redes virtuais conectadas. Quando usa esse serviço, você não precisa configurar uma solução DNS personalizada. Quando usa zonas de DNS privado, você pode usar nomes de domínio personalizados em vez dos nomes fornecidos pelo Azure durante a implantação.

  • Encaminhadores de DNS são servidores DNS que encaminham consultas para servidores que estão fora da rede. O encaminhador de DNS só encaminha consultas de nomes que não consegue resolver.

Detalhes do cenário

O Azure oferece várias soluções de DNS:

  • O DNS do Azure é um serviço de hospedagem para domínios DNS. Por padrão, as redes virtuais do Azure usam o DNS do Azure para a resolução de DNS. A Microsoft gerencia e mantém o DNS do Azure.
  • O Gerenciador de Tráfego do Azure funciona como um serviço de balanceamento de carga baseado em DNS. Ele oferece uma forma de distribuir o tráfego entre regiões do Azure para aplicativos voltados ao público.
  • O serviço de DNS privado do Azure fornece um serviço de DNS para redes virtuais. Você pode usar as zonas do serviço de DNS privado do Azure para resolver seus nomes de domínio e nomes de VM sem precisar configurar uma solução personalizada e sem modificar sua configuração. Durante a implantação, você pode usar nomes de domínios personalizados em vez dos nomes fornecidos pelo Azure quando utiliza zonas de DNS privado.
  • O Resolvedor Privado de DNS do Azure é um serviço nativo de nuvem altamente disponível e amigável do DevOps. Ele fornece um serviço de DNS simples, de manutenção zero, confiável e seguro. Você pode usar esse serviço para resolver nomes DNS hospedados em zonas privadas do DNS do Azure em redes locais. Você também pode usar o serviço para consultas DNS de seus nomes de domínio.

Antes de o Resolvedor Privado de DNS ser disponibilizado, você tinha que usar servidores DNS personalizados para a resolução de DNS de sistemas locais para o Azure e vice-versa. As soluções de DNS personalizadas têm muitas desvantagens:

  • O gerenciamento de vários servidores DNS personalizados para várias redes virtuais envolve altos custos de infraestrutura e licenciamento.
  • Você precisa lidar com todos os aspectos de instalação, configuração e manutenção dos servidores DNS.
  • As tarefas gerais, como monitorar e aplicar patches nesses servidores, são complexas e propensas a falhas.
  • Não há suporte de DevOps para gerenciar registros DNS e regras de encaminhamento.
  • É caro implementar soluções de servidor DNS escalonáveis.

O Resolvedor Privado de DNS supera esses obstáculos fornecendo os seguintes recursos e principais vantagens:

  • Um serviço Microsoft totalmente gerenciado com alta disponibilidade interna e redundância de zona.
  • Uma solução escalonável que funciona bem com DevOps.
  • Economia de custos, se comparada a soluções personalizadas tradicionais baseadas em IaaS (infraestrutura como serviço).
  • Encaminhamento condicional do DNS do Azure para servidores locais. O ponto de extremidade de saída fornece esse recurso, que não estava disponível anteriormente. As cargas de trabalho no Azure não exigem mais conexões diretas com servidores DNS locais. Em vez disso, as cargas de trabalho do Azure se conectam ao endereço IP de saída do Resolvedor Privado de DNS.

Possíveis casos de uso

Esta solução simplifica a resolução de DNS privado em redes híbridas. Ela se aplica a muitos cenários:

  • Estratégias de transição durante uma migração de longo prazo para soluções totalmente nativas de nuvem
  • Soluções de recuperação de desastre e tolerância a falhas que replicam dados e serviços entre ambientes locais e na nuvem
  • Soluções que hospedam componentes no Azure para reduzir a latência entre datacenters locais e locais remotos

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework​, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Recomendamos não implementar um resolvedor privado de DNS em uma rede virtual que contenha um ExpressRoute Gateway. Para obter mais informações, confira Sobre os gateways de rede virtual do ExpressRoute.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

O Resolvedor Privado de DNS é um serviço nativo da nuvem altamente disponível e compatível com DevOps. Ele oferece uma solução de DNS confiável e segura, mantendo a simplicidade e manutenção zero para os usuários.

Disponibilidade regional

Para obter uma lista de regiões nas quais o Resolvedor Privado de DNS está disponível, consulte Disponibilidade regional.

Um resolvedor de DNS só pode se referir a uma rede virtual que está na mesma região que ele.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

O DNS do Azure é compatível com a codificação ASCII estendido definida para conjuntos de registros TXT. Para obter mais informações, confira Perguntas Frequentes sobre o DNS do Azure.

No momento, o DNS do Azure não dá suporte para extensões de segurança de DNS (DNSSEC). Mas os usuários estão solicitando esse recurso.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

  • Como solução, o Resolvedor Privado de DNS é muito econômico. Um dos principais benefícios do Resolvedor Privado de DNS é o fato de ele ser totalmente gerenciado, o que elimina a necessidade de servidores dedicados.

  • Para calcular o custo do Resolvedor Privado de DNS, use a calculadora de preços do Azure. Para modelos de preços do Resolvedor Privado de DNS, consulte Preços do DNS do Azure.

  • Os preços também incluem recursos de disponibilidade e escalabilidade.

  • O ExpressRoute aceita dois modelos de cobrança:

    • Dados limitados, que cobra por gigabyte por transferências de dados de saída.
    • Dados ilimitados, que cobra uma taxa mensal fixa pelas portas e cobre todas as transferências de dados de entrada e de saída.

    Para obter mais informações, consulte Preços do ExpressRoute.

  • Se você usar o Gateway de VPN em vez do ExpressRoute, o custo irá variar de acordo com o produto e será cobrado por hora. Para saber mais, veja Preços do Gateway de VPN.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho para atender às demandas exigidas pelos usuários de maneira eficiente. Para obter mais informações, consulte Lista de verificação de revisão de design para eficiência de desempenho.

O Resolvedor Privado de DNS é um serviço Microsoft totalmente gerenciado que pode processar milhões de solicitações. Use um espaço de endereço de sub-rede entre /28 e /24. Para a maioria dos usuários, /26 funciona melhor. Para obter mais informações, consulte Restrições de sub-rede.

Rede

Os recursos a seguir contêm mais informações sobre como criar um resolvedor privado de DNS:

Suporte a DNS reverso

Tradicionalmente, os registros DNS mapeiam um nome DNS para um endereço IP. Por exemplo, www.contoso.com é resolvido para 42.3.10.170. Com o DNS reverso, o mapeamento vai na direção oposta. Um endereço IP é mapeado de volta para um nome. Por exemplo, o endereço IP 42.3.10.170 é resolvido para www.contoso.com.

Para obter informações detalhadas sobre o suporte do Azure para DNS reverso e como o DNS reverso funciona, consulte Visão geral do DNS reverso e suporte no Azure.

Restrições

O Resolvedor Privado de DNS tem as seguintes limitações:

  • Os conjuntos de regras do Resolvedor Privado de DNS só podem ser vinculados a redes virtuais localizadas na mesma região geográfica que o resolvedor.
  • Uma rede virtual não pode conter mais de um resolvedor privado de DNS.
  • Você precisa atribuir uma sub-rede dedicada para cada ponto de extremidade de entrada e de saída.

Para obter mais informações, consulte Restrições de rede virtual.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi escrito originalmente pelos colaboradores a seguir.

Autor principal:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas