Partilhar via

Arquitetura de resolução privada

  • Artigo

Este artigo discute duas opções de design de arquitetura que estão disponíveis para resolver nomes DNS, incluindo zonas DNS privadas em sua rede do Azure usando um Resolvedor Privado de DNS do Azure. Exemplos de configurações são fornecidos com recomendações de design para resolução DNS centralizada versus distribuída em uma topologia VNet hub e spoke.

Arquitetura DNS distribuída

Considere a topologia de VNet de hub e spoke a seguir no Azure com um resolvedor privado localizado no hub e um link de conjunto de regras para a VNet falada. Tanto o hub quanto o spoke usam o DNS fornecido pelo Azure em suas configurações de VNet:

Hub and spoke with ruleset diagram.

Figura 1: Arquitetura DNS distribuída usando links de conjunto de regras

  • Uma VNet de hub é configurada com espaço de endereço 10.10.0.0/16.
  • Uma VNet spoke é configurada com espaço de endereço 10.11.0.0/16.
  • Uma zona DNS privada azure.contoso.com está vinculada à rede virtual do hub.
  • Um resolvedor privado é provisionado na VNet do hub.
    • O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4.
    • O resolvedor privado tem um ponto de extremidade de saída e um conjunto de regras de encaminhamento DNS associado.
      • O conjunto de regras de encaminhamento DNS está vinculado à VNet falada.
      • Uma regra de conjunto de regras é configurada para encaminhar consultas da zona privada para o ponto de extremidade de entrada.

Resolução DNS na VNet do hub: o link de rede virtual da zona privada para a VNet do Hub permite que os recursos dentro da VNet do hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Todos os outros namespaces também são resolvidos usando o DNS fornecido pelo Azure. A VNet do hub não usa regras de conjunto de regras para resolver nomes DNS porque não está vinculada ao conjunto de regras. Para usar regras de encaminhamento na VNet do hub, crie e vincule outro conjunto de regras à VNet do Hub.

Resolução DNS na VNet falada: O link de rede virtual do conjunto de regras para a VNet spoke permite que a VNet spoke resolva azure.contoso.com usando a regra de encaminhamento configurada. Um link da zona privada para a VNet falada não é necessário aqui. A VNet spoke envia consultas para azure.contoso.com ao ponto de extremidade de entrada do hub por meio do DNS fornecido pelo Azure porque há uma regra correspondente a esse nome de domínio no conjunto de regras vinculado. Consultas para outros namespaces também podem ser encaminhadas configurando regras adicionais. As consultas DNS que não correspondem a uma regra de conjunto de regras não são encaminhadas e são resolvidas usando o DNS fornecido pelo Azure.

Importante

Neste exemplo de configuração, a VNet de hub deve estar vinculada à zona privada, mas não deve estar vinculada a um conjunto de regras de encaminhamento com uma regra de encaminhamento de ponto de extremidade de entrada. Vincular um conjunto de regras de encaminhamento que contém uma regra com o ponto de extremidade de entrada como destino à mesma VNet em que o ponto de extremidade de entrada é provisionado pode causar loops de resolução DNS.

Arquitetura DNS centralizada

Considere a topologia de VNet de hub e spoke a seguir com um ponto de extremidade de entrada provisionado como DNS personalizado na VNet falada. A VNet spoke usa uma configuração de DNS personalizada de 10.10.0.4, correspondente ao ponto de extremidade de entrada do resolvedor privado do Hub:

Hub and spoke with custom DNS diagram.

Figura 2: Arquitetura DNS centralizada usando DNS personalizado

  • Uma VNet de hub é configurada com espaço de endereço 10.10.0.0/16.
  • Uma VNet spoke é configurada com espaço de endereço 10.11.0.0/16.
  • Uma zona DNS privada azure.contoso.com está vinculada à rede virtual do hub.
  • Um resolvedor privado está localizado na VNet do hub.
    • O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4.
    • O resolvedor privado tem um ponto de extremidade de saída (opcional) e um conjunto de regras de encaminhamento DNS associado.
      • O conjunto de regras de encaminhamento DNS está vinculado à VNet do hub.
      • Uma regra de conjunto de regras não está configurada para encaminhar consultas da zona privada para o ponto de extremidade de entrada.

Resolução DNS na VNet do hub: o link de rede virtual da zona privada para a VNet do Hub permite que os recursos dentro da VNet do hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Se configuradas, as regras do conjunto de regras determinam como os nomes DNS são encaminhados e resolvidos. Os namespaces que não correspondem a uma regra de conjunto de regras são resolvidos sem encaminhamento usando o DNS fornecido pelo Azure.

Resolução DNS na VNet falada: Neste exemplo, a VNet spoke envia todo o seu tráfego DNS para o ponto de extremidade de entrada na VNet Hub. Como azure.contoso.com tem um link de rede virtual para a VNet do Hub, todos os recursos no Hub podem resolver azure.contoso.com, incluindo o ponto de extremidade de entrada (10.10.0.4). Assim, o spoke usa o ponto de extremidade de entrada do hub para resolver a zona privada. Outros nomes DNS são resolvidos para a VNet falada de acordo com as regras provisionadas em um conjunto de regras de encaminhamento, se existirem.

Nota

No cenário de arquitetura DNS centralizada, tanto o hub quanto as VNets spoke podem usar o conjunto de regras vinculado ao hub opcional ao resolver nomes DNS. Isso ocorre porque todo o tráfego DNS da VNet spoke está sendo enviado para o hub devido à configuração DNS personalizada da VNet. A VNet de hub não requer um ponto de extremidade de saída ou conjunto de regras aqui, mas se uma for provisionada e vinculada ao hub (como mostra a Figura 2), as VNets hub e spoke usarão as regras de encaminhamento. Como mencionado anteriormente, é importante que uma regra de encaminhamento para a zona privada não esteja presente no conjunto de regras, pois essa configuração pode causar um loop de resolução DNS.

Próximos passos