Editar

Azure DNS Private Resolver

Azure DNS
Azure ExpressRoute
Azure Firewall
Azure Virtual Network
Azure VPN Gateway

Este artigo apresenta uma solução para usar o Resolvedor Privado de DNS do Azure para simplificar a resolução do DNS (Sistema de Nomes de Domínio) recursivo híbrido. Você pode usar o Resolvedor Privado de DNS para cargas de trabalho locais e cargas de trabalho do Azure. O DNS Private Resolver simplifica a resolução de DNS privado do local para o serviço DNS privado do Azure e vice-versa.

Arquitetura

As seções a seguir apresentam alternativas para resolução DNS recursiva híbrida. A primeira seção discute uma solução que usa uma máquina virtual (VM) de encaminhador DNS. As seções subsequentes explicam como usar o DNS Private Resolver.

Usar uma VM de encaminhador DNS

Antes de o Resolvedor Privado de DNS estar disponível, uma VM de encaminhador DNS era implantada para que um servidor local pudesse resolver solicitações para o serviço DNS privado do Azure. O diagrama a seguir ilustra os detalhes dessa resolução de nomes. Um encaminhador condicional no servidor DNS local encaminha solicitações para o Azure e uma zona DNS privada é vinculada a uma rede virtual. As solicitações para o serviço do Azure são resolvidas para o endereço IP privado apropriado.

Nesta solução, você não pode usar o serviço DNS público do Azure para resolver nomes de domínio locais.

Diagrama de arquitetura que mostra uma solução sem DNS Private Resolver. O tráfego de um servidor local para um banco de dados do Azure é visível.

Transfira um ficheiro PowerPoint desta arquitetura.

Fluxo de Trabalho

  1. Uma VM cliente envia uma solicitação de resolução de nome para azsql1.database.windows.net para um servidor DNS interno local.

  2. Um encaminhador condicional é configurado no servidor DNS interno. Ele encaminha a consulta DNS para database.windows.net para 10.5.0.254, que é o endereço de uma VM de encaminhador DNS.

  3. A VM do encaminhador DNS envia a solicitação para 168.63.129.16, o endereço IP do servidor DNS interno do Azure.

  4. O servidor DNS do Azure envia uma solicitação de resolução de nome para azsql1.database.windows.net para os resolvedores recursivos do Azure. Os resolvedores respondem com o nome canônico (CNAME) azsql1.privatelink.database.windows.net.

  5. O servidor DNS do Azure envia uma solicitação de resolução de nomes para azsql1.privatelink.database.windows.net para a zona DNS privada privatelink.database.windows.net. A zona DNS privada responde com o endereço IP privado 10.5.0.5.

  6. A resposta que associa o CNAME azsql1.privatelink.database.windows.net ao registro 10.5.0.5 chega ao encaminhador DNS.

  7. A resposta chega ao servidor DNS interno local.

  8. A resposta chega à VM do cliente.

  9. A VM cliente estabelece uma conexão privada com o ponto de extremidade privado que usa o endereço IP 10.5.0.5. O ponto de extremidade privado fornece à VM cliente uma conexão segura com um banco de dados do Azure.

Para obter mais informações, consulte Configuração de DNS do ponto de extremidade privado do Azure.

Usar o Resolvedor Privado de DNS

Quando você usa o DNS Private Resolver, não precisa de uma VM de encaminhador DNS e o DNS do Azure pode resolver nomes de domínio locais.

A solução a seguir usa o DNS Private Resolver em uma topologia de rede hub-spoke. Como prática recomendada, o padrão de design da zona de aterrissagem do Azure recomenda o uso desse tipo de topologia. Uma conexão de rede híbrida é estabelecida usando o Azure ExpressRoute e o Firewall do Azure. Esta configuração fornece uma rede híbrida segura. O DNS Private Resolver é implantado em uma rede spoke (indicado como Rede de Serviço Compartilhado nos diagramas ao longo deste artigo).

Diagrama de arquitetura que mostra uma rede local conectada a uma rede hub-and-spoke do Azure. O DNS Private Resolver está na rede do hub.

Transfira um ficheiro PowerPoint desta arquitetura.

Componentes da solução DNS Private Resolver

A solução que usa o DNS Private Resolver contém os seguintes componentes:

  • Uma rede local. Essa rede de datacenters de clientes está conectada ao Azure por meio da Rota Expressa ou de uma conexão site a site do Gateway de VPN do Azure. Os componentes de rede incluem dois servidores DNS locais. Um usa o endereço IP 192.168.0.1. O outro usa 192.168.0.2. Ambos os servidores funcionam como resolvedores ou encaminhadores para todos os computadores dentro da rede local.

Um administrador cria todos os registros DNS locais e encaminhadores de ponto de extremidade do Azure nesses servidores. Os encaminhadores condicionais são configurados nesses servidores para os serviços de Armazenamento de Blob do Azure e Gerenciamento de API do Azure. Esses encaminhadores enviam solicitações para a conexão de entrada do DNS Private Resolver. O ponto de extremidade de entrada usa o endereço IP 10.0.0.8 e é hospedado na rede virtual do Serviço Compartilhado (sub-rede 10.0.0.0/28).

A tabela a seguir lista os registros nos servidores locais.

Nome de domínio Endereço IP Tipo de registo
App1.onprem.company.com 192.168.0.8 Mapeamento de endereços
App2.onprem.company.com 192.168.0.9 Mapeamento de endereços
blob.core.windows.net 10.0.0.8 Reencaminhador do DNS
azure-api.net 10.0.0.8 Reencaminhador do DNS

  • Uma rede de hub.

    • O Gateway VPN ou uma conexão de Rota Expressa é usado para a conexão híbrida com o Azure.
    • O Firewall do Azure fornece um firewall gerenciado como um serviço. A instância de firewall reside em sua própria sub-rede.

  • Uma rede de serviços compartilhados.

    • O DNS Private Resolver é implantado em sua própria rede virtual (separada da rede de hub onde o ExpressRoute Gateway é implantado). A tabela a seguir lista os parâmetros configurados para o DNS Private Resolver. Para nomes DNS App1 e App2, o conjunto de regras de encaminhamento DNS está configurado.
    Parâmetro Endereço IP
    Rede virtual 10.0.0.0/24
    Sub-rede de ponto de extremidade de entrada 10.0.0.0/28
    Endereço IP do ponto de extremidade de entrada 10.0.0.8
    Sub-rede de ponto de extremidade de saída 10.0.0.16/28
    Endereço IP do ponto de extremidade de saída 10.0.0.19
    • A rede virtual de serviço compartilhado (10.0.0.0/24) está vinculada às zonas DNS privadas para o Armazenamento de Blobs e o serviço de API.

  • Redes faladas.

    • As VMs são hospedadas em todas as redes spoke para testar e validar a resolução DNS.
    • Todas as redes virtuais spoke do Azure usam o servidor DNS padrão do Azure no endereço IP 168.63.129.16. E todas as redes virtuais faladas são emparelhadas com as redes virtuais do hub. Todo o tráfego, incluindo o tráfego de e para o DNS Private Resolver, é roteado através do hub.
    • As redes virtuais spoke estão ligadas a zonas DNS privadas. Essa configuração torna possível resolver os nomes de serviços de link de ponto de extremidade privados como privatelink.blob.core.windows.net.

Fluxo de tráfego para uma consulta DNS local

O diagrama a seguir mostra o fluxo de tráfego que resulta quando um servidor local emite uma solicitação DNS.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes do Resolvedor Privado de DNS quando um servidor local consulta um registro de serviço DNS privado do Azure.

Transfira um ficheiro PowerPoint desta arquitetura.

  1. Um servidor local consulta um registro de serviço DNS privado do Azure, como blob.core.windows.net. A solicitação é enviada para o servidor DNS local no endereço IP 192.168.0.1 ou 192.168.0.2. Todos os computadores locais apontam para o servidor DNS local.

  2. Um encaminhador condicional no servidor DNS local para blob.core.windows.net encaminha a solicitação para o resolvedor de DNS no endereço IP 10.0.0.8.

  3. O resolvedor de DNS consulta o DNS do Azure e recebe informações sobre um link de rede virtual do serviço DNS privado do Azure.

  4. O serviço DNS privado do Azure resolve consultas DNS enviadas através do serviço DNS público do Azure para o ponto de extremidade de entrada do resolvedor de DNS.

Fluxo de tráfego para uma consulta DNS de VM

O diagrama a seguir mostra o fluxo de tráfego que resulta quando a VM 1 emite uma solicitação DNS. Neste caso, a rede virtual Spoke 1 spoke tenta resolver o pedido.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes com o DNS Private Resolver quando uma VM falada emite uma solicitação DNS.

Transfira um ficheiro PowerPoint desta arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar a resolução de nomes que o Azure fornece. Como resultado, o DNS do Azure é usado para resolver a consulta DNS.

  2. Se a consulta tentar resolver um nome privado, o serviço DNS privado do Azure será contatado.

  3. Se a consulta não corresponder a uma zona DNS privada vinculada à rede virtual, o DNS do Azure se conectará ao Resolvedor Privado de DNS. A rede virtual Spoke 1 tem um link de rede virtual. O DNS Private Resolver verifica se há um conjunto de regras de encaminhamento DNS associado à rede virtual Spoke 1.

  4. Se for encontrada uma correspondência no conjunto de regras de encaminhamento DNS, a consulta DNS será encaminhada através do ponto de extremidade de saída para o endereço IP especificado no conjunto de regras.

  5. Se o serviço DNS privado do Azure (2) e o Resolvedor Privado de DNS (3) não conseguirem encontrar um registro correspondente, o DNS do Azure (5) será usado para resolver a consulta.

Cada regra de encaminhamento DNS especifica um ou mais servidores DNS de destino a serem usados para encaminhamento condicional. As informações especificadas incluem o nome de domínio, o endereço IP de destino e a porta.

Fluxo de tráfego para uma consulta DNS de VM via DNS Private Resolver

O diagrama a seguir mostra o fluxo de tráfego que resulta quando a VM 1 emite uma solicitação DNS por meio de um ponto de extremidade de entrada do DNS Private Resolver. Neste caso, a rede virtual Spoke 1 spoke tenta resolver o pedido.

Diagrama de arquitetura que mostra o tráfego com o DNS Private Resolver quando uma VM falada emite uma solicitação DNS.

Transfira um ficheiro PowerPoint desta arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar 10.0.0.8 como o servidor DNS de resolução de nomes. Como resultado, o DNS Private Resolver é usado para resolver a consulta DNS.

  2. Se a consulta tentar resolver um nome privado, o serviço DNS privado do Azure será contatado.

  3. Se a consulta não corresponder a uma zona DNS privada vinculada à rede virtual, o DNS do Azure se conectará ao Resolvedor Privado de DNS. A rede virtual Spoke 1 tem um link de rede virtual. O DNS Private Resolver verifica se há um conjunto de regras de encaminhamento DNS associado à rede virtual Spoke 1.

  4. Se for encontrada uma correspondência no conjunto de regras de encaminhamento DNS, a consulta DNS será encaminhada através do ponto de extremidade de saída para o endereço IP especificado no conjunto de regras.

  5. Se o serviço DNS privado do Azure (2) e o Resolvedor Privado de DNS (3) não conseguirem encontrar um registro correspondente, o DNS do Azure (5) será usado para resolver a consulta.

Cada regra de encaminhamento DNS especifica um ou mais servidores DNS de destino a serem usados para encaminhamento condicional. As informações especificadas incluem o nome de domínio, o endereço IP de destino e a porta.

Fluxo de tráfego para uma consulta DNS VM através de um servidor DNS local

O diagrama a seguir mostra o fluxo de tráfego que resulta quando a VM 1 emite uma solicitação DNS por meio de um servidor DNS local. Neste caso, a rede virtual Spoke 1 spoke tenta resolver o pedido.

Diagrama de arquitetura que mostra o tráfego de resolução de nomes com o DNS Private Resolver quando uma VM falada emite uma solicitação DNS.

Transfira um ficheiro PowerPoint desta arquitetura.

  1. A VM 1 consulta um registro DNS. As redes virtuais spoke são configuradas para usar 192.168.0.1/2 como o servidor DNS de resolução de nomes. Como resultado, um servidor DNS local é usado para resolver a consulta DNS.

  2. A solicitação é enviada para o servidor DNS local no endereço IP 192.168.0.1 ou 192.168.0.2.

  3. Um encaminhador condicional no servidor DNS local para blob.core.windows.net encaminha a solicitação para o resolvedor de DNS no endereço IP 10.0.0.8.

  4. O resolvedor de DNS consulta o DNS do Azure e recebe informações sobre um link de rede virtual do serviço DNS privado do Azure.

  5. O serviço DNS privado do Azure resolve consultas DNS enviadas através do serviço DNS público do Azure para o ponto de extremidade de entrada do Resolvedor Privado de DNS.

Componentes

  • O Gateway VPN é um gateway de rede virtual que você pode usar para enviar tráfego criptografado:

    • Entre uma rede virtual do Azure e um local local na Internet pública.
    • Entre redes virtuais do Azure através da rede de backbone do Azure.

  • O ExpressRoute estende as redes locais para a nuvem da Microsoft. O ExpressRoute estabelece conexões privadas com componentes de nuvem, como serviços do Azure e Microsoft 365, usando um provedor de conectividade.

  • A Rede Virtual do Azure é o bloco de construção fundamental para redes privadas no Azure. Por meio da Rede Virtual, recursos do Azure, como VMs, podem se comunicar com segurança entre si, com a Internet e com redes locais.

  • O Firewall do Azure impõe políticas de conectividade de aplicativo e rede. Este serviço de segurança de rede gere centralmente as políticas em várias redes virtuais e subscrições.

  • O DNS Private Resolver é um serviço que faz a ponte entre um DNS local e o DNS do Azure. Você pode usar esse serviço para consultar zonas privadas do DNS do Azure a partir de um ambiente local e vice-versa sem implantar servidores DNS baseados em VM.

  • O DNS do Azure é um serviço de alojamento para domínios DNS. O DNS do Azure usa a infraestrutura do Azure para fornecer resolução de nomes.

  • O serviço DNS privado do Azure gerencia e resolve nomes de domínio em uma rede virtual e em redes virtuais conectadas. Ao usar esse serviço, você não precisa configurar uma solução de DNS personalizada. Ao usar zonas DNS privadas, você pode usar nomes de domínio personalizados em vez dos nomes que o Azure fornece durante a implantação.

  • Os encaminhadores DNS são servidores DNS que encaminham consultas para servidores que estão fora da rede. O encaminhador DNS encaminha apenas consultas para nomes que não pode resolver.

Detalhes do cenário

O Azure oferece várias soluções de DNS:

  • O DNS do Azure é um serviço de alojamento para domínios DNS. Por padrão, as redes virtuais do Azure usam o DNS do Azure para resolução de DNS. A Microsoft gerencia e mantém o DNS do Azure.
  • O Azure Traffic Manager atua como um serviço de balanceamento de carga baseado em DNS. Ele fornece uma maneira de distribuir o tráfego entre regiões do Azure para aplicativos voltados para o público.
  • O serviço DNS privado do Azure fornece um serviço DNS para redes virtuais. Você pode usar as zonas de serviço DNS privado do Azure para resolver seus próprios nomes de domínio e nomes de VM sem precisar configurar uma solução personalizada e sem modificar sua própria configuração. Durante a implantação, você pode usar nomes de domínio personalizados em vez de nomes que o Azure fornece se você usar zonas DNS privadas.
  • O DNS Private Resolver é um serviço nativo da nuvem, altamente disponível e amigável para DevOps. Ele fornece um serviço de DNS simples, sem manutenção, confiável e seguro. Você pode usar esse serviço para resolver nomes DNS hospedados em zonas privadas do DNS do Azure a partir de redes locais. Você também pode usar o serviço para consultas DNS para seus próprios nomes de domínio.

Antes de o DNS Private Resolver estar disponível, era necessário usar servidores DNS personalizados para resolução de DNS de sistemas locais para o Azure e vice-versa. As soluções DNS personalizadas têm muitas desvantagens:

  • O gerenciamento de vários servidores DNS personalizados para várias redes virtuais envolve altos custos de infraestrutura e licenciamento.
  • Você precisa lidar com todos os aspetos da instalação, configuração e manutenção de servidores DNS.
  • As tarefas gerais, como o monitoramento e a aplicação de patches nesses servidores, são complexas e propensas a falhas.
  • Não há suporte a DevOps para gerenciar registros DNS e regras de encaminhamento.
  • É caro implementar soluções de servidor DNS escaláveis.

O DNS Private Resolver supera esses obstáculos, fornecendo os seguintes recursos e principais vantagens:

  • Um serviço Microsoft totalmente gerenciado com alta disponibilidade integrada e redundância de zona.
  • Uma solução escalável que funciona bem com DevOps.
  • Economia de custos em comparação com soluções personalizadas tradicionais baseadas em infraestrutura como serviço (IaaS).
  • Encaminhamento condicional do DNS do Azure para servidores locais. O ponto de extremidade de saída fornece esse recurso, que não estava disponível no passado. As cargas de trabalho no Azure não exigem mais conexões diretas com servidores DNS locais. Em vez disso, as cargas de trabalho do Azure se conectam ao endereço IP de saída do DNS Private Resolver.

Potenciais casos de utilização

Esta solução simplifica a resolução DNS privada em redes híbridas. Aplica-se a muitos cenários:

  • Estratégias de transição durante a migração de longo prazo para soluções totalmente nativas da nuvem
  • Soluções de recuperação de desastres e tolerância a falhas que replicam dados e serviços entre ambientes locais e em nuvem
  • Soluções que hospedam componentes no Azure para reduzir a latência entre datacenters locais e locais remotos

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Recomendamos não implantar um resolvedor privado de DNS em uma rede virtual que contenha um Gateway de Rota Expressa. Para obter mais informações, consulte Sobre gateways de rede virtual ExpressRoute.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

O DNS Private Resolver é um serviço nativo da nuvem que é altamente disponível e amigável para DevOps. Ele oferece uma solução de DNS confiável e segura, mantendo a simplicidade e a manutenção zero para os usuários.

Disponibilidade regional

Para obter uma lista de regiões nas quais o DNS Private Resolver está disponível, consulte Disponibilidade regional.

Um resolvedor de DNS só pode referir-se a uma rede virtual que esteja na mesma região que o resolvedor de DNS.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

O DNS do Azure dá suporte ao conjunto de codificação ASCII estendido para conjuntos de registros de texto (TXT). Para obter mais informações, consulte Perguntas frequentes sobre DNS do Azure.

Atualmente, o DNS do Azure não oferece suporte a extensões de segurança DNS (DNSSEC). Mas os usuários estão solicitando esse recurso.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

  • Como solução, o DNS Private Resolver é amplamente econômico. Um dos principais benefícios do DNS Private Resolver é que ele é totalmente gerenciado, o que elimina a necessidade de servidores dedicados.

  • Para calcular o custo do DNS Private Resolver, use a calculadora de preços do Azure. Para modelos de preços do DNS Private Resolver, consulte Preços do DNS do Azure.

  • O preço também inclui recursos de disponibilidade e escalabilidade.

  • O ExpressRoute suporta dois modelos de faturação:

    • Dados limitados, que cobram por gigabyte para transferências de dados de saída.
    • Dados ilimitados, que cobram uma taxa de porta mensal fixa que cobre todas as transferências de dados de entrada e saída.

    Para obter mais informações, consulte Preços da Rota Expressa.

  • Se você usar o Gateway VPN em vez da Rota Expressa, o custo varia de acordo com o produto e é cobrado por hora. Para obter mais informações, consulte Preços do gateway VPN.

Eficiência de desempenho

Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Lista de verificação de revisão de projeto para eficiência de desempenho.

O DNS Private Resolver é um serviço Microsoft totalmente gerenciado que pode lidar com milhões de solicitações. Use um espaço de endereço de sub-rede entre /28 e /24. Para a maioria dos usuários, /26 funciona melhor. Para obter mais informações, consulte Restrições de sub-rede.

Rede

Os recursos a seguir fornecem mais informações sobre como criar um resolvedor privado de DNS:

Suporte reverso a DNS

Tradicionalmente, os registos DNS mapeiam um nome DNS para um endereço IP. Por exemplo, www.contoso.com resolve para 42.3.10.170. Com o DNS reverso, o mapeamento vai na direção oposta. Um endereço IP é mapeado de volta para um nome. Por exemplo, o endereço IP 42.3.10.170 resolve para www.contoso.com.

Para obter informações detalhadas sobre o suporte do Azure para DNS reverso e como o DNS reverso funciona, consulte Visão geral do DNS reverso e suporte no Azure.

Restrições

O DNS Private Resolver tem as seguintes limitações:

  • Os conjuntos de regras do Resolvedor Privado de DNS só podem ser vinculados a redes virtuais que estejam dentro da mesma região geográfica do resolvedor.
  • Uma rede virtual não pode conter mais de um resolvedor privado de DNS.
  • Você precisa atribuir uma sub-rede dedicada a cada ponto de extremidade de entrada e saída.

Para obter mais informações, consulte Restrições de rede virtual.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelo seguinte colaborador.

Autor principal:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos