O que é o Azure DNS Private Resolver?
O Azure DNS Private Resolver é um serviço que lhe permite consultar zonas privadas do DNS do Azure a partir de um ambiente no local e vice-versa sem implementar servidores de DNS baseados em VM.
Como é que isto funciona?
O Resolvedor Privado de DNS do Azure requer uma Rede Virtual do Azure. Quando você cria um Resolvedor Privado de DNS do Azure dentro de uma rede virtual, um ou mais pontos de extremidade de entrada são estabelecidos que podem ser usados como destino para consultas DNS. O ponto de extremidade de saída do resolvedor processa consultas DNS com base em um conjunto de regras de encaminhamento DNS que você configura. As consultas DNS iniciadas em redes ligadas a um conjunto de regras podem ser enviadas para outros servidores DNS.
Não é necessário alterar nenhuma configuração de cliente DNS em suas máquinas virtuais (VMs) para usar o Resolvedor Privado de DNS do Azure.
O processo de consulta DNS ao usar um Resolvedor Privado de DNS do Azure é resumido abaixo:
- Um cliente em uma rede virtual emite uma consulta DNS.
- Se os servidores DNS para esta rede virtual forem especificados como personalizados, a consulta será encaminhada para os endereços IP especificados.
- Se os servidores DNS padrão (fornecidos pelo Azure) estiverem configurados na rede virtual e houver zonas DNS privadas vinculadas à mesma rede virtual, essas zonas serão consultadas.
- Se a consulta não corresponder a uma zona DNS privada vinculada à rede virtual, os links de rede virtual para conjuntos de regras de encaminhamento DNS serão consultados.
- Se nenhum link de conjunto de regras estiver presente, o DNS do Azure será usado para resolver a consulta.
- Se houver links de conjunto de regras, as regras de encaminhamento de DNS serão avaliadas.
- Se for encontrada uma correspondência de sufixo, a consulta é encaminhada para o endereço especificado.
- Se várias correspondências estiverem presentes, o sufixo mais longo será usado.
- Se nenhuma correspondência for encontrada, nenhum encaminhamento DNS ocorrerá e o DNS do Azure será usado para resolver a consulta.
A arquitetura do Resolvedor Privado de DNS do Azure é resumida na figura a seguir. A resolução de DNS entre redes virtuais do Azure e redes locais requer o Azure ExpressRoute ou uma VPN.
Figura 1: Arquitetura do Resolvedor Privado de DNS do Azure
Para obter mais informações sobre como criar um resolvedor de DNS privado, consulte:
- Guia de início rápido: criar um resolvedor privado de DNS do Azure usando o portal do Azure
- Guia de início rápido: criar um resolvedor privado de DNS do Azure usando o Azure PowerShell
Benefícios do Resolvedor Privado de DNS do Azure
O Resolvedor Privado de DNS do Azure fornece os seguintes benefícios:
- Totalmente gerenciado: alta disponibilidade integrada, redundância de zona.
- Redução de custos: reduza os custos operacionais e funcione a uma fração do preço das soluções IaaS tradicionais.
- Acesso privado às suas zonas DNS privadas: encaminhe condicionalmente de e para o local.
- Escalabilidade: alto desempenho por endpoint.
- DevOps Friendly: construa seus pipelines com Terraform, ARM ou Bicep.
Disponibilidade regional
Consulte Produtos do Azure por Região - DNS do Azure.
Residência de dados
O Resolvedor Privado de DNS do Azure não move nem armazena dados do cliente para fora da região onde o resolvedor está implantado.
Pontos de extremidade e conjuntos de regras do resolvedor de DNS
Um resumo dos pontos de extremidade e conjuntos de regras do resolvedor é fornecido neste artigo. Para obter informações detalhadas sobre pontos de extremidade e conjuntos de regras, consulte Pontos de extremidade e conjuntos de regras do Resolvedor Privado de DNS do Azure.
Pontos de extremidade de entrada
Um ponto de extremidade de entrada permite a resolução de nomes a partir de locais locais ou outros locais privados por meio de um endereço IP que faz parte do seu espaço de endereço de rede virtual privada. Para resolver sua zona DNS privada do Azure no local, insira o endereço IP do ponto de extremidade de entrada em seu encaminhador condicional DNS local. O encaminhador condicional DNS local deve ter uma conexão de rede com a rede virtual.
O ponto de extremidade de entrada requer uma sub-rede na VNet onde é provisionado. A sub-rede só pode ser delegada a Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços. Consultas DNS recebidas pela entrada do ponto de extremidade de entrada no Azure. Você pode resolver nomes em cenários em que você tem zonas DNS privadas, incluindo VMs que estão usando registro automático ou serviços habilitados para Link privado.
Nota
O endereço IP atribuído a um ponto de extremidade de entrada pode ser especificado como estático ou dinâmico. Para obter mais informações, consulte Endereços IP de ponto de extremidade estáticos e dinâmicos.
Pontos finais de saída
Um ponto de extremidade de saída permite a resolução de nomes de encaminhamento condicional do Azure para o local, outros provedores de nuvem ou servidores DNS externos. Esse ponto de extremidade requer uma sub-rede dedicada na VNet onde é provisionado, sem nenhum outro serviço em execução na sub-rede, e só pode ser delegado a Microsoft.Network/dnsResolvers. As consultas DNS enviadas para o ponto de extremidade de saída sairão do Azure.
Ligações de rede virtual
Os links de rede virtual permitem a resolução de nomes para redes virtuais vinculadas a um ponto de extremidade de saída com um conjunto de regras de encaminhamento DNS. Esta é uma relação 1:1.
Conjuntos de regras de encaminhamento DNS
Um conjunto de regras de encaminhamento DNS é um grupo de regras de encaminhamento DNS (até 1000) que pode ser aplicado a um ou mais pontos de extremidade de saída ou vinculados a uma ou mais redes virtuais. Esta é uma relação 1:N. Os conjuntos de regras estão associados a um ponto de extremidade de saída específico. Para obter mais informações, consulte Conjuntos de regras de encaminhamento DNS.
Regras de encaminhamento de DNS
Uma regra de encaminhamento DNS inclui um ou mais servidores DNS de destino que são usados para encaminhamento condicional e é representada por:
- Um nome de domínio
- Um endereço IP de destino
- Uma porta e protocolo de destino (UDP ou TCP)
Restrições
Atualmente, os seguintes limites se aplicam ao Resolvedor Privado de DNS do Azure:
Resolvedorprivado de DNS 1
Recurso | Limite |
---|---|
Resolvedores privados de DNS por subscrição | 15 |
Pontos de extremidade de entrada por resolvedor privado de DNS | 5 |
Pontos de extremidade de saída por resolvedor privado de DNS | 5 |
Regras de encaminhamento por conjunto de regras de encaminhamento DNS | 1000 |
Links de rede virtual por conjunto de regras de encaminhamento DNS | 500 |
Pontos de extremidade de saída por conjunto de regras de encaminhamento DNS | 2 |
Conjuntos de regras de encaminhamento DNS por ponto de extremidade de saída | 2 |
Servidores DNS de destino por regra de encaminhamento | 6 |
QPS por parâmetro de avaliação | 10.000 |
1 Limites diferentes podem ser impostos pelo portal do Azure até que o portal seja atualizado. Use o PowerShell para provisionar elementos até os limites mais atuais.
Restrições de rede virtual
As seguintes restrições são válidas em relação às redes virtuais:
- As redes virtuais com encriptação ativada não suportam o Resolvedor Privado de DNS do Azure.
- Um DNS resolver só pode referenciar uma rede virtual na mesma região do DNS resolver.
- Não é possível partilhar uma rede virtual entre vários DNS resolvers. Uma rede virtual só pode ser referenciada por um DNS resolver.
Restrições de sub-rede
As sub-redes usadas para o resolvedor de DNS têm as seguintes limitações:
- Uma sub-rede tem de ter um espaço de endereços mínimo de /28 ou um espaço de endereços máximo de /24. Uma sub-rede /28 é suficiente para acomodar os limites atuais do ponto final. Um tamanho de sub-rede de /27 a /24 pode fornecer flexibilidade se esses limites mudarem.
- Uma sub-rede não pode ser compartilhada entre vários pontos de extremidade do resolvedor de DNS. Uma única sub-rede só pode ser usada por um único ponto de extremidade do resolvedor de DNS.
- Todas as configurações de IP para um ponto de extremidade de entrada do resolvedor DNS devem fazer referência à mesma sub-rede. Não é permitido abranger várias sub-redes na configuração IP para um único ponto de extremidade de entrada do resolvedor DNS.
- A sub-rede usada para um ponto de extremidade de entrada do resolvedor DNS deve estar dentro da rede virtual referenciada pelo resolvedor DNS pai.
- A sub-rede só pode ser delegada a Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços.
Restrições de pontos finais de saída
Os pontos de extremidade de saída têm as seguintes limitações:
- Não é possível eliminar um ponto final de saída, a menos que o conjunto de regras de reencaminhamento DNS e as ligações de rede virtual abaixo do mesmo sejam eliminados.
Restrições do conjunto de regras
- Os conjuntos de regras podem ter até 1000 regras.
- Não há suporte para vinculação entre locatários de conjuntos de regras.
Outras restrições
- Não há suporte para sub-redes habilitadas para IPv6.
- O resolvedor privado de DNS não suporta o Azure ExpressRoute FastPath.
- O resolvedor privado de DNS não é compatível com o Azure Lighthouse.
- Para ver se o Azure Lighthouse está em uso, pesquise provedores de serviços no portal do Azure e selecione Ofertas do provedor de serviços.
Próximos passos
- Saiba como criar um Resolvedor Privado de DNS do Azure usando o Azure PowerShell ou o portal do Azure.
- Entenda como Resolver domínios do Azure e locais usando o Resolvedor Privado de DNS do Azure.
- Saiba mais sobre os pontos de extremidade e conjuntos de regras do Resolvedor Privado de DNS do Azure.
- Saiba como configurar o failover de DNS usando resolvedores privados
- Saiba como configurar o DNS híbrido usando resolvedores privados.
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.