Pontos de extremidade e conjuntos de regras do Resolvedor Privado de DNS do Azure
Neste artigo, você aprenderá sobre os componentes do Resolvedor Privado de DNS do Azure. Pontos de extremidade de entrada, pontos de extremidade de saída e conjuntos de regras de encaminhamento DNS são discutidos. Propriedades e configurações desses componentes são descritas, e exemplos são fornecidos sobre como usá-los.
A arquitetura do Resolvedor Privado de DNS do Azure é resumida na figura a seguir. Neste exemplo de rede, um resolvedor de DNS é implantado em uma VNet de hub que faz par com uma VNet falada.
Figura 1: Exemplo de rede hub e spoke com resolvedor DNS
- Os links do conjunto de regras são provisionados no conjunto de regras de encaminhamento DNS para as VNets hub e spoke , permitindo que recursos em ambas as VNets resolvam namespaces DNS personalizados usando regras de encaminhamento DNS.
- Uma zona DNS privada também é implantada e vinculada à VNet do hub, permitindo que os recursos na VNet do hub resolvam registros na zona.
- A VNet spoke resolve registros na zona privada usando uma regra de encaminhamento DNS que encaminha consultas de zona privada para o VIP do ponto de extremidade de entrada na VNet do hub.
- Uma rede local conectada à Rota Expressa também é mostrada na figura, com servidores DNS configurados para encaminhar consultas da zona privada do Azure para o VIP do ponto de extremidade de entrada. Para obter mais informações sobre como habilitar a resolução de DNS híbrido usando o Resolvedor Privado de DNS do Azure, consulte Resolver domínios do Azure e locais.
Nota
A conexão de emparelhamento mostrada no diagrama não é necessária para a resolução de nomes. As VNets vinculadas a partir de um conjunto de regras de encaminhamento DNS usam o conjunto de regras ao executar a resolução de nomes, independentemente de os pares de VNet vinculados ou não com a VNet do conjunto de regras.
Pontos de extremidade de entrada
Como o nome sugere, os pontos de extremidade de entrada entram no Azure. Os pontos de extremidade de entrada fornecem um endereço IP para encaminhar consultas DNS do local e de outros locais fora da sua rede virtual. As consultas DNS enviadas para o ponto de extremidade de entrada são resolvidas usando o DNS do Azure. As zonas DNS privadas vinculadas à rede virtual onde o ponto de extremidade de entrada é provisionado são resolvidas pelo ponto de extremidade de entrada.
O endereço IP associado a um ponto de extremidade de entrada sempre faz parte do espaço de endereço da rede virtual privada onde o resolvedor privado é implantado. Nenhum outro recurso pode existir na mesma sub-rede com o ponto de extremidade de entrada.
Endereços IP de ponto final estáticos e dinâmicos
O endereço IP atribuído a um ponto de extremidade de entrada pode ser estático ou dinâmico. Se você selecionar estático, não poderá escolher um endereço IP reservado na sub-rede. Se você escolher um endereço IP dinâmico, o quinto endereço IP disponível na sub-rede será atribuído. Por exemplo, 10.10.0.4 é o quinto endereço IP na sub-rede 10.10.0.0/28 (.0, .1, .2, .3, .4). Se o ponto de extremidade de entrada for reprovisionado, esse endereço IP poderá mudar, mas normalmente o 5º endereço IP na sub-rede é usado novamente. O endereço IP dinâmico não é alterado, a menos que o ponto de extremidade de entrada seja reprovisionado. O exemplo a seguir especifica um endereço IP estático:
O exemplo a seguir mostra o provisionamento de um ponto de extremidade de entrada com um endereço IP virtual (VIP) de 10.10.0.4 dentro da sub-rede snet-E-inbound dentro de uma rede virtual com espaço de endereço de 10.10.0.0/16.
Pontos finais de saída
Os pontos de extremidade de saída saem do Azure e podem ser vinculados a Conjuntos de Regras de Encaminhamento DNS.
Os pontos de extremidade de saída também fazem parte do espaço de endereço da rede virtual privada onde o resolvedor privado é implantado. Um ponto de extremidade de saída está associado a uma sub-rede, mas não é provisionado com um endereço IP como o ponto de extremidade de entrada. Nenhum outro recurso pode existir na mesma sub-rede com o ponto de extremidade de saída. A captura de tela a seguir mostra um ponto de extremidade de saída dentro da sub-rede snet-E-outbound.
Conjuntos de regras de encaminhamento DNS
Os conjuntos de regras de encaminhamento de DNS permitem especificar um ou mais servidores DNS personalizados para responder a consultas para namespaces DNS específicos. As regras individuais em um conjunto de regras determinam como esses nomes DNS são resolvidos. Os conjuntos de regras também podem ser vinculados a uma ou mais redes virtuais, permitindo que os recursos nas redes virtuais usem as regras de encaminhamento configuradas.
Os conjuntos de regras têm as seguintes associações:
- Um único conjunto de regras pode ser associado a até 2 pontos de extremidade de saída pertencentes à mesma instância do DNS Private Resolver. Ele não pode ser associado a 2 pontos de extremidade de saída em duas instâncias diferentes do DNS Private Resolver.
- Um conjunto de regras pode ter até 1000 regras de encaminhamento DNS.
- Um conjunto de regras pode ser vinculado a até 500 redes virtuais na mesma região.
Um conjunto de regras não pode ser vinculado a uma rede virtual em outra região. Para obter mais informações sobre o conjunto de regras e outros limites de resolvedores privados, consulte Quais são os limites de uso do DNS do Azure?.
Links do conjunto de regras
Quando você vincula um conjunto de regras a uma rede virtual, os recursos dentro dessa rede virtual usam as regras de encaminhamento DNS habilitadas no conjunto de regras. As redes virtuais vinculadas não precisam emparelhar com a rede virtual onde o ponto de extremidade de saída existe, mas essas redes podem ser configuradas como pares. Essa configuração é comum em um design de hub e spoke. Neste cenário de hub and spoke, a vnet spoke não precisa estar vinculada à zona DNS privada para resolver registros de recursos na zona. Nesse caso, a regra do conjunto de regras de encaminhamento para a zona privada envia consultas para o ponto de extremidade de entrada da vnet do hub. Por exemplo: azure.contoso.com para 10.10.0.4.
A captura de tela a seguir mostra um conjunto de regras de encaminhamento de DNS vinculado à rede virtual falada: myeastspoke.
Os links de rede virtual para conjuntos de regras de encaminhamento DNS permitem que recursos em outras redes virtuais usem regras de encaminhamento ao resolver nomes DNS. A VNet com o resolvedor privado também deve ser vinculada a partir de quaisquer zonas DNS privadas para as quais existam regras de conjunto de regras.
Por exemplo, os recursos na vnet myeastspoke podem resolver registros na zona azure.contoso.com DNS privada se:
- O conjunto de regras provisionado está
myeastvnetligado a:myeastspoke - Uma regra de conjunto de regras é configurada e habilitada no conjunto de regras vinculado para resolução
azure.contoso.comusando o ponto de extremidade de entrada emmyeastvnet
Nota
Você também pode vincular um conjunto de regras a uma rede virtual em outra assinatura do Azure. No entanto, o grupo de recursos especificado deve estar na mesma região que o resolvedor privado.
Regras
As regras de encaminhamento DNS (regras do conjunto de regras) têm as seguintes propriedades:
| Property | Description |
|---|---|
| Nome da regra | O nome da sua regra. O nome deve começar com uma letra e pode conter apenas letras, números, sublinhados e traços. |
| Nome de domínio | O namespace DNS terminado por ponto onde sua regra se aplica. O namespace deve ter rótulos zero (para curinga) ou entre 1 e 34 rótulos. Por exemplo, contoso.com. tem dois rótulos.1 |
| IP de destino:Porto | O destino de encaminhamento. Um ou mais endereços IP e portas de servidores DNS que são usados para resolver consultas DNS no namespace especificado. |
| Estado da regra | O estado da regra: Ativado ou desativado. Se uma regra estiver desativada, ela será ignorada. |
1 Nomes de domínio de rótulo único são suportados.
Se várias regras forem correspondidas, a correspondência de prefixo mais longa será usada.
Por exemplo, se você tiver as seguintes regras:
| Nome da regra | Nome de domínio | IP de destino:Porto | Estado da regra |
|---|---|---|---|
| Contoso | contoso.com. | 10.100.0.2:53 | Ativado(a) |
| AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Ativado(a) |
| Caráter universal | . | 10.100.0.2:53 | Ativado(a) |
Uma consulta para secure.store.azure.contoso.com corresponde à regra AzurePrivate para azure.contoso.com e também à regra Contoso para contoso.com, mas a regra AzurePrivate tem precedência porque o prefixo azure.contoso é maior que contoso.
Importante
Se uma regra estiver presente no conjunto de regras que tenha como destino um ponto de extremidade de entrada do resolvedor privado, não vincule o conjunto de regras à VNet onde o ponto de extremidade de entrada é provisionado. Essa configuração pode causar loops de resolução DNS. Por exemplo: No cenário anterior, nenhum link de conjunto de regras deve ser adicionado porque myeastvnet o ponto de extremidade de entrada em 10.10.0.4 é provisionado e myeastvnet uma regra está presente que resolve usando o ponto de azure.contoso.com extremidade de entrada.
As regras mostradas neste artigo são exemplos de regras que você pode usar para cenários específicos. Os exemplos usados não são obrigatórios. Tenha cuidado para testar suas regras de encaminhamento.
Se você incluir uma regra curinga em seu conjunto de regras, verifique se o serviço DNS de destino pode resolver nomes DNS públicos. Alguns serviços do Azure têm dependências na resolução de nomes públicos.
Processamento de regras
- Se vários servidores DNS forem inseridos como destino de uma regra, o primeiro endereço IP inserido será usado, a menos que não responda. Um algoritmo de backoff exponencial é usado para determinar se um endereço IP de destino é responsivo ou não.
- Certos domínios são ignorados ao usar uma regra curinga para resolução de DNS, porque eles são reservados para serviços do Azure. Consulte Configuração de zona DNS dos serviços do Azure para obter uma lista de domínios reservados. Os nomes DNS de dois rótulos listados neste artigo (por exemplo: windows.net, azure.com, azure.net windowsazure.us) são reservados para os serviços do Azure.
Importante
- Não pode introduzir o endereço IP do DNS do Azure 168.63.129.16 como o endereço IP de destino de uma regra. A tentativa de adicionar esse endereço IP gera o erro: Exceção ao fazer a solicitação de adição de regra.
- Não utilize o endereço IP do ponto final de entrada do resolver privado como destino de reencaminhamento para zonas que não estão ligadas à rede virtual onde o resolver privado é aprovisionado.
Opções de design
A forma como você implanta conjuntos de regras de encaminhamento e pontos de extremidade de entrada em uma arquitetura de hub e spoke depende idealmente do seu design de rede. Duas opções de configuração são discutidas brevemente nas seções a seguir. Para obter uma discussão mais detalhada com exemplos de configuração, consulte Arquitetura de resolução privada.
Encaminhamento de links de conjunto de regras
Vincular um conjunto de regras de encaminhamento a uma VNet habilita os recursos de encaminhamento de DNS nessa VNet. Por exemplo, se um conjunto de regras contiver uma regra para encaminhar consultas para o ponto de extremidade de entrada de um resolvedor privado, esse tipo de regra poderá ser usado para habilitar a resolução de zonas privadas vinculadas à VNet do ponto de extremidade de entrada. Essa configuração pode ser usada quando uma VNet de Hub está vinculada a uma zona privada e você deseja permitir que a zona privada seja resolvida em VNets spoke que não estão vinculadas à zona privada. Nesse cenário, a resolução DNS da zona privada é executada pelo ponto de extremidade de entrada na VNet do hub.
O cenário de design de link do conjunto de regras é mais adequado para uma arquitetura DNS distribuída em que o tráfego de rede está espalhado pela sua rede do Azure e pode ser exclusivo em alguns locais. Com esse design, você pode controlar a resolução DNS em todas as redes virtuais vinculadas ao conjunto de regras modificando um único conjunto de regras.
Nota
Se você usar a opção de link do conjunto de regras e houver uma regra de encaminhamento com o ponto de extremidade de entrada como destino, não vincule o conjunto de regras de encaminhamento à VNet do Hub. Vincular esse tipo de conjunto de regras à mesma VNet onde o ponto de extremidade de entrada é provisionado pode resultar em um loop de resolução DNS.
Pontos de extremidade de entrada como DNS personalizado
Os pontos de extremidade de entrada são capazes de processar consultas DNS de entrada e podem ser configurados como DNS personalizado para uma rede virtual. Essa configuração pode substituir instâncias em que você está usando seu próprio servidor DNS como DNS personalizado em uma rede virtual.
O cenário de design de DNS personalizado é mais adequado para uma arquitetura DNS centralizada em que a resolução DNS e o fluxo de tráfego de rede são principalmente para uma rede virtual de hub e são controlados a partir de um local central.
Para resolver uma zona DNS privada de uma VNet spoke usando esse método, a VNet onde o ponto de extremidade de entrada existe deve estar vinculada à zona privada. A VNet do Hub pode ser (opcionalmente) vinculada a um conjunto de regras de encaminhamento. Se um conjunto de regras estiver vinculado ao Hub, todo o tráfego DNS enviado para o ponto de extremidade de entrada será processado pelo conjunto de regras.
Próximos passos
- Analise componentes, benefícios e requisitos para o Resolvedor Privado de DNS do Azure.
- Saiba como criar um Resolvedor Privado de DNS do Azure usando o Azure PowerShell ou o portal do Azure.
- Entenda como Resolver domínios do Azure e locais usando o Resolvedor Privado de DNS do Azure.
- Saiba como configurar o failover de DNS usando resolvedores privados.
- Saiba como configurar o DNS híbrido usando resolvedores privados.
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.