Configuración de un reenviador DNS en Azure Portal

De forma predeterminada, los componentes de administración de Azure VMware Solution, como vCenter Server, solo pueden resolver los registros de nombres disponibles a través de DNS público. Sin embargo, algunos casos de uso híbrido requieren componentes de administración de Azure VMware Solution para resolver registros de nombres del DNS hospedado de forma privada para funcionar correctamente, incluidos los sistemas administrados por el cliente, como vCenter Server y Active Directory.

Dns privado para los componentes de administración de Azure VMware Solution le permite definir reglas de reenvío condicional para el nombre de dominio deseado en un conjunto seleccionado de servidores DNS privados a través del servicio DNS del centro de datos NSX-T.

Esta funcionalidad usa el servicio reenviador DNS en NSX-T Centro de datos. Se proporciona un servicio DNS y una zona DNS predeterminada como parte de la nube privada. Para habilitar los componentes de administración de Azure VMware Solution para resolver registros de los sistemas DNS privados, debe definir una zona FQDN y aplicarla al servicio DNS del centro de datos de NSX-T. El servicio DNS reenvía condicionalmente consultas DNS para cada zona en función de los servidores DNS externos definidos en esa zona.

Architecture

En el diagrama se muestra que el servicio DNS del centro de datos de NSX-T puede reenviar consultas DNS a sistemas DNS hospedados en Azure y entornos locales.

Configuración de reenviador de DNS

1. En la nube privada de Azure VMware Solution, en Redes de carga de trabajo, seleccioneZonas DNS DNS>. A continuación, seleccione Agregar.

   Nota:

   En el caso de las nubes privadas creadas el 1 de julio de 2021 o después del 1 de julio de 2021, se crea automáticamente la zona DNS predeterminada durante la creación de la nube privada.

   

2. Seleccione FQDN zone (FQDN zone), proporcione un nombre y hasta tres direcciones IP del servidor DNS con el formato 10.0.0.53. Después, seleccione Aceptar.

   

   Importante

   Aunque NSX-T Centro de datos permite espacios y otros caracteres no alfanuméricos en un nombre de zona DNS, ciertos recursos de centro de datos NSX-T, como una zona DNS, se asignan a un recurso de Azure cuyos nombres no permiten determinados caracteres.

   Como resultado, los nombres de zona DNS que, de lo contrario, serían válidos en NSX-T Centro de datos pueden necesitar un ajuste para cumplir las convenciones de nomenclatura de recursos de Azure.

   El progreso de las notificaciones tarda varios minutos en completarse. Verá un mensaje en las notificaciones cuando se crea la zona DNS.

3. Ignore el mensaje sobre una zona DNS predeterminada porque se crea automáticamente como parte de la nube privada.

4. Seleccione la pestaña Servicio DNS y, a continuación, seleccione Editar.

   Sugerencia

   En el caso de las nubes privadas creadas el 1 de julio de 2021 o después del 1 de julio de 2021, puede omitir el mensaje sobre una zona DNS predeterminada como se crea automáticamente durante la creación de la nube privada.

   Importante

   Aunque se pueden realizar determinadas operaciones en la nube privada desde NSX-T Manager, para nubes privadas creadas el 1 de julio de 2021, o después del 1 de julio de 2021, debe editar el servicio DNS desde la experiencia de red simplificada en Azure Portal para ver los cambios de configuración realizados en la puerta de enlace de nivel 1 predeterminada.

   

5. En la lista desplegable Zonas FQDN , seleccione el FQDN recién creado y, a continuación, seleccione Aceptar.

   

   La operación tarda varios minutos en completarse y, una vez finalizada, verá el mensaje Completado de las notificaciones. En este momento, los componentes de administración de la nube privada deben poder resolver las entradas DNS de la zona FQDN proporcionadas al servicio DNS del centro de datos de NSX-T.

6. Repita los pasos anteriores para otras zonas FQDN.

Cambiar la zona del reenviador DNS T1 predeterminada

1. En la nube privada de Azure VMware Solution, en Redes de carga de trabajo, seleccione Zonas DNS>> DNS Comprobar TNT##-DNS-FORWARDER-ZONE. A continuación, seleccione Editar.

   

2. Cambie las entradas del servidor DNS a direcciones IP accesibles válidas. A continuación, seleccione Aceptar.

   

   Sugerencia

   Para que los componentes de administración de vCenter, NSX-T y HCX realicen correctamente búsquedas inversas de DNS, se debe definir un servidor DNS capaz de realizar búsquedas DNS inversas en DNS server IP en la zona de reenviador DNS predeterminada de T1.

   Importante

   Un punto de conexión DNS que no sea accesible por el servidor DNS de NSX-T producirá una alarma NSX-T que indica que el punto de conexión no es accesible. En los casos de la configuración predeterminada proporcionada con Azure VMware Solution, esto se debe a Que Internet está deshabilitado de forma predeterminada. La alarma se puede confirmar e ignorar, o bien la configuración predeterminada se puede cambiar a un punto de conexión válido.

Comprobación de las operaciones de resolución de nombres

Después de configurar el reenviador DNS, tiene algunas opciones disponibles para comprobar las operaciones de resolución de nombres.

VMware NSX-T Manager

NSX-T Manager proporciona las estadísticas del servicio reenviador DNS en el nivel de servicio global y por zona.

1. En NSX-T Manager, seleccioneDNSde red> y, a continuación, expanda el servicio reenviador DNS.

   

2. Seleccione Ver estadísticas y, a continuación, en la lista desplegable Estadísticas de zona , seleccione la zona FQDN.

   La mitad superior muestra las estadísticas de todo el servicio y la mitad inferior muestra las estadísticas de la zona especificada. En este ejemplo, puede ver las consultas reenviadas a los servicios DNS especificados durante la configuración de la zona FQDN.

   

PowerCLI

La API de directiva de NSX-T permite ejecutar comandos nslookup desde el servicio reenviador DNS del centro de datos de NSX-T. Los cmdlets necesarios forman parte del VMware.VimAutomation.Nsxt módulo en PowerCLI. En el ejemplo siguiente se muestra la salida de la versión 12.3.0 de ese módulo.

1. Conéctese al clúster de NSX-T Manager.

   Sugerencia

   Puede obtener la dirección IP del clúster de NSX-T Manager desde Azure Portal en Administrar>identidad.

   Connect-NsxtServer -Server 10.103.64.3
   

2. Obtenga un proxy al servicio nslookup del reenviador DNS.

   $nslookup = Get-NsxtPolicyService -Name com.vmware.nsx_policy.infra.tier_1s.dns_forwarder.nslookup
   

3. Realice búsquedas desde el servicio reenviador DNS.

   $response = $nslookup.get('TNT86-T1', 'vc01.contoso.corp')
   

El primer parámetro del comando es el identificador de la puerta de enlace T1 de la nube privada, que puede obtener de la pestaña Servicio DNS en Azure Portal.

1. Obtenga una respuesta sin procesar de la búsqueda mediante las siguientes propiedades de la respuesta.

   $response.dns_answer_per_enforcement_point.raw_answer; (()) DiG 9.10.3-P4-Ubuntu (()) @10.103.64.192 -b 10.103.64.192 vc01.contoso.corp +timeout=5 +tries=3 +nosearch ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -))HEADER((- opcode: QUERY, status: NOERROR, id: 10684 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1  ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;vc01.contoso.corp.  IN A  ;; ANSWER SECTION: vc01.contoso.corp. 3046 IN A 172.21.90.2  ;; Query time: 0 msec ;; SERVER: 10.103.64.192:53(10.103.64.192) ;; WHEN: Thu Jul 01 23:44:36 UTC 2021 ;; MSG SIZE  rcvd: 62
   

   En este ejemplo, puede ver una respuesta para la consulta de vc01.contoso.corp que muestra un registro A con la dirección 172.21.90.2. Además, en este ejemplo se muestra una respuesta almacenada en caché del servicio reenviador DNS, por lo que la salida puede variar ligeramente.