Compartir a través de

¿Qué es Azure DNS Private Resolver?

Azure DNS Private Resolver es un servicio totalmente gestionado y altamente disponible que permite una resolución de DNS segura y sin interrupciones entre redes virtuales de Azure y entornos locales, sin necesidad de implementar, administrar o actualizar servidores DNS personalizados. Mediante este servicio, puede resolver consultas DNS para zonas DNS privadas desde cualquier lugar. Facilita la conectividad de red híbrida y simplifica la administración de redes para escenarios empresariales.

Funcionamiento de la resolución privada de Azure DNS

Azure DNS Private Resolver requiere una red virtual de Azure. Al crear una resolución privada de Azure DNS dentro de una red virtual, se crean uno o varios puntos de conexión de entrada que puede usar como destino para las consultas DNS. El punto de conexión de salida de la instancia procesa las consultas de DNS en función del conjunto de reglas de reenvío de DNS que haya configurado. Puede enviar consultas DNS iniciadas en redes vinculadas a un conjunto de reglas a otros servidores DNS.

No es necesario cambiar ninguna configuración de cliente DNS en las máquinas virtuales para usar Azure DNS Private Resolver.

En la lista siguiente se resume el proceso de consulta DNS al usar una resolución privada de Azure DNS:

  1. Un cliente de una red virtual emite una consulta de DNS.
  2. Si especifica servidores DNS personalizados para esta red virtual, la consulta se reenvía a las direcciones IP especificadas.
  3. Si configura servidores DNS predeterminados (proporcionados por Azure) en la red virtual y hay zonas DNS privadas vinculadas a la misma red virtual, se consultan estas zonas.
  4. Si la consulta no coincide con una zona de DNS privado vinculada a la red virtual, se consultan los vínculos de red virtual de los conjuntos de reglas de reenvío de DNS.
  5. Si no hay ningún vínculo del conjunto de reglas, se usa Azure DNS para resolver la consulta.
  6. Si hay vínculos del conjunto de reglas, se evalúan las reglas de reenvío de DNS.
  7. Si coincide un sufijo, la consulta se reenvía a la dirección especificada.
  8. Si hay varias coincidencias, se usa el sufijo más largo.
  9. Si no se encuentra ninguna coincidencia, no se produce el reenvío de DNS y se usa Azure DNS para resolver la consulta.

La arquitectura de Azure DNS Private Resolver se resume en la ilustración siguiente. La resolución de DNS entre redes virtuales de Azure y redes locales requiere Azure ExpressRoute o una VPN.

Captura de pantalla de la arquitectura de resolución privada de Azure DNS que muestra el flujo de resolución DNS entre redes virtuales de Azure y redes locales a través de puntos de conexión entrantes y salientes.

Figura 1: Arquitectura de resolución privada de Azure DNS.

Para más información sobre cómo crear una instancia de Private DNS Resolver, consulte:

Ventajas de la resolución privada de Azure DNS

Azure DNS Private Resolver proporciona las ventajas siguientes:

  • Totalmente administrado: alta disponibilidad integrada y redundancia de zona.
  • Reducción de costos: reduzca los costos operativos y consiga una ejecución a precio parcial de las soluciones IaaS tradicionales.
  • Acceso privado a las zonas de DNS privado: realice el reenvío condicional desde el entorno local y hacia este.
  • Escalabilidad: alto rendimiento por punto de conexión.
  • DevOps Friendly: Construye tus canalizaciones con Terraform, la plantilla de ARM o Bicep.

Disponibilidad regional

Consulte Productos de Azure por región: Azure DNS.

Residencia de datos

El solucionador privado de Azure DNS no mueve ni almacena datos de cliente fuera de la región donde se implementa la resolución.

Conjuntos de reglas y puntos de conexión de resolución DNS

En este artículo se proporciona un resumen de los puntos de conexión y los conjuntos de reglas de resolución. Para obtener más información sobre los puntos de conexión y los conjuntos de reglas, consulte Puntos de conexión y conjuntos de reglas de Azure DNS Private Resolver.

Puntos de conexión de entrada

Un punto de conexión de entrada habilita la resolución de nombres desde el entorno local u otra ubicación privada a través de una dirección IP que forme parte del espacio de direcciones de la red virtual privada. Para resolver la zona DNS privada de Azure desde el entorno local, escriba la dirección IP del punto de conexión de entrada en el reenviador condicional DNS local. El reenviador condicional DNS local debe tener una conexión de red a la red virtual.

El punto de conexión de entrada requiere una subred en la red virtual donde se implementa. Solo puede delegar la subred a Microsoft.Network/dnsResolvers y no puede usarla para otros servicios. El punto de conexión de entrada recibe consultas DNS que ingresan a Azure. Podrá resolver estos nombres en escenarios donde tenga zonas de DNS privado, incluidas las máquinas virtuales que usan el registro automático o los servicios habilitados para Private Link.

Nota

Puede especificar la dirección IP asignada a un punto de conexión de entrada como estática o dinámica. Para obtener más información, consulte Direcciones IP de punto de conexión estáticas y dinámicas.

Puntos de conexión de salida

Un punto de conexión de salida habilita la resolución de nombres de reenvío condicional de Azure a un entorno local, a otros proveedores de nube o a servidores DNS externos. Este punto de conexión requiere una subred dedicada en la red virtual donde se implementa, sin que ningún otro servicio se ejecute en la subred. Solo puede delegar esta subred a Microsoft.Network/dnsResolvers. Consultas DNS que envías al punto de conexión de salida salen de Azure.

Los vínculos de red virtual habilitan la resolución de nombres para las redes virtuales vinculadas a un punto de conexión de salida con un conjunto de reglas de reenvío de DNS. Este vínculo es una relación uno a uno.

Conjuntos de reglas de reenvío de DNS

Un conjunto de reglas de reenvío de DNS es un grupo de hasta 1000 reglas de reenvío de DNS que puede aplicar a uno o varios puntos de conexión salientes o vincular a una o varias redes virtuales. Esta configuración es una relación uno a varios. Asocia conjuntos de reglas con un punto de conexión de salida específico. Para obtener más información, consulte Conjuntos de reglas de reenvío de DNS.

Reglas de reenvío de DNS

Una regla de reenvío DNS incluye uno o varios servidores DNS de destino que se usan para el reenvío condicional. Los siguientes elementos representan reglas:

  • Un nombre de dominio
  • una dirección IP de destino;
  • Un puerto y protocolo de destino (UDP o TCP)

Restricciones

Los límites siguientes se aplican actualmente a Azure DNS Private Resolver:

Solucionador de DNS privado1

Recurso Límite
Soluciones de DNS privado por suscripción 15
Puntos de conexión de entrada por solución de DNS privado 5
Puntos de conexión de salida por solución de DNS privado 5
Reglas de reenvío por conjunto de reglas de reenvío de DNS 1000
Vínculos de red virtual por conjunto de reglas de reenvío de DNS 500
Puntos de conexión de salida por conjunto de reglas de reenvío de DNS 2
Conjuntos de reglas de reenvío de DNS por punto de conexión de salida 2
Servidores DNS de destino por regla de reenvío 6
QPS por punto de conexión 10 000

1Azure Portal puede aplicar distintos límites hasta que se actualice el portal. Use PowerShell para aprovisionar elementos hasta los límites más actuales.

Restricciones de la red virtual

Las restricciones siguientes se aplican a las redes virtuales:

  • Las redes virtuales con cifrado habilitado no admiten Azure DNS Private Resolver.
  • Un solucionador DNS solo puede hacer referencia a una red virtual en la misma región que la resolución DNS.
  • Un único solucionador DNS solo puede hacer referencia a una red virtual. Varios solucionadores DNS no pueden compartir la misma red virtual.

Restricciones de la subred

Las subredes usadas para el solucionador DNS tienen las siguientes limitaciones:

  • Debe ser un espacio de direcciones /28 como mínimo o /24 como máximo. Una subred /28 es suficiente para acomodar los límites actuales de terminales. Un tamaño de subred de /27 a /24 puede proporcionar flexibilidad si cambian estos límites.
  • Varios puntos de conexión de resolutores DNS no pueden compartir una subred. Un único punto de conexión del solucionador DNS solo puede usar una única subred.
  • Todas las configuraciones de IP de un punto de conexión entrante de un solucionador DNS deben hacer referencia a la misma subred en la que se aprovisiona el punto de conexión.
  • La subred usada para el punto de conexión de entrada del solucionador DNS debe estar en la red virtual a la que hace referencia el solucionador DNS primario.
  • La subred solo se puede delegar en Microsoft.Network/dnsResolvers y no se puede usar para otros servicios.

Restricciones de los puntos de conexión de salida

Los puntos de conexión de salida tienen las siguientes limitaciones:

  • No se puede eliminar un punto de conexión de salida a menos que primero elimine el conjunto de reglas de reenvío DNS y los vínculos de red virtual asociados a este.

Restricciones del conjunto de reglas

  • Los conjuntos de reglas pueden tener hasta 1000 reglas.
  • No se admite el enlace de conjuntos de reglas entre inquilinos.

Otras restricciones

  • No se pueden vincular conjuntos de reglas entre inquilinos.
  • No puede usar subredes habilitadas para IPv6.
  • La resolución privada DNS no admite Azure ExpressRoute FastPath.
  • Azure DNS Private Resolver no es compatible con Azure Lighthouse.
    • Para ver si Azure Lighthouse está en uso, busque Proveedores de servicios en Azure Portal y seleccione Ofertas del proveedor de servicios.

Pasos siguientes

  • Last updated on