Noções básicas sobre a resolução de DNS no Gateway de Aplicativo

Um Gateway de Aplicativo é uma implantação dedicada em sua Rede Virtual. A resolução de DNS para instâncias do recurso do gateway de aplicativo, que lida com o tráfego de entrada, também é afetada pelas configurações de rede virtual. Este artigo discute as configurações do DNS (Sistema de Nomes de Domínio) e seu impacto na resolução de nomes.

Necessidade de resolução de nomes

O Gateway de Aplicativo executa a resolução de DNS para o FQDN (Nomes de Domínio Totalmente Qualificados) de

• FQDNs fornecidos pelo cliente, como

  • Servidor de back-end baseado em nome de domínio
  • Ponto de extremidade do cofre de chaves para certificado do ouvinte
  • URL da página de erro personalizada
  • URL de verificação do Protocolo de Status de Certificado Online (OCSP)

• FQDNs de gerenciamento utilizados para vários pontos de extremidade de infraestrutura do Azure (painel de controle). Estes são os blocos de construção que formam um recurso completo do Gateway de Aplicativo. Por exemplo, a comunicação com pontos de extremidade de monitoramento habilita o fluxo de Logs e Métricas. Portanto, é importante que os gateways de aplicações se comuniquem internamente com os pontos de extremidade de outros serviços do Azure com sufixos como .windows.net, .azure.net, etc.

Nomes curtos e nomes de domínio de rótulo único

O Gateway de Aplicações dá suporte a nomes curtos (por exemplo, server1, webserver) em pools de back-end. A resolução depende da configuração do DNS:

• DNS do Azure (168.63.129.16): resolve nomes curtos apenas na mesma rede virtual
• Servidores DNS personalizados: requer a configuração do domínio de pesquisa
• DNS local (via VPN/ExpressRoute): resolve nomes de host internos

Tipos de configuração DNS

Os clientes têm necessidades de infraestrutura diferentes, exigindo várias abordagens para resolução de nomes. Este documento descreve cenários gerais de implementação de DNS e oferece recomendações para a operação eficiente dos recursos do gateway de aplicativo.

Gateways com endereço IP público (networkIsolationEnabled: False)

Para gateways públicos, toda a comunicação do plano de controle com domínios do Azure ocorre por meio do servidor DNS do Azure padrão em 168.63.129.16. Nesta seção, examinaremos a possível configuração de zona DNS com gateways de aplicativo público e como evitar conflitos com a resolução de nomes de domínio do Azure.

Usando DNS padrão fornecido pelo Azure

O DNS fornecido pelo Azure vem como uma configuração padrão com todas as redes virtuais no Azure e tem um endereço IP 168.63.129.16. Juntamente com a resolução de nomes de domínio público, o DNS fornecido pelo Azure realiza a resolução de nomes internos para VMs que residem na mesma rede virtual. Nesse cenário, todas as instâncias do gateway de aplicação se conectam a 168.63.129.16 para resolução de DNS.

Fluxos:

• Neste diagrama, podemos ver que a instância do Gateway de Aplicativo se comunica com o DNS fornecido pelo Azure (168.63.129.16) para resolver os nomes dos servidores de back-end FQDN "server1.contoso.com" e "server2.contoso.com", conforme indicado pela linha azul.
• Da mesma forma, a instância consulta o endereço 168.63.129.16 para a resolução DNS do recurso Key Vault com link privado habilitado, conforme mostrado pela linha laranja. Para habilitar um gateway de aplicativos a resolver o endpoint do Key Vault em seu endereço IP privado, é essencial vincular a zona DNS privada à rede virtual desse gateway de aplicativos.
• Depois de executar resoluções de DNS bem-sucedidas para esses FQDNs, a instância pode se comunicar com o Key Vault e os pontos de extremidade do servidor back-end.

Considerações:

• Não crie e vincule zonas DNS privadas para nomes de domínio do Azure de nível superior. Você deve criar uma zona DNS para um subdomínio o mais específico possível. Por exemplo, ter uma zona DNS privada para privatelink.vaultcore.azure.net do ponto de extremidade privado de um cofre de chaves funciona melhor em todos os casos do que ter uma zona para vaultcore.azure.net ou azure.net.
• Para comunicação com servidores de backend ou qualquer serviço que utilize um Private Endpoint, certifique-se de que a zona DNS do link privado esteja vinculada à rede virtual do gateway do aplicativo.

Usando servidores DNS personalizados

Em sua rede virtual, é possível designar servidores DNS personalizados. Essa configuração pode ser necessária para gerenciar zonas de forma independente para nomes de domínio específicos. Essa organização direciona as instâncias do gateway de aplicativo dentro da rede virtual também para utilizar os servidores DNS personalizados especificados para resolver nomes de domínio que não são do Azure.

Fluxos:

• O diagrama mostra que a instância do Gateway de Aplicativo usa o DNS fornecido pelo Azure (168.63.129.16) para a resolução de nomes do ponto de extremidade do Key Vault de link privado "contoso.privatelink.vaultcore.azure.net". As consultas DNS para nomes de domínio do Azure, que incluem azure.net, são redirecionadas para DNS fornecido pelo Azure (mostrado em linha laranja).
• Para resolução DNS de "server1.contoso.com", a instância respeita a configuração de DNS personalizada (conforme mostrado em linha azul).

Considerações:

O uso de servidores DNS personalizados na rede virtual do gateway de aplicativo precisa que você tome as medidas a seguir para garantir que não haja impacto no funcionamento do gateway de aplicativo.

• Depois de alterar os servidores DNS associados à rede virtual do gateway de aplicativo, você deve reiniciar (Parar e Iniciar) o gateway de aplicativo para que essas alterações entrem em vigor para as instâncias.
• Ao usar um ponto de extremidade privado na rede virtual do Gateway de Aplicativo, a zona DNS privada deve permanecer vinculada à rede virtual do Gateway de Aplicativo para permitir a resolução de endereços IP privados. Essa zona DNS deve ser para um subdomínio o mais específico possível.
• Se os servidores DNS personalizados estiverem em uma rede virtual diferente, verifique se ele está emparelhado com a rede virtual do Gateway de Aplicativo e não afetado por nenhuma configuração de Grupo de Segurança de Rede ou Tabela de Rotas.

Gateways somente com endereço IP privado (networkIsolationEnabled: True)

A implantação do gateway de aplicativo privado foi projetada para separar o tráfego do plano de dados do cliente e do plano de gerenciamento. Portanto, ter servidores DNS personalizados ou DNS padrão do Azure não tem efeito sobre as resoluções de nomes de pontos de extremidade de gerenciamento críticos. No entanto, ao usar servidores DNS personalizados, você deve cuidar das resoluções de nomes necessárias para quaisquer operações de caminho de dados.

Fluxos:

• As consultas DNS para "contoso.com" atingem os servidores DNS personalizados por meio do plano de tráfego do cliente.
• As consultas DNS para "contoso.privatelink.vaultcore.azure.net" também atingem os servidores DNS personalizados. No entanto, como o servidor DNS não é uma zona autoritativa para esse nome de domínio, ele encaminha a consulta recursivamente para o DNS do Azure 168.63.129.16. Essa configuração é importante para permitir a resolução de nomes por meio de uma zona DNS privada vinculada à rede virtual.
• A resolução de todos os pontos de extremidade de gerenciamento ocorre por meio do tráfego do plano de gerenciamento, que interage diretamente com o DNS fornecido pelo Azure.

Considerações:

• Depois de alterar os servidores DNS associados à rede virtual do gateway de aplicativo, você deve reiniciar (Parar e Iniciar) o gateway de aplicativo para que essas alterações entrem em vigor para as instâncias.
• Você deve definir regras de encaminhamento para enviar todas as outras consultas de resolução de domínios para o DNS do Azure 168.63.129.16. Essa configuração é especialmente importante quando você tem uma zona DNS privada para resolução de ponto de extremidade privado.
• Ao usar um ponto de extremidade privado, a zona DNS privada deve permanecer vinculada à rede virtual do Gateway de Aplicativo para permitir a resolução de endereços IP privados.