Compartilhar via

O que é o Resolvedor Privado de DNS do Azure?

O Resolvedor Privado DNS do Azure é um serviço totalmente gerenciado e altamente disponível que permite a resolução de DNS segura e perfeita entre redes virtuais do Azure e ambientes locais sem a necessidade de implantar, gerenciar ou corrigir servidores DNS personalizados. Usando esse serviço, você pode resolver consultas DNS para zonas DNS privadas de qualquer lugar. Ele facilita a conectividade de rede híbrida e simplifica o gerenciamento de rede para cenários empresariais.

Como funciona o Resolvedor Privado de DNS do Azure

O Resolvedor Privado de DNS do Azure requer um Rede Virtual do Azure. Ao criar um Resolvedor Privado DNS do Azure dentro de uma rede virtual, você cria um ou mais pontos de extremidade de entrada que podem ser usados como destino para consultas DNS. O ponto de extremidade de saída do resolvedor processa consultas DNS com base em um conjunto de regras de encaminhamento de DNS que você configura. Você pode enviar consultas DNS iniciadas em redes vinculadas a um conjunto de regras para outros servidores DNS.

Você não precisa alterar nenhuma configuração de cliente DNS em suas VMs (máquinas virtuais) para usar o Resolvedor Privado de DNS do Azure.

A lista a seguir resume o processo de consulta DNS ao usar um Resolvedor Privado DNS do Azure:

  1. Um cliente em uma rede virtual emite uma consulta DNS.
  2. Se você especificar servidores DNS personalizados para essa rede virtual, a consulta será encaminhada para os endereços IP especificados.
  3. Se você configurar servidores DNS padrão (fornecidos pelo Azure) na rede virtual e houver zonas DNS privadas vinculadas à mesma rede virtual, essas zonas serão consultadas.
  4. Se a consulta não corresponder a uma zona DNS privada vinculada à rede virtual, os Links de rede virtual para os Conjuntos de regras de encaminhamento de DNS serão consultados.
  5. Se nenhum link de conjunto de regras estiver presente, o DNS do Azure será usado para resolver a consulta.
  6. Se links de conjunto de regras estiverem presentes, as regras de encaminhamento de DNS serão avaliadas.
  7. Se for encontrada uma correspondência de sufixo, a consulta será encaminhada para o endereço especificado.
  8. Caso haja várias correspondências, o sufixo mais longo será usado.
  9. Se nenhuma correspondência for encontrada, nenhum encaminhamento de DNS ocorrerá e o DNS do Azure será usado para resolver a consulta.

A arquitetura do Resolvedor Privado de DNS do Azure é resumida na figura a seguir. A resolução de DNS entre redes virtuais do Azure e redes locais requer o Azure ExpressRoute ou uma VPN.

Captura de tela da arquitetura do Resolvedor Privado DNS do Azure mostrando o fluxo de resolução de DNS entre redes virtuais do Azure e redes locais por meio de pontos de extremidade de entrada e saída.

Figura 1: Arquitetura do Resolvedor Privado do DNS do Azure.

Para obter mais informações sobre como criar um resolvedor de DNS privado, consulte:

Benefícios do Resolvedor Privado DNS do Azure

O Resolvedor Privado de DNS do Azure fornece os seguintes benefícios:

  • Totalmente gerenciado: alta disponibilidade integrada e redundância de zona.
  • Redução de custos: reduza os custos operacionais e execute por uma fração do preço das soluções de IaaS tradicionais.
  • Acesso privado às zonas DNS privadas: encaminhe condicionalmente de e para o local.
  • Escalabilidade: alto desempenho por ponto de extremidade.
  • Amigável ao DevOps: crie seus pipelines com Terraform, ARM template ou Bicep.

Disponibilidade regional

Consulte Produtos do Azure por região - DNS do Azure.

Residência de dados

O Resolvedor Privado DNS do Azure não move nem armazena dados do cliente fora da região em que o resolvedor é implantado.

Pontos de extremidade e conjuntos de regras do resolvedor de DNS

Este artigo fornece um resumo dos pontos de extremidade do resolvedor e conjuntos de regras. Para obter informações detalhadas sobre pontos de extremidade e conjuntos de regras, consulte Pontos de extremidade e conjuntos de regras do Resolvedor Privado de DNS do Azure.

Pontos de extremidade de entrada

Um ponto de extremidade de entrada habilita a resolução de nomes do local ou de outros locais privados usando um endereço IP que faça parte do espaço de endereço da rede virtual privada. Para resolver sua zona DNS privada do Azure do local, insira o endereço IP do ponto de extremidade de entrada no encaminhador condicional de DNS local. O encaminhador condicional de DNS local deve ter uma conexão de rede com a rede virtual.

O ponto de extremidade de entrada requer uma sub-rede na rede virtual em que você a implanta. Você só pode delegar a sub-rede para Microsoft.Network/dnsResolvers e não pode usá-la para outros serviços. O endpoint de entrada recebe consultas DNS que entram no Azure. Você pode resolver nomes em cenários nos quais você tem zonas DNS privadas, incluindo VMs que estão usando registro automático ou serviços ativados para Link Privado.

Observação

Você pode especificar o endereço IP atribuído a um ponto de extremidade de entrada como estático ou dinâmico. Para obter mais informações, confira Endereços IP de pontos de extremidade estáticos e dinâmicos.

Pontos de extremidade de saída

Um ponto de extremidade de saída habilita a resolução de nomes de encaminhamento condicional do Azure para servidores locais, outros provedores de nuvem ou servidores DNS externos. Esse ponto de extremidade requer uma sub-rede dedicada na rede virtual em que você a implanta, sem nenhum outro serviço em execução na sub-rede. Você só pode delegar essa sub-rede para Microsoft.Network/dnsResolvers. As consultas DNS que você enviou para o ponto de extremidade de saída sairão do Azure.

Os links de rede virtual habilitam a resolução de nomes para redes virtuais vinculadas a um ponto de extremidade de saída com um conjunto de regras de encaminhamento de DNS. Esse link é uma relação um-para-um.

Conjuntos de regras de encaminhamento DNS

Um conjunto de regras de encaminhamento DNS é um grupo de até 1.000 regras de encaminhamento de DNS que você pode aplicar a um ou mais pontos de extremidade de saída ou vincular a uma ou mais redes virtuais. Essa configuração é uma relação um-para-muitos. Você associa conjuntos de regras a um ponto de extremidade de saída específico. Para saber mais, confira Conjunto de regras de encaminhamento de DNS.

Regras de encaminhamento de DNS

Uma regra de encaminhamento DNS inclui um ou mais servidores DNS de destino que você usa para encaminhamento condicional. Os seguintes itens representam regras:

  • Um nome de domínio
  • Um endereço IP de destino
  • Uma porta e um protocolo de destino (UDP ou TCP)

Restrições

Os seguintes limites atualmente se aplicam ao Resolvedor Privado de DNS do Azure:

Resolvedor privado de DNS1

Recurso Limite
Resolvedores privados de DNS por assinatura 15
Pontos de extremidade de entrada por resolvedor privado de DNS 5
Pontos de extremidade de saída por resolvedor privado de DNS 5
Regras de encaminhamento por conjunto de regras de encaminhamento de DNS 1000
Links de rede virtual por conjunto de regras de encaminhamento de DNS 500
Pontos de extremidade de saída por conjunto de regras de encaminhamento de DNS 2
Conjuntos de regras de encaminhamento de DNS por ponto de extremidade de saída 2
Servidores DNS de destino por regra de encaminhamento 6
QPS por ponto de extremidade 10.000

1Limites diferentes podem ser impostos pelo portal do Azure até que o portal seja atualizado. Use o PowerShell para provisionar elementos até os limites mais atuais.

Restrições de rede virtual

As seguintes restrições se aplicam a redes virtuais:

  • VNets com criptografia habilitada não dão suporte ao Resolvedor Privado DNS do Azure.
  • Um resolvedor de DNS só pode fazer referência a uma rede virtual na mesma região que o resolvedor de DNS.
  • Um único resolvedor DNS pode referenciar apenas uma rede virtual. Vários resolvedores DNS não podem compartilhar a mesma rede virtual.

Restrições de sub-rede

As sub-redes usadas para o resolvedor de DNS têm as seguintes limitações:

  • Uma sub-rede deve ter um espaço de endereço mínimo de /28 ou um máximo de /24. Uma sub-rede /28 é suficiente para acomodar os limites atuais de endpoints. Um tamanho de sub-rede entre /27 e /24 poderá fornecer flexibilidade se esses limites forem alterados.
  • Vários pontos de extremidade de resolvedor DNS não podem compartilhar uma subrede. Um único ponto de extremidade de resolvedor DNS só pode usar uma única sub-rede.
  • Todas as configurações de IP para um ponto de extremidade de entrada do resolvedor DNS devem referenciar a mesma sub-rede onde o ponto de extremidade está provisionado.
  • A sub-rede usada para um ponto de extremidade de entrada do resolvedor de DNS deve estar dentro da rede virtual referenciada pelo resolvedor de DNS pai.
  • A sub-rede só pode ser delegada a Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços.

Restrições de ponto de extremidade de saída

Os pontos de extremidade de saída têm as seguintes limitações:

  • Você não pode excluir um ponto de extremidade de saída, a menos que primeiro exclua o conjunto de regras de encaminhamento DNS e os links de rede virtual associados a ele.

Restrições de conjunto de regras

  • Os conjuntos de regras podem ter até 1.000 regras.
  • Rulesets não é compatível com a vinculação entre locatários.

Outras restrições

  • Você não pode vincular conjuntos de regras entre locatários.
  • Você não pode usar sub-redes habilitadas para IPv6.
  • O resolvedor privado de DNS não dá suporte ao FastPath do Azure ExpressRoute.
  • O resolvedor privado de DNS não é compatível com Azure Lighthouse.
    • Para ver se o Azure Lighthouse está em uso, pesquise Provedores de serviços no portal do Azure e selecione Ofertas do provedor de serviços.

Próximas etapas

  • Last updated on