Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A integração do DNS do Ponto de Extremidade Privado do Azure é essencial para habilitar a conectividade privada e segura com os serviços do Azure em sua rede virtual. Este artigo descreve cenários comuns de configuração de DNS para pontos de extremidade privados do Azure, incluindo opções para redes virtuais, redes emparelhadas e ambientes locais. Use esses cenários e práticas recomendadas para garantir a resolução de nomes confiável e segura para seus aplicativos e serviços.
Para obter configurações de zona DNS privada para serviços do Azure que dão suporte a um ponto de extremidade privado, consulte valores de zona DNS privada do Ponto de Extremidade Privado do Azure.
Cuidado
Não é recomendado substituir uma zona que está ativamente em uso para resolver pontos de extremidade públicos. As conexões com recursos não poderão ser resolvidas corretamente sem o encaminhamento de DNS para o DNS público. Para evitar problemas, crie um nome de domínio diferente ou siga o nome sugerido para cada serviço listado posteriormente neste artigo.
Zonas DNS privadas existentes vinculadas a um único serviço do Azure não devem ser associadas a dois Pontos de Extremidade Privados de serviços do Azure diferentes. Isso causará uma exclusão do registro A inicial e resultará em problemas de resolução ao tentar acessar esse serviço de cada ponto de extremidade privado respectivo. Crie uma zona DNS para cada Ponto de Extremidade privado de serviços semelhantes. Não coloque registros para vários serviços na mesma zona DNS.
Cenários de configuração de DNS
O FQDN do serviço se resolve automaticamente para um endereço IP público. Para resolver o endereço IP privado do ponto de extremidade privado, altere a configuração de DNS.
O DNS é fundamental para que seu aplicativo funcione corretamente porque resolve o endereço IP do ponto de extremidade privado.
Você pode usar os seguintes cenários de resolução DNS:
Cargas de trabalho de rede virtual sem o Resolvedor Privado do Azure
Cargas de trabalho de rede virtual emparelhadas sem o Resolvedor Privado do Azure
Resolver Privado do Azure para rede virtual e cargas de trabalho locais
Cargas de trabalho de rede virtual sem o Resolvedor Privado do Azure
Essa configuração é apropriada para cargas de trabalho de rede virtual sem um servidor DNS personalizado. Nesse cenário, o cliente consulta o endereço IP do ponto de extremidade privado para o serviço DNS fornecido pelo Azure 168.63.129.16. O DNS do Azure é responsável pela resolução DNS das zonas DNS privadas.
Observação
Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
Para configurar corretamente, você precisará dos seguintes recursos:
Rede virtual de cliente
Zona DNS privada privatelink.database.windows.net com registro de tipo A
Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)
Esta captura de tela ilustra a sequência de resolução DNS de cargas de trabalho de rede virtual que usam a zona DNS privada:
Cargas de trabalho de rede virtual emparelhadas sem o Resolvedor Privado do Azure
Você pode estender esse modelo para redes virtuais emparelhadas associadas ao mesmo ponto de extremidade privado. Adicione novos links de rede virtual à zona DNS privada de todas as redes virtuais emparelhadas.
Importante
Você só precisa de uma zona DNS privada para essa configuração. Criar várias zonas com o mesmo nome para diferentes redes virtuais precisaria de operações manuais para mesclar os registros DNS.
Se você estiver usando um ponto de extremidade privado em um modelo de hub e spoke de uma assinatura diferente ou na mesma assinatura, vincule as mesmas zonas DNS privadas a todos os hubs e spokes de redes virtuais que contêm clientes que precisam de resolução DNS das zonas.
Nesse cenário, há uma topologia de rede hub e spoke. As redes spoke compartilham um ponto de extremidade privado. As redes virtuais spoke estão vinculadas à mesma zona DNS privada.
Cargas de trabalho locais usando um encaminhador DNS sem o Resolvedor Privado do Azure
Para cargas de trabalho locais resolverem o FQDN de um ponto de extremidade privado, configure um encaminhador DNS no Azure. O encaminhador DNS deve ser implantado na rede virtual que está vinculada à zona DNS privada para seu endpoint privado.
Um encaminhador DNS normalmente é uma máquina virtual executando serviços DNS ou um serviço gerenciado como o Firewall do Azure. O encaminhador DNS recebe consultas DNS do local ou de outras redes virtuais e as encaminha para o DNS do Azure.
Observação
As consultas DNS para pontos de extremidade privados devem ser originadas da rede virtual vinculada à zona DNS privada. O encaminhador DNS possibilita isso atuando como proxy para consultas em nome de clientes internos. Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
O cenário a seguir é para uma rede local que tenha um encaminhador DNS no Azure. Esse encaminhador resolve consultas DNS por meio de um encaminhador de nível de servidor para o DNS 168.63.129.16 fornecido pelo Azure.
Para configurar corretamente, você precisará dos seguintes recursos:
- Rede local com uma solução DNS personalizada em vigor
- Rede virtual conectada ao local
- Solução DNS implantada em seu ambiente do Azure com a capacidade de encaminhar condicionalmente solicitações DNS
- Zona DNS privada privatelink.database.windows.net com registro de tipo A
- Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)
Importante
O encaminhamento condicional deve ser feito para o encaminhador de zona DNS público recomendado. Por exemplo: database.windows.net em vez de privatelink.database.windows.net.
- Estenda essa configuração para redes locais que já têm uma solução DNS personalizada.
- Configure sua solução DNS local com um encaminhador condicional para a zona DNS privada. O encaminhador condicional deve apontar para o encaminhador DNS implantado no Azure, de modo que as consultas DNS para pontos de extremidade privados sejam resolvidas corretamente.
A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Resolvedor Privado do Azure para cargas de trabalho locais
Em cargas de trabalho locais para resolver o FQDN de um ponto de extremidade privado, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure no Azure. O Resolvedor Privado do Azure é um serviço gerenciado do Azure que pode resolver consultas DNS sem a necessidade de uma máquina virtual agindo como um encaminhador DNS.
O cenário a seguir é para uma rede local configurada para usar um Resolvedor Privado do Azure. O resolvedor privado encaminha a solicitação do ponto de extremidade privado para o DNS do Azure.
Observação
Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
Os seguintes recursos são necessários para uma configuração adequada:
Rede local
Rede virtual conectada ao local
Zonas DNS privadas privatelink.database.windows.net com registro de tipo A
Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)
O diagrama a seguir ilustra a sequência de resolução DNS de uma rede virtual local. A configuração usa um Resolvedor Privado implantado no Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Resolvedor Privado do Azure com encaminhador DNS local
Essa configuração pode ser estendida para uma rede local que já tenha uma solução DNS em vigor.
A solução DNS local é configurada para encaminhar o tráfego DNS para o DNS do Azure por meio de um encaminhador condicional. O encaminhador condicional faz referência ao Resolvedor Privado implantado no Azure.
Observação
Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure
Para configurar corretamente, você precisará dos seguintes recursos:
Rede local com uma solução DNS personalizada em vigor
Rede virtual conectada ao local
Zonas DNS privadas privatelink.database.windows.net com registro de tipo A
Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)
O diagrama a seguir ilustra a resolução DNS de uma rede local. A resolução de DNS é encaminhada condicionalmente para o Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual.
Importante
O encaminhamento condicional deve ser feito para o encaminhador de zona DNS pública recomendado. Por exemplo: database.windows.net em vez de privatelink.database.windows.net.
Resolver Privado do Azure para rede virtual e cargas de trabalho locais
Para cargas de trabalho que acessam um ponto de extremidade privado de redes virtuais e locais, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure implantada no Azure.
O cenário a seguir é de uma rede local com redes virtuais no Azure. Ambas as redes acessam o ponto de extremidade privado localizado em uma rede de hub compartilhada.
O resolvedor privado é responsável por resolver todas as consultas DNS por meio do serviço DNS fornecido pelo Azure 168.63.129.16.
Importante
Você só precisa de uma zona DNS privada para essa configuração. Todas as conexões de cliente estabelecidas em redes virtuais emparelhadas e locais também devem usar a mesma zona DNS privada.
Observação
Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
Para configurar corretamente, você precisará dos seguintes recursos:
Rede local
Rede virtual conectada ao local
Resolvedor Privado do Azure
Zonas DNS privadas privatelink.database.windows.net com registro de tipo A
Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)
O diagrama a seguir mostra a resolução DNS para ambas as redes, local e virtual. A resolução está usando o Resolvedor Privado do Azure.
A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Grupo de zonas DNS privadas
Se você optar por integrar seu ponto de extremidade privado a uma zona DNS privada, um grupo da zonas DNS privadas também será criado. O grupo de zonas DNS tem uma forte associação entre a zona DNS privada e o ponto de extremidade privado. Ele ajuda a gerenciar os registros de zona DNS privados quando há uma atualização no ponto de extremidade privado. Por exemplo, quando você adiciona ou remove regiões, a zona DNS privada é atualizada automaticamente com o número correto de registros.
Anteriormente, os registros DNS para o ponto de extremidade privado eram criados por meio de script (recuperando determinadas informações sobre o ponto de extremidade privado para, depois, adicioná-los à zona DNS). Com o grupo de zonas DNS, não é necessário escrever nenhuma linha adicional na CLI ou no PowerShell para toda zona DNS. Além disso, quando você exclui o ponto de extremidade privado, todos os registros DNS no grupo de zonas DNS também são excluídos.
Em uma topologia hub-and-spoke, um cenário comum permite a criação de zonas DNS privadas apenas uma vez no hub. Essa configuração permite que os spokes se registrem nele, em vez de criar zonas diferentes em cada spoke.
Observação
- Cada grupo de zonas DNS pode dar suporte a até cinco zonas DNS.
- Não há suporte para a adição de vários grupos de zona DNS a um único ponto de extremidade privado.
- As operações de exclusão e atualização de registros DNS podem ser vistas executadas pelo Gerenciador de Tráfego do Azure e pelo DNS. Essa é uma operação de plataforma normal necessária para gerenciar seus registros DNS.