Noções básicas sobre resolução de DNS no Application Gateway

Um Application Gateway é uma implantação dedicada dentro de sua Rede Virtual. A resolução DNS para instâncias do recurso de gateway de aplicativo, que lida com o tráfego de entrada, também é afetada pelas configurações de rede virtual. Este artigo discute as configurações de DNS (Sistema de Nomes de Domínio) e seu impacto na resolução de nomes.

Necessidade de resolução de nomes

O Application Gateway executa a resolução DNS para os FQDN (Nomes de Domínio Totalmente Qualificados) de

• FQDNs fornecidos pelo cliente, como

  • Servidor back-end baseado em nome de domínio
  • Ponto de extremidade do cofre de chaves para certificado de ouvinte
  • URL da página de erro personalizada
  • URL de verificação do Protocolo de Status de Certificado Online (OCSP)

• FQDNs de gerenciamento que são utilizados para vários pontos de extremidade de infraestrutura do Azure (plano de controle). Esses são os blocos de construção que formam um recurso completo do Application Gateway. Por exemplo, a comunicação com pontos de monitorização permite o fluxo de logs e métricas. Assim, é importante que os gateways de aplicações se comuniquem internamente com os pontos de extremidade de outros serviços do Azure com sufixos como .windows.net, .azure.net, etc.

Nomes curtos e nomes de domínio de etiqueta única

O Application Gateway suporta nomes curtos (por exemplo, server1, webserver) em pools de backend. A resolução depende da sua configuração DNS:

• Azure DNS (168.63.129.16): Resolve nomes curtos apenas dentro da mesma rede virtual
• Servidores DNS personalizados: Requer configuração do domínio de pesquisa
• DNS local (via VPN/ExpressRoute): Resolve nomes de host internos

Tipos de configuração DNS

Os clientes têm diferentes necessidades de infraestrutura, exigindo várias abordagens para a resolução de nomes. Este documento descreve cenários gerais de implementação de DNS e oferece recomendações para a operação eficiente de recursos de gateway de aplicativo.

Gateways com endereço IP público (networkIsolationEnabled: False)

Para gateways públicos, toda a comunicação do plano de controle com domínios do Azure ocorre por meio do servidor DNS padrão do Azure em 168.63.129.16. Nesta seção, examinaremos a possível configuração de zona DNS com gateways de aplicativos públicos e como evitar conflitos com a resolução de nomes de domínio do Azure.

Usando o DNS padrão fornecido pelo Azure

O DNS fornecido pelo Azure vem como uma configuração padrão com todas as redes virtuais no Azure e tem um endereço IP 168.63.129.16. Juntamente com a resolução de quaisquer nomes de domínio públicos, o DNS fornecido pelo Azure fornece resolução de nomes interna para VMs que residem na mesma rede virtual. Nesse cenário, todas as instâncias do gateway de aplicativo se conectam a 168.63.129.16 para resolução DNS.

Fluxos:

• Neste diagrama, podemos ver a instância do Gateway de Aplicativo conversando com o DNS fornecido pelo Azure (168.63.129.16) para resolução de nomes do FQDN dos servidores de back-end "server1.contoso.com" e "server2.contoso.com", conforme mostrado com a linha azul.
• Da mesma forma, a instância consulta 168.63.129.16 para a resolução DNS do recurso Key Vault habilitado para link privado, conforme indicado pela linha laranja. Para permitir que um gateway de aplicações resolva o endpoint do Key Vault (Cofre da Chave) para o seu endereço IP privado, é essencial vincular a zona DNS privada à rede virtual desse gateway de aplicações.
• Depois de executar resoluções DNS bem-sucedidas para esses FQDNs, a instância pode se comunicar com o Cofre da Chave e os pontos de extremidade do servidor de back-end.

Considerações:

• Não crie e vincule zonas DNS privadas para nomes de domínio de nível superior do Azure. Você deve criar uma zona DNS para um subdomínio o mais específico possível. Por exemplo, possuir uma zona DNS privada para privatelink.vaultcore.azure.net o endpoint privado de um repositório de chaves é mais eficiente em todos os cenários do que possuir uma zona para vaultcore.azure.net ou azure.net.
• Para comunicação com servidores de retaguarda ou qualquer serviço usando um ponto de extremidade privado, verifique se a zona DNS de link privado está vinculada à rede virtual do gateway de aplicações.

Usando servidores DNS personalizados

Na sua rede virtual, é possível designar servidores DNS personalizados. Essa configuração pode ser necessária para gerenciar zonas independentemente para nomes de domínio específicos. Essa disposição direciona as instâncias de gateway de aplicativo dentro da rede virtual também para utilizar os servidores DNS personalizados especificados para resolver nomes de domínio que não sejam do Azure.

Fluxos:

• O diagrama mostra que a instância do Gateway de Aplicativo usa o DNS fornecido pelo Azure (168.63.129.16) para a resolução de nomes do ponto de extremidade "contoso.privatelink.vaultcore.azure.net" da Ligação Privada do Cofre de Chave. As consultas DNS para nomes de domínio do Azure, que incluem azure.net, são redirecionadas para DNS fornecido pelo Azure (mostrado na linha laranja).
• Para a resolução DNS de "server1.contoso.com", a instância respeita a configuração de DNS personalizada (conforme mostrado na linha azul).

Considerações:

O uso de servidores DNS personalizados na rede virtual do gateway de aplicativos exige que você tome as seguintes medidas para garantir que não haja impacto no funcionamento do gateway de aplicativo.

• Depois de alterar os servidores DNS associados à rede virtual do gateway de aplicações, é necessário reiniciar (Parar e Iniciar) o gateway de aplicações para que essas alterações entrem em vigor nos casos específicos das instâncias.
• Ao usar um endpoint privado na rede virtual do Application Gateway, a zona de DNS privada deve estar associada à rede virtual do Application Gateway para permitir a resolução de IP privado. Esta zona DNS deve ser para um subdomínio o mais específico possível.
• Se os servidores DNS personalizados estiverem em uma rede virtual diferente, verifique se ele está emparelhado com a rede virtual do Application Gateway e não é afetado por nenhuma configuração de Grupo de Segurança de Rede ou Tabela de Rotas.

Gateways apenas com endereço IP privado (networkIsolationEnabled: True)

A implementação do gateway de aplicação privada foi projetada para separar o plano de dados do cliente e o tráfego do plano de gestão. Portanto, ter o DNS padrão do Azure ou servidores DNS personalizados não tem efeito sobre a resolução de nomes dos endpoints críticos de gestão. No entanto, ao usar servidores DNS personalizados, você deve cuidar das resoluções de nomes necessárias para quaisquer operações de caminho de dados.

Fluxos:

• As consultas DNS para "contoso.com" chegam aos servidores DNS personalizados através do plano de tráfego do cliente.
• As consultas DNS para "contoso.privatelink.vaultcore.azure.net" também alcançam os servidores DNS personalizados. No entanto, como o servidor DNS não é uma zona autoritativa para esse nome de domínio, ele encaminha a consulta recursivamente para o DNS do Azure 168.63.129.16. Essa configuração é importante para permitir a resolução de nomes por meio de uma zona DNS privada vinculada à rede virtual.
• A resolução de todos os endpoints de gestão passa por tráfego do plano de gestão que interage diretamente com o serviço de DNS fornecido pelo Azure.

Considerações:

• Depois de alterar os servidores DNS associados à rede virtual do gateway de aplicações, é necessário reiniciar (Parar e Iniciar) o gateway de aplicações para que essas alterações entrem em vigor nos casos específicos das instâncias.
• Você deve definir regras de encaminhamento para enviar todas as outras consultas de resolução de domínios para o DNS do Azure 168.63.129.16. Essa configuração é especialmente importante quando você tem uma zona DNS privada para resolução de ponto final privado.
• Ao utilizar um ponto de extremidade privado, a zona DNS privada deve permanecer ligada à rede virtual do gateway da aplicação para permitir a resolução do IP privado.