Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Resolvedor Privado de DNS do Azure é um serviço totalmente gerenciado e altamente disponível que permite uma resolução DNS segura e contínua entre redes virtuais do Azure e ambientes locais, sem a necessidade de implantar, gerenciar ou corrigir servidores DNS personalizados. Ao usar este serviço, pode resolver consultas DNS para zonas DNS privadas a partir de qualquer lugar. Facilita a conectividade de rede híbrida e simplifica a gestão de redes para cenários empresariais.
Como funciona o Azure DNS Private Resolver
O Resolvedor Privado de DNS do Azure requer uma Rede Virtual do Azure. Quando cria um resolutor de DNS privado do Azure dentro de uma rede virtual, cria um ou mais pontos de extremidade de entrada que pode usar como destino para consultas DNS. O endpoint de saída do resolvador processa consultas DNS com base num conjunto de regras de encaminhamento de DNS que você configura. Pode enviar consultas DNS iniciadas em redes ligadas a um conjunto de regras para outros servidores DNS.
Não precisa alterar nenhuma configuração do cliente DNS nas suas máquinas virtuais (VMs) para usar o Azure DNS Private Resolver.
A lista seguinte resume o processo de consulta DNS ao utilizar um Azure DNS Private Resolver:
- Um cliente numa rede virtual emite uma consulta DNS.
- Se especificar servidores DNS personalizados para esta rede virtual, a consulta é encaminhada para os endereços IP especificados.
- Se configurar servidores DNS padrão (fornecidos pelo Azure) na rede virtual, e houver zonas DNS privadas ligadas à mesma rede virtual, estas zonas são consultadas.
- Se a consulta não corresponder a uma zona DNS Privada ligada à rede virtual, então os links de rede virtual para conjuntos de regras de encaminhamento de DNS são consultados.
- Se não estiverem presentes ligações de regras, então o Azure DNS é utilizado para resolver a consulta.
- Se os links do conjunto de regras estiverem presentes, as regras de encaminhamento de DNS são avaliadas.
- Se for encontrado um sufixo correspondente, a consulta será encaminhada para o endereço especificado.
- Se estiverem presentes múltiplas correspondências, é usado o sufixo mais longo.
- Se não for encontrada nenhuma correspondência, não ocorre encaminhamento de DNS e o Azure DNS é usado para resolver a consulta.
A arquitetura para o Azure DNS Private Resolver é resumida na figura seguinte. A resolução de DNS entre redes virtuais do Azure e redes locais requer o Azure ExpressRoute ou uma VPN.
Figura 1: Arquitetura Azure DNS Private Resolver.
Para mais informações sobre como criar um resolvedor de DNS privado, consulte:
- Início Rápido: Criar um Resolver Privado de DNS do Azure usando o portal Azure
- Início Rápido: Criar um Resolutor Privado de DNS do Azure usando o Azure PowerShell
Benefícios do Azure DNS Private Resolver
Azure DNS Private Resolver oferece os seguintes benefícios:
- Totalmente gerido: Alta disponibilidade incorporada e redundância de zonas geográficas.
- Redução de custos: Reduza os custos operacionais e opere a uma fração do preço das soluções tradicionais de IaaS.
- Acesso privado às suas zonas de DNS privadas: Encaminhamento condicional para e a partir de instalações locais.
- Scalabilidade: Alto desempenho por cada ponto final.
- Compatível com DevOps: Construa os pipelines com Terraform, modelo ARM ou Bicep.
Disponibilidade regional
Consulte Produtos do Azure por Região - DNS do Azure.
Residência de dados
O Azure DNS Private Resolver não move nem armazena dados de clientes para fora da região onde o resolver está implantado.
Pontos de extremidade do resolvedor de DNS e conjuntos de regras
Este artigo fornece um resumo dos terminais e conjuntos de regras dos resolvedores. Para obter informações detalhadas sobre endpoints e conjuntos de regras, veja Endpoints e conjuntos de regras do Azure DNS Private Resolver.
Pontos de extremidade de entrada
Um endpoint de entrada permite a resolução de nomes a partir de locais no local ou outros locais privados através de um endereço IP que faz parte do espaço de endereçamento da sua rede virtual privada. Para resolver a sua zona DNS privada no Azure a partir das suas instalações, introduza o endereço IP do ponto final de entrada no encaminhador condicional do DNS das suas instalações. O reencaminhador condicional de DNS no local deve ter uma ligação de rede à rede virtual.
O endpoint de entrada requer uma sub-rede na rede virtual onde é implementado. Só podes delegar a sub-rede ao Microsoft.Network/dnsResolvers e não podes usá-la para outros serviços. O endpoint de entrada recebe consultas DNS que entram no Azure. Pode resolver nomes em cenários onde tem zonas de DNS privadas, incluindo VMs que estão a utilizar registo automático ou serviços com o Private Link ativado.
Nota
Pode especificar o endereço IP atribuído a um endpoint de entrada como estático ou dinâmico. Para mais informações, consulte endereços IP de endpoint estáticos e dinâmicos.
Pontos terminais de saída
Um ponto de extremidade de saída permite a resolução de nomes com encaminhamento condicional do Azure para instalações locais, outros fornecedores de nuvem, ou servidores DNS externos. Este endpoint requer uma sub-rede dedicada na rede virtual onde é implementado, sem outro serviço a correr na sub-rede. Só podes delegar esta sub-rede ao Microsoft.Network/dnsResolvers. Consultas DNS enviadas para o endpoint externo saem do Azure.
links de rede virtual
As ligações de rede virtual permitem a resolução de nomes para redes virtuais que estão ligadas a um ponto final de saída com um conjunto de regras de encaminhamento de DNS. Esta ligação é uma relação um a um.
Conjuntos de regras de encaminhamento DNS
Um conjunto de regras de encaminhamento DNS é um conjunto de até 1.000 regras de encaminhamento DNS que pode ser aplicado a um ou mais pontos finais de saída ou ligar a uma ou mais redes virtuais. Esta configuração é uma relação de um-para-muitos. Você associa conjuntos de regras a um endpoint de saída específico. Para obter mais informações, consulte Conjuntos de regras de encaminhamento DNS.
Regras de encaminhamento de DNS
Uma regra de reencaminhamento DNS inclui um ou mais servidores DNS alvo que utiliza para reencaminhamento condicional. Os seguintes itens representam regras:
- Nome de domínio
- Um endereço IP de destino
- Uma porta e protocolo de destino (UDP ou TCP)
Restrições
Os seguintes limites aplicam-se atualmente ao Azure DNS Private Resolver:
Resolvedor privado de DNS1
| Recurso | Limit |
|---|---|
| Resolvedores privados de DNS por subscrição | 15 |
| Pontos de extremidade de entrada por resolvedor privado de DNS | 5 |
| Pontos de extremidade de saída por resolvedor DNS privado | 5 |
| Regras de encaminhamento por conjunto de regras de encaminhamento DNS | 1000 |
| Ligações de rede virtual por conjunto de regras de encaminhamento de DNS | 500 |
| Pontos finais de saída por conjunto de regras de encaminhamento DNS | 2 |
| Regras de encaminhamento de DNS por ponto final de saída | 2 |
| Servidores DNS de destino por regra de encaminhamento | 6 |
| QPS por ponto final | 10.000 |
1Limites diferentes podem ser aplicados pelo portal do Azure até que o portal seja atualizado. Utilize o PowerShell para disponibilizar elementos até os limites mais atuais.
Restrições da rede virtual
As seguintes restrições aplicam-se às redes virtuais:
- VNets com encriptação ativada não suportam o Azure DNS Private Resolver.
- O resolvedor de DNS pode apenas referenciar uma rede virtual na mesma região que ele.
- Um único resolvedor DNS pode referenciar apenas uma rede virtual. Vários resolvedores DNS não podem partilhar a mesma rede virtual.
Restrições de sub-rede
As sub-redes utilizadas para o solucionador de DNS têm as seguintes limitações:
- Uma sub-rede deve ter um espaço de endereço mínimo de /28 ou um espaço de endereço máximo de /24. Uma sub-rede /28 é suficiente para acomodar os limites atuais de endpoints. Um tamanho de sub-rede de /27 a /24 pode proporcionar flexibilidade se esses limites mudarem.
- Os endpoints de resolução DNS múltiplos não podem utilizar a mesma subrede. Um único endpoint de resolver DNS só pode usar uma única subrede.
- Todas as configurações de IP para um ponto de extremidade de entrada do resolvedor de DNS devem fazer referência à mesma sub-rede em que o ponto de extremidade é provisionado.
- A sub-rede usada para um ponto de extremidade de entrada do resolvedor DNS deve estar dentro da rede virtual referenciada pelo resolvedor DNS pai.
- A sub-rede pode ser delegada apenas para Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços.
Restrições de ponto de extremidade de saída
Os endpoints de saída têm as seguintes limitações:
- Não podes eliminar um endpoint de saída a menos que primeiro elimines o conjunto de regras de encaminhamento DNS e as ligações de rede virtuais por baixo dele.
Restrições de conjunto de regras
- Os conjuntos de regras podem ter até 1.000 regras.
- A ligação entre inquilinos de conjuntos de regras não é suportada.
Outras restrições
- Não podes ligar conjuntos de regras entre locatários.
- Não podes usar sub-redes com IPv6 ativado.
- O resolvedor privado de DNS não suporta o Azure ExpressRoute FastPath.
- O resolvedor privado de DNS não é compatível com Azure Lighthouse.
- Para verificar se o Azure Lighthouse está em uso, pesquise por Provedores de serviço no portal do Azure e selecione Ofertas de provedores de serviço.
Próximos passos
- Aprenda a criar um DNS Privado do Azure Resolver usando Azure PowerShell ou portal do Azure.
- Compreenda como resolver domínios do Azure e locais usando o Azure DNS Private Resolver.
- Saiba mais sobre os pontos de extremidade e conjuntos de regras do Azure DNS Private Resolver.
- Aprenda a configurar o failover DNS usando resolvers privados.
- Aprenda como configurar DNS híbrido usando resolvers privados.
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.