Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste artigo, você aprenderá sobre os componentes do Resolvedor Privado de DNS do Azure. Pontos de extremidade de entrada, pontos de extremidade de saída e conjuntos de regras de encaminhamento DNS são discutidos. Propriedades e configurações desses componentes são descritas, e exemplos são fornecidos sobre como usá-los.
A arquitetura do Resolvedor Privado de DNS do Azure é resumida na figura a seguir. Neste exemplo de rede, um resolvedor de DNS é implantado em uma VNet de hub que faz par com uma VNet falada.
Figura 1: Exemplo de rede hub e spoke com resolvedor DNS
- Os links do conjunto de regras são provisionados no conjunto de regras de encaminhamento DNS para as VNets hub e spoke , permitindo que recursos em ambas as VNets resolvam namespaces DNS personalizados usando regras de encaminhamento DNS.
- Uma zona DNS privada também é implantada e vinculada à VNet do hub, permitindo que os recursos na VNet do hub resolvam registros na zona.
- A VNet spoke resolve registros na zona privada usando uma regra de encaminhamento DNS que encaminha consultas de zona privada para o VIP do ponto de extremidade de entrada na VNet do hub.
- Uma rede local conectada ao ExpressRoute também é mostrada na figura, com servidores DNS configurados para encaminhar consultas para a zona privada do Azure para o VIP do ponto de extremidade de entrada. Para obter mais informações sobre como ativar a resolução de DNS híbrido usando o Resolvedor Privado de DNS do Azure, consulte Resolver domínios do Azure e on-premises.
Nota
A conexão de emparelhamento mostrada no diagrama não é necessária para a resolução de nomes. As VNets vinculadas a um conjunto de regras de encaminhamento DNS usam esse conjunto de regras ao executar a resolução de nomes, quer a VNet vinculada estabeleça emparelhamento com a VNet do conjunto de regras ou não.
Endereços de Entrada
Como o nome sugere, os pontos de extremidade de entrada são utilizados para ingressar no Azure. Os pontos de extremidade de entrada fornecem um endereço IP para encaminhar consultas DNS do local e de outros locais fora da sua rede virtual. As consultas DNS enviadas para o ponto de extremidade de entrada são resolvidas usando o DNS do Azure. As zonas DNS privadas vinculadas à rede virtual onde o ponto de extremidade de entrada é provisionado são resolvidas pelo ponto de extremidade de entrada.
O endereço IP associado a um ponto de extremidade de entrada sempre faz parte do espaço de endereço da rede virtual privada onde o resolvedor privado é implantado. Nenhum outro recurso pode existir na mesma sub-rede com o ponto de extremidade de entrada.
Endereços IP de ponto final estáticos e dinâmicos
O endereço IP atribuído a um ponto de extremidade de entrada pode ser estático ou dinâmico. Se você selecionar estático, não poderá escolher um endereço IP reservado na sub-rede. Se você escolher um endereço IP dinâmico, o quinto endereço IP disponível na sub-rede será atribuído. Por exemplo, 10.10.0.4 é o quinto endereço IP na sub-rede 10.10.0.0/28 (.0, .1, .2, .3, .4). Se o ponto de extremidade de entrada for reprovisionado, este endereço IP poderá mudar, mas normalmente, é utilizado de novo o 5º endereço IP na sub-rede. O endereço IP dinâmico não é alterado, a menos que o ponto de extremidade de entrada seja reconfigurado. O exemplo a seguir especifica um endereço IP estático:
O exemplo a seguir mostra o provisionamento de um ponto de extremidade de entrada com um endereço IP virtual (VIP) de 10.10.0.4uma rede virtual com espaço de endereço de 10.10.0.0/16.
Pontos terminais de saída
Os endereços de saída saem do Azure e podem ser vinculados a Conjuntos de Regras de Encaminhamento DNS.
Os endpoints de saída também fazem parte do espaço de endereçamento da rede virtual privada onde o resolvedor privado está implantado. Um ponto de extremidade de saída está associado a uma sub-rede, mas não é provisionado com um endereço IP como o ponto de extremidade de entrada. Nenhum outro recurso pode existir na mesma sub-rede com o ponto de extremidade de saída. A captura de ecrã a seguir mostra um ponto de extremidade de saída no interior da sub-rede snet-E-outbound.
Conjuntos de regras de encaminhamento DNS
Os conjuntos de regras de encaminhamento de DNS permitem especificar um ou mais servidores DNS personalizados para responder a consultas para namespaces DNS específicos. As regras individuais em um conjunto de regras determinam como esses nomes DNS são resolvidos. Os conjuntos de regras também podem ser vinculados a uma ou mais redes virtuais, permitindo que os recursos nas redes virtuais usem as regras de encaminhamento configuradas.
Os conjuntos de regras têm as seguintes associações:
- Um único conjunto de regras pode ser associado a até 2 pontos de extremidade de saída pertencentes à mesma instância do DNS Private Resolver. Ele não pode ser associado a dois endereços de saída em duas instâncias diferentes de resolvedor privado de DNS.
- Um conjunto de regras pode ter até 1000 regras de encaminhamento DNS.
- Um conjunto de regras pode ser vinculado a até 500 redes virtuais na mesma região.
Um conjunto de regras não pode ser vinculado a uma rede virtual em outra região. Para obter mais informações sobre o conjunto de regras e outros limites de resolvedores privados, consulte Quais são os limites de uso do DNS do Azure?.
Links do conjunto de regras
Quando você vincula um conjunto de regras a uma rede virtual, os recursos dentro dessa rede virtual usam as regras de encaminhamento DNS habilitadas no conjunto de regras. As redes virtuais vinculadas não precisam fazer ligação de emparelhamento com a rede virtual onde o ponto de extremidade de saída existe, mas essas redes podem ser configuradas como parceiras. Essa configuração é comum em um design de hub e spoke. Neste cenário de hub and spoke, a spoke vnet não precisa estar ligada à zona DNS privada para resolver registos de recursos na zona. Nesse caso, a regra de encaminhamento para a zona privada direciona as consultas para o ponto de extremidade de entrada da vnet do hub. Por exemplo: azure.contoso.com para 10.10.0.4.
A captura de ecrã a seguir mostra um conjunto de regras de encaminhamento de DNS associado à rede virtual spoke: myeastspoke.
As ligações de redes virtuais para conjuntos de regras de encaminhamento DNS permitem que recursos em outras redes virtuais (VNets) utilizem regras de encaminhamento ao resolver nomes DNS. A VNet com o resolvedor privado também deve ser associada a quaisquer zonas DNS privadas para as quais existam regras nos conjuntos de regras.
Por exemplo, os recursos na vnet myeastspoke podem resolver registros na zona azure.contoso.com DNS privada se:
- O conjunto de regras provisionado em
myeastvnetestá ligado amyeastspoke - Uma regra num conjunto de regras é configurada e ativada no conjunto de regras vinculado para resolver
azure.contoso.comusando o ponto de extremidade de entrada emmyeastvnet
Nota
Você também pode vincular um conjunto de regras a uma rede virtual em outra assinatura do Azure. No entanto, o grupo de recursos especificado deve estar na mesma região que o resolvedor privado.
Regras
As regras de encaminhamento DNS (regras do conjunto de regras) têm as seguintes propriedades:
| Propriedade | Descrição |
|---|---|
| Nome da regra | O nome da sua regra. O nome deve começar com uma letra e pode conter apenas letras, números, sublinhados e traços. |
| Nome de domínio | O namespace DNS terminado por ponto onde sua regra se aplica. O namespace deve ter zero rótulos (para curinga) ou entre 1 a 34 rótulos. Por exemplo, contoso.com. tem dois rótulos.1 |
| IP de destino:Porto | O destino de encaminhamento. Um ou mais endereços IP e portas de servidores DNS que são usados para resolver consultas DNS no namespace especificado. |
| Estado da regra | O estado da regra é: Ativado ou desativado. Se uma regra estiver desativada, ela será ignorada. |
1 Nomes de domínio de rótulo único são suportados.
Se várias regras forem correspondidas, o prefixo mais longo será usado.
Por exemplo, se você tiver as seguintes regras:
| Nome da regra | Nome de domínio | IP de destino:Porto | Estado da regra |
|---|---|---|---|
| Contoso | contoso.com. | 10.100.0.2:53 | Ativado(a) |
| AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Ativado(a) |
| Caráter curinga | . | 10.100.0.2:53 | Ativado(a) |
Uma consulta para secure.store.azure.contoso.com corresponde à regra AzurePrivate para azure.contoso.com e também à regra Contoso para contoso.com, mas a regra AzurePrivate tem precedência porque o prefixo azure.contoso é maior que contoso.
Importante
Se uma regra estiver presente no conjunto de regras que tenha como destino um ponto de extremidade de entrada do resolvedor privado, não vincule o conjunto de regras à VNet onde o ponto de extremidade de entrada é provisionado. Esta configuração pode causar loops de resolução de DNS. Por exemplo: No cenário anterior, nenhum link de conjunto de regras deve ser adicionado a myeastvnet porque o ponto de extremidade de entrada em 10.10.0.4 é provisionado em myeastvnet e há uma regra presente que resolve azure.contoso.com usando o ponto de extremidade de entrada. Esta configuração leva ao encaminhamento de consultas DNS em myeastvnet para azure.contoso.com de volta para myeastvnet, causando assim um loop. Os links do conjunto de regras destinam-se a permitir que VNets que não conseguem resolver corretamente um nome DNS o façam por meio de encaminhamento.
As regras mostradas neste artigo são exemplos de regras que você pode usar para cenários específicos. Os exemplos usados não são obrigatórios. Tenha cuidado ao testar as suas regras de encaminhamento.
Se incluir uma regra genérica no seu conjunto de regras, assegure-se de que o serviço DNS de destino possa resolver nomes DNS públicos. Alguns serviços do Azure têm dependências na resolução de nomes públicos.
Processamento de regras
- Se vários servidores DNS forem inseridos como destino de uma regra, o primeiro endereço IP inserido será usado, a menos que não responda. Se o primeiro servidor DNS não responder, o próximo servidor DNS da lista será usado para a próxima tentativa. Um algoritmo de backoff exponencial é usado para determinar se um endereço IP de destino é responsivo ou não.
- Certos domínios são ignorados ao usar uma regra curinga para resolução de DNS, porque eles são reservados para serviços do Azure. Consulte Configuração de zona DNS dos serviços do Azure para obter uma lista de domínios reservados. Os nomes DNS de dois rótulos listados neste artigo (por exemplo: windows.net, azure.com, azure.net windowsazure.us) são reservados para os serviços do Azure.
Importante
- Não pode introduzir o endereço IP do DNS do Azure 168.63.129.16 como o endereço IP de destino de uma regra. A tentativa de adicionar esse endereço IP gera o erro: Exceção ao fazer a solicitação de adição de regra.
- Não use o endereço IP do ponto de extremidade de entrada do resolvedor privado como um destino de encaminhamento para zonas que não estão vinculadas à rede virtual onde o resolvedor privado está provisionado.
Opções de design
A forma como se implantam conjuntos de regras de encaminhamento e pontos de extremidade de entrada numa arquitetura hub and spoke depende idealmente da sua arquitetura de rede. Duas opções de configuração são discutidas brevemente nas seções a seguir. Para obter uma discussão mais detalhada com exemplos de configuração, consulte Arquitetura de resolução privada.
Encaminhamento de links de conjunto de regras
Vincular um conjunto de regras de encaminhamento a uma VNet habilita os recursos de encaminhamento de DNS nessa VNet. Por exemplo, se um conjunto de regras contiver uma regra para encaminhar consultas para o ponto de extremidade de entrada de um resolvedor privado, esse tipo de regra poderá ser usado para habilitar a resolução de zonas privadas vinculadas à VNet do ponto de extremidade de entrada. Essa configuração pode ser usada quando uma VNet de Hub está vinculada a uma zona privada e você deseja permitir que a zona privada seja resolvida em VNets spoke que não estão vinculadas à zona privada. Nesse cenário, a resolução DNS da zona privada é realizada pelo ponto de extremidade de entrada na VNet do hub.
O cenário de design de link do conjunto de regras é mais adequado para uma arquitetura de DNS distribuída, onde o tráfego de rede está espalhado pela sua rede do Azure e pode ser distinto em alguns locais. Com este design, pode-se controlar a resolução DNS em todas as VNets vinculadas às regras modificando apenas um único conjunto de regras.
Nota
Se você usar a opção de link do conjunto de regras e houver uma regra de encaminhamento com o ponto de extremidade de entrada como destino, não vincule o conjunto de regras de encaminhamento à rede virtual do Hub. Vincular esse tipo de conjunto de regras à mesma VNet onde o endpoint de entrada é provisionado pode resultar em um ciclo de resolução de DNS.
Pontos de extremidade de entrada como servidores DNS personalizados
Os endpoints de entrada são capazes de processar consultas DNS de entrada e podem ser configurados como DNS personalizado para uma VNet. Essa configuração pode substituir instâncias em que você está usando seu próprio servidor DNS como DNS personalizado em uma rede virtual.
O cenário de design de DNS personalizado é mais adequado para uma arquitetura DNS centralizada em que a resolução DNS e o fluxo de tráfego de rede são principalmente para uma rede virtual de hub e são controlados a partir de um local central.
Para resolver uma zona DNS privada de uma VNet spoke usando esse método, a VNet onde o ponto de extremidade de entrada existe deve estar vinculada à zona privada. A VNet do Hub pode ser (opcionalmente) vinculada a um conjunto de regras de encaminhamento. Se um conjunto de regras estiver vinculado ao Hub, todo o tráfego DNS enviado para o ponto de extremidade de entrada será processado pelo conjunto de regras.
Próximos passos
- Analise componentes, benefícios e requisitos para o Resolvedor Privado de DNS do Azure.
- Saiba como criar um Resolvedor Privado de DNS do Azure usando o Azure PowerShell ou o portal do Azure.
- Compreenda como resolver domínios do Azure e de ambientes locais usando o Resolvedor Privado de DNS do Azure.
- Saiba como configurar o failover de DNS usando resolvedores privados.
- Saiba como configurar o DNS híbrido usando resolvedores privados.
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.