Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A integração do DNS do Ponto de Extremidade Privado do Azure é essencial para permitir a conectividade segura e privada aos serviços do Azure na sua rede virtual. Este artigo descreve cenários comuns de configuração de DNS para Pontos de Extremidade Privados do Azure, incluindo opções para redes virtuais, redes emparelhadas e ambientes locais. Use esses cenários e práticas recomendadas para garantir uma resolução de nomes confiável e segura para seus aplicativos e serviços.
Para obter configurações de zona DNS privada para serviços do Azure que oferecem suporte a um ponto de extremidade privado, consulte Valores de zona DNS privada do Ponto de Extremidade Privado do Azure.
Atenção
Não é recomendado substituir uma zona que esteja a ser utilizada ativamente para resolver pontos finais públicos. As ligações aos recursos não poderão ser resolvidas corretamente sem o reencaminhamento de DNS para o DNS público. Para evitar problemas, crie um nome de domínio diferente ou siga o nome sugerido para cada serviço listado posteriormente neste artigo.
As Zonas DNS Privadas existentes vinculadas a um único serviço do Azure não devem ser associadas a dois Pontos de Extremidade Privados do serviço do Azure diferentes. Isso causará uma exclusão do registo A inicial e resultará em problemas de resolução ao tentar aceder a esse serviço a partir de cada um dos respetivos pontos de extremidade privados. Crie uma zona DNS para cada Ponto Final Privado de serviços semelhantes. Não coloque registos para vários serviços na mesma zona DNS.
Cenários de configuração de DNS
O FQDN do serviço é automaticamente resolvido para um endereço IP público. Para aceder ao endereço IP privado do ponto de extremidade privado, altere a sua configuração de DNS.
O DNS é fundamental para que seu aplicativo funcione corretamente porque resolve o endereço IP do ponto de extremidade privado.
Você pode usar os seguintes cenários de resolução DNS:
Cargas de trabalho de rede virtual sem o Azure Private Resolver
Trabalhos em rede virtual interconectada sem o Resolvedor Privado do Azure
Cargas de trabalho locais usando um encaminhador DNS sem o Resolvedor Privado do Azure)
Azure Private Resolver para rede virtual e cargas de trabalho locais
Cargas de trabalho de rede virtual sem o Azure Private Resolver
Essa configuração é apropriada para cargas de trabalho de rede virtual sem um servidor DNS personalizado. Nesse cenário, o cliente consulta o endereço IP do ponto de extremidade privado para o serviço DNS fornecido pelo Azure 168.63.129.16. O DNS do Azure é responsável pela resolução DNS das zonas DNS privadas.
Observação
Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
Para configurar corretamente, você precisa dos seguintes recursos:
Rede virtual do cliente
Zona DNS privada privatelink.database.windows.net com registo tipo A
Informações de ponto final privado (nome de registro FQDN e endereço IP privado)
A captura de tela a seguir ilustra a sequência de resolução DNS de cargas de trabalho de rede virtual usando a zona DNS privada:
Tarefas de rede virtual emparelhada sem o Resolvedor Privado do Azure
Você pode estender esse modelo para redes virtuais emparelhadas associadas ao mesmo ponto de extremidade privado. Adicione novos links de rede virtual à zona DNS privada para todas as redes virtuais emparelhadas.
Importante
Uma única zona DNS privada é necessária para esta configuração. Criar várias zonas com o mesmo nome para diferentes redes virtuais precisaria de operações manuais para mesclar os registros DNS.
Se você estiver usando um ponto de extremidade privado em um modelo hub-and-spoke de uma assinatura diferente ou até mesmo dentro da mesma assinatura, vincule as mesmas zonas DNS privadas a todos os raios e redes virtuais de hub que contenham clientes que precisam de resolução DNS das zonas.
Nesse cenário, há uma topologia de rede hub and spoke . As redes de fala compartilham um ponto de extremidade privado. As redes virtuais spoke estão ligadas à mesma zona DNS privada.
Cargas de trabalho locais usando um encaminhador DNS sem o Resolvedor Privado do Azure
Para que cargas de trabalho locais consigam resolver o FQDN de um ponto de extremidade privado, configure um encaminhador DNS na Azure. O encaminhador DNS deve ser implementado na rede virtual vinculada à zona de DNS privada do seu endpoint privado.
Normalmente, um encaminhador DNS é uma máquina virtual que executa serviços DNS ou um serviço gerenciado como o Firewall do Azure. O encaminhador DNS recebe consultas DNS de redes locais ou de outras redes virtuais e as encaminha para o DNS do Azure.
Observação
As consultas DNS para pontos de extremidade privados devem ser originadas da rede virtual vinculada à zona DNS privada. O encaminhador DNS permite isso ao atuar como proxy para consultas em nome de clientes em instalações locais. Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
O cenário a seguir é para uma rede local que tenha um encaminhador DNS no Azure. Esse encaminhador resolve consultas DNS por meio de um encaminhador no nível do servidor para o DNS 168.63.129.16 fornecido pelo Azure.
Para configurar corretamente, você precisa dos seguintes recursos:
- Rede local com uma solução DNS personalizada em vigor
- Rede virtual conectada ao local
- Solução de DNS implantada em seu ambiente do Azure com a capacidade de encaminhar condicionalmente solicitações DNS
- Zona DNS privada privatelink.database.windows.net com registo tipo A
- Informações de ponto final privado (nome de registro FQDN e endereço IP privado)
Importante
O encaminhamento condicional deve ser feito para o encaminhador de zona DNS público recomendado. Por exemplo: database.windows.net em vez de privatelink.database.windows.net.
- Estenda essa configuração para redes locais que já tenham uma solução DNS personalizada.
- Configure sua solução DNS local com um encaminhador condicional para a zona DNS privada. O encaminhador condicional deve apontar para o encaminhador DNS implantado no Azure, para que as consultas DNS para pontos de extremidade privados sejam resolvidas corretamente.
A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Azure Private Resolver para cargas de trabalho locais
Para cargas de trabalho locais para resolver o FQDN de um ponto de extremidade privado, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure no Azure. O Azure Private Resolver é um serviço gerenciado do Azure que pode resolver consultas DNS sem a necessidade de uma máquina virtual atuando como um encaminhador DNS.
O cenário a seguir é para uma rede local configurada para usar um Resolvedor Privado do Azure. O resolvedor privado encaminha a solicitação do ponto de extremidade privado para o DNS do Azure.
Observação
Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Valores de zona DNS dos serviços do Azure.
Os seguintes recursos são necessários para uma configuração adequada:
Rede no local
Rede virtual conectada ao local
Zonas DNS privadas privatelink.database.windows.net com registo tipo A
Informações de ponto final privado (nome de registro FQDN e endereço IP privado)
O diagrama a seguir ilustra a sequência de resolução DNS de uma rede local. A configuração usa um Resolvedor Privado implantado no Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Azure Private Resolver com encaminhador DNS local
Essa configuração pode ser estendida para uma rede local que já tenha uma solução DNS em vigor.
A solução DNS local está configurada para encaminhar tráfego DNS para o DNS do Azure através de um reencaminhador condicional. O encaminhador condicional faz referência ao Resolvedor Privado, implementado no Azure.
Observação
Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Valores de zona DNS dos serviços do Azure
Para configurar corretamente, você precisa dos seguintes recursos:
Rede local com uma solução DNS personalizada em vigor
Rede virtual conectada ao local
Zonas DNS privadas privatelink.database.windows.net com registo tipo A
Informações de ponto final privado (nome de registro FQDN e endereço IP privado)
O diagrama a seguir ilustra a resolução DNS de uma rede local. A resolução DNS é encaminhada condicionalmente para o Azure. A resolução é feita por uma zona DNS privada ligada a uma rede virtual.
Importante
O encaminhamento condicional deve ser feito para o encaminhador de zona DNS público recomendado. Por exemplo: database.windows.net em vez de privatelink.database.windows.net.
Azure Private Resolver para rede virtual e cargas de trabalho locais
Para cargas de trabalho que acessam um ponto de extremidade privado de redes virtuais e locais, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure implantada no Azure.
O cenário a seguir é para uma rede local com redes virtuais no Azure. Ambas as redes acessam o ponto de extremidade privado localizado em uma rede de hub compartilhado.
O resolvedor privado é responsável por resolver todas as consultas DNS por meio do serviço DNS fornecido pelo Azure 168.63.129.16.
Importante
Uma única zona DNS privada é necessária para esta configuração. Todas as conexões de cliente feitas de redes virtuais locais e emparelhadas também devem usar a mesma zona DNS privada.
Observação
Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.
Para configurar corretamente, você precisa dos seguintes recursos:
Rede no local
Rede virtual conectada ao local
Azure Private Resolver
Zonas DNS privadas privatelink.database.windows.net com registo tipo A
Informações de ponto final privado (nome de registro FQDN e endereço IP privado)
O diagrama a seguir mostra a resolução DNS para redes, locais e virtuais. A resolução está usando o Azure Private Resolver.
A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:
Grupo de zonas DNS privadas
Se você optar por integrar seu ponto de extremidade privado com uma zona DNS privada, um grupo de zona DNS privada também será criado. O grupo de zonas DNS tem uma forte associação entre a zona DNS privada e o ponto de extremidade privado. Esta ferramenta facilita a gestão dos registos da zona DNS privada quando há uma atualização no endpoint privado. Por exemplo, quando você adiciona ou remove regiões, a zona DNS privada é atualizada automaticamente com o número correto de registros.
Anteriormente, os registros DNS para o ponto de extremidade privado eram criados por meio de scripts (recuperando determinadas informações sobre o ponto de extremidade privado e, em seguida, adicionando-as à zona DNS). Com o grupo de zonas DNS, não há necessidade de escrever linhas CLI/PowerShell extras para cada zona DNS. Além disso, quando você exclui o ponto de extremidade privado, todos os registros DNS dentro do grupo de zonas DNS são excluídos.
Em uma topologia hub-and-spoke, um cenário comum permite a criação de zonas DNS privadas apenas uma vez no hub. Esta configuração permite que as ramificações se registrem nela, em vez de criar zonas distintas em cada ramificação.
Observação
- Cada grupo de zonas DNS pode suportar até cinco zonas DNS.
- Não é suportada a adição de múltiplos grupos de zonas DNS a um único Ponto de Extremidade Privado.
- As operações de exclusão e atualização de registros DNS podem ser vistas executadas pelo Gerenciador de Tráfego do Azure e pelo DNS. Esta é uma operação normal da plataforma necessária para gerir os seus Registos DNS.