Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo discute duas opções de design de arquitetura que estão disponíveis para resolver nomes DNS, incluindo zonas DNS privadas em sua rede do Azure usando um Resolvedor Privado de DNS do Azure. Exemplos de configurações são fornecidos com recomendações de design para a resolução de DNS centralizada ou distribuída numa topologia VNet hub e spoke.
- Para obter uma visão geral do Resolvedor Privado de DNS do Azure, consulte O que é o Resolvedor Privado de DNS do Azure.
- Para obter mais informações sobre os componentes do Azure DNS Private Resolver, consulte endpoints e conjuntos de regras do Resolvedor Privado.
Arquitetura DNS distribuída
Considere a seguinte topologia de VNet de hub e spoke no Azure, com um resolvedor privado localizado no hub e um conjunto de regras associado à VNet spoke. Tanto o hub quanto o spoke usam o DNS fornecido pelo Azure em suas configurações de VNet:
Figura 1: Arquitetura DNS distribuída usando links de conjunto de regras
- A VNet de hub está configurada com o espaço de endereço 10.10.0.0/16.
- A spoke VNet é configurada com o espaço de endereço 10.11.0.0/16.
- Uma zona DNS privada azure.contoso.com está vinculada à rede virtual do hub.
- Um resolvedor privado é provisionado na VNet do hub.
- O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4.
- O resolvedor privado tem um endpoint de saída e um conjunto de regras de encaminhamento DNS associado.
- O conjunto de regras de encaminhamento DNS está vinculado à VNet spoke.
- Uma regra é configurada para encaminhar consultas da zona privada para o endpoint de entrada.
Resolução DNS na VNet do hub: o link de rede virtual da zona privada para a VNet do Hub permite que os recursos dentro da VNet do hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Todos os outros namespaces também são resolvidos usando o DNS fornecido pelo Azure. A VNet do hub não utiliza regras do conjunto de regras para resolver nomes DNS porque não está ligada ao conjunto de regras. Para usar regras de encaminhamento na VNet do Hub, crie e associe outro conjunto de regras à VNet do Hub.
Resolução DNS na VNet spoke: O link de rede virtual do conjunto de regras para a VNet spoke permite que a VNet spoke resolva azure.contoso.com utilizando a regra de encaminhamento configurada. Não é necessário um link da zona privada para a VNet de spoke aqui. A VNet spoke envia consultas para azure.contoso.com ao ponto de extremidade de entrada do hub por meio do DNS fornecido pelo Azure porque há uma regra correspondente a esse nome de domínio no conjunto de regras vinculado. Consultas para outros namespaces também podem ser encaminhadas configurando regras adicionais. As consultas DNS que não correspondem a uma regra de conjunto de regras não são encaminhadas e são resolvidas usando o DNS fornecido pelo Azure.
Importante
Neste exemplo de configuração, a VNet de hub deve estar vinculada à zona privada, mas não deve estar vinculada a um conjunto de regras de encaminhamento com uma regra de encaminhamento de ponto de extremidade de entrada. Ao vincular um conjunto de regras de encaminhamento que contém uma regra com o ponto de extremidade de entrada como destino à mesma VNet em que o ponto de extremidade de entrada é provisionado, podem ocorrer loops de resolução DNS.
Arquitetura DNS centralizada
Considere a seguinte topologia de VNet de hub e spoke, com um endpoint de entrada configurado como DNS personalizado na VNet do spoke. A spoke VNet usa uma configuração de DNS personalizada de 10.10.0.4, correspondente ao ponto de extremidade de entrada do resolvedor privado do Hub:
Figura 2: Arquitetura DNS centralizada usando DNS personalizado
- Uma VNet de hub é configurada com espaço de endereço 10.10.0.0/16.
- A spoke VNet é configurada com o espaço de endereço 10.11.0.0/16.
- Uma zona DNS privada azure.contoso.com está vinculada à rede virtual do hub.
- Um resolvedor privado encontra-se no hub da VNet.
- O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4.
- O resolvedor privado tem um ponto de extremidade de saída (opcional) e um conjunto de regras de encaminhamento DNS associado.
- O conjunto de regras de encaminhamento DNS está vinculado à VNet do hub.
- Uma regra de conjunto de regras não está configurada para encaminhar consultas da zona privada para o ponto de extremidade de entrada.
Resolução DNS na VNet do hub: o link de rede virtual da zona privada para a VNet do Hub permite que os recursos dentro da VNet do hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Se configuradas, as regras do conjunto de regras determinam como os nomes DNS são encaminhados e resolvidos. Os namespaces que não correspondem a uma regra de conjunto de regras são resolvidos sem encaminhamento usando o DNS fornecido pelo Azure.
Resolução DNS na VNet Spoke: Neste exemplo, a VNet Spoke envia todo o seu tráfego DNS para o endpoint de entrada na VNet Hub. Como azure.contoso.com tem uma ligação de rede virtual para a VNet do Hub, todos os recursos no Hub podem resolver azure.contoso.com, incluindo o ponto de extremidade de entrada (10.10.0.4). Assim, o spoke usa o ponto de extremidade de entrada do hub para resolver a zona de rede privada. Outros nomes DNS são resolvidos para a VNet do spoke de acordo com as regras provisionadas num conjunto de regras de encaminhamento, caso existam.
Observação
No cenário de arquitetura DNS centralizada, tanto o hub quanto as VNets spoke podem usar o conjunto de regras opcional ligado ao hub quando resolverem nomes DNS. Isso ocorre porque todo o tráfego DNS da VNet spoke está sendo enviado para o hub devido à configuração DNS personalizada da VNet. A VNet do hub não requer um ponto de extremidade de saída ou um conjunto de regras aqui, mas se uma for configurada e vinculada ao hub (como mostra a Figura 2), tanto as VNets do hub quanto do spoke utilizarão as regras de encaminhamento. Como mencionado anteriormente, é importante que uma regra de encaminhamento para a zona privada não esteja presente no conjunto de regras, pois essa configuração pode causar um loop de resolução DNS.
Próximos passos
- Analise componentes, benefícios e requisitos para o Resolvedor Privado de DNS do Azure.
- Saiba como criar um Resolvedor Privado de DNS do Azure usando o Azure PowerShell ou o portal do Azure.
- Compreenda como resolver domínios do Azure e de ambientes locais usando o Resolvedor Privado de DNS do Azure.
- Saiba mais sobre os pontos de extremidade e conjuntos de regras do Resolvedor Privado de DNS do Azure.
- Saiba como configurar o failover de DNS usando resolvedores privados
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.