Visão geral de registros e zonas DNS
Este artigo explica os principais conceitos de domínios, zonas DNS, registros DNS e conjuntos de registros. Você aprende como eles têm suporte no DNS do Azure.
Nomes de domínios
O Sistema de Nomes de Domínio é uma hierarquia de domínios. A hierarquia começa no domínio root
, cujo nome é simplesmente ".". Abaixo dele vêm domínios de nível superior, como com
, net
, org
, uk
ou jp
. Abaixo desses domínios de alto nível estão os domínios de segundo nível, como org.uk
ou co.jp
. Os domínios na hierarquia de DNS são distribuídos globalmente, hospedados por servidores de nomes DNS em todo o mundo.
Um registrador de nomes de domínio é uma organização que permite a você adquirir um nome de domínio, como contoso.com
. A aquisição de um nome de domínio dá o direito de controlar a hierarquia de DNS com esse nome, por exemplo, permitindo que você direcione o nome www.contoso.com
para o site da sua empresa. O registrador pode hospedar o domínio em seus próprios servidores de nomes em seu nome ou permitir que você especifique servidores de nomes alternativos.
O DNS do Azure fornece uma infraestrutura de servidores de nomes de alta disponibilidade e distribuída globalmente que você pode usar para hospedar o seu domínio. Ao hospedar seus domínios no DNS do Azure, você poderá gerenciar seus registros DNS usando as mesmas credenciais, APIs, ferramentas, cobrança e suporte que seus outros serviços do Azure.
No momento, o DNS do Azure não dá suporte à compra de nomes de domínio. Por um valor anual, você pode comprar um nome de domínio usando domínios do Serviço de Aplicativo ou um registrador de nomes de domínio de terceiros. Seus domínios podem, então, ser hospedados no DNS do Azure para gerenciamento de registros. Confira Delegar um domínio ao DNS do Azurepara saber mais.
Zonas DNS
Uma zona DNS é usada para hospedar os registros DNS para um domínio específico. Para iniciar a hospedagem do seu domínio no DNS do Azure, você precisará criar uma zona DNS para esse nome de domínio. Cada registro DNS para seu domínio é criado dentro dessa zona DNS.
Por exemplo, o domínio 'contoso.com' pode conter vários registros DNS, como 'mail.contoso.com' (para um servidor de email) e 'www.contoso.com' (para um site da Web).
Ao criar uma zona DNS no DNS do Azure:
- O nome da zona deve ser exclusivo dentro do grupo de recursos e a zona não deve existir ainda. Caso contrário, a operação falhará.
- O mesmo nome de zona pode ser reutilizado em outro grupo de recursos ou uma assinatura do Azure diferente.
- Quando várias zonas têm o mesmo nome, cada instância recebe endereços de servidor de nomes diferentes. Apenas um conjunto de endereços pode ser configurado com o registrador de nome de domínio.
Observação
Você não precisa ter um nome de domínio para criar uma zona DNS com esse nome de domínio no DNS do Azure. No entanto, você precisa ser o proprietário do domínio para configurar os servidores de nomes do DNS do Azure como os servidores de nome corretos para o nome de domínio no registrador de nome de domínio.
Confira Delegar um domínio ao DNS do Azurepara saber mais.
Registros DNS
Nomes de registros
No DNS do Azure, os registros são especificados usando nomes relativos. Um nome de domínio totalmente qualificado (FQDN) inclui o nome da zona, enquanto um nome relativo não. Por exemplo, o nome relativo do registro www
na zona contoso.com
fornece o nome totalmente qualificado do registro www.contoso.com
.
Um registro apex é um registro DNS na raiz (ou apex) de uma zona DNS. Por exemplo, na zona DNScontoso.com
, um registro apex também tem o nome totalmente qualificadocontoso.com
(ele às vezes é chamado de domíniodescoberto). Por convenção, o nome relativo \'\@\' é usado para representar os registros de vértices.
Tipos de registro
Cada registro DNS tem um nome e um tipo. Os registros são organizados em vários tipos de acordo com os dados que eles contêm. O tipo mais comum é um registro 'A', que mapeia um nome para um endereço IPv4. Outro tipo comum é um registro 'MX', que mapeia um nome para um servidor de email.
O DNS do Azure dá suporte a todos os tipos de registro DNS comuns: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV e TXT. Observe que registros SPF são representados usando registros TXT.
Há suporte para tipos de registro adicionais se a zona for assinada com Extensões de Segurança de DNS (DNSSEC), como Signatário de Delegação (DS) e Autenticação de Segurança de Camada de Transporte (TLSA).
Tipos de registro de recursos DNSSEC como DNSKEY, RRSIG e NSEC3 são adicionados automaticamente quando uma zona é assinada com DNSSEC. Esses tipos de registro de recursos DNSSEC não podem ser criados ou modificados após a assinatura da zona.
Conjuntos de registros
Às vezes, você precisa criar mais de um registro DNS com determinado nome e tipo. Por exemplo, vamos supor que o site 'www.contoso.com' seja hospedado em dois endereços IP diferentes. O site exige dois registros A diferentes, um para cada endereço IP. Veja a seguir um exemplo de um conjunto de registros:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
O DNS do Azure gerencia todos os registros DNS usando conjuntos de registros. Um conjunto de registros (também conhecido como conjunto de registros de recurso) é uma coleção de registros DNS em uma zona que tem o mesmo nome e o mesmo tipo. A maioria dos conjuntos de registros contém um único registro. No entanto, exemplos como o acima, em que um conjunto de registros contém mais de um registro, não são incomuns.
Por exemplo, digamos que você já criou um registro 'www' A na zona 'contoso.com' apontando para o endereço IP '134.170.185.46' (o primeiro registro acima). Para criar o segundo registro, você deve adicioná-lo ao conjunto de registros existente em vez de criar um conjunto de registros adicional.
Os conjuntos de registros SOA e CNAME são exceções. Os padrões DNS não permitem vários registros com o mesmo nome para esses tipos e, assim, esses conjuntos de registros podem conter apenas um único registro.
Vida útil
O tempo de vida, ou TTL, especifica quanto tempo cada registro é armazenado em cache pelos clientes antes de ser consultado. No exemplo acima, o TTL tem 3600 segundos ou 1 hora.
No DNS do Azure, o TTL é especificado para o conjunto de registros, não para cada registro, portanto, o mesmo valor é usado para todos os registros no conjunto de registros. Você pode especificar qualquer valor de TTL entre 1 e 2.147.483.647 segundos.
Registros curinga
O DNS do Azure dá suporte a registros curinga. Os registros curinga são retornados como resposta a qualquer consulta com um nome correspondente, a menos que haja uma correspondência mais próxima em um conjunto de registros não curinga. O DNS do Azure dá suporte a conjuntos de registros curinga para todos os tipos de registro, exceto NS e SOA.
Para criar um conjunto de registros curinga, use o nome do conjunto de registros '*'. Você também pode usar um nome com '*' como o rótulo na extremidade esquerda, por exemplo, '*.foo'.
Registros CAA
Os registros CAA permitem aos proprietários do domínio especificar quais ACs (Autoridades de Certificação) estão autorizadas a emitir certificados para seus domínios. Esse registro impede que as ACs emitam certificados incorretamente em algumas circunstâncias. Os registros CAA têm três propriedades:
- Sinalizadores: Esse campo é um inteiro entre 0 e 255, usado para representar o sinalizador crítico que tem um significado especial, conforme o RFC6844
- Marcação: uma string ASCII que pode ser uma das seguintes:
- issue: se desejar especificar as ACs que têm permissão para emitir certificados (todos os tipos)
- issuewild: se desejar especificar as ACs que têm permissão para emitir certificados (somente certificados curinga)
- iodef: especifique um endereço de email ou o nome do host o qual as ACs podem notificar para solicitações de problema de certificado não autorizado
- Valor: o valor da Marcação específica escolhida
Registros CNAME
Conjuntos de registros CNAME não podem coexistir com outros conjuntos de registros com o mesmo nome. Por exemplo, você não pode criar um conjunto de registros CNAME com o nome relativo www
e um registro A com o nome relativo www
ao mesmo tempo.
Como o ápice da zona (nome = '@') sempre contém os conjuntos de registro SOA e NS durante a criação da zona, não é possível criar um conjunto de registros CNAME no ápice da zona.
Essas restrições são provenientes dos padrões DNS e não são limitações do DNS do Azure.
Registros NS
O registro NS definido no ápice da zona (nome '@') é criado automaticamente em cada zona DNS e é excluído automaticamente quando a zona é excluída. Ele não pode ser excluído separadamente.
Esse conjunto de registros contém os nomes dos servidores de nome DNS do Azure atribuídos à zona. Você pode adicionar mais servidores de nome a esse conjunto de registros NS para dar suporte à co-hospedagem de domínios com mais de um provedor DNS. Você também pode modificar o TTL e os metadados para esse conjunto de registros. No entanto, remover ou modificar os servidores de nomes DNS do Azure populados previamente não é permitido.
Essa restrição se aplica somente ao registro NS definido no ápice da zona. Outros conjuntos de registros NS na sua zona (conforme utilizados para delegar zonas filho) podem ser criados, modificados, e excluídos sem restrição.
Registros SOA
Um conjunto de registros SOA é criado automaticamente no ápice de cada zona (nome ='@') e é excluído automaticamente quando a zona é excluída. Registros SOA não podem ser criados ou excluídos separadamente.
Você pode modificar todas as propriedades do registro SOA, exceto a propriedade host
. Essa propriedade é pré-configurada para se referir ao nome do servidor de nomes primário fornecido pelo DNS do Azure.
O número de série da zona no registro SOA não é atualizado automaticamente quando são feitas alterações nos registros na zona. Ele pode ser atualizado manualmente editando o registro SOA, se necessário.
Observação
No momento, o DNS do Azure não dá suporte ao uso de um ponto (.) antes do "@" na entrada da caixa de correio do hostmaster da SOA. Por exemplo: john.smith@contoso.xyz
(convertido em john.smith.contoso.xyz) e john\.smith@contoso.xyz
não são permitidos.
Registros SPF
Os registros da estrutura da política de remetente (SPF) são usados para especificar quais servidores de e-mail podem enviar e-mails em nome de um nome de domínio. A configuração correta dos registros SPF é importante para impedir que os destinatários marquem seu e-mail como lixo eletrônico.
Os RFCs do DNS introduziram originalmente um novo tipo de registro SPF para suportar esse cenário. Para suportar servidores de nomes mais antigos, eles também permitiam o uso do tipo de registro TXT para especificar registros SPF. Essa ambiguidade causou confusão, que foi resolvida pela RFC 7208. Ele afirma que os registros SPF devem ser criados usando o tipo de registro TXT. Também indica que o tipo de registro SPF está obsoleto.
Registros SPF são suportados pelo DNS do Azure e devem ser criados usando o tipo de registro TXT. Não há suporte para o tipo de registro SPF obsoleto. Quando você importa um arquivo de zona DNS, todos os registros SPF que usam o tipo de registro SPF são convertidos para o tipo de registro TXT.
Registros SRV
Os registros SRV são usados por vários serviços para especificar locais de servidor. Ao especificar um registro SRV no DNS do Azure:
- O serviço e o protocolo devem ser especificados como parte do nome do conjunto de registros, prefixado com sublinhados, como "_sip._tcp.name". Para um registro no ápice da zona, não é necessário especificar "@" no nome do registro. Basta usar o serviço e o protocolo, por exemplo, "_sip._tcp".
- A prioridade, o peso, a porta e o destino são especificados como parâmetros de cada registro no conjunto de registros.
Registros TXT
Os registros TXT são usados para mapear nomes de domínio em cadeias de caracteres de texto arbitrárias. Eles são usados em vários aplicativos, em particular aqueles relacionados à configuração de email, como o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail).
Os padrões do DNS permitem que um único registro TXT contenha várias cadeias de caracteres, e cada uma delas pode ter até 255 caracteres. Quando várias cadeias de caracteres são usadas, elas são concatenadas pelos clientes e tratadas como uma única cadeia de caracteres.
Ao chamar a API REST de DNS do Azure, é necessário especificar cada cadeia de caracteres TXT separadamente. Ao usar interfaces do portal do Azure, PowerShell ou CLI é necessário especificar uma cadeia de caracteres única por registro. Essa cadeia de caracteres é dividida automaticamente em segmentos de 255 caracteres, se necessário.
As várias cadeias de caracteres em um registro DNS não devem ser confundidas com os vários registros TXT em um conjunto de registros TXT. Um conjunto de registros TXT pode conter vários registros e cada um deles pode conter várias cadeias de caracteres. O DNS do Azure dá suporte a um tamanho total de até 4096 caracteres em cada conjunto de registros TXT (entre todos os registros combinados).
Registros DS
O registro de signatário de delegação (DS) é um tipo de registro de recurso DNSSEC usado para proteger uma delegação. Para criar um registro DS em uma zona, a zona deve primeiro ser assinada com DNSSEC.
Registros TLSA
Um registro de Autenticação TLS (TLSA) é usado para associar um certificado de servidor TLS ou chave pública ao nome de domínio em que o registro é encontrado. Um registro TLSA vincula a chave pública (um certificado de servidor TLS) ao nome de domínio, fornecendo uma camada adicional de segurança para conexões TLS.
Para usar os registros TLSA efetivamente, o DNSSEC deve estar habilitado em seu domínio. Isso garante que os registros TLSA possam ser confiáveis e validados corretamente
Marcas e metadados
Marcações
As marcas consistem em uma lista de pares de nome/valor e são usadas pelo Azure Resource Manager na rotulagem de recursos. O Azure Resource Manager usa marcas para habilitar exibições filtradas da sua fatura do Azure e também permite que você defina uma política para determinadas marcas. Para obter mais informações sobre marcas, consulte Usando marcas para organizar os recursos do Azure.
O DNS do Azure dá suporte ao uso de marcas do Azure Resource Manager em recursos de zona DNS. Ele não oferece suporte a marcas em conjuntos de registros DNS, embora, alternativamente, metadados sejam compatíveis com conjuntos de registros DNS, conforme explicado abaixo.
Metadados
Como uma alternativa às marcas de conjunto de registros, o DNS do Azure é compatível com a anotação de conjuntos de registros por meio demetadados. Semelhante às marcas, os metadados permitem que você associe pares de nome-valor a cada conjunto de registros. Esse recurso pode ser útil, por exemplo, para registrar a finalidade de cada conjunto de registros. Diferentemente das marcas, os metadados não podem ser usados para fornecer uma exibição filtrada de sua fatura do Azure e não podem ser especificados em uma política do Azure Resource Manager.
ETags
Suponha que duas pessoas ou dois processos tentem modificar um registro DNS ao mesmo tempo. Qual vence? E o vencedor sabe que substituiu as alterações criadas por outra pessoa?
O DNS do Azure usa as Etags para tratar alterações simultâneas para o mesmo recurso com segurança. As Etags são separadas das "Marcações" do Azure Resource Manager. Cada recurso DNS (zona ou conjunto de registros) tem uma Etag associada a ele. Sempre que um recurso é recuperado, a Etag também é recuperada. Ao atualizar um recurso, você pode escolher devolver a Etag para que o DNS do Azure possa verificar se a Etag no servidor é correspondente. Uma vez que cada atualização a um recurso resulta em uma Etag sendo gerada novamente, uma incompatibilidade de Etag indica que ocorreu uma alteração simultânea. As Etags também podem ser usadas ao criar um recurso para verificar se o recurso já existe.
Por padrão, o PowerShell do DNS do Azure usa as Etags bloquear alterações simultâneas às zonas e conjuntos de registro. O switch opcional -Overwrite pode ser usado para suprimir as verificações de Etag. Nesse caso, as alterações simultâneas que ocorrerem são substituídas.
No nível da API REST do DNS do Azure, as Etags são especificadas usando cabeçalhos HTTP. Seu comportamento é descrito na tabela a seguir:
parâmetro | Comportamento |
---|---|
Nenhum | PUT sempre terá êxito (nenhuma verificação de Etag) |
If-match <etag> | PUT só terá êxito se o recurso existir e a Etag corresponder |
If-match * | PUT só terá êxito se houver recursos |
If-none-match * | O PUT só terá êxito se o recurso não existir |
limites
Os limites padrão abaixo se aplicam ao usar o DNS do Azure:
Zonas DNS públicas
Recurso | Limite |
---|---|
Zonas DNS públicas por assinatura | 250 1 |
Conjuntos de registros por zona DNS pública | 10.000 1 |
Registros por conjunto de registros na zona DNS pública | 20 |
Número de registros de Alias de um recurso do Azure | 20 |
1Se precisar aumentar esses limites, entre em contato com o Suporte do Azure.
Próximas etapas
- Para começar a usar o DNS do Azure, aprenda a criar uma zona DNS e a criar registros DNS.
- Para migrar uma zona DNS existente, saiba como importar e exportar um arquivo de zona DNS.