Compartilhar via


Arquitetura privada do resolvedor

Este artigo discute duas opções de design arquitetônico disponíveis para resolver nomes DNS, incluindo zonas DNS privadas em sua rede do Azure usando um Resolvedor Privado de DNS do Azure. Exemplos de configurações são fornecidos com recomendações de design para resolução DNS centralizada versus distribuída em uma topologia VNet hub e spoke.

Arquitetura DNS distribuída

Considere a seguinte topologia de VNet de hub e spoke no Azure com um resolvedor privado localizado no hub e um link de conjunto de regras para a VNet de spoke. Tanto o hub quanto o spoke usam o DNS fornecido pelo Azure em suas configurações de VNet:

Hub and spoke with ruleset diagram.

Figura 1: arquitetura DNS distribuída usando links de conjuntos de regras

  • Uma VNet hub está configurada com o espaço de endereço 10.10.0.0/16.
  • A VNet spoke está configurada com o espaço de endereço 10.11.0.0/16.
  • Uma zona DNS privada azure.contoso.com está vinculada à VNet hub.
  • Um resolvedor privado está provisionado na VNet hub.
    • O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4 .
    • O resolvedor privado tem um ponto de extremidade de saída e um conjunto de regras de encaminhamento de DNS associado.
      • O conjunto de regras de encaminhamento de DNS está vinculado à VNet spoke.
      • Uma regra do conjunto de regras está configurada para encaminhar consultas da zona privada para o ponto de extremidade de entrada.

Resolução DNS na VNet hub: o link de rede virtual da zona privada da VNet Hub permite que os recursos dentro da VNet hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Todos os outros namespaces também são resolvidos utilizando o DNS fornecido pelo Azure. A VNet do hub não usa as opções no conjunto de regras para resolver nomes DNS porque não está vinculada a esse recurso. Para usar regras de encaminhamento na VNet hub, crie e vincule outro conjunto de regras à VNet Hub.

Resolução DNS na VNet spoke: o link de rede virtual do conjunto de regras para a VNet spoke permite que a VNet spoke resolva azure.contoso.com usando a regra de encaminhamento configurada. Aqui, não é necessário um link da zona privada para a VNet spoke, A VNet spoke envia consultas para azure.contoso.com para o ponto de extremidade de entrada do hub por meio do DNS fornecido pelo Azure porque há uma regra que corresponde a esse nome de domínio no conjunto de regras vinculado. As consultas a outros namespaces também podem ser encaminhadas por meio da configuração de regras adicionais. As consultas DNS que não correspondem a uma regra de conjunto de regras não serão encaminhadas e serão resolvidas usando o DNS fornecido pelo Azure.

Importante

Neste exemplo de configuração, a VNet hub deve estar vinculada à zona privada, mas não deve estar vinculada a um conjunto de regras de encaminhamento com uma regra de encaminhamento de ponto de extremidade de entrada. Vincular um conjunto de regras de encaminhamento que contém uma regra com o ponto de extremidade de entrada como um destino à mesma VNet onde o ponto de extremidade de entrada é provisionado pode causar loops de resolução DNS.

Arquitetura DNS centralizada

Considere a seguinte topologia de VNet de hub e spoke com um ponto de extremidade de entrada provisionado como DNS personalizado na VNet de spoke. A VNet de spoke usa uma configuração de DNS personalizado de 10.10.0.4, correspondente ao ponto de extremidade de entrada do resolvedor privado do Hub:

Hub and spoke with custom DNS diagram.

Figura 2: arquitetura DNS centralizada usando DNS personalizado

  • Uma VNet hub está configurada com o espaço de endereço 10.10.0.0/16.
  • A VNet spoke está configurada com o espaço de endereço 10.11.0.0/16.
  • Uma zona DNS privada azure.contoso.com está vinculada à VNet hub.
  • Um resolvedor privado está localizado na VNet hub.
    • O resolvedor privado tem um ponto de extremidade de entrada com um endereço IP de 10.10.0.4 .
    • O resolvedor privado tem um ponto de extremidade de saída (opcional) e um conjunto de regras de encaminhamento de DNS associado.
      • O conjunto de regras de encaminhamento de DNS está vinculado à VNet hub.
      • Uma regra do conjunto de regras não está configurada para encaminhar consultas da zona privada para o ponto de extremidade de entrada.

Resolução DNS na VNet hub: o link de rede virtual da zona privada da VNet Hub permite que os recursos dentro da VNet hub resolvam automaticamente os registros DNS em azure.contoso.com usando o DNS fornecido pelo Azure (168.63.129.16). Se configuradas, as regras do conjunto de regras determinam como os nomes DNS são encaminhados e resolvidos. Os namespaces que não correspondem a uma regra de conjunto de regras são resolvidos sem encaminhamento usando o DNS fornecido pelo Azure.

Resolução DNS na VNet spoke: neste exemplo, a VNet spoke envia todo o seu tráfego DNS para o ponto de extremidade de entrada na VNet Hub. Como azure.contoso.com tem um link de rede virtual para a VNet Hub, todos os recursos no Hub podem resolver azure.contoso.com, incluindo o ponto de extremidade de entrada (10.10.0.4). Assim, o spoke usa o ponto de extremidade de entrada do hub para resolver a zona privada. Outros nomes DNS são resolvidos para a VNet spoke de acordo com as regras provisionadas em um conjunto de regras de encaminhamento, se existirem.

Observação

No cenário de arquitetura DNS centralizada, VNets hub e spoke podem usar o conjunto de regras opcional vinculado ao hub ao resolver nomes DNS. Isso ocorre porque todo o tráfego DNS da VNet spoke está sendo enviado para o hub devido à configuração de DNS personalizada da VNet. A VNet hub não exige um ponto de extremidade de saída ou conjunto de regras aqui, mas se um for provisionado e vinculado ao hub (conforme mostrado na Figura 2), tanto o hub quanto o spoke usarão as regras de encaminhamento. Conforme mencionado antes, é importante que uma regra de encaminhamento para a zona privada não esteja presente no conjunto de regras, porque essa configuração pode causar um loop de resolução DNS.

Próximas etapas