Integração do DNS do ponto de extremidade privado

O Ponto de Extremidade Privado do Azure é um adaptador de rede que conecta você de maneira privada e segura a um serviço que conta com o Link Privado do Azure. O Ponto de Extremidade Privado usa um endereço IP privado da rede virtual, colocando efetivamente o serviço na sua rede virtual. O serviço pode ser um serviço do Azure, como o Armazenamento do Microsoft Azure, o Azure Cosmos DB, o SQL etc. ou seu próprio Serviço de Link Privado. Este artigo descreve cenários de configuração do DNS para o ponto de extremidade privado do Azure.

Para obter configurações da zona DNS privada para serviços do Azure que dão suporte a um ponto de extremidade privado, consulte valores de zona DNS privada do ponto de extremidade privado do Azure.

Cenários de configuração de DNS

O FQDN dos serviços é resolvido automaticamente para um endereço IP público. Para resolver o endereço IP privado do ponto de extremidade privado, altere a configuração de DNS.

O DNS é um componente crítico para que o aplicativo funcione corretamente por meio da resolução correta do endereço IP do ponto de extremidade privado.

Com base em suas preferências, os seguintes cenários estão disponíveis para a resolução de DNS integrada:

• Cargas de trabalho de rede virtual sem o Resolvedor Privado do Azure

• Cargas de trabalho de rede virtual emparelhadas sem o Resolvedor Privado do Azure

• Resolvedor Privado do Azure para cargas de trabalho locais

• Resolvedor Privado do Azure com encaminhador DNS local

• Resolver Privado do Azure para rede virtual e cargas de trabalho locais

Cargas de trabalho de rede virtual sem o Resolvedor Privado do Azure

Essa configuração é apropriada para cargas de trabalho de rede virtual sem um servidor DNS personalizado. Nesse cenário, o cliente consulta o endereço IP do ponto de extremidade privado para o serviço DNS fornecido pelo Azure 168.63.129.16. O DNS do Azure é responsável pela resolução DNS das zonas DNS privadas.

Observação

Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.

Para configurar corretamente, você precisará dos seguintes recursos:

• Rede virtual de cliente

• Zona DNS privada privatelink.database.windows.net com registro de tipo A

• Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)

Esta captura de tela ilustra a sequência de resolução DNS de cargas de trabalho de rede virtual que usam a zona DNS privada:

Cargas de trabalho de rede virtual emparelhadas sem o Resolvedor Privado do Azure

Você pode estender esse modelo para redes virtuais emparelhadas associadas ao mesmo ponto de extremidade privado. Adicione novos links de rede virtual à zona DNS privada de todas as redes virtuais emparelhadas.

Importante

• Você só precisa de uma zona DNS privada para essa configuração. Criar várias zonas com o mesmo nome para diferentes redes virtuais precisaria de operações manuais para mesclar os registros DNS.

• Se você estiver usando um ponto de extremidade privado em um modelo de hub e spoke de uma assinatura diferente ou na mesma assinatura, vincule as mesmas zonas DNS privadas a todos os hubs e spokes de redes virtuais que contêm clientes que precisam de resolução DNS das zonas.

Nesse cenário, há uma topologia de rede hub e spoke. As redes spoke compartilham um ponto de extremidade privado. As redes virtuais spoke estão vinculadas à mesma zona DNS privada.

Resolvedor Privado do Azure para cargas de trabalho locais

Em cargas de trabalho locais para resolver o FQDN de um ponto de extremidade privado, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure no Azure. O Resolvedor Privado do Azure é um serviço gerenciado do Azure que pode resolver consultas DNS sem a necessidade de uma máquina virtual agindo como um encaminhador DNS.

O cenário a seguir é para uma rede local configurada para usar um Resolvedor Privado do Azure. O resolvedor privado encaminha a solicitação do ponto de extremidade privado para o DNS do Azure.

Observação

Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.

Os seguintes recursos são necessários para uma configuração adequada:

• Rede local

• Rede virtual conectada ao local

• Resolvedor Privado do Azure

• Zonas DNS privadas privatelink.database.windows.net com registro de tipo A

• Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)

O diagrama a seguir ilustra a sequência de resolução DNS de uma rede virtual local. A configuração usa um Resolvedor Privado implantado no Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:

Resolvedor Privado do Azure com encaminhador DNS local

Essa configuração pode ser estendida para uma rede local que já tenha uma solução DNS em vigor.

A solução DNS local é configurada para encaminhar o tráfego DNS para o DNS do Azure por meio de um encaminhador condicional. O encaminhador condicional faz referência ao Resolvedor Privado implantado no Azure.

Observação

Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure

Para configurar corretamente, você precisará dos seguintes recursos:

• Rede local com uma solução de DNS personalizada em vigor

• Rede virtual conectada ao local

• Resolvedor Privado do Azure

• Zonas DNS privadas privatelink.database.windows.net com registro de tipo A

• Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)

O diagrama a seguir ilustra a resolução DNS de uma rede local. A resolução de DNS é encaminhada condicionalmente para o Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual.

Importante

O encaminhamento condicional deve ser feito para o encaminhador de zona DNS pública recomendado. Por exemplo: database.windows.net em vez de privatelink.database.windows.net.

Resolver Privado do Azure para rede virtual e cargas de trabalho locais

Para cargas de trabalho que acessam um ponto de extremidade privado de redes virtuais e locais, use o Resolvedor Privado do Azure para resolver a zona DNS pública do serviço do Azure implantada no Azure.

O cenário a seguir é de uma rede local com redes virtuais no Azure. Ambas as redes acessam o ponto de extremidade privado localizado em uma rede de hub compartilhada.

O resolvedor privado é responsável por resolver todas as consultas DNS por meio do serviço DNS fornecido pelo Azure 168.63.129.16.

Importante

Você só precisa de uma zona DNS privada para essa configuração. Todas as conexões de cliente estabelecidas em redes virtuais emparelhadas e locais também devem usar a mesma zona DNS privada.

Observação

Este cenário usa a zona DNS privada recomendada do Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.

Para configurar corretamente, você precisará dos seguintes recursos:

• Rede local

• Rede virtual conectada ao local

• Rede virtual emparelhada 

• Resolvedor Privado do Azure

• Zonas DNS privadas privatelink.database.windows.net com registro de tipo A

• Informações do ponto de extremidade privado (nome do registro FQDN e endereço IP privado)

O diagrama a seguir mostra a resolução DNS para ambas as redes, local e virtual. A resolução está usando o Resolvedor Privado do Azure.

A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:

Grupo de zonas DNS privadas

Se você optar por integrar seu ponto de extremidade privado a uma zona DNS privada, um grupo da zonas DNS privadas também será criado. O grupo de zonas DNS tem uma forte associação entre a zona DNS privada e o ponto de extremidade privado. Ele ajuda a gerenciar os registros de zona DNS privados quando há uma atualização no ponto de extremidade privado. Por exemplo, quando você adiciona ou remove regiões, a zona DNS privada é atualizada automaticamente com o número correto de registros.

Anteriormente, os registros DNS para o ponto de extremidade privado eram criados por meio de script (recuperando determinadas informações sobre o ponto de extremidade privado para, depois, adicioná-los à zona DNS). Com o grupo de zonas DNS, não é necessário escrever nenhuma linha adicional na CLI ou no PowerShell para toda zona DNS. Além disso, quando você exclui o ponto de extremidade privado, todos os registros DNS no grupo de zonas DNS também são excluídos.

Em uma topologia hub-and-spoke, um cenário comum permite a criação de zonas DNS privadas apenas uma vez no hub. Essa configuração permite que os spokes se registrem nele, em vez de criar zonas diferentes em cada spoke.

Observação

• Cada grupo de zonas DNS pode dar suporte a até cinco zonas DNS.
• Não há suporte para a adição de vários grupos de zonas DNS a um ponto de extremidade privado.
• As operações de exclusão e atualização de registros DNS podem ser executadas pelo Gerenciador de Tráfego do Azure e pelo DNS. Essa é uma operação de plataforma normal necessária para gerenciar seus registros DNS.

Próximas etapas

• Saiba mais sobre os pontos de extremidade privados