Implementar DNS em ambientes híbridos
Atualmente, a Contoso usa VMs do Windows Server em seu datacenter local para implementar o DNS. Como engenheiro de sistema líder, você deve decidir se implementa o DNS do Azure para substituir a funcionalidade dessas cargas de trabalho locais ou se implementa o DNS em VMs do Windows Server.
Há vários cenários nos quais a Contoso pode decidir implementar o DNS usando IaaS do Windows Server, além do DNS do Azure ou no local do DNS do Azure. Esses cenários podem incluir:
- Configurando a resolução de nomes entre VMs em VNets diferentes.
- Configurando a resolução de nomes de host do Azure de computadores locais.
- Implementação do encaminhamento condicional.
- Implementação de transferências de zona DNS.
Visão geral do DNS do Azure
Você pode hospedar suas zonas DNS no DNS do Azure. Especificamente, o DNS do Azure fornece serviços DNS autoritativos para suas zonas. Para que as consultas DNS para recursos no domínio da sua organização alcancem o DNS do Azure, tem de delegar esse domínio ao DNS do Azure a partir do domínio principal.
As zonas DNS que você migra para o DNS do Azure são hospedadas em uma rede global de servidores de nomes DNS no Azure. Como o DNS do Azure usa comunicações anycast, uma consulta DNS da sua organização é direcionada para o servidor DNS do Azure mais próximo, o que ajuda a fornecer um bom desempenho e alta disponibilidade desse serviço de infraestrutura crítica. Você pode usar o controle de acesso baseado em função (RBAC) para selecionar quais de seus usuários podem gerenciar seus domínios DNS do Azure.
Limitações e considerações do DNS do Azure
O DNS do Azure é uma plataforma em evolução, e novos recursos e capacidades estão sendo adicionados o tempo todo. No entanto, no momento, o DNS do Azure tem algumas limitações.
- Você só pode vincular uma VNet específica a uma zona DNS privada.
- O DNS reverso (às vezes chamado de inverso) funciona apenas para o espaço de endereço IP privado na VNet vinculada.
- Atualmente, não há suporte para encaminhamento condicional.
- Atualmente, o DNS do Azure não oferece suporte às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).
- O DNS do Azure não dá suporte a transferências de zona.
- Há vários limites ao usar zonas DNS públicas relacionadas ao número de zonas e registros por assinatura.
DNS Privado do Azure
O DNS do Azure fornece suporte para DNS público e DNS, conforme descrito na tabela a seguir.
| Serviço DNS | Description |
|---|---|
| DNS público do Azure | Fornece resolução de nomes para domínios DNS voltados para a Internet. Você usa o DNS público do Azure para hospedar os domínios DNS da sua organização. |
| DNS privado do Azure | Fornece resolução de nomes para VMs dentro de uma VNet e entre VNets. Permite configurar nomes de zonas com uma vista de horizonte dividido; isso permite que uma zona DNS privada e pública compartilhem o mesmo nome de zona. |
Para resolver os registros da zona DNS privada da sua rede virtual, você deve vincular a rede virtual à zona. As redes virtuais vinculadas têm acesso total e podem resolver todos os registros DNS publicados na zona privada. Além disso, você também pode habilitar o registro automático em um link VNet. Se você habilitar o registro automático, os registros DNS para as VMs nessa VNet serão registrados na zona privada. Quando o registro automático está habilitado, o DNS do Azure também atualiza os registros de zona sempre que uma VM é criada, altera seu endereço IP ou é excluída.
A tabela a seguir descreve os recursos do DNS Privado do Azure.
| Funcionalidade | Description |
|---|---|
| Permite o registro automático de VMs de uma rede virtual vinculada a uma zona privada | Suas VMs são registradas em sua zona privada como registros de host (A) que são resolvidos para os endereços IP privados das VMs. Depois de habilitar o registro automático, quando você exclui uma VM em uma rede virtual, o DNS do Azure remove automaticamente o registro DNS correspondente da zona privada vinculada. |
| O Azure dá suporte à resolução DNS de encaminhamento entre VNets que você vincula à sua zona privada | Quando você implementa a resolução de nomes DNS entre VNets, não há nenhum requisito explícito para emparelhar suas redes virtuais. Talvez você ainda queira emparelhar VNets por outros motivos não relacionados ao DNS. |
| O Azure dá suporte à pesquisa reversa de DNS dentro do escopo da rede virtual | A pesquisa reversa de DNS para um endereço IP privado dentro de uma VNet que você atribui a uma zona privada retorna o FQDN (nome de domínio totalmente qualificado) do host que inclui o nome do host/registro e o nome da zona como sufixo. |
Implementar DNS com VMs IaaS do Azure
Os servidores DNS do Windows Server conectados a uma rede virtual podem encaminhar consultas DNS para os resolvedores recursivos no Azure. Tal permite-lhe resolver os nomes de anfitrião nessa VNet.
Por exemplo, a equipe de TI da Contoso implanta uma VM de controlador de domínio que também executa a função de servidor DNS no Azure. Nesse caso, a VM poderia responder a consultas DNS para seu domínio local. A VM também pode encaminhar todas as outras consultas para o Azure. Ao encaminhar consultas, isso permite que as VMs da Contoso localizem seus recursos locais (por meio do controlador de domínio) e os nomes de host fornecidos pelo Azure (por meio do encaminhador).
Nota
O Azure fornece acesso aos seus resolvedores DNS recursivos utilizando o seguinte endereço IPv4 virtual: 168.63.129.16.
Você pode usar o encaminhamento DNS para:
- Habilite a resolução DNS entre redes virtuais.
- Habilite suas máquinas locais para resolver nomes de host fornecidos pelo Azure.
Gorjeta
Para resolver o nome de host de uma VM, você deve configurar seu servidor DNS para encaminhar consultas de nome de host para o Azure.
Como o sufixo DNS é diferente em cada VNet, você usa regras de encaminhamento condicional para enviar consultas DNS para a VNet correta para resolução.
Nota
Quando você usa seus próprios servidores DNS, o Azure fornece a capacidade de especificar vários servidores DNS em cada rede virtual.
O diagrama a seguir tem duas VNets e uma rede local executando resolução DNS entre VNets usando encaminhamento.
Leitura adicional
Pode saber mais ao consultar os seguintes documentos: