Projetar a resolução de nomes para sua rede virtual

  • 10 minutos

O DNS é dividido em duas áreas: DNS Público e DNS Privado para recursos acessíveis a partir de suas próprias redes internas.

Serviços públicos de DNS

Os serviços DNS públicos resolvem nomes e endereços IP para recursos e serviços acessíveis através da Internet, tais como servidores Web. O DNS do Azure é um serviço de hospedagem para domínio DNS que fornece resolução de nomes usando a infraestrutura do Microsoft Azure. Os domínios DNS no DNS do Azure estão alojados na rede global do Azure de servidores de nomes DNS. O DNS do Azure utiliza a rede de transmissão. Cada consulta DNS é direcionada para o servidor DNS disponível mais próximo.

No DNS do Azure, você pode criar registros de endereço manualmente dentro de zonas relevantes. Os registos mais frequentemente utilizados são:

  • Registos de anfitrião: A/AAAA (IPv4/IPv6)
  • Registos de alias: CNAME

O DNS do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada.

Uma zona DNS hospeda os registros DNS de um domínio. Portanto, para começar a hospedar seu domínio no DNS do Azure, você precisa criar uma zona DNS para esse nome de domínio. Cada registo DNS para o seu domínio é então criado no interior desta zona DNS.

Considerações

  • O nome da zona deve ser exclusivo dentro do grupo de recursos e a zona não pode já existir.
  • O mesmo nome de zona pode ser reutilizado num grupo de recursos diferente ou numa subscrição diferente do Azure.
  • Onde as várias zonas partilham o mesmo nome, cada instância é atribuída a diferentes endereços do servidor do nome.
  • O domínio raiz/pai é registrado no registrador e apontado para o Azure NS.
  • Os domínios filho são registrados diretamente no AzureDNS.

Nota

Não é necessário possuir um nome de domínio para criar uma zona DNS com esse nome de domínio no DNS do Azure. No entanto, você precisa possuir o domínio para configurá-lo.

Delegar domínios DNS

O DNS do Azure permite-lhe alojar uma zona DNS e gerir os registos de DNS para um domínio no Azure. Para que as consultas do DNS de um domínio alcancem o DNS do Azure, o domínio tem de ser delegado ao DNS do Azure a partir do domínio principal. Tenha em atenção que o DNS do Azure não é a entidade de registo de domínio.

Para delegar seu domínio ao DNS do Azure, primeiro você precisa saber os nomes de servidor de nomes para sua zona. Sempre que uma zona DNS é criada, o DNS do Azure aloca servidores de nomes de um pool. Depois que os Servidores de Nomes são atribuídos, o DNS do Azure cria automaticamente registros NS autoritativos em sua zona.

Depois que a zona DNS for criada e você tiver os servidores de nomes, será necessário atualizar o domínio pai. Cada entidade de registo tem as suas próprias ferramentas de gestão de DNS para alterar os registos do servidor de nome de um domínio. Na página de gestão do DNS da entidade de registo, edite os registos NS e substitua os registos NS por aqueles que o DNS do Azure criou.

Nota

Quando delegar um domínio ao DNS do Azure, tem de utilizar os nomes dos servidores de nome fornecidos pelo DNS do Azure. Você deve sempre usar todos os quatro nomes de servidor de nomes, independentemente do nome do seu domínio.

Domínios filho

Se pretende configurar uma zona subordinada em separado, pode delegar um subdomínio no DNS do Azure. Por exemplo, depois de configurar contoso.com no DNS do Azure, você pode configurar uma zona filho separada para partners.contoso.com.

A configuração de um subdomínio segue o mesmo processo da delegação típica. A única diferença é que os registros NS devem ser criados na zona pai contoso.com no DNS do Azure, em vez de no registrador de domínio.

Nota

As zonas pai e filho podem estar no mesmo grupo de recursos ou em grupos de recursos diferentes. Observe que o nome do conjunto de registros na zona pai corresponde ao nome da zona filha, neste caso parceiros.

É importante entender a diferença entre conjuntos de registros DNS e registros DNS individuais. Um conjunto de registros é uma coleção de registros em uma zona que têm o mesmo nome e são do mesmo tipo.

Captura de ecrã da página Adicionar um conjunto de registos.

Um conjunto de registros não pode conter dois registros idênticos. Conjuntos de registros vazios (com zero registros) podem ser criados, mas não aparecem nos servidores de nomes DNS do Azure. Os conjuntos de registros do tipo CNAME podem conter um registro no máximo.

A página Adicionar conjunto de registros é alterada dependendo do tipo de registro selecionado. Para um registro A, você precisa do TTL (Time to Live) e do endereço IP. O tempo de vida, ou TTL, especifica por quanto tempo cada registro fica armazenado em cache.

Captura de ecrã da página Adicionar um registo.

Serviços DNS privados

Serviços DNS privados resolvem nomes e endereços IP para recursos e serviços

Quando os recursos implantados em redes virtuais precisam resolver nomes de domínio para endereços IP internos, eles podem usar um dos três métodos:

  • Zonas Privadas do DNS do Azure
  • Resolução de nomes fornecida pelo Azure
  • Resolução de nomes que utiliza o seu próprio servidor DNS

O tipo de resolução de nomes que utiliza depende do modo como os recursos têm de comunicar entre si.

Suas necessidades de resolução de nomes podem ir além dos recursos fornecidos pelo Azure. Por exemplo, talvez seja necessário usar domínios do Ative Directory do Microsoft Windows Server para resolver nomes DNS entre redes virtuais. Para cobrir esses cenários, o Azure fornece a capacidade de você usar seus próprios servidores DNS.

Os servidores DNS dentro de uma rede virtual podem encaminhar consultas DNS para os resolvedores recursivos no Azure. Por exemplo, um controlador de domínio (DC) em execução no Azure pode responder a consultas DNS para seus domínios e encaminhar todas as outras consultas para o Azure. O encaminhamento de consultas permite que as VMs vejam seus recursos locais (por meio do DC) e os nomes de host fornecidos pelo Azure (por meio do encaminhador). O acesso aos resolvedores recursivos no Azure é disponibilizado através do IP virtual 168.63.129.16.

O encaminhamento de DNS também permite a resolução de DNS entre redes virtuais e permite que suas máquinas locais resolvam nomes de host fornecidos pelo Azure. Para resolver o nome de host de uma VM, a VM do servidor DNS deve residir na mesma rede virtual e ser configurada para encaminhar consultas de nome de host para o Azure. Como o sufixo DNS é diferente em cada rede virtual, você pode usar regras de encaminhamento condicional para enviar consultas DNS para a rede virtual correta para resolução.

DNS fornecido pelo Azure

O Azure fornece seu próprio DNS interno padrão gratuito. A resolução de nomes fornecida pelo Azure fornece apenas recursos básicos de DNS autoritativo. Se você usar essa opção, os nomes e registros de zona DNS serão gerenciados automaticamente pelo Azure. Não é possível controlar os nomes de zona DNS ou o ciclo de vida dos registos DNS.

O DNS interno define um namespace da seguinte maneira: .internal.cloudapp.net.

Qualquer VM criada na rede virtual é registrada na zona DNS interna e obtém um nome de domínio DNS como myVM.internal.cloudapp.net. É importante reconhecer que é o nome do Recurso do Azure que está registrado, não o nome do SO convidado na VM.

Limitações do DNS interno

  • Não é possível resolver em VNets diferentes.
  • Registra nomes de recursos, não nomes de SO convidados.
  • Não permite a criação manual de registros.

Zonas de DNS Privado do Azure

As zonas DNS privadas no Azure estão disponíveis apenas para recursos internos. Eles são globais em escopo, para que você possa acessá-los de qualquer região, qualquer assinatura, qualquer rede virtual e qualquer locatário. Se você tiver permissão para ler a zona, poderá usá-la para resolução de nomes. As zonas DNS privadas são altamente resilientes, sendo replicadas para regiões em todo o mundo. Eles não estão disponíveis para recursos na internet.

Para cenários que exigem mais flexibilidade do que o DNS interno permite, você pode criar suas próprias zonas DNS privadas. Estas zonas permitem-lhe:

  • Configure um nome DNS específico para uma zona.
  • Crie registros manualmente quando necessário.
  • Resolva nomes e endereços IP em diferentes zonas.
  • Resolva nomes e endereços IP em diferentes redes virtuais.

Criar uma zona DNS privada usando o portal

Você pode criar uma zona DNS privada usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Captura de ecrã da pesquisa de zona DNS privada.

Quando a nova zona DNS é implantada, você pode criar manualmente registros de recursos ou usar o registro automático. O registro automático cria registros de recursos com base no nome do recurso do Azure.

As zonas DNS privadas suportam toda a gama de registos, incluindo ponteiros, MX, SOA, serviço e registos de texto.

No Azure, uma VNet representa um grupo de uma ou mais sub-redes, conforme definido por um intervalo CIDR. Recursos como VMs são adicionados a sub-redes.

No nível da rede virtual, a configuração de DNS padrão faz parte das atribuições DHCP feitas pelo Azure, especificando o endereço especial 168.63.129.16 para usar os serviços DNS do Azure.

Se necessário, você pode substituir a configuração padrão configurando um servidor DNS alternativo na placa de rede da VM.

Captura de ecrã da configuração predefinida do DNS.

Duas maneiras de vincular redes virtuais a uma zona privada:

  • Registo: Cada rede virtual pode ligar-se a uma zona DNS privada para registo. No entanto, até 100 redes virtuais podem ser vinculadas à mesma zona DNS privada para registro.
  • Resolução: pode haver muitas outras zonas DNS privadas para namespaces diferentes. Você pode vincular uma VNet a cada uma dessas zonas para resolução de nomes. Cada rede virtual pode ser vinculada a até 1000 zonas DNS privadas para resolução de nomes.

Captura de ecrã das zonas de resolução DNS privadas.

Integrando DNS local com redes virtuais do Azure

Se você tiver um servidor DNS externo, por exemplo, um servidor local, poderá usar a configuração DNS personalizada em sua rede virtual para integrar os dois.

Seu DNS externo pode ser executado em qualquer servidor DNS: BIND no UNIX, DNS dos Serviços de Domínio Ative Directory e assim por diante. Se quiser usar um servidor DNS externo e não o serviço DNS padrão do Azure, você deve configurar os servidores DNS desejados.

As organizações geralmente usam uma zona DNS privada interna do Azure para registro automático e, em seguida, usam uma configuração personalizada para encaminhar consultas a zonas externas de um servidor DNS externo.

O encaminhamento assume duas formas:

  • Encaminhamento - especifica outro servidor DNS (SOA para uma zona) para resolver a consulta se o servidor inicial não puder.
  • Reencaminhamento condicional - especifica um servidor DNS para uma zona nomeada, para que todas as consultas dessa zona sejam encaminhadas para o servidor DNS especificado.

Nota

Se o servidor DNS estiver fora do Azure, ele não terá acesso ao DNS do Azure em 168.63.129.16. Nesse cenário, configure um resolvedor de DNS dentro de sua rede virtual, encaminhe consultas para ela e faça com que ele encaminhe consultas para 168.63.129.16 (DNS do Azure). Essencialmente, você está usando o encaminhamento porque 168.63.129.16 não é roteável e, portanto, não é acessível a clientes externos.

Diagrama de como funciona o encaminhamento condicional.

Escolha a melhor resposta para a pergunta.