Integre o ponto de extremidade privado com o DNS

17 minutos

As zonas DNS privadas normalmente são hospedadas centralmente na mesma assinatura do Azure em que a VNet de hub é implantada. Essa prática de hospedagem central é impulsionada pela resolução de nomes DNS entre locais e outras necessidades de resolução DNS central, como o Ative Directory. Na maioria dos casos, apenas os administradores de rede/identidade têm permissões para gerenciar registros DNS nessas zonas.

Configuração de DNS do Ponto Final Privado do Azure

O diagrama a seguir mostra uma arquitetura típica de alto nível para ambientes corporativos com resolução DNS central e onde a resolução de nomes para recursos de Link Privado é feita por meio do DNS Privado do Azure:

Diagrama de fluxo de trabalho de alto nível de ambientes empresariais com resolução DNS central e onde a resolução de nomes para recursos de Link Privado é feita por meio do DNS Privado do Azure.

Do diagrama anterior, é importante destacar que:

Os servidores DNS locais têm encaminhadores condicionais configurados para cada encaminhador de zona DNS público de Ponto Final Privado apontando para os encaminhadores DNS (10.100.2.4 e 10.100.2.5) hospedados na VNet do hub.
Os servidores DNS 10.100.2.4 e 10.100.2.5 hospedados na VNet do hub usam o resolvedor de DNS fornecido pelo Azure (168.63.129.16) como um encaminhador.
Todas as VNets do Azure têm os encaminhadores DNS (10.100.2.4 e 10.100.2.5) configurados como os servidores DNS primário e secundário.
Há duas condições que devem ser verdadeiras para permitir que as equipes de aplicativos tenham a liberdade de criar quaisquer recursos de PaaS do Azure necessários em sua assinatura:
A equipe de rede central e/ou plataforma central deve garantir que as equipes de aplicativos só possam implantar e acessar serviços de PaaS do Azure por meio de pontos de extremidade privados.
As equipes de rede central e/ou plataforma central devem garantir que, sempre que pontos de extremidade privados forem criados, os registros correspondentes sejam criados automaticamente na zona DNS privada centralizada que corresponde ao serviço criado.
O registro DNS precisa seguir o ciclo de vida do Ponto Final Privado e remover automaticamente o registro DNS quando o Ponto Final Privado for excluído.

Importância do endereço IP 168.63.129.16

O endereço IP 168.63.129.16 é um endereço IP público virtual usado para facilitar um canal de comunicação com os recursos da plataforma Azure. Os clientes podem definir qualquer espaço de endereço para sua rede virtual privada no Azure. Os recursos da plataforma Azure devem ser apresentados como um endereço IP público exclusivo. Este endereço IP público virtual facilita as seguintes coisas:

Permite que o Agente de VM se comunique com a plataforma do Azure para sinalizar que está em um estado "Pronto"
Permite a comunicação com o servidor virtual DNS para fornecer resolução de nome filtrada para os recursos (como VM) que não têm um servidor DNS personalizado. Essa filtragem garante que os clientes possam resolver apenas os nomes de host de seus recursos
Permite que as sondas de integridade do balanceador de carga do Azure determinem o estado de integridade das VMs
Permite que a VM obtenha um endereço IP dinâmico do serviço DHCP no Azure
Habilita mensagens de pulsação do Agente Convidado para a função PaaS

Exemplos de configuração de zona DNS privada dos serviços do Azure

O Azure cria um registro DNS de nome canônico (CNAME) no DNS público. O registro CNAME redireciona a resolução para o nome de domínio privado. Pode substituir a resolução pelo endereço IP privado dos seus Pontos de Extremidade Privados.

As suas aplicações não precisam de alterar o URL de ligação. Ao resolver para um serviço DNS público, o servidor DNS será resolvido para os seus Pontos de Extremidade Privados. O processo não afeta seus aplicativos existentes.

As redes privadas que já utilizam a zona DNS privada para um determinado tipo só podem ligar-se a recursos públicos se não tiverem quaisquer ligações de Ponto Final Privado, caso contrário, é necessária uma configuração DNS correspondente na zona DNS privada para concluir a sequência de resolução DNS.

Para serviços do Azure, use os nomes de zona recomendados encontrados na documentação.

Cenários de configuração de DNS

O FQDN dos serviços é resolvido automaticamente para um endereço IP público. Para resolver para o endereço IP privado do ponto de extremidade privado, altere sua configuração de DNS.

O DNS é um componente crítico para fazer com que o aplicativo funcione corretamente, resolvendo com êxito o endereço IP do Ponto Final Privado.

Com base nas suas preferências, os seguintes cenários estão disponíveis com resolução DNS integrada:

Cargas de trabalho locais usando um encaminhador DNS

Para cargas de trabalho locais para resolver o FQDN de um Ponto de Extremidade Privado, use um encaminhador DNS para resolver a zona DNS pública do serviço do Azure no Azure. Um reencaminhador DNS é uma Máquina Virtual em execução na Rede Virtual ligada à Zona DNS Privado que pode obter consultas DNS proxy provenientes de outras Redes Virtuais ou do local. Tal é necessário, uma vez que a consulta tem de ter origem na Rede Virtual para o DNS do Azure. Algumas opções para proxies DNS são: Windows executando serviços DNS, Linux executando serviços DNS, Firewall do Azure.

O cenário a seguir é para uma rede local que tenha um encaminhador DNS no Azure. Esse encaminhador resolve consultas DNS por meio de um encaminhador no nível do servidor para o DNS 168.63.129.16 fornecido pelo Azure.

Este cenário usa a zona DNS privada recomendada pelo Banco de Dados SQL do Azure. Para outros serviços, você pode ajustar o modelo usando a seguinte referência: Configuração de zona DNS dos serviços do Azure.

Para configurar corretamente, você precisa dos seguintes recursos:

Rede no local
Rede virtual conectada ao local
Encaminhador DNS implantado no Azure
Zonas DNS privadas privatelink.database.windows.net com registo tipo A
Informações do Ponto Final Privado (nome do registo FQDN e endereço IP privado)

O diagrama a seguir ilustra a sequência de resolução DNS de uma rede local. A configuração usa um encaminhador DNS implantado no Azure. A resolução é feita por uma zona DNS privada vinculada a uma rede virtual:

Diagrama ilustrando a sequência de resolução DNS de uma rede local usando um encaminhador DNS implantado no Azure.

Rede virtual e cargas de trabalho locais usando o Resolvedor Privado de DNS do Azure

Quando você usa o DNS Private Resolver, não precisa de uma VM de encaminhador DNS e o DNS do Azure pode resolver nomes de domínio locais.

O diagrama a seguir usa o DNS Private Resolver em uma topologia de rede hub-spoke. Como prática recomendada, o padrão de design da zona de aterrissagem do Azure recomenda o uso desse tipo de topologia. Uma conexão de rede híbrida é estabelecida usando o Azure ExpressRoute e o Firewall do Azure. Esta configuração fornece uma rede híbrida segura. O DNS Private Resolver é implantado na rede do hub.

Diagrama ilustrando cargas de trabalho locais usando o Resolvedor Privado de DNS do Azure.

Analise os componentes da solução DNS Private Resolver
Revisar o fluxo de tráfego para uma consulta DNS local
Revisar o fluxo de tráfego para uma consulta DNS de VM
Revisar o fluxo de tráfego para uma consulta DNS VM via DNS Private Resolver
Revisar o fluxo de tráfego para uma consulta DNS de VM por meio de um servidor DNS local

Verifique o seu conhecimento

Que recurso está associado a um Ponto Final Privado que contém as informações para configurar o DNS do Ponto Final Privado?

A rede virtual

A interface de rede

A zona DNS privada

Qual é a importância do endereço IP 168.63.129.16?

É um endereço IP público não virtual que é usado para facilitar um canal de comunicação com os recursos da plataforma Azure.

É um endereço estático de um encaminhador DNS.

É um endereço IP público virtual que é usado para facilitar um canal de comunicação com os recursos da plataforma Azure.

Tem de responder a todas as questões antes de verificar o seu trabalho.