Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Resolvedor Privado de DNS do Azure é um serviço totalmente gerenciado e altamente disponível que permite uma resolução DNS segura e contínua entre redes virtuais do Azure e ambientes locais, sem a necessidade de implantar, gerenciar ou corrigir servidores DNS personalizados. Este serviço permite-lhe resolver consultas DNS para zonas DNS privadas a partir de qualquer lugar, facilitando a conectividade de rede híbrida e simplificando a gestão de rede para cenários empresariais.
Como funciona?
O Resolvedor Privado de DNS do Azure requer uma Rede Virtual do Azure. Quando cria um Azure DNS Private Resolver dentro de uma rede virtual, um ou mais pontos de extremidade de entrada são estabelecidos que podem ser usados como destino para consultas DNS. O endpoint de saída do resolvador processa consultas DNS com base num conjunto de regras de encaminhamento de DNS que você configura. As consultas DNS iniciadas em redes ligadas a um conjunto de regras podem ser enviadas para outros servidores DNS.
Não precisa alterar nenhuma configuração do cliente DNS nas suas máquinas virtuais (VMs) para usar o Azure DNS Private Resolver.
O processo de consulta DNS ao utilizar um Azure DNS Private Resolver é resumido da seguinte forma:
- Um cliente numa rede virtual emite uma consulta DNS.
- Se os servidores DNS para esta rede virtual forem especificados como personalizados, então a consulta é encaminhada para os endereços IP especificados.
- Se os servidores DNS predefinidos (fornecidos pela Azure) estiverem configurados na rede virtual, e houver zonas de DNS Privadas ligadas à mesma rede virtual, essas zonas são consultadas.
- Se a consulta não corresponder a uma zona DNS Privada ligada à rede virtual, então os links de rede virtual para conjuntos de regras de encaminhamento de DNS são consultados.
- Se não estiverem presentes ligações de regras, então o Azure DNS é utilizado para resolver a consulta.
- Se os links do conjunto de regras estiverem presentes, as regras de encaminhamento de DNS são avaliadas.
- Se for encontrado um sufixo correspondente, a consulta será encaminhada para o endereço especificado.
- Se estiverem presentes múltiplas correspondências, é usado o sufixo mais longo.
- Se não for encontrada nenhuma correspondência, não ocorre encaminhamento de DNS e o Azure DNS é usado para resolver a consulta.
A arquitetura para o Azure DNS Private Resolver é resumida na figura seguinte. A resolução de DNS entre redes virtuais do Azure e redes locais requer o Azure ExpressRoute ou uma VPN.
Figura 1: Arquitetura do Resolvedor Privado de DNS do Azure
Para mais informações sobre como criar um resolvedor de DNS privado, consulte:
- Início Rápido: Criar um Resolver Privado de DNS do Azure usando o portal Azure
- Início Rápido: Criar um Resolutor Privado de DNS do Azure usando o Azure PowerShell
Vantagens do Azure DNS Private Resolver
Azure DNS Private Resolver oferece os seguintes benefícios:
- Totalmente gerido: Alta disponibilidade incorporada, redundância de zona.
- Redução de custos: Reduza os custos operacionais e opere a uma fração do preço das soluções tradicionais de IaaS.
- Acesso privado às suas zonas de DNS privadas: Encaminhamento condicional para e a partir de instalações locais.
- Scalabilidade: Alto desempenho por cada ponto final.
- DevOps Friendly: Construa os seus pipelines com o Terraform, ARM ou Bicep.
Disponibilidade regional
Consulte Produtos do Azure por Região - DNS do Azure.
Residência de dados
O Azure DNS Private Resolver não move nem armazena dados de clientes fora da região onde o resolver está implementado.
Pontos de extremidade do resolvedor de DNS e conjuntos de regras
Um resumo dos pontos finais de resolução e conjuntos de regras é fornecido neste artigo. Para obter informações detalhadas sobre endpoints e conjuntos de regras, veja Endpoints e conjuntos de regras do Azure DNS Private Resolver.
Pontos de extremidade de entrada
Um ponto de extremidade de entrada permite a resolução de nomes a partir de locais on-premises ou outros locais privados através de um endereço IP que faz parte do espaço de endereços da sua rede virtual privada. Para resolver a sua zona DNS privada no Azure a partir das suas instalações, introduza o endereço IP do ponto final de entrada no encaminhador condicional do DNS das suas instalações. O reencaminhador condicional de DNS no local deve ter uma ligação de rede à rede virtual.
O ponto de extremidade de entrada requer uma sub-rede na VNet onde está provisionado. A sub-rede pode ser delegada apenas para Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços. Consultas DNS recebidas pelo ponto final de entrada em Azure. Pode resolver nomes em cenários onde tem zonas de DNS privadas, incluindo VMs que estão a utilizar registo automático ou serviços com o Private Link ativado.
Nota
O endereço IP atribuído a um ponto final de entrada pode ser especificado como estático ou dinâmico. Para mais informações, consulte endereços IP de endpoint estáticos e dinâmicos.
Pontos terminais de saída
Um ponto de extremidade de saída permite a resolução de nomes com encaminhamento condicional do Azure para instalações locais, outros fornecedores de nuvem, ou servidores DNS externos. Este endpoint requer uma subnet dedicada na VNet onde está provisionado, sem outro serviço a funcionar na subnet, e só pode ser delegado para Microsoft.Network/dnsResolvers. As consultas DNS enviadas para o endpoint de saída sairão da Azure.
links de rede virtual
As ligações de rede virtual permitem a resolução de nomes para redes virtuais que estão ligadas a um ponto final de saída com um conjunto de regras de encaminhamento de DNS. Esta é uma relação de 1:1.
Conjuntos de regras de encaminhamento DNS
Um conjunto de regras de reencaminhamento DNS é um grupo de regras de reencaminhamento DNS (até mil) que pode ser aplicado a um ou mais pontos terminais de saída ou associado a uma ou mais redes virtuais. Esta é uma relação 1:N. Os conjuntos de regras estão associados a um ponto final de saída específico. Para obter mais informações, consulte Conjuntos de regras de encaminhamento DNS.
Regras de encaminhamento de DNS
Uma regra de encaminhamento DNS inclui um ou mais servidores DNS alvo que são usados para encaminhamento condicional, e é representada por:
- Nome de domínio
- Um endereço IP de destino
- Uma porta e protocolo de destino (UDP ou TCP)
Restrições
Os seguintes limites aplicam-se atualmente ao Azure DNS Private Resolver:
Resolvedor privado de DNS1
| Recurso | Limit |
|---|---|
| Resolvedores privados de DNS por subscrição | 15 |
| Pontos de extremidade de entrada por resolvedor privado de DNS | 5 |
| Pontos de extremidade de saída por resolvedor DNS privado | 5 |
| Regras de encaminhamento por conjunto de regras de encaminhamento DNS | 1000 |
| Ligações de rede virtual por conjunto de regras de encaminhamento de DNS | 500 |
| Pontos finais de saída por conjunto de regras de encaminhamento DNS | 2 |
| Regras de encaminhamento de DNS por ponto final de saída | 2 |
| Servidores DNS de destino por regra de encaminhamento | 6 |
| QPS por ponto final | 10.000 |
1Limites diferentes podem ser aplicados pelo portal do Azure até que o portal seja atualizado. Utilize o PowerShell para disponibilizar elementos até os limites mais atuais.
Restrições da rede virtual
As seguintes restrições aplicam-se às redes virtuais:
- VNets com encriptação ativada não suportam o Azure DNS Private Resolver.
- O resolvedor de DNS pode apenas referenciar uma rede virtual na mesma região que ele.
- Uma rede virtual não pode ser partilhada entre vários resolvedores DNS. Uma única rede virtual pode ser referenciada apenas por um único resolvedor de DNS.
Restrições de sub-rede
As sub-redes utilizadas para o solucionador de DNS têm as seguintes limitações:
- Uma sub-rede deve ter um espaço de endereço mínimo de /28 ou um espaço de endereço máximo de /24. Uma sub-rede /28 é suficiente para acomodar os limites atuais de endpoints. Um tamanho de sub-rede de /27 a /24 pode proporcionar flexibilidade se esses limites mudarem.
- Uma sub-rede não pode ser partilhada entre múltiplos pontos finais do resolvedor DNS. Um único sub-rede só pode ser usado por um único ponto de extremidade do resolvedor DNS.
- Todas as configurações de IP para um ponto de extremidade de entrada do resolvedor de DNS devem fazer referência à mesma sub-rede em que o ponto de extremidade é provisionado.
- A sub-rede usada para um ponto de extremidade de entrada do resolvedor DNS deve estar dentro da rede virtual referenciada pelo resolvedor DNS pai.
- A sub-rede pode ser delegada apenas para Microsoft.Network/dnsResolvers e não pode ser usada para outros serviços.
Restrições de ponto de extremidade de saída
Os endpoints de saída têm as seguintes limitações:
- Um ponto de extremidade de saída não pode ser excluído, a menos que o conjunto de regras de encaminhamento DNS e os links de rede virtual sob ele sejam excluídos.
Restrições de conjunto de regras
- Os conjuntos de regras podem ter até 1000 regras.
- A ligação entre hospedeiros de Conjuntos de Regras não é suportada.
Outras restrições
- Não é suportada a ligação de conjuntos de regras entre diferentes locatários.
- Não há suporte para sub-redes habilitadas para IPv6.
- O resolvedor privado de DNS não suporta o Azure ExpressRoute FastPath.
- O resolvedor privado de DNS não é compatível com Azure Lighthouse.
- Para verificar se o Azure Lighthouse está em uso, pesquise por Provedores de serviço no portal do Azure e selecione Ofertas de provedores de serviço.
Próximos passos
- Aprenda a criar um DNS Privado do Azure Resolver usando Azure PowerShell ou portal do Azure.
- Compreenda como resolver domínios do Azure e locais usando o Azure DNS Private Resolver.
- Saiba mais sobre os pontos de extremidade e conjuntos de regras do Azure DNS Private Resolver.
- Saiba como configurar o failover de DNS usando resolvedores privados
- Aprenda como configurar DNS híbrido usando resolvers privados.
- Saiba mais sobre algumas das outras principais capacidades de rede do Azure.
- Módulo de aprendizagem: Introdução ao DNS do Azure.