Partilhar via

Serviço DNS interno (iDNS) para SDN

Se você trabalha para um CSP (Provedor de Serviços de Nuvem) ou Empresa que planeja implantar a Rede Definida por Software (SDN) no Windows Server, pode fornecer serviços DNS para suas cargas de trabalho de locatário hospedado usando o DNS Interno (iDNS), que é integrado ao SDN.

Máquinas virtuais (VMs) hospedadas e aplicativos exigem DNS para se comunicar dentro de suas próprias redes e com recursos externos na Internet. Com o iDNS, pode fornecer aos inquilinos serviços de resolução de nomes DNS para o seu espaço de nomes local isolado e para recursos da Internet.

Como o serviço iDNS não é acessível a partir de redes virtuais de locatário, exceto por meio do proxy iDNS, o servidor não está vulnerável a atividades maliciosas em redes de locatário.

Principais características

A seguir estão os principais recursos do iDNS.

  • Fornece serviços de resolução de nomes DNS compartilhados para cargas de trabalho de locatários
  • Serviço DNS autoritativo para resolução de nomes e registo DNS no espaço de nomes do locatário.
  • Serviço DNS recursivo para resolução de nomes da Internet de VMs locatárias.
  • Se desejar, é possível configurar a hospedagem simultânea de nomes de rede e inquilino
  • Uma solução de DNS econômica - os locatários não precisam implantar sua própria infraestrutura DNS
  • Alta disponibilidade com integração com o Ative Directory, que é necessária.

Além desses recursos, se você estiver preocupado em manter seus servidores DNS integrados ao AD abertos à Internet, poderá implantar servidores iDNS atrás de outro resolvedor recursivo na rede de perímetro.

Como o iDNS é um servidor centralizado para todas as consultas DNS, um CSP ou Enterprise também pode implementar firewalls DNS de locatário, aplicar filtros, detetar atividades maliciosas e auditar transações em um local central

Infraestrutura iDNS

A infraestrutura iDNS inclui servidores iDNS e proxy iDNS.

Servidores iDNS

O iDNS inclui um conjunto de servidores DNS que hospedam dados específicos do locatário, como Registros de Recursos DNS da VM.

Os servidores iDNS são os servidores autoritativos para suas zonas DNS internas e também atuam como um resolvedor para nomes públicos quando VMs locatárias tentam se conectar a recursos externos.

Todos os nomes de host para VMs em Redes Virtuais são armazenados como Registros de Recursos DNS na mesma zona. Por exemplo, se você implantar o iDNS para uma zona chamada contoso.local, os Registros de Recursos DNS para as VMs nessa rede serão armazenados na zona contoso.local.

FQDNs (Nomes de Domínio Totalmente Qualificados) da VM do Locatário consistem no nome do computador e na cadeia de caracteres de sufixo DNS para a Rede Virtual, no formato GUID. Por exemplo, se você tiver uma VM locatária chamada TENANT1 que está na Rede Virtual contoso,local, o FQDN da VM será TENANT1. vn-guid.contoso.local, onde vn-guid é a cadeia de caracteres de sufixo DNS para a Rede Virtual.

Note

Se você for um administrador de malha, poderá usar sua infraestrutura CSP ou Enterprise DNS como servidores iDNS em vez de implantar novos servidores DNS especificamente para uso como servidores iDNS. Quer implemente novos servidores para iDNS ou utilize a sua infraestrutura existente, o iDNS depende do Ative Directory para fornecer alta disponibilidade. Os servidores iDNS devem, portanto, ser integrados ao Ative Directory.

Proxy iDNS

O proxy iDNS é um serviço do Windows que é executado em todos os hosts e que encaminha o tráfego DNS da Rede Virtual do locatário para o Servidor iDNS.

A ilustração a seguir mostra os caminhos de tráfego DNS das Redes Virtuais do locatário através do proxy iDNS para o Servidor iDNS e a Internet.

Infraestrutura iDNS

Como implantar o iDNS

Quando você implanta o SDN no Windows Server 2016 usando scripts, o iDNS é incluído automaticamente na sua implantação.

Para obter mais informações, consulte os tópicos a seguir.

Noções básicas sobre as etapas de implantação do iDNS

Você pode usar esta seção para entender como o iDNS é instalado e configurado quando você implanta o SDN usando scripts.

A seguir está um resumo das etapas necessárias para implantar o iDNS.

Note

Se você tiver implantado o SDN usando scripts, não precisará executar nenhuma dessas etapas. As etapas são fornecidas apenas para fins de informação e solução de problemas.

Etapa 1: Implantar o DNS

Você pode implantar um servidor DNS usando o seguinte exemplo de comando do Windows PowerShell.

Install-WindowsFeature DNS -IncludeManagementTools

Etapa 2: Configurar informações de iDNS no controlador de rede

Este segmento de script é uma chamada REST que é feita pelo administrador para o controlador de rede, informando-o sobre a configuração da zona iDNS - como o endereço IP do iDNSServer e a zona que é usada para hospedar os nomes iDNS.

Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
{
      "properties": {
        "connections": [
          {
            "managementAddresses": [
              "10.0.0.9"
            ],
            "credential": {
              "resourceRef": "/credentials/iDnsServer-Credentials"
            },
            "credentialType": "usernamePassword"
          }
        ],
        "zone": "contoso.local"
      }
    }

Note

Este é um trecho da seção Configuration ConfigureIDns em SDNExpress.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida por software usando scripts.

Etapa 3: Configurar o serviço de proxy iDNS

O iDNS Proxy Service é executado em cada um dos Hyper-V hosts, fornecendo a ponte entre as redes virtuais de locatários e a rede física onde os servidores iDNS estão localizados. As seguintes chaves do Registro devem ser criadas em cada host Hyper-V.

Porta DNS: Porta fixa 53

  • Chave do Registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "Porta"
  • ValorDados = 53
  • TipoDeValor = "Dword"

Porta de proxy DNS: Porta fixa 53

  • Chave do Registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "ProxyPort"
  • ValorDados = 53
  • TipoDeValor = "Dword"

IP DNS: Endereço IP fixo configurado na interface de rede, caso o locatário opte por usar o serviço iDNS

  • Chave do Registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "IP"
  • ValueData = "169.254.169.254"
  • ValueType = "String"

Endereço Mac: Endereço de controle de acesso à mídia do servidor DNS

  • Chave do Registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
  • ValueName = "MAC"
  • ValueData = "aa-bb-cc-aa-bb-cc"
  • ValueType = "String"

Endereço do servidor IDNS: Uma lista separada por vírgulas de Servidores iDNS.

  • Chave do Registro: HKLM\SYSTEM\CurrentControlSet\Services\DNSProxy\Parameters
  • ValueName = "Encaminhadores"
  • ValueData = "10.0.0.9"
  • ValueType = "String"

Note

Este é um trecho da seção Configuration ConfigureIDnsProxy em SDNExpress.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida por software usando scripts.

Etapa 4: Reinicie o serviço de agente de host do controlador de rede

Você pode usar o seguinte comando do Windows PowerShell para reiniciar o Serviço de Agente de Host do Controlador de Rede.

Restart-Service nchostagent -Force

Para obter mais informações, consulte Restart-Service.

Habilitar regras de firewall para o serviço de proxy DNS

Você pode usar o seguinte comando do Windows PowerShell para criar uma regra de firewall que permita exceções para que o proxy se comunique com a VM e o servidor iDNS.

Enable-NetFirewallRule -DisplayGroup 'DNS Proxy Firewall'

Para obter mais informações, consulte Enable-NetFirewallRule.

Validar o serviço iDNS

Para validar o Serviço iDNS, você deve implantar uma carga de trabalho de locatário de exemplo.

Para obter mais informações, consulte Criar uma VM e conectar-se a uma rede virtual de locatário ou VLAN.

Se desejar que a VM locatária use o serviço iDNS, deixe a configuração do Servidor DNS das interfaces de rede da VM em branco e permita que as interfaces usem DHCP.

Depois que a VM com essa interface de rede é iniciada, ela recebe automaticamente uma configuração que permite que a VM use iDNS e a VM imediatamente começa a executar a resolução de nomes usando o serviço iDNS.

Se você configurar a VM locatária para usar o serviço iDNS deixando as informações do Servidor DNS da interface de rede e do Servidor DNS Alternativo em branco, o Controlador de Rede fornecerá à VM um endereço IP e executará um registro de nome DNS em nome da VM com o Servidor iDNS.

O controlador de rede também informa o proxy iDNS sobre a VM e os detalhes necessários para executar a resolução de nomes para a VM.

Quando a VM inicia uma consulta DNS, o proxy atua como um encaminhador da consulta da Rede Virtual para o serviço iDNS.

O proxy DNS também garante que as consultas de VM do locatário sejam isoladas. Se o servidor iDNS for autoritativo para a consulta, o servidor iDNS responderá com uma resposta autoritativa. Se o servidor iDNS não for autoritativo para a consulta, ele executará uma recursão DNS para resolver nomes da Internet.

Note

Essas informações estão incluídas na seção Configuration AttachToVirtualNetwork em SDNExpressTenant.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida por software usando scripts.

  • Last updated on