Serviço DNS interno (iDNS) para SDN

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versões 21H2 e 20H2

Se você trabalha para um CSP (Provedor de serviços de nuvem) ou Enterprise que está planejando implantar a SDN (Rede definida pelo software) no Windows Server, você pode fornecer serviços DNS para suas cargas de trabalho de locatário hospedado usando o iDNS, que é integrado à SDN.

VMs (máquinas virtuais) hospedadas e aplicativos necessitam que o DNS se comunique nas próprias redes e com recursos externos na Internet. Com o iDNS, você pode fornecer aos locatários serviços de resolução de nomes DNS para os namespace locais e isolados deles e para recursos de Internet.

Como o serviço iDNS não pode ser acessado de redes virtuais de locatário, exceto por meio do proxy iDNS, o servidor não fica vulnerável a atividades mal-intencionadas em redes de locatário.

Recursos principais

Confira a seguir os principais recursos para iDNS.

  • Fornece serviços de resolução de nomes DNS compartilhados para cargas de trabalho de locatário
  • Serviço DNS autoritativo para resolução de nomes e registro de DNS dentro do namespace do locatário
  • Serviço DNS recursivo para resolução de nomes de Internet a partir de VMs de locatário.
  • Se desejado, você pode configurar a hospedagem simultânea de nomes de malha e de locatário
  • Uma solução DNS econômica – os locatários não precisam implantar a própria infraestrutura DNS
  • Alta disponibilidade com a integração do Active Directory, que é necessária.

Além desses recursos, se você estiver preocupado em manter abertos os servidores DNS integrados do AD à Internet, é possível implantar servidores iDNS por trás de outro resolvedor recursivo na rede de perímetro.

Como o iDNS é um servidor centralizado para todas as consultas DNS, um CSP ou Enterprise também pode implementar firewalls de DNS de locatário, aplicar filtros, detectar atividades mal-intencionadas e auditar transações em um local central

Infraestrutura iDNS

A infraestrutura iDNS inclui servidores iDNS e proxy iDNS.

Servidores iDNS

O iDNS inclui um conjunto de servidores DNS que hospedam dados específicos do locatário, como registros de recursos DNS da VM.

Os servidores iDNS são os servidores autoritativos para das próprias zonas DNS internas e também atuam como resolvedores de nomes públicos quando as VMs de locatário tentam se conectar a recursos externos.

Todos os nomes do host para VMs em Redes Virtuais são armazenados como registros de recursos DNS na mesma zona. Por exemplo, se você implantar o iDNS em uma zona chamada contoso.local, os registros de recursos DNS para as VMs nessa rede serão armazenados na zona contoso.local.

Os FQDNs (Nomes de domínio totalmente qualificados) da VM do locatário consistem no nome do computador e na cadeia de caracteres de sufixo DNS para o Rede Virtual, no formato GUID. Por exemplo, se você tiver uma VM de locatário chamada TENANT1 na Rede Virtual contoso,local, o FQDN da VM será TENANT1.vn-guid.contoso.local, em que vn-guid é a cadeia de caracteres de sufixo DNS para a Rede Virtual.

Observação

Se você é um administrador de malha, é possível usar sua infraestrutura de DNS Enterprise ou CSP como os servidores iDNS em vez de implantar novos servidores DNS especificamente para usar como servidores iDNS. Se você implantar novos servidores para iDNS ou usar sua infraestrutura existente, o iDNS dependerá do Active Directory para fornecer alta disponibilidade. Portanto, seus servidores iDNS devem ser integrados ao Active Directory.

Proxy iDNS

O proxy iDNS é um serviço do Windows que é executado em cada host e que encaminha o tráfego DNS de Rede Virtual do locatário para o servidor iDNS.

A ilustração a seguir exibe caminhos de tráfego DNS de Redes Virtuais de locatário por meio do proxy iDNS para o servidor iDNS e a Internet.

iDNS Infrastructure

Como implantar iDNS

Quando você implanta o SDN no Windows Server 2016 usando scripts, o iDNS é incluído automaticamente em sua implantação.

Para obter mais informações, consulte os tópicos a seguir.

Noções básicas sobre as etapas de implantação do iDNS

Você pode usar esta seção para entender como o iDNS é instalado e configurado ao implantar o SDN usando scripts.

Confira um resumo das etapas necessárias para implantar o iDNS.

Observação

Se você implantou o SDN usando scripts, não é necessário executar nenhuma dessas etapas. As etapas são fornecidas apenas para fins informativos e de solução de problemas.

Etapa 1: implantar o DNS

Você pode implantar um servidor DNS usando o exemplo a seguir de comando do Windows PowerShell.

Install-WindowsFeature DNS -IncludeManagementTools

Etapa 2: configurar informações de iDNS no Controlador de Rede

Esse segmento de script é uma chamada REST feita pelo administrador para o Controlador de Rede, informando-o sobre a configuração da zona iDNS, como o endereço IP do iDNSServer e a zona usada para hospedar os nomes iDNS.

Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
{
      "properties": {
        "connections": [
          {
            "managementAddresses": [
              "10.0.0.9"
            ],
            "credential": {
              "resourceRef": "/credentials/iDnsServer-Credentials"
            },
            "credentialType": "usernamePassword"
          }
        ],
        "zone": "contoso.local"
      }
    }

Observação

Este é um trecho da seção ConfigureIDns de configuração no SDNExpress.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida pelo software usando scripts.

Etapa 3: configurar o serviço de proxy iDNS

O serviço de proxy iDNS é executado em cada um dos hosts Hyper-V, fornecendo a ponte entre as redes virtuais de locatários e a rede física na qual os servidores iDNS estão localizados. As chaves do registro a seguir devem ser criadas em cada host Hyper-V.

Porta DNS: porta fixa 53

  • Chave de registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "Port"
  • ValueData = 53
  • ValueType = "Dword"

Porta de proxy DNS: porta fixa 53

  • Chave de registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "ProxyPort"
  • ValueData = 53
  • ValueType = "Dword"

IP DNS: endereço IP fixo configurado no adaptador de rede, caso o locatário opte por usar o serviço iDNS

  • Chave de registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
  • ValueName = "IP"
  • ValueData = "169.254.169.254"
  • ValueType = "String"

Endereço Mac: endereço de controle de acesso de mídia do servidor DNS

  • Chave de registro = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
  • ValueName = "MAC"
  • ValueData = "aa-bb-cc-aa-bb-cc"
  • ValueType = "String"

Endereço do servidor IDNS: uma lista separada por vírgulas de servidores iDNS.

  • Chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\DNSProxy\Parameters
  • ValueName = "Forwarders"
  • ValueData = "10.0.0.9"
  • ValueType = "String"

Observação

Este é um trecho da seção ConfigureIDnsProxy de configuração no SDNExpress.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida pelo software usando scripts.

Etapa 4: reiniciar o Serviço de Agente de Host do Controlador de Rede

Você pode usar o comando do Windows PowerShell a seguir para reiniciar o Serviço de Agente de Host do Controlador de Rede.

Restart-Service nchostagent -Force

Para saber mais, confira Restart-Service.

Habilitar regras de firewall para o serviço de proxy DNS

Você pode usar o comando do Windows PowerShell a seguir para criar uma regra de firewall permitindo exceções para que o proxy se comunique com a VM e o servidor iDNS.

Enable-NetFirewallRule -DisplayGroup 'DNS Proxy Firewall'

Para obter mais informações, consulte Enable-NetFirewallRule.

Validar o serviço iDNS

Para validar o serviço iDNS, você deve implantar uma carga de trabalho de locatário de exemplo.

Para obter mais informações, confira Criar uma VM e conectar-se a uma Rede Virtual de locatário ou VLAN.

Se desejar que a VM do locatário use o serviço iDNS, é aconselhável deixar a configuração do servidor DNS dos adaptadores de rede da VM em branco e permitir que as interfaces usem DHCP.

Depois que a VM com esse adaptador de rede for iniciada, ela receberá automaticamente uma configuração permitindo que ela VM use iDNS e a VM começará imediatamente a executar a resolução de nomes usando o serviço iDNS.

Se você configurar a VM do locatário para usar o serviço iDNS deixando em branco as informações do servidor DNS do adaptador de rede e do servidor DNS alternativo, o Controlador de Rede fornecerá à VM um endereço IP e executará um registro de nome DNS em nome da VM com o servidor iDNS.

O Controlador de Rede também informa o proxy iDNS sobre a VM e os detalhes necessários para executar a resolução de nomes para a VM.

Quando a VM inicia uma consulta DNS, o proxy atua como um encaminhador da consulta da Rede Virtual para o serviço iDNS.

O proxy DNS também garante que as consultas de VM do locatário sejam isoladas. Se o servidor iDNS for autoritativo para a consulta, o servidor iDNS responderá com uma resposta autoritativa. Se o servidor iDNS não for autoritativo para a consulta, ele executará uma recursão DNS para resolver nomes da Internet.

Observação

Essas informações estão incluídas na seção Configuração AttachToVirtualNetwork no SDNExpressTenant.ps1. Para obter mais informações, consulte Implantar uma infraestrutura de rede definida pelo software usando scripts.