DNS privado entre OCI y la nube local o de terceros

El sistema de nombres de dominio (DNS) convierte los nombres de dominio legibles por el usuario en direcciones IP legibles para una Máquina. Los servidores de nombres DNS almacenan los registros de DNS de una zona y responden con las respuestas a la consulta de su base de datos.

A continuación, se muestran los conceptos de DNS de OCI:

• Una solución DNS privada resuelve los nombres de host de las aplicaciones que se ejecutan dentro y entre las redes virtuales en la nube, así como entre entornos de nube de OCI, locales y de terceros.
• Si una consulta de DNS no se puede resolver en OCI, se puede reenviar a redes locales o a nubes de terceros conectadas.
• El DNS privado de OCI es regional: para resolver consultas fuera de su región, debe configurar el reenvío de DNS a la región de destino.

Puede configurar la resolución de consultas DNS en los siguientes niveles:

• VCN: el solucionador de VCN estándar de OCI maneja automáticamente las consultas de DNS dentro de una VCN, sin necesidad de configuración adicional.
• Región:
  • Al crear una VCN, OCI crea una vista privada para esa VCN. Una vista privada es un grupo de zonas de DNS privadas.
  • Al crear una subred, OCI crea una zona de DNS privada para esa subred en la vista privada (VCN).
  • Todos los recursos con IP privadas en una subred están registrados en su zona de DNS privada.
  • Algunos recursos de OCI (como bases de datos de Autonomous Transaction Processing con puntos finales privados) pueden crear sus propias zonas de DNS privadas.

Solucionador de recursos de VCN de hub y voz

La función Vistas privadas asociadas de OCI permite que un solucionador de DNS en una VCN (el hub) resuelva los nombres de host de otras vistas privadas de la red virtual (los radios). Esta función admite hasta 50 VCN en una región. Un solucionador de hub puede acceder a los registros de recursos de toda la región si las vistas radiales están asociadas a la vista de hub. En el siguiente diagrama se muestran las vistas privadas radiales asociadas a las vistas privadas del hub para permitir que el solucionador de la VCN del hub resuelva todos los recursos de una región:

Descripción de la ilustración hub-vcn-oci-resource-resolver.png

To enable resources in spoke VCNs to resolve hostnames outside their own VCN, forward their DNS queries to the listener endpoint in the hub VCN. El hub puede resolver nombres de host en todas las VCN radiales asociadas porque la vista privada de todos los radios está asociada con la vista privada del hub.

Para implementar esta arquitectura, necesita lo siguiente:

• Punto final del listener de DNS en la VCN del hub.
• Punto final de reenvío DNS en la VCN del hub para reenviar consultas a redes externas, como locales u otras nubes.
• Punto final de reenvío de DNS en cada VCN de spoke.

Si una VCN radial no tiene una subred de DNS, cree una o seleccione una subred existente adecuada.

Sugerencia:

Oracle recomienda que:

• Cree una subred de DNS en la VCN del hub y coloque allí los puntos finales de DNS.
• Asocie un NSG a cada uno de los puntos finales mediante las reglas de entrada y salida adecuadas sin estado. Las reglas sin estado proporcionan mejores tiempos de respuesta, pero también se admiten reglas con estado.

Reglas de solucionador

En el siguiente diagrama se muestran reglas de ejemplo en los solucionadores de DNS privados que reenvían solicitudes de DNS al punto final del listener de hub, a los sistemas DNS locales o a los sistemas DNS en otras nubes:

Descripción de la ilustración dns-private-resolver-hub-listener.png

Note:

• Las subredes para los puntos finales de DNS privados solo deben ser IPv4. No puede crear un punto final de DNS privado en una subred activada para IPv6.
• Puede crear vistas privadas personalizadas y zonas de DNS con sus propios nombres de dominio, y asociarlos a un solucionador de DNS de hub para resolver nombres de DNS específicos para sus recursos.