DNS Privado entre OCI e Nuvem Local ou de Terceiros

O DNS (sistema de nomes de domínio) converte nomes de domínio legíveis por humanos em endereços IP legíveis por maquina. Um servidor DNS armazena os registros DNS de uma zona e responde com respostas a consultas em relação ao seu banco de dados.

A seguir, estão listados os conceitos de DNS do OCI:

  • Uma solução de DNS privado resolve nomes de host para aplicativos em execução dentro e entre VCNs, bem como entre ambientes de nuvem OCI, on-premises e de terceiros.
  • Se uma consulta de DNS não puder ser resolvida na OCI, ela poderá ser encaminhada para redes on-premises ou nuvens de terceiros conectadas.
  • O DNS privado do OCI é regional. Para resolver consultas fora da sua região, configure o encaminhamento de DNS para a região de destino.

Você pode configurar a resolução de consulta DNS nos seguintes níveis:

  • VCN: As consultas de DNS dentro de uma VCN são tratadas automaticamente pelo resolvedor de VCN padrão do OCI, sem necessidade de configuração extra.
  • Região:
    • Quando você cria uma VCN, o OCI cria uma view privada para essa VCN. Uma view privada é um grupo de zonas DNS privadas.
    • Quando você cria uma sub-rede, o OCI cria uma zona de DNS privada para essa sub-rede dentro da view privada (VCN).
    • Todos os recursos com IPs privados em uma sub-rede são registrados em sua zona de DNS privado.
    • Alguns recursos do OCI (como bancos de dados Autonomous Transaction Processing com pontos finais privados) podem criar suas próprias zonas de DNS privadas.

Resolvedor de Recursos de VCN Hub-and-Spoke

O recurso Views Privadas Associadas no OCI permite que um resolvedor de DNS em uma VCN (o hub) resolva nomes de host das views privadas de outras VCNs (os raios). Esse recurso suporta até 50 VCN em uma região. Um Resolvedor de Hub poderá acessar registros de recursos em toda a região se as views de spoke estiverem associadas à view de hub. O diagrama a seguir mostra views privadas spoke associadas com views privadas do Hub para permitir que o resolvedor na VCN do Hub resolva todos os recursos em uma região:

Veja a seguir a descrição da seguir hub-vcn-oci-resource-resolver.png
Descrição da ilustração hub-vcn-oci-resource-resolver.png

Para permitir que recursos em VCNs spoke resolvam nomes de host fora de sua própria VCN, encaminhe suas consultas de DNS para o ponto final do listener na VCN do hub. O hub pode resolver nomes de host em todas as VCNs spoke associadas porque a view privada de todos os raios está associada à view privada do hub.

Para implementar essa arquitetura, você precisa do seguinte:

  • Ponto final do listener de DNS na VCN do Hub.
  • Ponto final de encaminhamento de DNS na VCN do Hub para encaminhar consultas para redes externas, como on-premises ou outras nuvens.
  • Ponto final de encaminhamento de DNS em cada VCN Spoke.

Se uma VCN spoke não tiver uma sub-rede DNS, crie uma ou selecione uma sub-rede existente apropriada.

Dica:

A Oracle recomenda que você:
  • Crie uma sub-rede DNS na VCN do Hub e coloque os pontos finais de DNS lá.
  • Associe um NSG a cada um dos pontos finais usando regras apropriadas de entrada e saída sem monitoramento de estado. As regras sem monitoramento de estado fornecem melhores tempos de resposta, mas também há suporte para regras com monitoramento de estado.

Regras do Resolvedor

O diagrama a seguir mostra exemplos de regras em resolvedores de DNS privados que encaminham solicitações de DNS para o ponto final do Hub Listener, sistemas DNS on-premise ou sistemas DNS em outras nuvens:


Veja a seguir a descrição da ilustração dns-private-resolver-hub-listener.png
Descrição da ilustração dns-private-resolver-hub-listener.png

Observação:

  • As sub-redes para pontos finais de DNS privados devem ser somente IPv4. Você não pode criar um ponto final DNS privado em uma sub-rede ativada para IPv6.
  • Você pode criar views privadas personalizadas e zonas de DNS com seus próprios nomes de domínio e associá-los a um resolvedor de DNS hub para resolver nomes de DNS específicos para seus recursos.