Blog

Domine a plataforma e otimize seus gastos!

Implementando DNS privado no Azure: boas práticas com Private DNS Zones e integração com Private Endpoints

Introdução

Ao projetar uma rede segura no Azure, especialmente com o uso de serviços PaaS acessados via Private Endpoint, o correto funcionamento de DNS é fundamental. Sem uma resolução adequada de nomes, sua aplicação pode falhar ao tentar se comunicar com recursos essenciais como Storage, SQL Database ou Cosmos DB.

Neste post, vamos abordar como configurar o DNS privado no Azure usando Private DNS Zones, integrá-las com Private Endpoints e aplicar boas práticas em ambientes corporativos com múltiplas VNets ou ambientes híbridos.

Conceitos essenciais

ConceitoDescrição
Private DNS ZoneZona DNS privada gerenciada pelo Azure para resolução de nomes internos
VNet LinkPermite que uma VNet resolva nomes definidos na Private DNS Zone
Private Endpoint (PE)IP privado associado a um serviço PaaS
Registro A automáticoCriado ao integrar um PE com a zona DNS privada
DNS Forwarder / ResolverEncaminha consultas entre redes ou para ambientes on-premises

Cenário prático

Objetivo

Conectar uma aplicação hospedada em uma VNet a uma conta de armazenamento via Private Endpoint, garantindo que o nome mystorage.blob.core.windows.net resolva para o IP privado.

Etapas

1. Criar a Private DNS Zone

az network private-dns zone create \
  --resource-group rg \
  --name "privatelink.blob.core.windows.net"

2. Linkar a VNet à zona

az network private-dns link vnet create \
  --resource-group rg \
  --zone-name "privatelink.blob.core.windows.net" \
  --name link-vnet \
  --virtual-network vnet-principal \
  --registration-enabled false

3. Criar o Private Endpoint

az network private-endpoint create \
  --name pe-storage \
  --resource-group rg \
  --vnet-name vnet-principal \
  --subnet subnet-default \
  --private-connection-resource-id /subscriptions/<sub-id>/resourceGroups/rg/providers/Microsoft.Storage/storageAccounts/mystorage \
  --group-id "blob" \
  --connection-name mystorage-pe-conn

4. Associar o PE à zona DNS

A maioria dos serviços já permite associar a zona diretamente no momento da criação do PE (via DNS zone group), o que cria automaticamente o registro A.

Diagrama da arquitetura

Boas práticas

PráticaDescrição
Centralizar zonas DNSUma única zona privatelink.* por tipo de serviço
Linkar todas as VNetsNecessário para que outras VNets também resolvam os nomes
Desativar acesso públicoProtege os serviços contra exposição indesejada
Monitorar com Log AnalyticsCaptura falhas e anomalias de resolução

Testando a resolução

A partir de uma VM ou App Service em VNet integrada, rode:

nslookup mystorage.blob.core.windows.net

A resposta deve ser um IP privado, algo como 10.10.5.4.

Multi-região e ambientes híbridos

Se você opera em várias regiões ou conecta redes locais via VPN ou ExpressRoute:

  • Crie links entre todas as VNets e a Private DNS Zone
  • Use um Azure DNS Private Resolver (em preview) para controle avançado de encaminhamento
  • Configure Conditional Forwarders em DNS locais para .privatelink.*

Segurança integrada

  • Use Azure Policy para forçar uso de Private Endpoints e bloquear IPs públicos
  • Audite a criação de registros DNS com Activity Logs
  • Implemente RBAC para controlar quem pode criar zonas ou editar registros

Referências oficiais

Conclusão

O uso de Private DNS Zones no Azure é obrigatório para garantir uma comunicação confiável e segura entre recursos em redes privadas. Quando bem implementado, ele simplifica operações, aumenta a segurança e elimina a necessidade de manter DNS personalizados em máquinas ou appliances.

Podemos te ajudar com uma revisão 100% gratuita do seu ambiente cloud.

Agendar a revisão gratuita do meu ambiente

Share this post

Inscreva-se para novas postagens

Inscreva-se