AZ-104

Deep Dive

Volver a guías
D1Identidad y Acceso
Microsoft Entra ID (Azure AD)Control de Acceso Basado en RolesAutenticacion Multi-FactorIdentidades AdministradasAcceso CondicionalGestion de ContrasenasAzure Policy y CumplimientoGobernanza y Jerarquia de Recursos
D2Almacenamiento
Cuentas de AlmacenamientoSQL Database y MIAzure Cosmos DBBackup y RecuperacionProteccion de DatosReplicacion de DatosAzure Files y File SyncSeguridad de Almacenamiento
D3Computo
Maquinas VirtualesAzure App ServiceContenedores y AKSAutoscaling y VMSSDisponibilidad y RedundanciaOptimizacion de RendimientoARM Templates y BicepAzure Functions
D4Redes
Redes Virtuales (VNet)Grupos de SeguridadBalanceo de CargaVPN Gateway y ExpressRouteDNS y Resolucion de NombresMonitoreo de Red
D5Monitoreo
Azure MonitorLog AnalyticsAlertas y NotificacionesMetricas y KPIsDiagnosticosApplication Insights
D6Recuperacion
Azure Site RecoveryBackup VaultEstrategia de DRRTO y RPOFailover y FailbackContinuidad del Negocio
Practicar ahora
D4 · Redes

DNS y Resolución de Nombres

DNS es fundamental en Azure para resolución de nombres de recursos, servicios PaaS y conectividad híbrida. El AZ-104 evalúa Azure DNS público, zonas privadas, resolución en VNets y la integración con Private Endpoints.

Contenido

Azure DNS — Zonas Públicas

Azure DNS es un servicio de hosting de zonas DNS que usa la infraestructura de Azure para alta disponibilidad y rendimiento global. Permite gestionar los registros DNS de tus dominios desde Azure.

Importante: Azure DNS NO es un registrador de dominios — debes registrar el dominio en un registrador externo (GoDaddy, Namecheap, etc.) y luego delegar la zona DNS a Azure cambiando los nameservers.

Cómo funciona la delegación

1Creas la zona DNS en Azure DNS (ej: contoso.com)
2Azure asigna 4 nameservers (ns1-04.azure-dns.com, etc.)
3En tu registrador de dominio, cambias los NS del dominio a los de Azure
4Todo el tráfico DNS de contoso.com ahora resuelve en Azure DNS

Ventajas de Azure DNS

  • • Disponibilidad: anycast global — los nameservers están distribuidos mundialmente
  • • SLA del 100% para resolución DNS
  • • Integración con Azure RBAC para control de acceso a zonas y registros
  • • Alias records: apuntar a recursos Azure (Public IP, Traffic Manager, CDN) que cambian de IP
  • • Sin servidores DNS propios que gestionar — servicio PaaS
  • • Soporte DNSSEC (en preview/limited)

Tipos de registros DNS

TipoFunciónEjemploNotas AZ-104
ANombre → IPv4www → 1.2.3.4El más común. Usar Alias para IPs de Azure.
AAAANombre → IPv6www → 2001:db8::1Para recursos con IPv6.
CNAMEAlias de nombre → otro nombremail → contoso.mail.comNo se puede usar en el apex (root) del dominio. Usar Alias record en su lugar.
MXServidor de correo del dominio10 mail.contoso.comPrioridad más baja = mayor preferencia.
TXTTexto arbitrario"v=spf1 include:..."SPF, DKIM, verificación de dominio (Azure AD, etc.).
NSNameservers de la zonans1-04.azure-dns.comAuto-generados por Azure DNS al crear la zona.
SOAStart of Authority — info de la zonaSerial, refresh, retry...Auto-generado y gestionado por Azure DNS.
SRVLocalización de servicios (host + puerto)_sip._tcp → sipserver:5060Para servicios como SIP, LDAP, Kerberos.
PTRIP → nombre (reverse DNS)4.3.2.1.in-addr.arpa → wwwResolución inversa. En Azure: zonas 168.63.in-addr.arpa.
AliasReferencia a recurso Azure directamentewww → Public IP / Traffic ManagerExtensión de Azure — se actualiza automáticamente si la IP del recurso cambia.

Azure Private DNS Zones

Las Private DNS Zones permiten usar nombres DNS personalizados dentro de una VNet sin necesidad de DNS servers propios. Los registros de la zona solo son resolubles desde las VNets vinculadas — no desde internet.

Autoregistro de VMs

Al vincular una VNet a una Private DNS Zone con autoregistration habilitado, las VMs en esa VNet registran automáticamente sus registros A y PTR en la zona cuando se crean/eliminan.

• Registro: vm-name.private.contoso.com → 10.0.0.4

• Se elimina automáticamente al eliminar la VM

• Solo una zona con autoregistro por VNet

• No funciona con IPs privadas de Private Endpoints (registro manual)

Virtual Network Links

Para que una VNet pueda resolver registros de una Private DNS Zone, debes crear un Virtual Network Link entre la zona y la VNet.

• Una zona puede tener links a múltiples VNets (incluidas VNets peered)

• Sin link: la VNet no puede resolver la zona privada aunque haya peering

• Con peering: la VNet spoke puede resolver la zona del hub si hay link entre la zona y la VNet hub (no necesita link directo si el DNS proxy del hub re-envía las queries)

Resolución DNS en VNets

DNS de Azure (default)

  • IP: 168.63.129.16 (especial de Azure, no enrutable externamente)
  • Resuelve: nombres de VMs en la VNet, zonas Private DNS vinculadas, nombres públicos de internet
  • No puede reenviar queries a DNS servers on-premises
  • No soporta conditional forwarding nativo

DNS personalizado

  • Configuras las IPs de tus propios DNS servers en la VNet
  • Útil para resolver nombres on-premises desde Azure
  • El DNS server custom debe poder reenviar a 168.63.129.16 para resolver nombres Azure
  • Opciones: DNS server en Azure VM, Azure DNS Private Resolver (PaaS recomendado)

Azure DNS Private Resolver (recomendado para híbrido)

Servicio PaaS que permite resolver nombres DNS entre Azure y on-premises sin gestionar VMs de DNS. Tiene dos endpoints: Inbound (recibe queries desde on-premises) y Outbound (reenvía queries de Azure a DNS on-premises según ruleset). Altamente disponible y sin gestión de infraestructura.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa tiene un Storage Account con Private Endpoint configurado en su VNet. Los desarrolladores reportan que desde dentro de la VNet, el nombre DNS del storage resuelve a la IP pública en lugar de la IP privada del endpoint. ¿Cuál es la causa más probable?