Cerrar
InicioAzureMicrosoft Azure: Migración una zona DNS pública a Azure

Microsoft Azure: Migración una zona DNS pública a Azure

Es muy probable (lo más normal) que en el proveedor donde hayáis registrado vuestro dominio de internet es donde tengáis los servidores DNS (NS)  para dicha zona, algo muy normal, pero que podemos querer mover dicha zona a otro proveedor por muchos motivos:

  • Auditoría: tener registro de quien ha modificado la zona DNS
  • Velocidad: rápida actualización de registros
  • Seguridad: establecer permisos sobre la zona y/o un registro DNS

Para cumplir estos objetivos, uno de los proveedores donde podemos llevarlos a cabo es Azure. En Azure podemos configurar nuestras zonas DNS, pero el registro del dominio siempre debe quedar en el proveedor donde lo hayamos registrado, Azure nunca hará de registrador.

Como todo en Azure, es auditable (Registro de actividad) y además securizable (Rbac), por lo que podemos establecer un nivel de gestión centralizado puesto la gestión de usuarios con acceso a  las zonas DNS utilizará nuestros usuarios de nuestro Azure Active Directory (usuarios de nube, sincronizados o invitados).

Cuando adquirimos un dominio en algún registrador, nos creamos cuentas de usuarios en los paneles de gestión, pero cuando ese usuario se va de nuestra empresa nos olvidamos deshabilitarlos y esto es un problema e importante. Muchas empresas no le dan importancia, pero debería, porque si alguien manipula nuestra zona DNS nos podemos quedar acceso al correo durante horas, sin web, etc.. además de que luego no tenemos trazabilidad de lo cambios y nadie sabe quien ha hecho los cambios. Si  hacemos que Azure gestione nuestras zonas DNS (no el registro del dominio), nos permitirá delegar las tareas de administración de cualquier recurso de Azure, el DNS es uno más. Además, cuando deshabilitamos a un usuario ya no tiene acceso a ningún recurso y el DNS sería uno de ellos. Cosa que, si son cuentas  creadas únicamente en el registrador, tenemos que acordarnos de deshabilitarlos y sabéis que ocurre… pues eso, que si se hace es pasado mucho tiempo.

En Azure el coste del servicio DNS tiene un coste de 5€/Año por dominio, un coste más que asumible para cualquier empresa. Pues bien, en este artículo os voy a mostrar como podéis migrar vuestras zonas DNS hacia Azure:

Como habéis podido observar en la infografía, el proceso es muy sencillo:

  • Creamos la zona DNS en Azure y con ello ya tenemos los 4 servidores DNS asociados para dicha zona
  • Creamos todos los registros DNS que necesitemos (lo normal es replicar (manualmente) la zona actual)
  • Cambiar los servidores DNS

Pues ahora lo que nos queda es empezar con la configuración, para ellos nos vamos al grupo de recursos que tengamos creado (lo podemos crear en cualquier momento) para albergar las zonas DNS y pulsamos en Agregar:

Para buscar el recurso DNS escribimos DNS y seleccionamos DNS Zone:

Ahora pulsamos en crear:

Indicamos el grupo de recursos donde queremos crearla, el nombre de la zona DNS y pulsamos en Siguiente: Etiquetas:

Establecemos etiquetas si lo así lo consideramos oportuno (recomendado) y pulsamos en Revisar y crear:

Si todo está correcto, pulsamos en Crear:

En cuestión de segundos tenemos nuestra zona DNS creada en Azure:

Como os había comentado, una vez creada la zona DNS ya tenemos asociados los servidores DNS para dicha zona (con esto hemos terminado la fase 1 descrita en la infografía):

Antes de continuar y para ir viendo el proceso de migración, lo primero que haré será comprobar que servidor DNS (NS) gestionan la zona (asirlab.com) que voy a migrar a Azure, para ello podemos utilizar nslookup (cmd) o Resolve-DnsName (PowerShell). En este caso, utilizaremos PowerShell, el cmdlet es el siguiente: Resolve-DnsName -Name <nombre-zona-dns> -Type NS. Una vez ejecutado nos mostrará quienes son los servidores NS (Name Server) para dicha zona

A continuación y ya entrando en la fase de 2 la migración, accedemos al panel de gestión del registrador de nuestro dominio y que de momento tiene también los NS para nuestra zona y consultamos los registros DNS que tenemos creados.

Ahora tenemos que ir creando los registros en Azure, para ello accedemos a la zona DNS y pulsamos en + Conjunto de registros. Lo primero que nos solicitará es el nombre del registro, en mi caso lo voy a dejar sin añadir ningún nombre porque quiero crear un registro directamente para la zona (como si escribiésemos una @). Para que lo podáis identificar mejor, es como el primero registro de la captura anterior donde vemos el nombre del dominio y la IP Pública correspondiente.

Ahora debemos especificar el tipo de registro: A, AAA, CAA, CNAME, MX, NS, SRV, TXT, PTR 

El TTL y luego ya la dirección(es) IP para este registro, una vez cubierto todo lo necesario, pulsamos en crear:

En cuestión de segundos ya tenemos nuestro registro creado:

Debemos seguir el mismo procedimiento para crear el resto de registros DNS:

Una vez que, ya tenemos todos los registros creados en la zona de Azure, damos por finalizada la fase 2 de la infografía. La siguiente fase ya sería la de modificar los NS para la zona DNS que queremos cambiar y, este cambio, debemos hacerlo en la web del registrador del dominio. Tenemos que buscar la sección donde podamos modificar los servidores DNS para dicha zona.

Antes de continuar, os recuerdo que, ahora que vamos a cambiar y/o añadir los servidores NS de Azure para la zona que hemos creado, debemos saber cuales son los NS para dicha zona. Esto es muy sencillo, si accedemos a la zona DNS en el Portal de Azure, ya los tenemos visibles:

Ahora si, nos vamos al panel del registrador, buscamos la opción de cambiar los servidores DNS y vamos modificando los que ya se tengan creados y añadiendo los que sean necesarios hasta que tengamos los 4 servidores DNS de la zona de Azure añadidos:

Una vez que hemos modificado los dos primeros NS y añadido los otros dos, deberíamos ver algo parecido a esto (cada uno con sus NS):

Ahora, por último, es que volvamos a comprobar con una consulta DNS quienes son los servidores DNS para nuestra zona. Que veáis los datos actualizados dependerá muy mucho de la caché DNS, no solo la de vuestro equipo sino también la del resto de proveedores (incluido vuestro registrador el cual hasta el momento gestionaba vuestra zona DNS). Yo he “forzado” la comprobación de los servidores DNS para la zona asirlab.com utilizando lo servidores DNS de Google (8.8.8.8) y como podéis apreciar ya encuentra que los NS para la zona asirlab.com son los de Azure (había hecho el cambio 5 minutos antes):

Si esta misma consulta se la hago a los DNS de Cloudflare’s  pues aún sigue viendo los NS del registrador, pero bueno, tampoco es un problema porque al final en ambas zonas DNS tenemos los mismos registros DNS y no perderemos funcionalidad alguna. Simplemente es cuestión de tiempo, no más de de algunas horas (el debate de las 24, 48 y 72 horas para otro día):

Pues con esto, damos por finalizada la migración de vuestra zona DNS a Azure!! Pero antes de dar por finalizado este  artículo, vamos a ver las auditorías y control de accesos.

Para revisar los cambios realizados sobre la zonas, lo veremos desde la sección Registro de actividad como en cualquier otro recurso de Azure. Aquí tenemos las columnas de siempre:

  • Nombre de la operación: descripción corta del evento
  • Estado: si se ha finalizado correcta o incorrectamente
  • Tiempo: el tiempo que ha pasado desde dicho evento con respecto al momento de la visualización
  • Marca de tiempo: la hora exacta en la que se ha producido el evento
  • Suscripción: suscripción donde está el recurso
  • Evento iniciado por: usuario que ha ejecutado la operación auditada

Si queremos ver el detalle de cada operación simplemente nos situamos encima de  alguna de lista y en la sección JSON podemos ver todos los detalles:

Por último, nos quedan la parte de seguridad, la cual utilizaremos para permisos sobre el recurso (la zona DNS completa) o sobre algún registro DNS en concreto. Esta última configuración (permisos sobre los registros DNS individuales) son muy interesantes, porque podemos darle acceso por ejemplo a los registros del correo al equipo de técnicos que llevan dicho servicio.

El proceso de securizar el DNS es como en cualquier otro recurso de Azure, accedemos a la zona DNS y desde la sección de Control de acceso (IAM) añadimos a los usuarios o grupos (preferiblemente) y el rol que consideremos más oportuno (propietario, colaborador, lector, etc..)

Lo interesante llega ahora, puesto que podemos aplicar permisos por cada registro DNS creado. Para ello, accedemos a alguno de los registros DNS creado y pulsamos en Usuarios:

Y más de lo mismo, agregamos usuarios y/o grupos con los permisos que necesitemos. Personalmente, es la funcionalidad que más me gusta de tener las zonas DNS en Azure y bueno, la rapidez en la difusión de cambios de los registros DNS, es muy buena.

Ahora si, con esto hemos finalizado el proceso de migración y securización de zonas DNS en Azure!!

Cloud VoiceMail: Hab
Microsoft Azure: Equ
NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This