Cerrar
InicioAzureMoviendo nuestros servicios y máquinas virtuales a Azure (Parte VI)

Moviendo nuestros servicios y máquinas virtuales a Azure (Parte VI)

Uno de los servicios a los que muchos ingenieros de sistemas (y otros roles del mundo de IT) no le suelen dar la importancia necesaria, es a la gestión de los servicios de resolución de nombres (tanto públicos como privados), vamos, los registros DNS. Esto tanto en los registros públicos como privados, ambos los dos mal configurados pueden causar grandes problemas a las organizaciones.  Imaginaros un registro MX o TXT mal configurado, o simplemente configurando de configurado de forma incorrecta o inconsciente … puede resultar que tengamos nuestra empresa incomunicada con el mundo durante horas, lo cual puede ocasionar grandes problemas económicos para muchas empresas las cuales viven de y para Internet.

Imaginaros días días sin correo empresas como .. Microsoft, Google, Cisco, Amazon o la tuya o la mía, os lo imagináis .. a que se os ponen los pelos de punta. Pues bien, hasta la fecha únicamente nos preocupábamos de registrar nuestro dominio en algún registrador (Arsys, 1&1, Dinahosting, etc..) y crear nuestros registros DNS para hacer funcionar nuestros servicios públicos. Hasta ahí todo correcto, pero que ocurre cuando en nuestra empresa tenemos varias personas que deben o deberían crear/modificar ciertos registros DNS. Pues en los paneles tradicionales de estos registradores de dominio teníamos que crear usuarios y tenían (o más bien tienen) acceso a todo o casi todo, por lo menos si le damos acceso a una zona DNS se la damos para todos los registros de dicha zona. Claro, hasta aquí parece todo muy normal, pero que ocurre cuando tenemos un trabajador que deja nuestra compañía? Pues que es muy probable que siga existiendo el usuario en ese registrador, por lo que podría seguir accediendo al panel de control de la zona DNS y cambiar lo que quisiera y sin que nos esterásemos. Esa es otra, que no nos enteramos hasta que ocurre, quieres abrir el correo y te das cuentas que no recibes nada, que quieres entrar en tu web y tienes un error de resolución de nombres y así .. con cientos de servicios pueden dejar de funcionar.

Hay muchos más ejemplos, pero creo que ya a estas alturas del artículo a todos se nos ocurren múltiples problemas de una incorrecta manipulación de estos registros. Estos problemas tienen “fácil” solución, en Azure ahora (desde hace unos meses) tenemos la posibilidad de mantener nuestras zonas DNS públicas gestionadas y securizadas. Como bien sabéis, en Azure todo o casi todo es tratado con un recurso, y todos los recursos se pueden controlar mediante ciertas medidas de control de acceso.  Esto nos permitirá aplicar medias de seguridad, tanto a nivel de zona como de registro, pero además, nos permite conocer mediante las auditoria (registro de actividad) conocer que, quien y cuando se ha creado/modificado/eliminado un registro o zona y esto es justo lo que necesitamos!!

Después de esta breve explicación, creo que tiene sentido introducir este artículo dentro de la serie de artículos de migración de nuestros servicios y servidores a Azure, así que .. ahí va la topología actualizada para este artículo (este es sencillo):

DNS AZURE

Como comentaba, Azure tiene un servicio de zonas DNS, pero recordemos que MSFT no es un registrador de dominio, aquí sólo podemos gestionar la zonas DNS (debemos seguir comprándolo en Arsys, Dinahosting, etc…). Lo primero que tenemos que saber son los costes y límites que tenemos en dicho servicios:

Coste

Límites

Pues empecemos con la configuración, lo primero .. vamos crearemos un grupos de recursos, yo tengo un creado  y le he llamado RG-NorthEurope-DNS, el cual utilizaré para albergar todas las zonas DNS. Una vez creado y dentro del grupo de recursos pulsamos en Agregar para crear una zona DNS:

Lo primero es buscar el recurso  a crear, básicamente escribimos DNS o DNS Zone y en el listado de recursos disponibles, seleccionamos Zona DNS:

Pulsamos en Crear

Ahora debemos tener cuidado, aquí es donde debemos cubrir los siguientes campos:

  • Nombre: es el nombre de dominio de la zona DNS que queremos gestionar en Azure
  • Suscripción: como siempre, en donde MSFT hará los cargos económicos sobre este recursos
  • Grupo de Recursos: elegimos el grupo de recursos donde ubicaremos esa zona (en mi caso en el grupo de recursos que previamente había creado)

Una vez que ya tenemos todo listo, pulsamos en Crear

En cuestión de segundos, tenemos la(s) zonas DNS creadas y disponibles para empezar crear los registros DNS que necesitemos:

Una vez dentro de la zona DNS, podemos ver los servidores DNS para esta zona, estos datos son mu importantes, porque más adelante los necesitaremos. Para crear los registros DNS debemos pulsar en Conjunto de registros

El campo nombre es el nombre del registro que vamos a crear, por ejemplo, el nombre que queremos crear es test.dominio.com, por lo que en el campo de nombre escribimos test. Debemos elegir tipo de registro, lo debemos elegir del desplegable de Tipo

Definimos el TTL 

Y en Dirección IP debemos especificar la IP que se resolverá cuando alguien pregunte por el nombre test.dominio.com, una vez hayamos completado todos los campos, pulsamos en Crear.  

En cuestión de segundos tenemos el registro creado, si volvemos a la sección de Información general de la zona DNS, veremos que tenemos nuestro primer registro de la zona:

Si queremos eliminarlo, simplemente pulsamos en los tres puntos que están en la parte de la derecha del registro y pulsaríamos en Eliminar

Ahora nos saldrá un aviso para asegurarnos de si queremos eliminarlo, por lo que, si estamos seguros de que lo queremos eliminar, pulsamos en Si.

Y más de lo mismo, en cuestión de segundos se eliminará el registro

Como os he comentado antes, tenemos la posibilidad saber quien ha creado/modificado/eliminado los registros de la zona, para ello dentro de la zona nos vamos a Registro de Actividad y vemos todo lo que hemos hecho. Esto es justamente lo que necesitamos, conocer quien, cuando y que se ha hecho en esta zona.

Para delegar los permisos sobre una zona, nos vamos a la sección Control de Acceso y pulsamos en Agregar

Ahora elegimos el rol que queremos delegar, por defecto tenemos uno específico para las zonas DNS, el Colaborador de zona DNS, este rol por defecto permite administrar todas la zona. Si este permiso lo delegamos a nivel de Grupo de Recursos, le daríamos acceso a todas las zonas del grupo de recursos. 

Ahora viene lo más interesante, si tenemos integrado/sincronizado nuestro AD DS con Azure, podemos elegir al usuario o usuarios a los que queremos delegar dicho rol. Esto también se puede hacer con nuestros grupos de seguridad de Azure o de AD DS On-Premises que hayamos sincronizado con Azure. Esto para mi es lo mejor, porque así cuando creamos un nuevo usuario en el AD y queremos que gestione una Zona DNS, únicamente tenemos que añadirlo como miembro del grupo de seguridad que previamente también hemos añadido al rol en cuestión en la zona DNS a delegar.

Una vez seleccionado el usuario o grupo, únicamente tenemos que pulsar en Guardar y el usuario ya podrá gestionar la zona DNS con su cuenta del AD DS. Por lo que, si este usuario deja de trabajar en nuestra empresa, únicamente como deshabilitar el usuario en el AD ya sería suficiente para asegurarnos de que no tenga acceso a dicha Zona. O bien, si aún trabajando en la empresa no queremos que tenga acceso, o quitamos del grupo de seguridad que habíamos creado y asignado (recomendado) o bien quitemos el usuario del rol que le hemos asignado previamente.

Por último en cuanto a la gestión de la zona DNS en Azure, es que podemos proteger registros DNS de forma independiente!! Vamos, que si queremos evitar que alguien elimine/modifique un registro DNS, accedemos a él como si lo fuéramos a modificar y vemos la opción Usuarios, y desde ahí podremos establecer permisos para este registro. Esto me parece súper importante, porque creo que debemos proteger registros fundamentales: MX, TXT, SRV y algunos de Tipo A.

Ahora que tenemos ya todos los registros creados y securizados, tenemos que ir al registrador del dominio para indicarle al mundo cuales serán los servidores DNS para nuestra dominio, el cual hemos creado la zona DNS en Azure. Yo os voy a mostrar como hacerlo en Arsys, pero cada panel tiene su forma de gestionarlo. Una vez dentro del panel de Arsys y dentro de la zona DNS de nuestro dominio, pulsamos en la opción Servidores DNS y ahí tendremos los servidores DNS para nuestra zona, los cuales los tendremos que cambiar por los de Azure:

Y aquí tenéis .. siiii los que os había comentado que teníamos en la Zona DNS en la sección de creación de registros (¿Os acordáis?). Pues bien, como mínimo debemos especificar dos servidores DNS de Azure, yo he puesto tres e incluso podéis poner los cuatro que teníais:

Con esto ya tenemos la zona DNS de Azure como zona que el resto de servidores DNS consultarán como zona habilitada para nuestro dominio. Si queremos confirmar que ya tenemos los servidores de Azure como nuestros servidores DNS públicos, podemos comprobarlo con NSLOOKUP:

Con esto ya tenemos nuestra zona DNS 100% en Azure, securizada y en alta disponibilidad. Recordad los límites, el coste (5€ dominio/año) y que MSFT no es un registrador de dominio, sólo gestionará nuestra zona DNS.

Nuevo Plan de Llamad
Microsoft Teams, con
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies