Fluxos de DNS
Esta é uma visão geral de como o DNS funciona quando você acessa um aplicativo usando o ZTNA. Você pode acessar um aplicativo com o agente ZTNA ou através do seu navegador.
Fluxo de DNS com agente
-
O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.
-
A solicitação de DNS é interceptada e encaminhada ao agente ZTNA.
Nota
O agente ZTNA resolve o FQDN do aplicativo privado para o IP da rede CGN (Carrier Grade Network Address Translation) e também lida com todo o tráfego destinado para o FQDN do aplicativo privado.
-
O agente ZTNA envia uma solicitação de DNS ao servidor DNS público para o endereço IP do gateway ZTNA. Isso é necessário para estabelecer o túnel com o gateway ZTNA.
Nota
O servidor DNS público tem uma entrada de registro A para o gateway ZTNA que aponta para o IP do gateway.
-
O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta ao agente ZTNA.
-
A criptografia TLS mútua é executada entre o agente ZTNA e o gateway ZTNA, e um túnel é estabelecido. Toda a comunicação com o gateway ZTNA acontece através do túnel seguro.
-
O agente envia o tráfego do aplicativo app.mycompany.net para o gateway ZTNA através do túnel.
-
O gateway ZTNA envia a consulta DNS do app.mycompany.net para o servidor DNS privado para descobrir onde está o IP do servidor do aplicativo específico.
-
O servidor DNS privado retorna o endereço IP do servidor do aplicativo (192.168.1.20) e o tráfego é encaminhado pelo gateway ZTNA para o servidor do aplicativo.
-
O usuário remoto pode acessar o aplicativo privado pelo túnel.
Nota
O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.
Fluxo sem agente de DNS
-
O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.
-
A solicitação de DNS é enviada do navegador do usuário remoto para o servidor DNS público, que resolve o nome do aplicativo privado para o nome e o endereço IP do gateway ZTNA.
Nota
O servidor DNS público tem um registro CNAME para o aplicativo privado, que aponta para o FQDN do gateway ZTNA. Ele também tem um registro A para o gateway ZTNA, que aponta para o endereço IP do gateway.
-
O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta para o navegador do usuário.
-
Uma solicitação da Web é enviada do navegador do usuário para o gateway ZTNA.
-
O gateway ZTNA envia a solicitação de DNS do app.mycompany.net para o servidor DNS privado.
-
O servidor DNS privado retorna o endereço IP de app.mycompany.net (192.168.1.20).
-
O gateway ZTNA encaminha a solicitação (app.mycompany.net) para o servidor do aplicativo.
-
O usuário pode se conectar ao Gateway ZTNA para acessar o aplicativo privado.
Nota
O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.