Menggunakan DNS Zona untuk jenis DNS internal


DNS Zona mengurangi risiko pemadaman layanan lintas-regional dan meningkatkan keandalan project Anda secara keseluruhan di Compute Engine. Menggunakan DNS zona mengurangi dampak kegagalan titik tunggal yang dapat terjadi saat menggunakan DNS global.

Sebelum memulai

  • Jika Anda belum melakukannya, siapkan autentikasi. Autentikasi adalah proses verifikasi identitas Anda untuk mengakses layanan dan API Google Cloud . Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke Compute Engine dengan memilih salah satu opsi berikut:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Untuk informasi selengkapnya, lihat Mengautentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud .

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk melakukan migrasi ke DNS zonal, minta administrator untuk memberi Anda peran IAM berikut:

  • Membuat atau memperbarui kebijakan organisasi: Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di folder atau organisasi
  • Menentukan apakah folder siap dimigrasikan ke DNS zona: Browser (roles/browser) di folder atau organisasi
  • Memigrasikan project untuk menggunakan DNS zona: Project Editor (roles/resourcemanager.projectEditor) pada project tersebut
  • Memigrasikan VM ke DNS zona dalam project: Compute Instance Admin (v1) (roles/compute.instanceAdmin.v1) pada project
  • Jika VM Anda menggunakan akun layanan: Pengguna Akun Layanan (roles/iam.serviceAccountUser) di akun layanan atau project

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk bermigrasi ke DNS zonal. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk bermigrasi ke DNS zonal:

  • Tetapkan batasan kebijakan organisasi: orgpolicy.*
  • Tentukan apakah folder siap dimigrasikan ke DNS zonal:
    • resourcemanager.folders.get
    • resourcemanager.folders.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • resourcemanager.projects.list
  • Periksa nama DNS global dan metadata VM: compute.projects.get
  • Menetapkan metadata pada VM: compute.instances.setMetadata
  • Menetapkan metadata di seluruh project: compute.projects.setCommonInstanceMetadata
  • Jika VM Anda menggunakan akun layanan: iam.serviceAccounts.actAs

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Tentang nama DNS

Nama DNS zona mencakup nama VM Anda, zona tempat VM Anda berada, dan project yang memiliki VM tersebut. Nama DNS global tidak menyertakan zona tempat VM berada.

Saat Anda melakukan panggilan ke VM menggunakan nama DNS global:

  • Nama tersebut di-resolve di tingkat global.
  • Setiap VM harus memiliki nama DNS yang unik.
  • Saat membuat VM baru, nama DNS untuk VM harus diperiksa terhadap semua nama DNS global lainnya yang terdaftar dalam project yang sama untuk menghindari konflik nama DNS.

Saat Anda melakukan panggilan ke VM menggunakan nama DNS zona:

  • Nama di-resolve dalam zona.
  • Nama DNS zona harus unik dalam zona. Misalnya, my-vm.zone1.google.com harus unik untuk zone1. Namun, tidak seperti nama DNS global, my-vm.zone2.google.com juga merupakan nama DNS yang valid saat menggunakan DNS zona.

DNS Zona adalah metode resolusi DNS internal default untuk Compute Engine bagi organisasi yang dibuat setelah 6 September 2018. Nama DNS zona di satu zona berfungsi secara terpisah dari zona lain, sehingga Anda dapat mem-build aplikasi multiregional yang lebih fault-tolerant dengan karakteristik ketersediaan yang lebih baik. Penggunaan DNS zonal tidak dikenai biaya. DNS zona terpisah dari Cloud DNS.

Project yang dibuat sebelum 6 September 2018 dikonfigurasi untuk menggunakan DNS global secara default. Project ini dapat terus menggunakan DNS global, tetapi Google sangat menyarankan agar organisasi memigrasikan project ini ke DNS zona untuk mencegah gangguan layanan di region lain agar tidak memengaruhi resource regional lokal. Penggunaan DNS zona memberikan keandalan yang lebih tinggi dibandingkan dengan DNS global dengan mengisolasi kegagalan dalam pendaftaran DNS ke masing-masing zona. Hal ini mengurangi dampak kegagalan titik tunggal. Jika terjadi pemadaman layanan di Google Cloud , pemadaman layanan tersebut akan diisolasi ke satu zona, dan resource serta biaya tidak akan terpengaruh secara signifikan.

Bermigrasi dari DNS global ke DNS zona

DNS Zona telah menggantikan DNS global sebagai jenis DNS internal default untuk semua organisasi baru yang menggunakan Google Cloud setelah 6 September 2018. Jika project yang ada masih menggunakan DNS global, Google sangat merekomendasikan agar Anda mengalihkan project tersebut menggunakan nama DNS zona. Dengan tidak bermigrasi ke DNS zona, Anda berisiko mengalami masalah berikut:

  • Tidak dapat membuat VM baru di region mana pun yang mengalami kegagalan bidang kontrol, tempat Anda memiliki atau sebelumnya memiliki project.
  • Ketidakmampuan untuk menggunakan beberapa layanan Compute Engine yang penting bagi beban kerja Anda, seperti penskalaan otomatis atau autohealing untuk grup instance terkelola (MIG).

Pendekatan alternatif untuk meningkatkan keandalan beban kerja Anda yang menggunakan DNS global adalah dengan bermigrasi ke zona pribadi Cloud DNS. Menggunakan zona pribadi Cloud DNS akan menghapus pemeriksaan keunikan nama yang diperlukan oleh DNS global dan mengisolasi kegagalan untuk memungkinkan resolusi nama DNS. Untuk mengetahui informasi selengkapnya tentang opsi ini, lihat dokumentasi Cloud DNS, atau hubungi Layanan Pelanggan Cloud atau perwakilan tim akun Anda. Untuk informasi tentang cara Cloud DNS menangani pemadaman layanan zonal dan regional, lihat Merancang pemulihan dari bencana untuk pemadaman layanan infrastruktur cloud.

Ringkasan proses migrasi

Proses migrasi DNS zonal memiliki dua tingkat:

  • Tingkat organisasi atau folder: Menentukan kesiapan folder atau organisasi untuk bermigrasi ke DNS zona. Mencegah project baru menggunakan DNS global. Dilakukan oleh administrator organisasi.
  • Tingkat project: Memigrasikan satu project dari DNS global ke DNS zona. Biasanya dilakukan oleh pemilik project.

Gambar ini menampilkan diagram alur langkah-langkah yang terlibat dalam migrasi ke DNS zonal

Secara umum, proses ini melibatkan langkah-langkah berikut:

  1. Periksa kesiapan folder atau organisasi untuk migrasi ke DNS zona.
  2. Jika folder atau organisasi siap dimigrasikan ke DNS zona:
    1. Administrator organisasi menetapkan kebijakan organisasi untuk folder atau organisasi guna mencegah penggunaan DNS global di masa mendatang.
    2. Project owner memigrasikan project mereka untuk menggunakan DNS zona.
  3. Jika folder atau organisasi belum siap untuk bermigrasi ke DNS zona:
    1. Pemilik project memigrasikan project yang siap ke DNS zona.
    2. Pemilik project menyelidiki penggunaan DNS global di project yang belum siap.
    3. Pemilik project menerapkan peningkatan jalur penelusuran atau perubahan lainnya agar project siap dimigrasikan ke DNS zona.
    4. Administrator organisasi memeriksa kembali status kesiapan folder atau organisasi untuk migrasi DNS zona.

Batasan

  • DNS zona bukan pengganti DNS global sepenuhnya. Ada beberapa jenis kueri (lintas zona) yang mungkin tidak di-resolve oleh DNS zona dengan pencarian jalur penelusuran otomatis. Periksa kesiapan migrasi folder dan project organisasi Anda untuk memastikannya kompatibel dengan DNS zonal sebelum migrasi.

  • Proses migrasi DNS global ke DNS zona memperkenalkan domain baru (ZONE.c.PROJECT_ID.internal) di jalur penelusuran. Jika VM yang menjalankan Linux atau Unix sudah memiliki 6 domain di jalur penelusuran, pastikan VM berjalan dengan glibc versi 2.26 atau yang lebih baru. Klien DHCP dengan glibc 2.25 dan yang lebih lama hanya mendukung maksimal 6 domain penelusuran, sehingga mungkin ada risiko penghapusan domain penelusuran yang ada. Batas ini tidak berlaku untuk VM yang menggunakan:

    • Image Windows
    • Image Container-Optimized OS
    • Image Debian 10 atau yang lebih baru
    • Fedora CoreOS (versi 27 atau yang lebih baru)
    • Image RHEL 8 atau yang lebih baru
    • Gambar rilis Ubuntu 18.04 atau yang lebih baru
    • Gambar lain dengan glibc versi 2.26 atau yang lebih baru
  • Mengaktifkan peningkatan jalur penelusuran akan menambahkan beberapa domain penelusuran lainnya, seperti NEIGHBOR_ZONE.c.PROJECT_ID.internal. Seperti yang disebutkan dalam batasan sebelumnya, domain yang ada di jalur penelusuran dapat dihapus jika batas domain jalur penelusuran terlampaui saat menggunakan glibc versi 2.25 atau yang lebih lama.

  • Untuk menggunakan peningkatan jalur penelusuran dengan Google Kubernetes Engine, Anda harus menggunakan versi Google Kubernetes Engine 1.26 atau yang lebih baru.

Memeriksa versi glibc

Untuk memeriksa versi glibc yang digunakan oleh VM Anda:

  1. Hubungkan ke VM Linux Anda.
  2. Jalankan ldd --version untuk mendapatkan versi glibc.

Memeriksa jumlah domain penelusuran jika menggunakan glibc 2.25 atau yang lebih lama

  1. Hubungkan ke VM Linux Anda.

  2. Periksa apakah VM Linux Anda sudah memiliki 6 domain di jalur penelusuran. Anda dapat menjalankan cat /etc/resolv.conf untuk melihat informasi ini.

Langkah-langkah administrator organisasi

Sebagai administrator organisasi, Anda melakukan tugas berikut:

Memeriksa apakah organisasi Anda menggunakan DNS global secara default

Jenis nama DNS internal default untuk organisasi Anda ditentukan oleh tanggal pembuatan organisasi dan apakah batasan kebijakan organisasi constraints/compute.setNewProjectDefaultToZonalDNSOnly diterapkan.

Konsol

  1. Buka halaman IAM & Admin>Identitas & Organisasi di konsol.

    Buka Identitas & Organisasi

  2. Periksa tanggal pendaftaran organisasi.

    Screenshot halaman konsol Identitas & Organisasi yang menampilkan tanggal Pendaftaran selesai

    • Jika organisasi Anda dibuat setelah 6 September 2018, organisasi Anda akan menggunakan DNS zona secara default. Dalam hal ini, Anda tidak perlu melakukan tindakan apa pun.
    • Jika organisasi Anda dibuat sebelum 6 September 2018, organisasi Anda akan menggunakan DNS global secara default, dan harus dimigrasikan ke DNS zona.
  3. Jika organisasi Anda menggunakan DNS global secara default, periksa apakah batasan kebijakan organisasi menetapkan jenis DNS default untuk semua project yang baru dibuat ke DNS zona.

    1. Buka halaman IAM & Admin>Kebijakan Organisasi di konsol Google Cloud .
    2. Di kolom Filter, masukkan constraints/compute.setNewProjectDefaultToZonalDNSOnly.
    3. Jika batasan dikonfigurasi, klik nama Sets the internal DNS setting for new project to Zonal DNS Only.
    4. Di halaman Detail kebijakan, periksa Status.
      • Jika statusnya Enforced, jenis DNS internal default adalah DNS zona untuk semua project baru yang dibuat di organisasi.
      • Jika tidak, jenis DNS default untuk project masih ditentukan oleh waktu pembuatan organisasi.
    5. Jika batasan tidak dikonfigurasi untuk organisasi, jenis DNS default untuk project ditentukan oleh waktu pembuatan organisasi, seperti yang dijelaskan pada langkah pertama.

gcloud

Gunakan perintah organizations describe dan perintah resource-manager org-policies list untuk menentukan jenis DNS default untuk organisasi.

  1. Periksa nilai metadata creationTime organisasi.

    gcloud organizations describe ORGANIZATION_ID
    

    Ganti ORGANIZATION_ID dengan nomor ID organisasi atau nama domain organisasi.

    • Jika organisasi Anda dibuat setelah 6 September 2018, organisasi Anda akan menggunakan DNS zona secara default. Dalam hal ini, organisasi Anda sudah menggunakan DNS zonal dan tidak ada tindakan lebih lanjut yang diperlukan.
    • Jika organisasi Anda dibuat sebelum 6 September 2018, organisasi Anda akan menggunakan DNS global secara default, dan harus dimigrasikan ke DNS zona.
  2. Jika organisasi Anda menggunakan DNS global secara default, tentukan apakah batasan kebijakan organisasi dikonfigurasi untuk menetapkan jenis DNS default untuk semua project yang baru dibuat ke DNS zona.

    gcloud resource-manager org-policies list --organization=ORGANIZATION_ID \
       --filter="constraints/compute"
    

    Pada output, cari constraints/compute.setNewProjectDefaultToZonalDNSOnly.

    1. Jika batasan dikonfigurasi, dan Status adalah Enforced, jenis DNS internal default adalah DNS zona untuk semua project baru yang dibuat di organisasi.
    2. Jika batasan tidak dikonfigurasi untuk organisasi atau tidak diterapkan, jenis DNS internal default ditentukan oleh waktu pembuatan organisasi, seperti yang dijelaskan pada langkah pertama.

Menentukan project mana di folder atau organisasi yang menggunakan DNS global

Untuk menentukan jumlah project yang menggunakan DNS global, sebaiknya gunakan BigQuery untuk membuat tabel yang mencantumkan project relatif untuk organisasi Anda dan metadatanya. Kemudian, Anda dapat menggunakan tabel ini untuk menjalankan kueri yang menampilkan jumlah total project yang menggunakan DNS global.

  1. Membuat set data BigQuery.
  2. Mengekspor metadata aset untuk organisasi Anda ke tabel BigQuery.

    1. Pastikan Cloud Asset Inventory API diaktifkan.
    2. Konfigurasikan izin yang diperlukan untuk menggunakan Cloud Asset Inventory API.
    3. Gunakan perintah gcloud CLI berikut untuk mengekspor aset compute.googleapis.com/Project:

      gcloud asset export \
         --content-type resource \
         --organization 'ORGANIZATION_ID' \
         --bigquery-table 'projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME' \
         --asset-types='compute.googleapis.com/Project' \
         --output-bigquery-force
      

      Ganti kode berikut:

      • ORGANIZATION_ID: nomor ID organisasi
      • PROJECT_ID: the project ID
      • DATASET_ID: nama set data BigQuery
      • TABLE_NAME: tabel tempat Anda mengekspor metadata. Jika tidak ada, tabel akan dibuat.
  3. Buka halaman BigQuery di konsolGoogle Cloud .

  4. Pilih Tulis kueri baru.

  5. Di area teks editor kueri, masukkan kueri GoogleSQL berikut, lalu klik  Run.

    SELECT
      JSON_VALUE(SAFE.PARSE_JSON(resource.data).vmDnsSetting) AS vmDnsSetting,
      count(*) as project_count
    FROM PROJECT_ID.DATASET_ID.TABLE_NAME
    GROUP BY 1
    

    Ganti kode berikut:

    • PROJECT_ID: the project ID
    • DATASET_ID: nama set data BigQuery
    • TABLE_NAME: tabel yang berisi metadata yang diekspor, dari Langkah 2.

    Project dengan nilai ZONAL_ONLY untuk vmDnsSetting memiliki DNS zona yang dikonfigurasi. Jika tidak, project akan ditetapkan untuk menggunakan DNS global.

  6. Opsional: Untuk melihat vmDnsSetting secara mendetail untuk setiap project, masukkan kueri GoogleSQL berikut, lalu klik  Run.

    SELECT
      SUBSTR(name,35) as project_id,
      JSON_VALUE(SAFE.PARSE_JSON(resource.data).vmDnsSetting) AS vmDnsSetting
    FROM PROJECT_ID.DATASET_ID.TABLE_NAME
    

Menentukan apakah folder siap dimigrasikan ke DNS zonal

Langkah ini menggunakan skrip bash dan tabel BigQuery yang dibuat di bagian sebelumnya untuk menentukan kesiapan migrasi folder.

  • Folder siap jika semua project belum membuat kueri apa pun yang tidak kompatibel dengan DNS zonal dalam 30 hari terakhir.
  • Jika folder belum siap untuk migrasi, skrip akan merespons dengan ID project di folder yang menyebabkan folder tidak siap untuk migrasi. Project dalam daftar hasil ini belum kompatibel dengan DNS zonal dan memerlukan tindakan tambahan.

Selesaikan langkah-langkah berikut:

  1. Dapatkan ID folder. Jika Anda tidak mengetahui ID folder:
    1. Di konsol Google Cloud , buka halaman Managed resources.
    2. Terapkan filter Name:FOLDER_NAME untuk mendapatkan ID folder.
  2. Buat kueri tabel BigQuery dengan data compute.Project assets yang diekspor.

    Lihat Menentukan project mana di folder atau organisasi yang menggunakan DNS global untuk mengetahui petunjuk cara membuat tabel BigQuery.

    Masukkan kueri GoogleSQL berikut, lalu klik  Run:

    SELECT
      SUBSTR(name,35) AS project_id,
    FROM PROJECT_ID.DATASET_ID.TABLE_NAME
    WHERE CONTAINS_SUBSTR(ancestors, 'FOLDER_NUMBER')
    

    Ganti kode berikut:

    • PROJECT_ID: the project ID
    • DATASET_ID: nama set data BigQuery
    • TABLE_NAME: tabel yang berisi metadata yang diekspor
    • FOLDER_NUMBER: nomor ID folder
  3. Salin daftar project ID dan simpan ke file.

  4. Jalankan skrip bash berikut. Skrip ini melakukan iterasi melalui project ID dalam file tersimpan untuk menentukan apakah folder siap untuk dimigrasikan.

#!/bin/bash
inaccessible_projects=()
unready_projects=()

for project in $(cat ~/FILENAME | tr '\n' ' '); do
  echo -e "Checking project $project..."
  ERROR=`curl -s --request POST "https://monitoring.googleapis.com/v3/projects/$project/timeSeries:query"   -H "Authorization: Bearer $(gcloud auth print-access-token)"   -H "Accept: application/json"   -H "Content-Type: application/json"   --data '{"query":"fetch compute.googleapis.com/Location | metric '"'"'compute.googleapis.com/global_dns/request_count'"'"' | filter metric.zonal_dns_readiness = '"'"'zonal_dns_risky'"'"' | every 30d | within 30d"}'   --compressed | jq --raw-output '.error'`
  if ! [[ "$ERROR" -eq "null" ]]; then
    inaccessible_projects+=($project)
    continue
  fi
  QUERY_COUNT=`curl -s --request POST "https://monitoring.googleapis.com/v3/projects/$project/timeSeries:query"   -H "Authorization: Bearer $(gcloud auth print-access-token)"   -H "Accept: application/json"   -H "Content-Type: application/json"   --data '{"query":"fetch compute.googleapis.com/Location | metric '"'"'compute.googleapis.com/global_dns/request_count'"'"' | filter metric.zonal_dns_readiness = '"'"'zonal_dns_risky'"'"' | every 30d | within 30d"}'   --compressed | jq --raw-output '.timeSeriesData[0].pointData[0].values[0].int64Value'`
  if [[ "$QUERY_COUNT" -ne "null" ]] && [[ "$QUERY_COUNT" -ne "0" ]]; then
    unready_projects+=($project)
  fi
done

error_len=${#inaccessible_projects[@]}
unready_len=${#unready_projects[@]}

echo -e "$error_len projects were inaccessible"
echo -e "$unready_len projects were not ready for migration"

if [ $error_len -ne 0 ]; then
  echo "Unable to access the following projects:"
  for project in "${inaccessible_projects[@]}"; do
    echo "$project"
  done
fi
if [ $unready_len -ne 0 ]; then
  echo "The following projects are not ready for migration:"
  for project in "${unready_projects[@]}"; do
    echo "$project"
  done
fi

if (( $error_len + $unready_len > 0 )); then
  echo "This folder is NOT ready for gDNS -> zDNS migration."
else
  echo "This folder is ready for gDNS -> zDNS migration."
fi

Ganti FILENAME dengan nama file tempat Anda menyimpan daftar project ID.

Sampaikan hasil analisis kesiapan migrasi kepada pemilik project:

Menerapkan DNS zona secara default untuk project baru

Jika project baru dibuat pada organisasi yang dibuat sebelum 6 September 2018, secara default jenis DNS internal yang digunakan oleh project adalah DNS global. Untuk mengisolasi kegagalan dalam pendaftaran DNS ke setiap zona, Anda dapat menerapkan kebijakan organisasi constraints/compute.setNewProjectDefaultToZonalDNSOnly di tingkat organisasi atau folder.

Jika Anda menetapkan kebijakan organisasi untuk mengganti jenis DNS internal default, project yang baru dibuat akan menggunakan DNS zona secara default. Kebijakan organisasi tidak memengaruhi project yang sudah ada yang mengaktifkan Compute Engine API. Untuk mengalihkan project yang ada agar menggunakan DNS zona, lihat mengalihkan project yang ada ke DNS zona.

Untuk menerapkan perubahan kebijakan ini, Anda harus memiliki akses tingkat folder atau organisasi dengan peran IAM roles/orgpolicy.policyAdmin.

Gunakan langkah-langkah berikut untuk menetapkan kebijakan organisasi untuk folder atau organisasi.

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity.

  2. Di konsol, buka halaman Organization policies.

    Buka Organization policies

  3. Pilih folder atau organisasi tempat Anda ingin melihat kebijakan organisasi. Konsol Google Cloud menampilkan daftar batasan kebijakan organisasi yang tersedia. Daftar ini mungkin mencakup beberapa halaman.

  4. Untuk menemukan kebijakan guna menerapkan DNS zona, klik Filter dan pilih Name, lalu tetapkan nama filter menjadi Sets the internal DNS setting for new project to Zonal DNS Only.

  5. Klik nama kebijakan untuk melihat detailnya.

    Halaman detail kebijakan memberikan informasi tentang batasan dan cara batasan diterapkan.

    Secara default, penerapan tidak ditentukan untuk folder atau organisasi. Namun, jika folder induk memiliki penerapan yang ditentukan, penerapan tersebut akan diwariskan dari folder induk terdekat yang memiliki penerapan yang ditentukan. Untuk informasi selengkapnya, baca Memahami evaluasi hierarki.

  6. Untuk menyesuaikan kebijakan organisasi, klik Edit.

  7. Di halaman edit, pilih Customize.

  8. Di bagian Enforcement, pilih On.

    Tindakan ini akan menetapkan jenis DNS internal default untuk semua project baru di organisasi ke DNS zona.

  9. Klik Simpan.

Untuk memvalidasi perubahan kebijakan organisasi, Anda dapat membuat project baru di bawah folder atau organisasi, lalu membuat dan memulai instance VM, dan memeriksa apakah VM diaktifkan untuk DNS zona.

Jika DNS global diperlukan untuk menyelesaikan kueri nama DNS yang terintegrasi ke dalam workload Anda, Anda dapat melakukan rollback perubahan ini di tingkat organisasi atau folder dengan menonaktifkan penerapan.

Mengecualikan folder yang belum siap dimigrasikan ke DNS zona

Jika hanya ada beberapa folder dalam organisasi yang belum siap untuk dimigrasikan ke DNS zonal, sebaiknya tetapkan kebijakan organisasi di tingkat organisasi, tetapi berikan pengecualian untuk folder yang belum siap dimigrasikan.

Contoh berikut menunjukkan hierarki organisasi dengan hanya satu folder yang belum siap dimigrasikan ke DNS zonal.

organization/Example.com

  • folders/101
    • projects/301 (siap migrasi)
    • folders/201
      • projects/303 (BELUM siap)
      • projects/304 (siap migrasi)
  • folders/102
    • projects/302 (siap migrasi)

Untuk mengecualikan folder dari kebijakan organisasi, selesaikan langkah-langkah berikut untuk menetapkan opsi penerapan kebijakan di tingkat folder ke Off.

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity.
  2. Di konsol, buka halaman Organization policies.

    Buka Organization policies

  3. Klik Pilih, lalu pilih folder yang ingin Anda kecualikan dari kebijakan organisasi.

    Konsol Google Cloud menampilkan daftar batasan kebijakan organisasi untuk folder tersebut di satu atau beberapa halaman.

  4. Untuk menemukan batasan kebijakan organisasi yang menerapkan DNS zona:

    1. Klik Filter.
    2. Pilih Nama.
    3. Tetapkan nama filter ke Sets the internal DNS setting for new project to Zonal DNS Only.
  5. Klik nama batasan kebijakan organisasi untuk membuka halaman Policy details.

  6. Klik Edit.

  7. Pada halaman Edit, pilih Customize.

  8. Di bagian Enforcement, pilih Off untuk menonaktifkan penerapan batasan. Artinya, jenis DNS internal default untuk semua project dalam folder ditentukan oleh waktu pembuatan organisasi.

  9. Klik Simpan.

Untuk informasi selengkapnya tentang cara menyesuaikan batasan kebijakan organisasi, lihat Menyesuaikan kebijakan untuk batasan boolean dalam dokumentasi Resource Manager.

Langkah-langkah pemilik project

Sebagai pemilik project, Anda akan melakukan tugas berikut selama migrasi dari DNS global ke DNS zona:

Pemilik project juga dapat menyelesaikan tugas opsional berikut:

Memeriksa apakah project Anda menggunakan DNS global secara default

Periksa project Anda untuk melihat apakah project tersebut perlu dimigrasikan dari penggunaan DNS global ke DNS zona. Anda hanya perlu memigrasikan project yang dikonfigurasi untuk menggunakan DNS global sebagai default untuk nama DNS internal apa pun yang dibuat dalam project.

Konsol

  1. Di konsol Google Cloud , buka halaman Metadata.

    Buka Metadata

  2. Pada tab Metadata, lihat setelan vmdnssetting. Nilai ini menunjukkan apakah project menggunakan DNS global secara default.

    • GlobalDefault: project telah mengaktifkan DNS global.
    • ZonalOnly: project telah mengaktifkan DNS zona. Project ini tidak perlu dimigrasikan.

gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  1. Jalankan perintah gcloud CLI berikut untuk memeriksa nilai vmDnsSetting.

      gcloud compute project-info describe --project=PROJECT_ID --flatten="vmDnsSetting"
      

    Ganti PROJECT_ID dengan nama project.

    Nilai yang ditampilkan menunjukkan apakah project menggunakan DNS global secara default.

    • GLOBAL_DEFAULT: project telah mengaktifkan DNS global.
    • ZONAL_ONLY: project telah mengaktifkan DNS zona. Project ini tidak perlu dimigrasikan.

REST

Periksa nilai vmDnsSetting menggunakan metode projects.get. Contoh ini menggunakan parameter kueri fields untuk hanya menyertakan kolom yang ingin Anda lihat.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID?fields=id,name,vmDnsSetting

Ganti PROJECT_ID dengan project ID.

Nilai vmDnsSetting menunjukkan apakah project menggunakan DNS global secara default.

  • GLOBAL_DEFAULT: project telah mengaktifkan DNS global.
  • ZONAL_ONLY: project telah mengaktifkan DNS zona. Project ini tidak perlu dimigrasikan.

Menentukan apakah project Anda siap dimigrasikan

Di konsol Google Cloud , di halaman VM instances, jika project Anda perlu dimigrasikan ke DNS zonal, Anda akan melihat banner notifikasi tentang migrasi DNS zonal.

Saat Anda melihat halaman Instance VM untuk project, jika project Anda siap untuk migrasi (kompatibel dengan DNS zona), banner akan menyertakan rekomendasi untuk Menggunakan DNS Zona. Rekomendasi ini didasarkan pada penggunaan DNS internal dalam project, tetapi dibatasi hingga 100 hari terakhir.

Screenshot banner siap bermigrasi ke DNS zonal di konsol

Jika project Anda belum siap untuk dimigrasikan ke DNS zona, banner yang berbeda akan muncul.

Screenshot banner belum siap dimigrasikan ke DNS zonal di konsol

Untuk melihat penggunaan DNS global, klik tombol Lihat Penggunaan DNS Global. Tindakan ini akan membawa Anda ke halaman Logs Explorer di konsol Google Cloud . Di halaman ini, Anda dapat melihat log kueri pemblokiran migrasi dari 30 hari terakhir. Saat Anda mengklik link di banner, halaman Logs Explorer akan dikonfigurasi untuk menggunakan filter logName guna mengambil kueri DNS global dan kolom log relatif.

Untuk melihat informasi ini tanpa menggunakan tombol di banner, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Pilih project.

  3. Terapkan filter nama resource dan log:

    1. Klik Resource.
    2. Pada dialog Select resource, pilih VM Instance, lalu klik Apply.
    3. Klik Log name.
    4. Dalam dialog Select log names, pilih gdnsusage, lalu klik Apply.

Atau, Anda dapat memasukkan kode berikut ke dalam kolom kueri:

   resource.type="gce_instance"
   log_name="projects/PROJECT_ID/logs/compute.googleapis.com%2Fgdnsusage"
   

Melacak penggunaan DNS global dalam project

Ada dua metrik yang dibuat untuk melacak kesiapan project untuk bermigrasi ke DNS zona:

  • zonal_dns_ready: Jumlah gabungan kueri yang diselesaikan selama interval waktu yang ditentukan yang dapat diselesaikan dengan menggunakan DNS zonal, bukan DNS global.
  • zonal_dns_risky: Jumlah gabungan kueri yang diselesaikan selama interval waktu yang ditentukan dan tidak dapat di-resolve menggunakan DNS zonal. Untuk kueri ini, Compute Engine tidak dapat menentukan alamat IP internal relatif dari nama host saat ini. Jika metrik ini memiliki nilai non-nol, project belum siap untuk dimigrasikan.

Interval waktu yang digunakan oleh metrik ini adalah periode 100 hari.

Untuk melihat metrik ini, gunakan Metrics Explorer di konsol Google Cloud .

  1. Di konsol Google Cloud , buka halaman  Metrics explorer:

    Buka Metrics explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Di sisi kanan toolbar yang berisi kolom Select a metric, klik Code editor, MQL, atau PromQL.

  3. Jika kolom input kueri tidak berjudul Kueri MQL, di sudut kanan bawah kolom input kueri, untuk Bahasa, pilih MQL.

  4. Di kolom input kueri, masukkan teks berikut persis seperti yang ditampilkan:

    fetch compute.googleapis.com/Location
    | metric 'compute.googleapis.com/global_dns/request_count'
    | every 1d
    | within 7d
    
  5. Klik tombol Run query.

    Konsol Google Cloud menampilkan diagram dua metrik (zonal_dns_ready dan zonal_dns_risky) serta jumlah kueri yang sesuai yang dibuat selama jangka waktu untuk setiap metrik.

    Screenshot diagram untuk metrik penggunaan DNS global

  6. Periksa nilai untuk metrik zonal_dns_risky.

    • Jika nilainya 0, project siap dimigrasikan ke DNS zonal. Anda dapat memigrasikan project, seperti yang dijelaskan dalam Memigrasikan project yang siap ke DNS zona.
    • Jika nilainya bukan nol, seperti 0.02k seperti yang ditunjukkan dalam screenshot sebelumnya, ada beberapa kueri yang mungkin tidak berfungsi setelah Anda bermigrasi ke DNS zonal. Project belum siap untuk dimigrasikan. Lanjutkan dengan langkah-langkah di Mengubah project yang belum siap dimigrasikan.

Memigrasikan project yang siap ke DNS zona

Secara umum, Anda dapat menggunakan proses migrasi berikut:

  1. Periksa aplikasi Anda dan update untuk menyelesaikan masalah kompatibilitas dengan setelan khusus zona:
    • Jika Anda memiliki aplikasi yang menggunakan nama DNS global hard code, update aplikasi tersebut agar menggunakan nama DNS zona.
    • Jika ada aplikasi yang menggunakan nama VM untuk mengakses VM di zona lain, pastikan nama zona tujuan ditambahkan dalam kueri, misalnya: DESTINATION_VM_NAME.DESTINATION_ZONE_NAME.
    • Untuk me-resolve nama DNS VM dalam project layanan yang menggunakan jaringan VPC Bersama, Anda harus menggunakan nama domain yang sepenuhnya memenuhi syarat zona (FQDN) dari VM.
  2. Klik tombol Use Zonal DNS di banner pada halaman VM instances di konsol Google Cloud . Tindakan ini akan mengubah metadata project untuk menggunakan DNS zona.

    Atau, Anda dapat mengubah project secara manual untuk menggunakan DNS zona secara default, seperti yang dijelaskan dalam artikel Memperbarui project dan VM secara manual untuk menggunakan DNS zona dan Mencegah project baru menggunakan DNS global secara default.

Mengupdate project dan VM secara manual untuk menggunakan DNS zona

Setelah menentukan bahwa project Anda siap dimigrasikan ke DNS zona, Anda dapat mengonfigurasi project dan VM agar hanya menggunakan nama DNS zona dengan memperbarui metadata-nya. Aktifkan DNS zona untuk VM Anda dengan menetapkan entri metadata vmDnsSetting untuk project atau VM. Jika Anda menetapkan entri metadata vmDnsSetting untuk VM tertentu, entri tersebut akan menggantikan setelan vmDnsSetting yang diwarisi dari metadata project untuk VM tersebut.

Variabel vmDnsSetting mendukung setelan berikut:

  • Direkomendasikan: Tetapkan vmDnsSetting=ZonalOnly di metadata project. Artinya, VM Anda hanya dapat diakses oleh nama DNS zonanya (VM_NAME.ZONE.c.PROJECT_ID.internal) saat menggunakan jalur penelusuran. VM masih mempertahankan jalur penelusuran zona dan global, tetapi nama DNS globalnya, yang tidak menyertakan ZONE sebagai bagian dari nama DNS internal, tidak lagi berfungsi. Hanya VM di zona yang sama dan project yang sama yang dapat saling mengakses menggunakan nama global saat setelan ini diterapkan. VM lain dapat mengakses VM dengan vmDnsSetting ditetapkan ke ZonalOnly hanya menggunakan nama DNS zonanya dan tidak dapat mengakses VM ini menggunakan nama DNS global atau jalur penelusurannya. Ini adalah opsi yang lebih disukai dan lebih andal selama aplikasi Anda dapat mendukungnya.

    Setelan vmDnsSetting=ZonalOnly adalah setelan default untuk VM di project mandiri dan project yang dibuat di organisasi yang mengaktifkan Compute Engine API setelah 6 September 2018.

  • Tetapkan vmDnsSetting=GlobalDefault agar VM mendaftarkan nama DNS global dan zona, tetapi hanya gunakan nama DNS global sebagai nama domain default dan entri jalur penelusuran. Ini adalah setelan default untuk VM di project mandiri dan project yang dibuat di organisasi yang mengaktifkan Compute Engine API sebelum 6 September 2018.

Untuk memperbarui entri metadata vmDnsSetting, gunakan salah satu metode berikut untuk mengonfigurasi metadata di tingkat project atau untuk setiap instance. Untuk mengetahui informasi selengkapnya, lihat Menetapkan dan menghapus metadata kustom.

Konsol

  1. Untuk memperbarui setelan di tingkat project, di konsol Google Cloud , buka halaman Metadata.

    Buka halaman Metadata kustom

    1. Klik Edit.
    2. Jika kunci dengan nilai VmDnsSetting ada, ubah nilainya menjadi ZonalOnly.
    3. Jika kunci dengan nilai VmDnsSetting tidak ada, klik Tambahkan item.
      • Pada kolom Kunci, masukkan VmDnsSetting.
      • Di kolom Value, masukkan ZonalOnly.
    4. Untuk menyelesaikan perubahan entri metadata kustom, klik Simpan.
  2. Untuk memperbarui setelan metadata untuk instance, di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

    1. Di kolom Nama, klik nama instance.

      Halaman detail instance akan terbuka.

    2. Klik Edit.

    3. Di subbagian Metadata di bagian berlabel Pengelolaan, periksa kunci metadata yang ada.

    4. Jika kunci dengan nilai VmDnsSetting ada, ubah nilainya menjadi ZonalOnly.

    5. Jika kunci dengan nilai VmDnsSetting tidak ada, klik Tambahkan item.

      • Pada kolom Kunci, masukkan VmDnsSetting.
      • Di kolom Value, masukkan ZonalOnly.
    6. Untuk menyelesaikan perubahan entri metadata kustom, klik Simpan.

gcloud

  1. Untuk memperbarui setelan metadata untuk project saat ini, gunakan perintah project-info add-metadata.

    gcloud compute project-info add-metadata \
        --metadata vmDnsSetting=ZonalOnly
    
  2. Opsional: Untuk memverifikasi setelan metadata untuk project, gunakan perintah berikut:

    gcloud compute project-info describe --project=PROJECT_ID --flatten="vmDnsSetting"
    

    Ganti PROJECT_ID dengan nama project yang akan dikueri.

  3. Untuk memperbarui setelan metadata di tingkat instance, gunakan perintah compute instances add-metadata.

    Memperbarui metadata instance dengan gcloud CLI adalah tindakan tambahan. Tentukan hanya kunci metadata yang ingin ditambahkan atau diubah. Jika kunci yang Anda berikan sudah ada, nilai untuk kunci tersebut akan diperbarui dengan nilai baru.

    gcloud compute instances add-metadata INSTANCE_NAME\
       --metadata vmDnsSetting=ZonalOnly

    Ganti INSTANCE_NAME dengan nama instance yang akan diubah.

  4. Opsional: Untuk memverifikasi setelan metadata untuk instance, gunakan perintah berikut:

    gcloud compute instances describe INSTANCE_NAME --flatten="metadata[]"
    

    Ganti INSTANCE_NAME dengan nama instance yang akan dikueri.

REST

  1. Untuk memperbarui setelan metadata di tingkat project, buat permintaan POST ke metode projects.setCommonInstanceMetadata

    1. Opsional: Untuk melakukan penguncian optimis, Anda dapat menyediakan sidik jari secara opsional.

      Sidik jari adalah string karakter acak yang dihasilkan oleh Compute Engine. Sidik jari akan berubah setelah setiap permintaan, dan jika Anda memberikan sidik jari yang tidak cocok, permintaan Anda akan ditolak.

      Jika Anda tidak memberikan sidik jari, pemeriksaan konsistensi tidak akan dilakukan, dan permintaan projects.setCommonInstanceMetadata akan berhasil. Perilaku ini berbeda dengan instances.setMetadata, yang selalu memerlukan sidik jari.

      Untuk mendapatkan sidik jari saat ini dari sebuah project, panggil metode project.get.

      GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID
      

      Outputnya mirip dengan hal berikut ini:

      {
       "name": "myproject",
       "commonInstanceMetadata": {
         "kind": "compute#metadata",
         "fingerprint": "FikclA7UBC0=",
         ...
       }
      }
      
    2. Buat permintaan POST ke metode projects.setCommonInstanceMetadata untuk menetapkan key-value pair metadata:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/setCommonInstanceMetadata
      
      {
      "fingerprint": "FikclA7UBC0=",
      "items": [
        {
        "key": "vmDnsSetting",
        "value": "ZonalOnly"
        }
      ]
      }
      

    Ganti PROJECT_ID dengan project ID Anda.

  2. Untuk memperbarui setelan metadata di tingkat instance, lakukan langkah berikut:

    1. Dapatkan sidik jari saat ini dan lihat pasangan nilai kunci yang ada untuk instance. Untuk melakukannya, panggil metode instances.get.

      Sidik jari adalah string karakter acak yang dihasilkan oleh Compute Engine dan digunakan untuk melakukan penguncian optimis. Untuk memperbarui instance, Anda harus memberikan nilai sidik jari yang cocok. Sidik jari akan berubah setelah setiap permintaan, dan jika Anda memberikan sidik jari yang tidak cocok, permintaan Anda akan ditolak. Hal ini berfungsi sehingga hanya satu pembaruan yang dapat dilakukan pada satu waktu, sehingga mencegah konflik.

      GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
      

      Ganti kode berikut:

      • PROJECT_ID: project ID Anda
      • ZONE: zona tempat instance berada
      • INSTANCE_NAME: nama instance

      Outputnya mirip dengan hal berikut ini:

      {
       ...
       "name": "example-instance",
       "metadata": {
           "kind": "compute#metadata",
           "fingerprint": "zhma6O1w2l8="
           "items": [
              {
                "key": "foo",
                "value": "bar"
              }
           ]
       },
      ...
      }
      
    2. Buat permintaan POST ke metode instances.setMetadata dan berikan metadata kustom sebagai bagian dari properti metadata dalam permintaan Anda.

      Anda harus menyertakan semua key-value pair yang ingin dipertahankan dalam permintaan, serta key-value pair baru, misalnya:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME/setMetadata
      
      {
      "fingerprint": "FINGERPRINT_ID",
      "items": [
        {
          "key": "vmDnsSetting",
          "value": "zonalOnly"
        },
        {
          "key":"enable-oslogin",
          "value":"TRUE"
        },
        {
          "key":"enable-oslogin-2fa",
          "value":"TRUE"
        }
      ]
      }
      

      Ganti kode berikut:

      • PROJECT_ID: project ID Anda
      • ZONE: zona tempat instance berada
      • INSTANCE_NAME: nama instance
      • FINGERPRINT_ID: nilai sidik jari saat ini untuk instance
  3. Opsional: Untuk memverifikasi setelan metadata untuk instance, gunakan perintah berikut:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances/INSTANCE_NAME?fields="metadata"
    

    Ganti kode berikut:

    • PROJECT_ID: project ID Anda
    • ZONE: zona tempat instance berada
    • INSTANCE_NAME: nama instance yang akan dikueri

    Outputnya mirip dengan hal berikut ini:

    {
     "metadata": {
       "kind": "compute#metadata",
       "fingerprint": "_du-LbdwokE=",
       "items": [
         {
           "key": "ssh-keys",
           "value": "..."
         },
         {
           "key": "vmDnsSetting",
           "value": "zonalOnly"
         }
       ]
     }
    }
    

Setelah mengonfigurasi entri metadata vmDnsSetting untuk project atau instance, muat ulang lease DHCP di instance. Anda dapat memuat ulang lease dengan memulai ulang instance, menunggu hingga lease berakhir, atau dengan menjalankan salah satu perintah berikut di sistem operasi tamu:

  • VM Linux: sudo dhclient -v -r
  • VM Windows Server: ipconfig /renew

Setelah memuat ulang lease DHCP, periksa apakah VM Anda telah diaktifkan untuk DNS zona.

Mengubah project yang belum siap dimigrasikan

Project yang belum siap dimigrasikan berarti setidaknya ada satu kueri DNS berisiko yang dibuat dalam jangka waktu tertentu, seperti 30 hari terakhir atau 100 hari terakhir. Kueri berisiko adalah panggilan ke VM menggunakan nama DNS global (VM_NAME.c.PROJECT_ID.internal) yang tidak dapat diselesaikan dengan lancar menggunakan nama DNS zona (VM_NAME.ZONE.c.PROJECT_ID.internal). Kueri berisiko mungkin memiliki atribut berikut:

  • Melakukan panggilan ke VM di project lain
  • Melakukan panggilan ke VM di zona lain

Untuk project dengan kueri berisiko, biasanya diperlukan beberapa pekerjaan tambahan untuk menghapus semua pencarian DNS berisiko sebelum migrasi.

Untuk project yang belum siap dimigrasikan, selesaikan langkah-langkah berikut:

  1. Mengaktifkan peningkatan jalur penelusuran untuk me-resolve pencarian nama DNS lintas zona. Hal ini dapat membuat project Anda siap untuk dimigrasikan tanpa memengaruhi resource.
  2. Jika penyesuaian jalur penelusuran tidak mentransisikan semua kueri lintas zona, Anda dapat memperbarui kueri secara manual untuk menggunakan nama DNS zona.

Tentang fitur peningkatan jalur penelusuran

Secara default, sebagian besar distribusi Linux menyimpan informasi DHCP di resolv.conf. Berikut adalah resolv.conf file global minimal:

domain c.PROJECT_ID.internal
search c.PROJECT_ID.internal. google.internal.
nameserver 169.254.169.254

Opsi konfigurasi search digunakan untuk mencantumkan nama host yang akan digunakan saat melakukan resolusi DNS. Server DNS mencoba me-resolve kueri menggunakan setiap nama host di jalur penelusuran secara bergantian hingga kecocokan data DNS ditemukan. Misalnya, jika VM memanggil ping my-vm, domain di jalur penelusuran akan ditambahkan ke kueri asli untuk mendapatkan nama domain yang sepenuhnya memenuhi syarat (FQDN), misalnya, menggunakan my-vm.c.PROJECT_ID.internal. Jika ada kecocokan, DNS resolver akan menampilkan alamat IP internal dalam jawaban. Jika tidak, DNS akan mencoba me-resolve nama DNS menggunakan domain berikutnya di jalur penelusuran.

Menambahkan domain zona tambahan di jalur penelusuran VM dapat membuat beberapa project siap untuk dimigrasikan. Misalnya, anggap VM Anda berada di zona us-west4-c. VM ini melakukan panggilan ke VM lain bernama myapp-vm yang berada di zona us-west4-b.

  • Saat Anda melakukan panggilan ke VM sebagai myapp-vm, Compute Engine akan mencoba menyelesaikan nama DNS menggunakan FQDN yang menambahkan salah satu jalur penelusuran ke nama VM, seperti myapp-vm.c.PROJECT_ID.internal.
  • Jika VM target menggunakan DNS zona, FQDN untuk VM target akan terdaftar sebagai myapp-vm.us-west4-b.c.PROJECT_ID.internal. Akibatnya, nama DNS tidak dapat diselesaikan.
  • Jika Anda menambahkan us-west4-b.c.PROJECT_ID.internal ke daftar penelusuran, nama DNS myapp-vm kemudian dapat di-resolve saat us-west4-b.c.PROJECT_ID.internal ditambahkan ke nama VM.

Google menyediakan fitur peningkatan jalur penelusuran yang otomatis menelusuri nama DNS zona untuk VM di semua zona di region yang sama dengan VM. Akibatnya, kueri lintas zona dapat di-resolve tanpa memerlukan update pada file resolv.conf atau kebijakan DHCP Anda. Peningkatan jalur penelusuran dapat berfungsi untuk menyelesaikan kueri lintas zona dalam region hingga 80% dari waktu yang tersedia. Fitur ini akan membantu sebagian besar project dengan kueri berisiko siap untuk bermigrasi ke DNS zona.

Mengaktifkan peningkatan jalur penelusuran untuk me-resolve pencarian nama DNS lintas zona

Gunakan langkah-langkah berikut untuk mengaktifkan fitur peningkatan jalur penelusuran.

  1. Jalankan perintah project-info add-metadata sebagai berikut.

    gcloud compute project-info add-metadata  \
        --metadata=enable-search-path-improvement=true
    
  2. Izinkan project menggunakan setelan ini selama beberapa hari, lalu periksa metrik pemantauan untuk melihat apakah masih ada kueri DNS global yang berisiko atau lintas zona.

    • Jika nilai untuk project adalah 0, project tersebut kini siap dimigrasikan.
    • Jika project menampilkan nilai non-nol, ubah semua nama kueri DNS global agar menggunakan FQDN zona, seperti yang dijelaskan di bagian berikutnya.

Memperbarui kueri secara manual untuk menggunakan nama DNS zona

Jika menggunakan fitur peningkatan jalur penelusuran untuk menambahkan domain zona tambahan di jalur penelusuran nama DNS tidak mentransisikan semua kueri lintas zona, Anda dapat menggunakan Penjelajah Log untuk melihat penggunaan DNS global dalam project.

Untuk mengidentifikasi kueri DNS global yang perlu diubah secara manual agar dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) zonal, selesaikan langkah-langkah berikut:

  1. Ikuti langkah-langkah di Menentukan apakah project Anda siap dimigrasikan untuk melihat penggunaan DNS global untuk project. Gunakan Logs Explorer untuk mengakses dan membuat kueri penggunaan DNS global untuk VM di project Anda.

  2. Di panel Query results, setiap kueri memiliki kolom jsonPayload. Setiap kolom jsonPayload berisi informasi berikut:

    • Nama VM sumber, project ID-nya, dan nama zona.
    • Nama VM tujuan, project ID-nya, dan nama zona.
    • Pesan debug yang memberikan informasi tentang cara mengupdate kueri DNS global yang tidak dapat di-resolve menggunakan nama DNS zona. Kueri ini dianggap sebagai kueri pemblokir migrasi yang harus Anda debug dan perbaiki.

      "To use Zonal DNS, update the Global DNS query sent from the source VM
      VM_NAME.c.PROJECT_ID.internal to the following zonal
      FQDN: VM_NAME.ZONE.c.PROJECT_ID.internal"
      
    • Jumlah kueri yang menunjukkan jumlah kueri pemblokiran migrasi yang dikirim VM sumber ke VM tujuan untuk hari tersebut.

    Screenshot berikut menunjukkan informasi kolom jsonPayload di halaman konsol Logs Explorer.

    Screenshot jsonPayload di hasil kueri log gdnsusage

  3. Gunakan informasi di jsonPayload untuk menentukan FQDN yang akan digunakan untuk memperbarui kueri DNS global secara manual agar menggunakan DNS zona, dan siapkan project untuk migrasi. Kasus penggunaan yang paling umum untuk tempat mengupdate FQDN dan menyelesaikan kompatibilitas adalah:

    • Nama DNS internal dari server metadata: Tidak diperlukan tindakan karena nama DNS yang ditampilkan akan segera berubah menjadi FQDN zona setelah migrasi ke DNS zona. Jika nama DNS di-cache, Anda hanya perlu melakukan satu panggilan lagi untuk memperbarui nilai cache.
    • Nama DNS internal yang digunakan untuk mengakses VM di region lain: Jika memiliki aplikasi yang menggunakan nama DNS internal untuk VM di region yang berbeda, Anda dapat mengubah kebijakan atau file konfigurasi DHCP untuk menyertakan zona di region lain.
    • FQDN global hard code: Jika memiliki aplikasi yang menggunakan nama FQDN global hard code untuk VM, Anda dapat memperbarui panggilan dalam aplikasi untuk menggunakan nama DNS internal atau FQDN zona. Anda dapat melakukan perubahan ini melalui perubahan kode atau perubahan konfigurasi di Terraform.
    • VM dalam project layanan yang menggunakan jaringan VPC Bersama: Untuk me-resolve nama DNS VM dalam project layanan yang menggunakan jaringan VPC Bersama, Anda harus menggunakan FQDN zona VM.

Setelah Anda memperbarui kueri DNS global untuk menggunakan DNS zona:

  1. Gunakan halaman Logs Explorer untuk membuat kueri penggunaan DNS global lagi. Setelah Anda memperbaiki semua kueri DNS global yang memblokir, tidak akan ada log debug yang ditampilkan dalam hasil kueri.
  2. Periksa kembali metrik pemantauan untuk melihat apakah semua kueri DNS yang berisiko telah dihapus.

Memverifikasi bahwa migrasi project ke DNS zona telah selesai

  1. Ulangi langkah-langkah di artikel Memeriksa apakah project Anda menggunakan DNS global secara default.

  2. Untuk menguji apakah metadata project telah diupdate, Anda dapat menjalankan perintah berikut:

    gcloud compute project-info describe --flatten="vmDnsSetting"
    

    Perintah akan menampilkan ZONAL_ONLY.

  3. Pastikan nama DNS internal untuk VM menggunakan nama DNS zona.

  4. Untuk memverifikasi bahwa kebijakan organisasi constraints/compute.setNewProjectDefaultToZonalDNSOnly sedang diterapkan, Anda dapat:

    1. Buat project baru di folder atau organisasi.
    2. Membuat dan memulai instance VM.
    3. Periksa apakah VM menggunakan nama DNS zona.

Kembali menggunakan DNS global

Anda dapat mengurungkan migrasi ke DNS zona dengan mengubah jenis DNS internal default kembali ke DNS global. Anda dapat melakukannya di tingkat organisasi, project, VM, atau penampung.

Kembali menggunakan DNS global untuk organisasi atau folder

Untuk mengembalikan organisasi atau folder agar menggunakan DNS global, selesaikan langkah-langkah berikut.

  1. Nonaktifkan constraints/compute.setNewProjectDefaultToZonalDNSOnly kebijakan organisasi di tingkat organisasi atau folder. Untuk mengetahui petunjuk cara mengubah kebijakan ini, lihat Menerapkan DNS zona secara default untuk project baru.

    Tetapkan penerapan Sets the internal DNS setting for new project to Zonal DNS Only ke Nonaktif.

  2. Jika Anda ingin kembali menggunakan DNS global untuk seluruh organisasi, verifikasi bahwa tidak ada folder di organisasi yang menerapkan kebijakan organisasi constraints/compute.setNewProjectDefaultToZonalDNSOnly.

  3. Gunakan bagian berikut untuk memeriksa apakah DNS global dikonfigurasi untuk project, VM, dan penampung.

Kembali menggunakan DNS global untuk project

Untuk mengembalikan project agar menggunakan DNS global, selesaikan langkah-langkah berikut.

  1. Tambahkan hal berikut ke metadata project: vmDnsSetting=GlobalDefault.

    Ikuti petunjuk di bagian Mengupdate project dan VM secara manual untuk menggunakan DNS zona, dan gunakan nilai GlobalDefault, bukan ZonalOnly.

  2. Verifikasi bahwa tidak ada instance dalam project yang memiliki nilai metadata vmDnsSetting yang ditetapkan ke ZonalOnly. Anda dapat menggunakan perintah yang mirip dengan perintah berikut:

    gcloud compute instances describe INSTANCE_NAME --flatten="metadata[]"
    

    Ganti INSTANCE_NAME dengan nama instance yang akan dikueri.

  3. Muat ulang lease DHCP di setiap instance. Anda dapat memuat ulang lease dengan memulai ulang instance, menunggu hingga lease berakhir, atau dengan menjalankan salah satu perintah berikut di sistem operasi tamu:

    • Instance Linux: sudo dhclient -v -r
    • Instance Windows Server: ipconfig /renew

Kembali menggunakan DNS global untuk VM

Untuk mengembalikan instance tertentu agar menggunakan DNS global, selesaikan langkah-langkah berikut.

  1. Tambahkan hal berikut ke metadata instance: vmDnsSetting=GlobalDefault.

    Ikuti petunjuk di bagian Mengupdate project dan VM secara manual untuk menggunakan DNS zona, dan gunakan nilai GlobalDefault, bukan ZonalOnly.

  2. Untuk memaksa perubahan konfigurasi DNS, mulai ulang jaringan instance menggunakan salah satu perintah berikut:

  • Untuk Container-Optimized OS atau Ubuntu:

    sudo systemctl restart systemd-networkd
    
  • Untuk CentOS, RedHat EL, Fedora CoreOS, atau Rocky Linux:

    sudo systemctl restart network
    

    atau

    sudo systemctl restart NetworkManager.service
    
  • Untuk Debian:

    sudo systemctl restart networking
    
  • Untuk sistem Linux dengan nmcli:

    sudo nmcli networking off
    sudo nmcli networking on
    
  • Untuk Windows:

    ipconfig /renew
    

Kembali menggunakan DNS global untuk penampung

Jika Anda menjalankan aplikasi atau beban kerja dalam container, di Google Kubernetes Engine, atau di lingkungan fleksibel App Engine, konfigurasi DNS di setelan container Anda mungkin tidak otomatis diupdate sampai Anda memulai ulang container. Untuk menonaktifkan DNS zonal di aplikasi penampung ini, selesaikan langkah-langkah berikut.

  1. Tetapkan setelan metadata project vmDnsSetting ke GlobalDefault pada project yang memiliki penampung dan VM.

  2. Mulai ulang penampung agar setelan DNS-nya kembali ke status awal.

Memecahkan masalah proses migrasi DNS global ke DNS zona

Jika Anda mengalami masalah dengan proses migrasi, lihat panduan pemecahan masalah.

Menyembunyikan banner migrasi DNS zonal di konsol Google Cloud

Anda dapat mengklik tombol Dismiss di banner notifikasi migrasi DNS zona yang muncul di halaman VM instances di konsol Google Cloud . Tindakan ini akan mencegah banner muncul untuk project tanpa batas waktu.

Jika Anda menutup banner, tetapi ingin banner tersebut muncul lagi, hubungi Cloud Customer Care untuk mendapatkan bantuan.

Langkah selanjutnya