Utilizza il DNS di zona per il tipo di DNS interno

Il DNS di zona riduce il rischio di interruzioni tra regioni e migliora l'affidabilità complessiva dei tuoi progetti su Compute Engine. L'utilizzo del DNS a livello di zona riduce l'impatto degli errori a punto singolo che possono verificarsi quando si utilizza il DNS globale.

Prima di iniziare

• Se non l'hai già fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale viene verificata l'identità dell'utente per ottenere l'accesso ai servizi e alle API Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi eseguire l'autenticazione in Compute Engine come segue.
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

     gcloud init

  2. Set a default region and zone.

  REST

  Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

  Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

  gcloud init

  Per maggiori informazioni, consulta Autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per eseguire la migrazione al DNS di zona, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Crea o aggiorna un criterio dell'organizzazione: Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) nella cartella o nell'organizzazione
• Determina se una cartella è pronta per la migrazione al DNS di zona: Browser (roles/browser) nella cartella o nell'organizzazione
• Esegui la migrazione di un progetto per utilizzare il DNS di zona: Editor di progetto (roles/resourcemanager.projectEditor) nel progetto
• Esegui la migrazione delle VM al DNS di zona all'interno di un progetto: Amministratore istanze Compute (v1) (roles/compute.instanceAdmin.v1) nel progetto
• Se la VM utilizza un account di servizio: Utente account di servizio (roles/iam.serviceAccountUser) nell'account di servizio o nel progetto

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eseguire la migrazione al DNS di zona. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Informazioni sui nomi DNS

I nomi DNS di zona includono il nome della VM, la zona in cui si trova e il progetto proprietario della VM. I nomi DNS globali non includono la zona in cui si trova la VM.

Quando effettui una chiamata a una VM utilizzando un nome DNS globale:

• Il nome è risolto a livello globale.
• Ogni VM deve avere un nome DNS univoco.
• Quando crei una nuova VM, il nome DNS della VM deve essere verificato con tutti gli altri nomi DNS globali registrati nello stesso progetto per evitare una collisione di nomi DNS.

Quando effettui una chiamata a una VM utilizzando un nome DNS di zona:

• Il nome è risolto all'interno di una zona.
• I nomi DNS di zona devono essere univoci all'interno di una zona. Ad esempio, my-vm.zone1.google.com deve essere univoco per zone1. Tuttavia, a differenza dei nomi DNS globali, my-vm.zone2.google.com è anche un nome DNS valido quando si utilizza il DNS di zona.

Il DNS di zona è il metodo di risoluzione DNS interno predefinito per Compute Engine per le organizzazioni create dopo il 6 settembre 2018. I nomi DNS di zona in una zona funzionano indipendentemente dalle altre zone, consentendoti di creare più applicazioni multiregionali a tolleranza di errore con caratteristiche di disponibilità migliori. Non è previsto alcun costo per l'utilizzo del DNS di zona. Il DNS di zona è separato da Cloud DNS.

I progetti creati prima del 6 settembre 2018 sono stati configurati per utilizzare il DNS globale per impostazione predefinita. Questi progetti possono continuare a utilizzare il DNS globale, ma Google consiglia vivamente alle organizzazioni di eseguire la migrazione di questi progetti a DNS di zona per evitare che interruzioni del servizio in un'altra regione influiscano sulle risorse regionali locali. L'utilizzo del DNS a livello di zona offre un'affidabilità maggiore rispetto al DNS globale isolando gli errori nella registrazione DNS nelle singole zone. In questo modo si riduce l'impatto degli errori single-point. Se si verifica un'interruzione in Google Cloud, viene isolata in una singola zona e le risorse e i costi non subiscono conseguenze significative.

Esegui la migrazione dal DNS globale al DNS di zona

Il DNS di zona ha sostituito il DNS globale come tipo DNS interno predefinito per tutte le nuove organizzazioni sottoposte a onboarding in Google Cloud dopo il 6 settembre 2018. Se i tuoi progetti esistenti utilizzano ancora il DNS globale, Google consiglia vivamente di cambiare i progetti in modo da utilizzare nomi DNS di zona. Se non esegui la migrazione al DNS di zona, potresti riscontrare i seguenti problemi:

• Impossibile creare nuove VM in nessuna regione con errori del piano di controllo in cui avevi o avevi un progetto in precedenza.
• Incapacità di utilizzare alcuni servizi di Compute Engine critici per i tuoi carichi di lavoro, ad esempio la scalabilità automatica o la autohealing per i gruppi di istanze gestite.

Un approccio alternativo per migliorare l'affidabilità dei carichi di lavoro che utilizzano il DNS globale è la migrazione alle zone private di Cloud DNS. L'uso delle zone private di Cloud DNS rimuove il controllo di univocità dei nomi richiesto dal DNS globale e isola gli errori per consentire la risoluzione dei nomi DNS. Per ulteriori informazioni su questa opzione, consulta la documentazione di Cloud DNS o contatta l'assistenza clienti Google Cloud o il rappresentante del team dedicato all'account. Per informazioni su come Cloud DNS gestisce le interruzioni a livello di zona e di regione, consulta la pagina relativa all'architettura del ripristino di emergenza per le interruzioni dell'infrastruttura cloud.

Panoramica del processo di migrazione

Il processo di migrazione del DNS a livello di zona prevede due livelli:

• Livello di organizzazione o cartella: determina l'idoneità della cartella o dell'organizzazione per la migrazione a DNS di zona. Impedire ai nuovi progetti di usare il DNS globale. Eseguita dall'amministratore dell'organizzazione.
• A livello di progetto: esegui la migrazione di un singolo progetto dal DNS globale al DNS di zona. Di solito viene eseguita dal proprietario del progetto.

In genere, la procedura prevede le seguenti fasi:

1. Controlla l'idoneità di cartelle o organizzazioni per la migrazione a DNS di zona.
2. Se la cartella o l'organizzazione è pronta per la migrazione al DNS di zona:
   1. L'amministratore dell'organizzazione imposta un criterio dell'organizzazione per la cartella o l'organizzazione.
   2. I proprietari dei progetti eseguono la migrazione dei propri progetti per utilizzare il DNS di zona.
3. Se la cartella o l'organizzazione non è pronta per la migrazione al DNS di zona:
   1. I proprietari dei progetti eseguono la migrazione dei progetti pronti al DNS di zona.
   2. I proprietari del progetto esaminano l'utilizzo del DNS globale in progetti non ancora pronti.
   3. I proprietari del progetto applicano miglioramenti del percorso di ricerca o altre modifiche per rendere il progetto pronto per la migrazione al DNS di zona.
   4. L'amministratore dell'organizzazione ricontrolla lo stato dell'idoneità delle cartelle o dell'organizzazione per la migrazione DNS a livello di zona.

Limitazioni

• Il DNS di zona non sostituisce completamente il DNS globale. Esistono alcuni tipi di query (interzona) che potrebbero non essere risolti dal DNS di zona con ricerca automatica del percorso di ricerca. Verifica l'idoneità alla migrazione di cartelle e progetti della tua organizzazione per assicurarti che siano compatibili con il DNS di zona prima della migrazione.

• Il processo di migrazione dal DNS globale al DNS di zona introduce un nuovo dominio (ZONE.c.PROJECT_ID.internal) nel percorso di ricerca. Se una VM che esegue Linux o Unix ha già 6 domini nel percorso di ricerca, assicurati che la VM sia in esecuzione con glibc versione 2.26 o successiva. I client DHCP con glibc 2.25 e versioni precedenti supportano solo fino a sei domini di ricerca, quindi potrebbe esserci il rischio di ignorare un dominio di ricerca esistente. Questo limite non si applica alle VM che utilizzano:

  • Immagini Windows
  • Immagini Container-Optimized OS
  • Immagini Debian 10 o versioni successive
  • Fedora CoreOS (versione 27 o successive)
  • Immagini RHEL 8 o successive
  • Immagini Ubuntu release 18.04 o successive
  • Altre immagini con glibc 2.26 o versioni successive

• L'attivazione del miglioramento del percorso di ricerca aggiunge alcuni altri domini di ricerca, ad esempio NEIGHBOR_ZONE.c.PROJECT_ID.internal. Come accennato nella limitazione precedente, i domini esistenti nel percorso di ricerca potrebbero essere rimossi se viene superato il limite di domini del percorso di ricerca quando si utilizza glibc versione 2.25 o precedenti.

• Per utilizzare i miglioramenti dei percorsi di ricerca con Google Kubernetes Engine, devi utilizzare Google Kubernetes Engine versione 1.26 o successive.

Controlla la versione di glibc

Per controllare la versione di glibc utilizzata dalla tua VM:

1. Connettiti alla VM Linux.
2. Esegui ldd --version per ottenere la versione glibc.

Controlla il numero di domini di ricerca se utilizzi glibc 2.25 o versioni precedenti

1. Connettiti alla VM Linux.

2. Controlla se la VM Linux ha già 6 domini nel percorso di ricerca. Puoi eseguire cat /etc/resolv.conf per visualizzare queste informazioni.

Passaggi per l'amministratore dell'organizzazione

In qualità di amministratore dell'organizzazione, devi eseguire le seguenti attività:

• Controlla se la tua organizzazione utilizza il DNS globale per impostazione predefinita.
• Determina quali progetti in una cartella o un'organizzazione utilizzano il DNS globale.
• Determina se una cartella è pronta per la migrazione al DNS di zona.
• Configura il DNS di zona come predefinito per i nuovi progetti.
• Cartelle esenti non pronte per la migrazione al DNS di zona dal vincolo del criterio dell'organizzazione.

Controllare se l'organizzazione utilizza il DNS globale per impostazione predefinita

Il tipo predefinito di nome DNS interno per la tua organizzazione è determinato dalla data di creazione dell'organizzazione e dall'applicazione o meno del vincolo del criterio dell'organizzazione constraints/compute.setNewProjectDefaultToZonalDNSOnly.

Determina quali progetti di una cartella o di un'organizzazione utilizzano il DNS globale

Per determinare quanti progetti utilizzano il DNS globale, ti consigliamo di utilizzare BigQuery per creare una tabella che elenca i progetti relativi per la tua organizzazione e i relativi metadati. Puoi quindi usare questa tabella per eseguire una query che espone il conteggio dei progetti totali che utilizzano il DNS globale.

1. Crea un set di dati BigQuery.

2. Esporta i metadati degli asset per la tua organizzazione in una tabella BigQuery.

   1. Assicurati che l'API Cloud Asset Inventory sia abilitata.
   2. Configura le autorizzazioni necessarie per utilizzare l'API Cloud Asset Inventory.

   3. Utilizza il seguente comando gcloud CLI per esportare l'asset compute.googleapis.com/Project:

      gcloud asset export \
         --content-type resource \
         --organization 'ORGANIZATION_ID' \
         --bigquery-table 'projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME' \
         --asset-types='compute.googleapis.com/Project' \
         --output-bigquery-force
      

      Sostituisci quanto segue:

      • ORGANIZATION_ID: il numero dell'ID organizzazione
      • PROJECT_ID: ID progetto
      • DATASET_ID: il nome del set di dati BigQuery
      • TABLE_NAME: la tabella in cui stai esportando i metadati. Se la tabella non esiste, viene creata.

3. Vai alla pagina BigQuery nella console Google Cloud.

4. Seleziona add_box Crea una nuova query.

5. Nell'area di testo dell'editor di query, inserisci la seguente query GoogleSQL e fai clic su play_arrow Esegui.

   SELECT
     JSON_VALUE(SAFE.PARSE_JSON(resource.data).vmDnsSetting) AS vmDnsSetting,
     count(*) as project_count
   FROM PROJECT_ID.DATASET_ID.TABLE_NAME
   GROUP BY 1
   

   Sostituisci quanto segue:

   • PROJECT_ID: ID progetto
   • DATASET_ID: il nome del set di dati BigQuery
   • TABLE_NAME: la tabella contenente i metadati esportati, dal passaggio 2.

   I progetti con valore ZONAL_ONLY per vmDnsSetting hanno un DNS configurato a livello di zona. In caso contrario, i progetti sono impostati per utilizzare il DNS globale.

6. (Facoltativo) Per una visualizzazione dettagliata di vmDnsSetting per ogni progetto, inserisci la seguente query GoogleSQL e fai clic su play_arrow Esegui.

   SELECT
     SUBSTR(name,35) as project_id,
     JSON_VALUE(SAFE.PARSE_JSON(resource.data).vmDnsSetting) AS vmDnsSetting
   FROM PROJECT_ID.DATASET_ID.TABLE_NAME
   

Determina se una cartella è pronta per la migrazione al DNS di zona

In questo passaggio vengono utilizzati uno script bash e la tabella BigQuery creata nella sezione precedente per determinare l'idoneità alla migrazione della cartella.

• La cartella è pronta se negli ultimi 30 giorni tutti i progetti non hanno eseguito query incompatibili con il DNS di zona.
• Se una cartella non è pronta per la migrazione, lo script risponde con gli ID progetto contenuti nella cartella per cui la cartella non è pronta per la migrazione. I progetti in questo elenco di risultati non sono ancora compatibili con il DNS di zona e richiedono ulteriori azioni.

Completa i seguenti passaggi:

1. Recupera l'ID cartella. Se non conosci l'ID cartella:
   1. Nella console Google Cloud, vai alla pagina Risorse gestite.
   2. Applica il filtro Name:FOLDER_NAME per ottenere l'ID cartella.

2. Esegui una query sulla tabella BigQuery con i dati compute.Project assets esportati.

   Per le istruzioni su come creare la tabella BigQuery, consulta Determinare quali progetti in una cartella o un'organizzazione utilizzano il DNS globale.

   Inserisci la seguente query GoogleSQL e fai clic su play_arrow Esegui:

   SELECT
     SUBSTR(name,35) AS project_id,
   FROM PROJECT_ID.DATASET_ID.TABLE_NAME
   WHERE CONTAINS_SUBSTR(ancestors, 'FOLDER_NUMBER')
   

   Sostituisci quanto segue:

   • PROJECT_ID: ID progetto
   • DATASET_ID: il nome del set di dati BigQuery
   • TABLE_NAME: la tabella che contiene i metadati esportati
   • FOLDER_NUMBER: il numero ID cartella

3. Copia l'elenco di ID progetto e salvalo in un file.

4. Esegui il seguente script bash. Lo script esegue l'iterazione degli ID progetto nel file salvato per determinare se una cartella è pronta per la migrazione.

#!/bin/bash
inaccessible_projects=()
unready_projects=()

for project in $(cat ~/FILENAME | tr '\n' ' '); do
  echo -e "Checking project $project..."
  ERROR=`curl -s --request POST "https://monitoring.googleapis.com/v3/projects/$project/timeSeries:query"   -H "Authorization: Bearer $(gcloud auth print-access-token)"   -H "Accept: application/json"   -H "Content-Type: application/json"   --data '{"query":"fetch compute.googleapis.com/Location | metric '"'"'compute.googleapis.com/global_dns/request_count'"'"' | filter metric.zonal_dns_readiness = '"'"'zonal_dns_risky'"'"' | every 30d | within 30d"}'   --compressed | jq --raw-output '.error'`
  if ! [[ "$ERROR" -eq "null" ]]; then
    inaccessible_projects+=($project)
    continue
  fi
  QUERY_COUNT=`curl -s --request POST "https://monitoring.googleapis.com/v3/projects/$project/timeSeries:query"   -H "Authorization: Bearer $(gcloud auth print-access-token)"   -H "Accept: application/json"   -H "Content-Type: application/json"   --data '{"query":"fetch compute.googleapis.com/Location | metric '"'"'compute.googleapis.com/global_dns/request_count'"'"' | filter metric.zonal_dns_readiness = '"'"'zonal_dns_risky'"'"' | every 30d | within 30d"}'   --compressed | jq --raw-output '.timeSeriesData[0].pointData[0].values[0].int64Value'`
  if [[ "$QUERY_COUNT" -ne "null" ]] && [[ "$QUERY_COUNT" -ne "0" ]]; then
    unready_projects+=($project)
  fi
done

error_len=${#inaccessible_projects[@]}
unready_len=${#unready_projects[@]}

echo -e "$error_len projects were inaccessible"
echo -e "$unready_len projects were not ready for migration"

if [ $error_len -ne 0 ]; then
  echo "Unable to access the following projects:"
  for project in "${inaccessible_projects[@]}"; do
    echo "$project"
  done
fi
if [ $unready_len -ne 0 ]; then
  echo "The following projects are not ready for migration:"
  for project in "${unready_projects[@]}"; do
    echo "$project"
  done
fi

if (( $error_len + $unready_len > 0 )); then
  echo "This folder is NOT ready for gDNS -> zDNS migration."
else
  echo "This folder is ready for gDNS -> zDNS migration."
fi

Sostituisci FILENAME con il nome del file in cui hai salvato l'elenco di ID progetto.

Comunica i risultati dell'analisi dell'idoneità della migrazione ai proprietari del progetto:

• Per le cartelle e i progetti di cui è sicura la migrazione, informa i proprietari del progetto che possono iniziare a eseguire la migrazione dei progetti pronti.
• Per le cartelle che contengono progetti di cui non è possibile eseguire la migrazione, chiedi ai proprietari dei progetti di modificare i progetti non pronti per la migrazione.

Applica il DNS di zona per impostazione predefinita per i nuovi progetti

Se viene creato un nuovo progetto in un'organizzazione creata prima del 6 settembre 2018, per impostazione predefinita il tipo di DNS interno utilizzato dal progetto è il DNS globale. Per isolare eventuali errori nella registrazione DNS nelle singole zone, puoi applicare il criterio dell'organizzazione constraints/compute.setNewProjectDefaultToZonalDNSOnly a livello di organizzazione o cartella.

Quando imposti un criterio dell'organizzazione per eseguire l'override del tipo DNS interno predefinito, per impostazione predefinita i progetti appena creati utilizzano il DNS di zona. Il criterio dell'organizzazione non influisce sui progetti esistenti in cui l'API Compute Engine è già abilitata. Per cambiare i progetti esistenti in modo da utilizzare il DNS di zona, vedi Passaggio dei progetti esistenti al DNS di zona.

Per applicare questa modifica ai criteri, devi disporre dell'accesso a livello di cartella o organizzazione con il ruolo IAM roles/orgpolicy.policyAdmin.

Per impostare il criterio dell'organizzazione per una cartella o un'organizzazione, segui questi passaggi.

1. Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity.

2. Nella console, vai alla pagina Criteri dell'organizzazione.

   Vai a Criteri dell'organizzazione

3. Seleziona la cartella o l'organizzazione per cui vuoi visualizzare i criteri dell'organizzazione. La console Google Cloud mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili. L'elenco potrebbe estendersi su più pagine.

4. Per trovare il criterio per applicare il DNS di zona, fai clic su Filtra e seleziona Nome, quindi imposta il nome del filtro su Imposta l'impostazione DNS interno per i nuovi progetti solo su DNS di zona.

5. Fai clic sul nome del criterio per visualizzarne i dettagli.

   La pagina dei dettagli del criterio fornisce informazioni sul vincolo e su come viene applicato.

   Per impostazione predefinita, l'applicazione non è definita per una cartella o un'organizzazione. Tuttavia, se una cartella padre ha un'applicazione definita, questa viene ereditata dalla cartella padre più vicina per cui è stata definita un'applicazione. Per ulteriori informazioni, consulta Informazioni sulla valutazione della gerarchia.

6. Per personalizzare il criterio dell'organizzazione, fai clic su Modifica.

7. Nella pagina di modifica, seleziona Personalizza.

8. In Applicazione, seleziona On.

   Questa opzione imposta il tipo di DNS interno predefinito per tutti i nuovi progetti nell'organizzazione sul DNS di zona.

9. Fai clic su Salva.

Per convalidare la modifica ai criteri dell'organizzazione, puoi creare un nuovo progetto nella cartella o nell'organizzazione, quindi creare e avviare un'istanza VM e controllare se la VM è abilitata per il DNS di zona.

Se è necessario un DNS globale per risolvere una query sui nomi DNS integrata nel carico di lavoro, puoi eseguire il rollback di questa modifica a livello di organizzazione o cartella disattivando l'applicazione forzata.

Cartelle esenti non pronte per la migrazione al DNS di zona

Se solo alcune cartelle all'interno di un'organizzazione non sono pronte per la migrazione al DNS di zona, ti consigliamo di impostare un criterio dell'organizzazione a livello di organizzazione, ma di concedere un'esenzione per le cartelle non ancora pronte per la migrazione.

L'esempio seguente mostra una gerarchia dell'organizzazione in cui una sola cartella non è pronta per la migrazione al DNS di zona.

organizzazione/Esempio.com

• folders/101
  • projects/301 (pronta per la migrazione)
  • folders/201
    • projects/303 (NON pronto)
    • projects/304 (pronta per la migrazione)
• folders/102
  • projects/302 (pronta per la migrazione)

Per escludere una cartella dal criterio dell'organizzazione, completa i seguenti passaggi per impostare l'opzione di applicazione per il criterio a livello di cartella su Off.

1. Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity.

2. Nella console, vai alla pagina Criteri dell'organizzazione.

   Vai a Criteri dell'organizzazione

3. Fai clic su Seleziona, quindi seleziona le cartelle che vuoi escludere dal criterio dell'organizzazione.

   La console Google Cloud visualizza un elenco di vincoli dei criteri dell'organizzazione per quella cartella su una o più pagine.

4. Per trovare il vincolo del criterio dell'organizzazione che applica il DNS di zona:

   1. Fai clic su Filtra.
   2. Seleziona Nome.
   3. Imposta il nome del filtro su Imposta l'impostazione DNS interno per i nuovi progetti solo su DNS di zona.

5. Fai clic sul nome del vincolo del criterio dell'organizzazione per aprire la pagina Dettagli criterio.

6. Fai clic su Modifica.

7. Nella pagina Modifica, seleziona Personalizza.

8. In Applicazione, seleziona Off per disabilitare l'applicazione forzata del vincolo. Ciò significa che il tipo di DNS interno predefinito per tutti i progetti nella cartella è determinato dall'ora di creazione dell'organizzazione.

9. Fai clic su Salva.

Per ulteriori informazioni sulla personalizzazione dei vincoli dei criteri dell'organizzazione, consulta Personalizzazione dei criteri per i vincoli booleani nella documentazione di Resource Manager.

Passaggi per il proprietario del progetto

In qualità di proprietario del progetto, esegui le seguenti attività durante la migrazione dal DNS globale al DNS di zona:

• Determina il tipo di DNS interno predefinito per il progetto.
• Determina se il progetto è pronto per la migrazione al DNS di zona.
• Eseguire la migrazione di un progetto utilizzando DNS di zona.
• Monitora l'utilizzo del DNS globale all'interno del progetto.
• Modifica i progetti non pronti per la migrazione al DNS di zona.
• Verifica che la migrazione del progetto al DNS di zona sia completata

I proprietari del progetto possono anche completare le seguenti attività facoltative:

• Ripristina l'utilizzo del DNS globale di un progetto.
• Nascondi il banner di migrazione del DNS a livello di zona.

Controlla se il progetto utilizza il DNS globale per impostazione predefinita

Controlla i tuoi progetti per verificare se è necessario eseguire la migrazione dall'utilizzo del DNS globale al DNS di zona. Devi solo eseguire la migrazione dei progetti configurati in modo da utilizzare il DNS globale come predefinito per i nomi DNS interni creati all'interno del progetto.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID?fields=id,name,vmDnsSetting

Determina se il progetto è pronto per la migrazione

Nella pagina Istanze VM della console Google Cloud, se devi eseguire la migrazione del progetto al DNS di zona, dovresti vedere un banner di notifica sulla migrazione del DNS a livello di zona.

Quando visualizzi la pagina Istanze VM del tuo progetto, se il progetto è pronto per la migrazione (compatibile con il DNS di zona), il banner include un suggerimento per Utilizzare il DNS di zona. Questo suggerimento si basa sull'utilizzo del DNS interno nel progetto, ma è limitato agli ultimi 100 giorni.

Se il progetto non è pronto per la migrazione al DNS di zona, viene visualizzato un banner diverso.

Per visualizzare l'utilizzo del DNS globale, fai clic sul pulsante Visualizza l'utilizzo del DNS globale. Viene visualizzata la pagina Esplora log nella console Google Cloud. In questa pagina puoi visualizzare i log delle query di blocco della migrazione degli ultimi 30 giorni. Quando fai clic sul link nel banner, la pagina Esplora log viene configurata in modo da utilizzare il filtro logName per eseguire il pull delle query DNS globali e dei campi dei log relativi.

Per visualizzare queste informazioni senza utilizzare il pulsante nel banner:

1. Nella console Google Cloud, vai alla pagina Esplora log.

   Vai a Esplora log

2. Seleziona il progetto.

3. Applica i filtri dei nomi di risorse e log:

   1. Fai clic su Risorsa.
   2. Nella finestra di dialogo Seleziona risorsa, seleziona Istanza VM, quindi fai clic su Applica.
   3. Fai clic su Nome log.

   4. Nella finestra di dialogo Seleziona nomi log, seleziona gdnsusage, quindi fai clic su Applica.

   resource.type="gce-instance"
   log_name="projects/PROJECT_ID/logs/compute.googleapis.com%2Fgdnsusage"
   

Tieni traccia dell'utilizzo del DNS globale all'interno del progetto

Sono state create due metriche per monitorare l'idoneità del progetto alla migrazione al DNS di zona:

• zonal_dns_ready: il numero aggregato di query completate nell'intervallo di tempo specificato che possono essere risolte utilizzando il DNS di zona anziché il DNS globale.
• zonal_dns_risky: il numero aggregato di query completate nell'intervallo di tempo specificato che non possono essere risolte utilizzando il DNS di zona. Per queste query, Compute Engine non è stato in grado di determinare l'indirizzo IP interno relativo dal nome host attuale. Se questa metrica ha un valore diverso da zero, il progetto non è pronto per la migrazione.

L'intervallo di tempo utilizzato da queste metriche è un periodo di 100 giorni.

Per visualizzare queste metriche, utilizza Metrics Explorer nella console Google Cloud.

1. Nella console Google Cloud, vai alla pagina leaderboard Esplora metriche:

   Vai a Esplora metriche

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

2. Sul lato destro della barra degli strumenti che contiene il campo Seleziona una metrica, fai clic su Editor di codice, MQL o PromQL.

3. Se il campo di immissione della query non è denominato Query MQL, seleziona MQL nell'angolo in basso a destra del campo di immissione della query per Lingua.

4. Nel campo di immissione della query, inserisci il seguente testo esattamente come appare:

   fetch compute.googleapis.com/Location
   | metric 'compute.googleapis.com/global_dns/request_count'
   | every 1d
   | within 7d
   

5. Fai clic sul pulsante Esegui query.

   La console Google Cloud mostra un grafico delle due metriche (zonal_dns_ready e zonal_dns_risky) e del numero corrispondente di query effettuate nel periodo di tempo per ogni metrica.

   

6. Verifica il valore della metrica zonal_dns_risky.

   • Se il valore è 0, il progetto è pronto per la migrazione al DNS di zona. Puoi eseguire la migrazione del progetto, come descritto in Eseguire la migrazione dei progetti pronti al DNS di zona.
   • Se il valore è un numero diverso da zero, ad esempio 0.02k come mostrato nello screenshot precedente, alcune query potrebbero non funzionare dopo la migrazione al DNS di zona. Il progetto non è pronto per la migrazione. Continua con i passaggi descritti in Modificare i progetti non pronti per la migrazione.

Esegui la migrazione dei progetti pronti al DNS di zona

In generale, puoi utilizzare il seguente processo di migrazione:

1. Controlla le tue applicazioni e aggiornale per risolvere i problemi di compatibilità con le impostazioni solo a livello di zona:
   • Se disponi di un'applicazione che utilizza nomi DNS globali hardcoded, aggiornale in modo che utilizzino nomi DNS di zona.
   • Se un'applicazione utilizza i nomi delle VM per accedere alle VM in un'altra zona, assicurati che il nome della zona di destinazione sia aggiunto nella query, ad esempio: DESTINATION_VM_NAME.DESTINATION_ZONE_NAME.
   • Per risolvere i nomi DNS delle VM nei progetti di servizio che utilizzano una rete VPC condiviso, devi utilizzare il nome di dominio completo (FQDN) della zona delle VM.

2. Fai clic sul pulsante Utilizza DNS di zona nel banner della pagina Istanze VM della console Google Cloud. In questo modo, i metadati di progetto vengono modificati in modo da utilizzare il DNS di zona.

   In alternativa, puoi modificare manualmente i progetti in modo che utilizzino il DNS di zona per impostazione predefinita, come descritto in Aggiornare manualmente progetti e VM per usare il DNS di zona e Impedire ai nuovi progetti di utilizzare il DNS globale per impostazione predefinita.

Aggiorna manualmente progetti e VM per utilizzare il DNS di zona

Dopo aver determinato che il progetto è pronto per la migrazione al DNS di zona, puoi configurare il progetto e le VM in modo che utilizzino solo i nomi DNS della zona aggiornando i relativi metadati. Abilita il DNS di zona per le tue VM impostando la voce di metadati vmDnsSetting per il progetto o la VM. Se imposti la voce di metadati vmDnsSetting per una VM specifica, questa sostituisce qualsiasi impostazione vmDnsSetting ereditata dai metadati di progetto per quella VM.

La variabile vmDnsSetting supporta le seguenti impostazioni:

• Consigliato: imposta vmDnsSetting=ZonalOnly nei metadati di progetto. Ciò significa che alle VM è possibile accedere solo tramite i loro nomi DNS di zona (VM_NAME.ZONE.c.PROJECT_ID.internal) quando si utilizzano i percorsi di ricerca. Le VM mantengono sia i percorsi di ricerca a livello di zona che quelli globali, ma i loro nomi DNS globali, che non includono ZONE come parte del nome DNS interno, smettono di funzionare. Solo le VM nella stessa zona e nello stesso progetto possono accedere l'una all'altra utilizzando il nome globale quando questa impostazione è attiva. Altre VM possono accedere alle VM con vmDnsSetting impostato su ZonalOnly utilizzando solo i loro nomi DNS di zona e non possono accedere a queste VM utilizzando i nomi DNS o i percorsi di ricerca globali. Questa è l'opzione preferita e più affidabile, purché le tue applicazioni siano in grado di supportarla.

  L'impostazione vmDnsSetting=ZonalOnly è l'impostazione predefinita per le VM in progetti autonomi e progetti creati in un'organizzazione che ha abilitato l'API Compute Engine dopo il 6 settembre 2018.

• Imposta vmDnsSetting=GlobalDefault in modo che le VM registrino nomi DNS globali e di zona, ma utilizza solo nomi DNS globali come nomi di dominio predefiniti e voci dei percorsi di ricerca. Questa è l'impostazione predefinita per le VM in progetti autonomi e progetti creati in un'organizzazione che ha abilitato l'API Compute Engine prima del 6 settembre 2018.

Per informazioni su come impostare i metadati di progetto o i valori dei metadati della VM, consulta Impostazione di metadati personalizzati.

Dopo aver configurato la voce di metadati vmDnsSetting per una VM, aggiorna il lease DHCP sulla VM. Puoi aggiornare il lease riavviando la VM, attendendo la scadenza del lease oppure eseguendo uno dei seguenti comandi:

• VM Linux: sudo dhclient -v -r
• VM Windows Server: ipconfig /renew

Dopo aver aggiornato il lease DHCP, controlla se la VM è abilitata per il DNS di zona.

Modifica dei progetti non pronti per la migrazione

Un progetto non pronto per la migrazione indica che è stata eseguita almeno una query DNS rischiosa entro un determinato periodo di tempo, ad esempio gli ultimi 30 o gli ultimi 100 giorni. Una query rischiosa è una chiamata a una VM utilizzando un nome DNS globale (VM_NAME.c.PROJECT_ID.internal) che non può essere risolta in modo fluido utilizzando un nome DNS di zona (VM_NAME.ZONE.c.PROJECT_ID.internal). Le query rischiose potrebbero avere i seguenti attributi:

• Effettua una chiamata a una VM in un progetto diverso
• Effettua una chiamata a una VM in una zona diversa

Per i progetti con query rischiose, di solito è necessario un po' di lavoro aggiuntivo per eliminare tutte le ricerche DNS rischiose prima della migrazione.

Per i progetti non pronti per la migrazione, completa questi passaggi:

1. Attiva il miglioramento dei percorsi di ricerca per risolvere le ricerche di nomi DNS tra zone. Questo potrebbe rendere i tuoi progetti pronti per la migrazione senza influire sulle tue risorse.
2. Se l'aggiustamento del percorso di ricerca non esegue la transizione di tutte le query tra zone, puoi aggiornare manualmente le query in modo che utilizzino nomi DNS di zona.

Informazioni sulla funzionalità di miglioramento del percorso di ricerca

Per impostazione predefinita, la maggior parte delle distribuzioni Linux archivia le informazioni DHCP in resolv.conf. Di seguito un resolv.conf file globale minimo:

domain c.PROJECT_ID.internal
search c.PROJECT_ID.internal. google.internal.
nameserver 169.254.169.254

L'opzione di configurazione search viene utilizzata per elencare i nomi host da usare quando si esegue la risoluzione DNS. Il server DNS tenta di risolvere la query utilizzando a turno ciascuno dei nomi host nel percorso di ricerca finché non viene trovata una corrispondenza del record DNS. Ad esempio, se una VM chiama ping my-vm, i domini nel percorso di ricerca vengono aggiunti alla query originale per ottenere i nomi di dominio completi (FQDN), ad esempio utilizzando my-vm.c.PROJECT_ID.internal. In caso di corrispondenza, il resolver DNS restituisce un indirizzo IP interno nella risposta. In caso contrario, tenta di risolvere il nome DNS utilizzando il dominio successivo nel percorso di ricerca.

L'aggiunta di domini di zona extra nel percorso di ricerca delle VM può rendere alcuni progetti pronti per la migrazione. Ad esempio, supponiamo che la VM si trovi nella zona us-west4-c. Questa VM effettua una chiamata a un'altra VM denominata myapp-vm che si trova nella zona us-west4-b.

• Quando effettui una chiamata alla VM come myapp-vm, Compute Engine tenta di risolvere il nome DNS utilizzando un FQDN che aggiunge uno dei percorsi di ricerca al nome della VM, ad esempio myapp-vm.c.PROJECT_ID.internal.
• Se la VM di destinazione utilizza il DNS di zona, il FQDN per la VM di destinazione viene registrato come myapp-vm.us-west4-b.c.PROJECT_ID.internal. Di conseguenza, il nome DNS non può essere risolto.
• Se aggiungi us-west4-b.c.PROJECT_ID.internal all'elenco di ricerca, il nome DNS myapp-vm può essere risolto quando us-west4-b.c.PROJECT_ID.internal viene aggiunto al nome della VM.

Google offre una funzionalità di miglioramento dei percorsi di ricerca che cerca automaticamente il nome DNS di zona per una VM in tutte le zone della stessa regione della VM. Di conseguenza, le query tra zone diverse possono essere risolte senza richiedere un aggiornamento del file resolv.conf o del criterio DHCP. I miglioramenti dei percorsi di ricerca possono essere utili per risolvere query tra zone diverse in regioni fino all'80% delle volte. Questa funzionalità dovrebbe aiutare la maggior parte dei progetti con query rischiose a prepararsi per la migrazione al DNS di zona.

Abilita il miglioramento dei percorsi di ricerca per risolvere le ricerche di nomi DNS tra zone

Per attivare la funzionalità di miglioramento del percorso di ricerca, segui questi passaggi.

1. Esegui il comando project-info add-metadata come segue.

   gcloud compute project-info add-metadata  \
       --metadata=enable-search-path-improvement=true
   

2. Consenti al progetto di utilizzare questa impostazione per alcuni giorni, quindi controlla la metrica di monitoraggio per vedere se esistono ancora query DNS globali rischiose o tra zone diverse.

   • Se il valore del progetto è 0, significa che il progetto è pronto per la migrazione.
   • Se il progetto restituisce un valore diverso da zero, modifica tutti i nomi delle query DNS globali in modo da utilizzare il FQDN di zona, come descritto nella sezione successiva.

Aggiorna manualmente le query in modo che utilizzino i nomi DNS di zona

Se l'utilizzo della funzionalità di miglioramento dei percorsi di ricerca per aggiungere domini di zona extra al percorso di ricerca dei nomi DNS non comporta la transizione di tutte le query tra zone, puoi utilizzare Esplora log per visualizzare l'utilizzo del DNS globale all'interno del progetto.

Per identificare le query DNS globali che devono essere modificate manualmente per utilizzare i nomi di dominio completi (FQDN) di zona, completa i seguenti passaggi:

1. Segui i passaggi in Determinare se il progetto è pronto per la migrazione per visualizzare l'utilizzo del DNS globale per un progetto. Usa Esplora log per accedere ed eseguire query sull'utilizzo del DNS globale per le VM nel tuo progetto.

2. Nel riquadro Risultati delle query, ogni query ha un campo jsonPayload. Ogni campo jsonPayload contiene le seguenti informazioni:

   • Il nome della VM di origine, il relativo ID progetto e il nome della zona.
   • Il nome della VM di destinazione, il relativo ID progetto e il nome della zona.

   • Un messaggio di debug che fornisce informazioni su come aggiornare la query DNS globale che non può essere risolta utilizzando nomi DNS di zona. Queste sono considerate query di blocco della migrazione di cui è necessario eseguire il debug e correggere.

     "To use Zonal DNS, update the Global DNS query sent from the source VM
     VM_NAME.c.PROJECT_ID.internal to the following zonal
     FQDN: VM_NAME.ZONE.c.PROJECT_ID.internal"
     

   • Un conteggio delle query che mostra quante query di blocco della migrazione la VM di origine invia alla VM di destinazione per il giorno in questione.

   Il seguente screenshot mostra le informazioni del campo jsonPayload nella pagina della console Esplora log.

   

3. Utilizza le informazioni nel jsonPayload per determinare il nome di dominio completo da utilizzare per aggiornare manualmente le query DNS globali in modo da utilizzare il DNS di zona e preparare il progetto per la migrazione. I casi d'uso più comuni relativi a dove aggiornare il nome di dominio completo e risolvere la compatibilità sono:

   • Nomi DNS interni del server di metadati: non è richiesta alcuna azione perché il nome DNS restituito verrà modificato in un FQDN di zona subito dopo la migrazione al DNS di zona. Se il nome DNS è memorizzato nella cache, devi solo effettuare un'altra chiamata per aggiornare il valore della cache.
   • Nomi DNS interni utilizzati per accedere alle VM in un'altra regione: se hai un'applicazione che utilizza i nomi DNS interni per le VM in regioni diverse, puoi modificare il criterio DHCP o il file di configurazione per includere la zona nell'altra regione.
   • FQDN globale hardcoded: se disponi di un'applicazione che utilizza nomi FQDN globali hardcoded per le VM, puoi aggiornare la chiamata all'interno dell'applicazione in modo da utilizzare invece il nome DNS interno o il nome di dominio completo di zona. Puoi apportare questa modifica tramite una modifica del codice o della configurazione in Terraform.
   • VM nei progetti di servizio che utilizzano una rete VPC condiviso: per risolvere i nomi DNS delle VM nei progetti di servizio che utilizzano una rete VPC condiviso, devi utilizzare i FQDN di zona delle VM.

Dopo aver aggiornato le query DNS globali per utilizzare il DNS di zona:

1. Utilizza la pagina Esplora log per eseguire nuovamente query sull'utilizzo del DNS globale. Dopo aver corretto tutte le query DNS globali che bloccano il traffico, nei risultati della query non dovrebbero essere visualizzati log di debug.
2. Ricontrolla la metrica di monitoraggio per verificare se tutte le query DNS rischiose sono state rimosse.

Verifica che la migrazione del progetto al DNS di zona sia completata

1. Ripeti i passaggi in Verificare se il progetto utilizza il DNS globale per impostazione predefinita.

2. Per verificare che i metadati di progetto siano stati aggiornati, puoi eseguire questo comando:

   gcloud compute project-info describe --flatten="vmDnsSetting"
   

   Il comando dovrebbe restituire ZONAL_ONLY.

3. Verifica che il nome DNS interno di una VM utilizzi un nome DNS di zona.

4. Per verificare che il criterio dell'organizzazione constraints/compute.setNewProjectDefaultToZonalDNSOnly sia in corso di applicazione, puoi:

   1. Crea un nuovo progetto nella cartella o nell'organizzazione.
   2. Creare e avviare un'istanza VM.
   3. Controlla se la VM utilizza un nome DNS di zona.

Ripristina l'utilizzo del DNS globale

Puoi annullare la migrazione al DNS di zona reimpostando il tipo di DNS interno predefinito sul DNS globale. Puoi farlo a livello di organizzazione, progetto, VM o container.

Ripristina l'utilizzo del DNS globale per un'organizzazione o una cartella

Per ripristinare l'utilizzo del DNS globale per un'organizzazione o una cartella, completa questi passaggi.

1. Disabilita il criterio dell'organizzazione constraints/compute.setNewProjectDefaultToZonalDNSOnly a livello di organizzazione o cartella. Per istruzioni su come modificare questo criterio, consulta Applicare il DNS di zona per impostazione predefinita per i nuovi progetti.

   Imposta l'applicazione forzata di Configura l'impostazione DNS interno per i nuovi progetti su Solo DNS a livello di zona su Off.

2. Se vuoi ripristinare l'utilizzo del DNS globale per l'intera organizzazione, verifica che nessuna delle cartelle nell'organizzazione applichi il criterio dell'organizzazione constraints/compute.setNewProjectDefaultToZonalDNSOnly.

3. Utilizza le sezioni seguenti per verificare che il DNS globale sia configurato per progetti, VM e container.

Ripristina l'utilizzo del DNS globale per un progetto

Per ripristinare l'utilizzo del DNS globale in un progetto, completa i passaggi riportati di seguito.

1. Aggiungi quanto segue ai metadati del progetto: vmDnsSetting=GlobalDefault.

   Per informazioni su come impostare i metadati di progetto o i valori dei metadati della VM, consulta Impostazione di metadati personalizzati.

2. Verifica che il valore dei metadati vmDnsSetting per nessuna delle VM nel progetto sia impostato su ZonalOnly.

3. Aggiorna il lease DHCP su ogni VM. Puoi aggiornare il lease riavviando la VM, attendendo la scadenza del lease o eseguendo uno dei seguenti comandi:

   • VM Linux: sudo dhclient -v -r
   • VM Windows Server: ipconfig /renew

Ripristina l'utilizzo del DNS globale per una VM

Per ripristinare l'utilizzo del DNS globale per una VM specifica, completa i passaggi riportati di seguito.

1. Aggiungi quanto segue ai metadati della VM: vmDnsSetting=GlobalDefault.

   Per informazioni su come impostare i valori dei metadati della VM, consulta Impostazione di metadati personalizzati.

2. Per forzare la modifica della configurazione DNS, riavvia la rete della VM utilizzando uno dei seguenti comandi:

• Per Container-Optimized OS o Ubuntu:

  sudo systemctl restart systemd-networkd
  

• Per CentOS, RedHat EL, Fedora CoreOS o Rocky Linux:

  sudo systemctl restart network
  

  o

  sudo systemctl restart NetworkManager.service
  

• Per Debian:

  sudo systemctl restart networking
  

• Per i sistemi Linux con nmcli:

  sudo nmcli networking off
  sudo nmcli networking on
  

• Per Windows:

  ipconfig /renew
  

Ripristina l'utilizzo del DNS globale per un container

Se esegui l'applicazione o il carico di lavoro nei container, su Google Kubernetes Engine o nell'ambiente flessibile di App Engine, la configurazione DNS nelle impostazioni del container potrebbe non essere aggiornata automaticamente finché non riavvii i container. Per disabilitare il DNS di zona in queste app container, completa i seguenti passaggi.

1. Imposta l'impostazione dei metadati di progetto vmDnsSetting su GlobalDefault nei progetti proprietari dei container e delle VM.

2. Riavvia i container in modo che le impostazioni DNS ripristinino lo stato originale.

Risoluzione dei problemi del processo di migrazione dal DNS globale al DNS di zona

In caso di problemi con il processo di migrazione, consulta la guida alla risoluzione dei problemi.

Nascondi il banner sulla migrazione del DNS a livello di zona nella console Google Cloud

Puoi fare clic sul pulsante Ignora nel banner di notifica della migrazione DNS a livello di zona visualizzato nella pagina Istanze VM della console Google Cloud. In questo modo, il banner non viene visualizzato per il progetto a tempo indeterminato.

Se hai ignorato il banner, ma vuoi che venga visualizzato di nuovo, contatta l'assistenza clienti Google Cloud.

Passaggi successivi

• Consulta la gerarchia delle risorse di Google Cloud per informazioni sulla relazione tra organizzazioni, cartelle e progetti.
• Scopri di più sul DNS interno per Compute Engine.