本文提供適用於 Cloud DNS 的重要術語。請詳閱這些字詞,進一步瞭解 Cloud DNS 的運作方式和基礎概念。
Cloud DNS API 是以專案、代管區域、記錄集及記錄集變更為建構重點。
- 專案
- 主控台專案是資源的容器、存取權控管的網域,也是設定和匯總帳單的地方。 Google Cloud 詳情請參閱「建立及管理專案」。
- 代管區域
代管區域保存具有相同 DNS 名稱後置字串 (例如
example.com) 的網域名稱系統 (DNS) 記錄。專案可以有多個代管區域,但各區域的名稱不得重複。在 Cloud DNS 中,代管區域是以 DNS 區域為模型的資源。代管區域中的所有記錄都託管於由 Google 營運的相同名稱伺服器。這些名稱伺服器會依據區域的設定方式,回應代管區域的 DNS 查詢。專案可以含有多個代管區域。只要代管區域存在,每天每個區域都會產生費用累計。代管區域支援標籤,您可使用這個功能來整理帳單。
- 公開區域
公開區域可以在網際網路上顯示。Cloud DNS 含有公開權威名稱伺服器,不論查詢源自何處,都可以回應有關公開區域的查詢。您可以在公開區域中建立 DNS 記錄,以在網際網路上發布您的服務。例如,您可以在公開網站
www.example.com的公開區域example.com中建立下列記錄。DNS 名稱 類型 TTL (秒) 資料 www.example.com A 300 198.51.100.0 Cloud DNS 會在建立公開區域時指派一組名稱伺服器。如要透過網際網路解析公開區域中的 DNS 記錄,您必須在註冊商處更新網域註冊的名稱伺服器設定。
如要進一步瞭解如何註冊及設定網域,請參閱「使用 Cloud DNS 設定網域」。
- 私人區域
不公開區域可讓您管理虛擬機器 (VM) 執行個體、負載平衡器及其他 Google Cloud 資源的自訂網域名稱,而不會向公開網際網路暴露基本的 DNS 資料。不公開區域是一種 DNS 記錄容器,只能由您授權的一或多個虛擬私有雲端 (VPC) 網路進行查詢。
建立或更新不公開區域時,您必須指定可以查詢該區域的已授權虛擬私人雲端網路清單。只有已授權網路可以查詢您的不公開區域;如果您未指定任何已授權網路,則完全無法查詢不公開區域。
您可以將不公開區域與共用虛擬私有雲搭配使用。如需將不公開區域與共用虛擬私有雲端搭配使用的重要資訊,請參閱「共用虛擬私有雲端的注意事項」。
不公開區域不支援 DNS 安全擴充 (DNSSEC) 或 NS 類型的自訂資源記錄集。針對不公開區域中的 DNS 記錄所發出的要求,必須透過中繼資料伺服器
169.254.169.254提交,該伺服器是以 Google 提供的映像檔來建立的預設 VM 內部名稱伺服器。您可以使用已授權虛擬私有雲網路的任何 VM,向這個名稱伺服器提交查詢。例如,您可以為
dev.gcp.example.com建立一個不公開區域,以託管實驗性應用程式的內部 DNS 記錄。下表列出了該區域中的範例記錄。資料庫用戶端可使用內部 DNS 名稱而非 IP 位址連線到資料庫伺服器db-01.dev.gcp.example.com。資料庫用戶端會使用 VM 上的主機解析器來解析此內部 DNS 名稱,從而將 DNS 查詢提交到中繼資料伺服器169.254.169.254。中繼資料伺服器可做為遞迴解析器以查詢您的不公開區域。DNS 名稱 類型 TTL (秒) 資料 db-01.dev.gcp.example.comA 5 10.128.1.35 instance-01.dev.gcp.example.comA 50 10.128.1.10 您可以透過不公開區域建立水平分割 DNS 設定。 這是因為您可以建立包含一組不同記錄的不公開區域,藉此覆寫公開區域中的整組記錄。 接著,您可以控管哪些 VPC 網路會查詢不公開區域中的記錄。例如,請參閱重疊區域。
- Service Directory
Service Directory 是受管理服務登錄檔,可讓您透過 HTTP 或 gRPC (使用其 Lookup API) 註冊及探索服務,此外也能使用傳統 DNS。Google Cloud 您可以使用 Service Directory 註冊Google Cloud 和非Google Cloud 服務。
Cloud DNS 可讓您建立 Service Directory 支援的區域,這是一種包含服務和端點資訊的不公開區域。您不會將記錄集新增至區域,而是根據與區域相關聯的 Service Directory 命名空間設定,自動推斷記錄集。如要進一步瞭解 Service Directory,請參閱服務目錄總覽。
建立 Service Directory 支援的區域時,您無法直接在區域中新增記錄,因為資料來自 Service Directory 服務登錄。
- Cloud DNS 和非 RFC 1918 位址的反向查詢
根據預設,Cloud DNS 會透過公用網際網路,轉送非 RFC 1918 位址的 PTR 記錄要求。不過,Cloud DNS 也支援使用私人區域反向查詢非 RFC 1918 位址。
將虛擬私有雲網路設定為使用非 RFC 1918 位址後,您必須將 Cloud DNS 私人區域設定為受管理的反向查詢區域。這項設定可讓 Cloud DNS 在本機解析非 RFC 1918 位址,不必透過網際網路傳送。
建立代管反向查詢 DNS 區域時,您無法直接在區域中新增記錄,資料會來自 Compute Engine IP 位址資料。
Cloud DNS 也支援透過 Google Cloud內私下轉送這些位址,將傳出轉送至非 RFC 1918 位址。如要啟用這類外寄轉送,您必須設定轉送區域,並提供特定轉送路徑引數。詳情請參閱「轉送目標和轉送方法」。
- 轉送區域
轉送區域是一種 Cloud DNS 代管不公開區域,會將送入該區域的要求轉送至轉送目標的 IP 位址。詳情請參閱 DNS 轉送方法。
建立轉送區域時,您無法直接在轉送區域中新增記錄,資料會來自一或多個已設定的目標名稱伺服器或解析器。
- 對等互連區域
對等互連區域是一種 Cloud DNS 代管不公開區域,會遵照另一個虛擬私人雲端網路的名稱解析順序。可用於解析其他虛擬私有雲網路中定義的名稱。
建立 DNS 對等互連區域時,您無法直接在區域中新增記錄;資料會根據供應商虛擬私有雲網路的名稱解析順序提供。
- 回覆政策
回覆政策是 Cloud DNS 私人區域的概念,其中包含規則而非記錄。這些規則可達到類似 DNS 回應政策區域 (RPZ) 草案概念 (IETF) 的效果。您可以透過回應政策功能,在網路中的 DNS 伺服器導入自訂規則,以便 DNS 解析器在查詢期間參照規則。如果回覆政策中的規則會影響傳入的查詢,系統就會處理該查詢。否則,系統會照常進行查詢。詳情請參閱「管理回應政策和規則」。
回應政策與 RPZ 不同,後者是具有特殊格式資料的正常 DNS 區域,可讓相容的解析器執行特殊動作。回應政策不是 DNS 區域,而是透過 API 分別管理。
- 區域作業
您在 Cloud DNS 中對代管區域所做的任何變更都會記錄在作業集合中,該集合會列出代管區域更新資訊 (修改說明或 DNSSEC 狀態或設定)。區域內記錄集的變更會分別儲存在資源記錄集中,詳情請參閱本文後續章節。
- 國際化網域名稱 (IDN)
國際化網域名稱 (IDN) 是一種網際網路網域名稱,可讓全球使用者在網域名稱中使用特定語言的文字或字母,例如阿拉伯文、中文、斯拉夫文、天城文、希伯來文,或是以拉丁字母為基礎的特殊字元。這項轉換作業是透過 Punycode 實作,Punycode 是使用 ASCII 的萬國碼字元表示法。舉例來說,
.ελ的 IDN 表示法為.xn--qxam。部分瀏覽器、電子郵件用戶端和應用程式可能會辨識這項設定,並代表您進行轉譯。.ελ應用程式國際化網域名稱 (IDNA) 標準只允許長度足以表示為有效 DNS 標籤的 Unicode 字串。如要瞭解如何在 Cloud DNS 中使用 IDN,請參閱建立含有國際化網域名稱的區域。- 註冊商
網域名稱註冊商是管理網際網路網域名稱保留的機構。註冊商必須經過通用頂層網域 (gTLD) 註冊管理機構或國碼頂層網域 (ccTLD) 註冊管理機構的認證。
- 內部 DNS
Google Cloud 會自動為 VM 建立內部 DNS 名稱,即使您不使用 Cloud DNS 也是如此。如要進一步瞭解內部 DNS,請參閱內部 DNS 說明文件。
- 委派的子區域
DNS 可讓區域擁有者透過 NS (名稱伺服器) 記錄,將子網域委派給不同的名稱伺服器。解析器會依據這些記錄,將對於子網域的查詢傳送至委派作業所指定的目標名稱伺服器。
- 資源記錄集
資源記錄集是 DNS 記錄的集合,具有相同的標籤、類別和類型,但資料不同。資源記錄集保存著構成代管區域的 DNS 記錄現行狀態。您可以讀取資源記錄集,但不可直接修改,而是要在變更集合中建立
Change要求,進而編輯代管區域中的資源記錄集。您也可以使用ResourceRecordSetsAPI 編輯資源記錄集。資源記錄集會立即反映所有變更。不過,在 API 中進行的變更必須經過一段延遲時間後,才會在您的權威 DNS 伺服器上生效。如要瞭解如何管理記錄,請參閱新增、修改及刪除記錄。- 資源記錄集變更
如要變更資源記錄集,請提交
Change或ResourceRecordSets要求,其中包含新增或刪除作業。系統可在一次整體性交易中完成大量新增和刪除作業,且這些修改會在每個權威 DNS 伺服器中同時生效。舉例來說,如果您有一筆 A 記錄,如下所示:
www A 203.0.113.1 203.0.113.2
然後您執行下列指令:
DEL www A 203.0.113.2 ADD www A 203.0.113.3
記錄經過批次變更後,應會如下所示:
www A 203.0.113.1 203.0.113.3
「ADD」和「DEL」會同時發生。
- SOA 序號的格式
每當使用
gcloud dns record-sets transaction指令對區域的記錄集進行交易變更時,在 Cloud DNS 代管區域中建立的 SOA 記錄序號就會單調遞增。不過,您可以自由地將 SOA 記錄序號手動變更為任意號碼,包括 RFC 1912 中建議的 ISO 8601 格式的日期。舉例來說,在下列 SOA 記錄中,您可以直接從 Google Cloud 主控台變更序號,方法是在記錄的第三個空格分隔欄位中輸入所需的值:
ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com. [serial number] 21600 3600 259200 300`
- DNS 伺服器政策
DNS 伺服器政策可讓您在具有傳入轉送功能的虛擬私有雲網路中存取 Google Cloud 提供的名稱解析服務,或使用傳出伺服器政策取代虛擬私有雲名稱解析順序。詳情請參閱「DNS 伺服器政策」。
- 網域、子網域和委派
大多數子網域都只是上層網域代管區域中的記錄。 因為在上層網域中建立 NS (名稱伺服器) 記錄而被「委派」的子網域,也必須有自己的區域。
在為受委派的子網域建立任何公開區域「之前」,請在 Cloud DNS 中建立上層網域的代管公開區域。即使您要在另一個 DNS 服務上託管上層網域,也必須執行這項建立作業。如果您有數個子網域區域,但並未建立上層區域,則日後決定要將這些區域移到 Cloud DNS 時,建立上層區域的程序可能會很複雜。詳情請參閱「名稱伺服器限制」。 DNSSEC
網域名稱系統安全擴充 (DNSSEC) 是網際網路工程任務團隊 (IETF) 開發的 DNS 擴充套件,可用來驗證網域名稱查詢的回應。DNSSEC 不會為這些查詢提供隱私權保護,但可防止攻擊者操縱或毒害 DNS 要求的回應。
- DNSKEY 集合
DNSKEY 集合含有用來簽署已啟用 DNSSEC 的代管區域的 DNSKEY 記錄現行狀態。您只能讀取這個集合,DNSKEY 的所有變更都是由 Cloud DNS 執行。DNSKEY 集合含有網域註冊商啟動 DNSSEC 所需的所有資訊。