Questa pagina fornisce una terminologia chiave che si applica a Cloud DNS. Consulta questi termini per comprendere meglio come funziona Cloud DNS e quali sono i concetti su cui si basa.
L'API Cloud DNS è basata su progetti, zone gestite, set di record e modifiche ai set di record.
- progetto
- Un progetto della console Google Cloud è un container per le risorse, un dominio per controllo dell'accesso'accesso e un luogo in cui la fatturazione viene configurata e aggregata. Per maggiori dettagli, consulta Creazione e gestione dei progetti.
- zona gestita
La zona gestita contiene record DNS (Domain Name System) per lo stesso suffisso di nomi DNS (ad esempio
example.com). Un progetto può avere più zone gestite, ma devono avere un nome univoco. In Cloud DNS, la zona gestita è la risorsa che modella una zona DNS.Tutti i record di una zona gestita sono ospitati sugli stessi server dei nomi gestiti da Google. Questi server dei nomi rispondono alle query DNS nella tua zona gestita in base alla modalità di configurazione della zona. Un progetto può contenere più zone gestite. Addebiti accumulati per ogni zona per ogni giorno in cui esiste la zona gestita. Le zone gestite supportano le etichette che puoi utilizzare per organizzare la fatturazione.
- zona pubblica
Una zona pubblica è visibile su Internet. Cloud DNS dispone di server dei nomi autoritativi pubblici che rispondono alle query sulle zone pubbliche indipendentemente dalla loro origine. Puoi creare record DNS in una zona pubblica per pubblicare il tuo servizio su Internet. Ad esempio, potresti creare il seguente record in una zona pubblica
example.comper il tuo sito web pubblicowww.example.com.Nome DNS Tipo TTL (secondi) Dati www.example.com A 300 198.51.100.0 Cloud DNS assegna un insieme di server dei nomi al momento della creazione di una zona pubblica. Affinché i record DNS in una zona pubblica siano risolvibili su Internet, devi aggiornare l'impostazione del server dei nomi della registrazione del dominio nel registrar.
Per saperne di più su come registrare e configurare il tuo dominio, consulta Configurare un dominio utilizzando Cloud DNS.
- zona privata
Le zone private consentono di gestire i nomi di dominio personalizzati per le istanze di macchine virtuali (VM), i bilanciatori del carico e altre risorse Google Cloud senza esporre i dati DNS sottostanti alla rete Internet pubblica. Una zona privata è un container di record DNS su cui è possibile eseguire query su una o più reti Virtual Private Cloud (VPC) che autorizzi.
Devi specificare l'elenco di reti VPC autorizzate che possono eseguire query sulla tua zona privata quando la crei o la aggiorni. Solo le reti autorizzate possono eseguire query sulla zona privata; se non specifichi alcuna rete autorizzata, non puoi eseguire alcuna query sulla zona privata.
Puoi utilizzare le zone private con il VPC condiviso. Per informazioni importanti sull'utilizzo delle zone private con VPC condiviso, consulta Considerazioni sul VPC condiviso.
Le zone private non supportano le estensioni di sicurezza DNS (DNSSEC) o i set di record di risorse personalizzati di tipo NS. Le richieste per i record DNS nelle zone private devono essere inviate tramite il server di metadati
169.254.169.254, che è il server dei nomi interno predefinito per le VM create dalle immagini fornite da Google.Puoi inviare query a questo server dei nomi da qualsiasi VM che utilizza una rete VPC autorizzata. Ad esempio, puoi creare una zona privata per consentire a
dev.gcp.example.comdi ospitare record DNS interni per le applicazioni sperimentali. La tabella seguente mostra i record di esempio in quella zona. I client di database possono connettersi al server di databasedb-01.dev.gcp.example.comutilizzando il nome DNS interno anziché l'indirizzo IP. I client di database risolvono questo nome DNS interno utilizzando il resolver host sulla VM, che invia la query DNS al server di metadati169.254.169.254. Il server di metadati funge da risolutore ricorsivo per eseguire query sulla zona privata.Nome DNS Tipo TTL (secondi) Dati db-01.dev.gcp.example.comA 5 10.128.1.35 instance-01.dev.gcp.example.comA 50 10.128.1.10 Le zone private consentono di creare configurazioni DNS con orizzonte diviso. Il motivo è che puoi creare una zona privata con un insieme di record diverso, che sostituisce l'intero set di record di una zona pubblica. Puoi quindi stabilire quali reti VPC interrogano i record nella zona privata. Ad esempio, consulta la sezione relativa alle zone sovrapposte.
- Service Directory
Service Directory è un registro di servizio gestito per Google Cloud che ti consente di registrare e scoprire i servizi utilizzando HTTP o gRPC (utilizzando la sua API lookup) oltre al DNS tradizionale. Puoi utilizzare Service Directory per registrare servizi Google Cloud e non Google Cloud.
Cloud DNS consente di creare zone supportate da Service Directory, che sono un tipo di zona privata contenente informazioni sui tuoi servizi e endpoint. I set di record non vengono aggiunti alla zona, ma vengono dedotti automaticamente in base alla configurazione dello spazio dei nomi di Service Directory associato alla zona. Per ulteriori informazioni su Service Directory, consulta la panoramica di Service Directory.
Quando crei una zona supportata da Service Directory, non puoi aggiungere direttamente i record alla zona; i dati provengono dal registro dei servizi Service Directory.
- Cloud DNS e ricerca inversa per gli indirizzi non RFC 1918
Per impostazione predefinita, Cloud DNS inoltra le richieste per i record PTR degli indirizzi non RFC 1918 attraverso la rete Internet pubblica. Tuttavia, Cloud DNS supporta anche la ricerca inversa degli indirizzi non RFC 1918 utilizzando le zone private.
Dopo aver configurato una rete VPC per l'utilizzo di indirizzi non RFC 1918, devi configurare una zona privata di Cloud DNS come zona di ricerca inversa gestita. Questa configurazione consente a Cloud DNS di risolvere a livello locale indirizzi non RFC 1918 invece di inviarli tramite Internet.
Quando crei una zona DNS gestita di ricerca inversa, non puoi aggiungere direttamente i record alla zona; i dati provengono dai dati degli indirizzi IP di Compute Engine.
Cloud DNS supporta anche l'inoltro in uscita a indirizzi non RFC 1918 instradando privatamente questi indirizzi in Google Cloud. Per abilitare questo tipo di inoltro, devi configurare una zona di forwarding con argomenti di percorso di forwarding specifici. Per i dettagli, consulta Inoltro dei target e metodi di routing.
- zona di inoltro
Una zona di forwarding è un tipo di zona privata gestita di Cloud DNS che inoltra le richieste per quella zona agli indirizzi IP dei suoi target di forwarding. Per ulteriori informazioni, consulta Metodi di inoltro DNS.
Quando crei una zona di inoltro, non puoi aggiungere direttamente record alla zona di inoltro; i dati provengono da uno o più server dei nomi o resolver di destinazione configurati.
- zona di peering
Una zona di peering è un tipo di zona privata gestita di Cloud DNS che segue l'ordine di risoluzione dei nomi di un'altra rete VPC. Puoi utilizzarlo per risolvere i nomi definiti nell'altra rete VPC.
Quando crei una zona di peering DNS, non puoi aggiungere direttamente record alla zona; i dati provengono dalla rete VPC del produttore in base al suo ordine di risoluzione dei nomi.
- criterio di risposta
Un criterio di risposta è un concetto di zona privata di Cloud DNS che contiene regole anziché record. Queste regole possono essere utilizzate per ottenere effetti simili alla bozza di zona dei criteri di risposta (RPZ) DNS (IETF). La funzionalità dei criteri di risposta consente di introdurre regole personalizzate nei server DNS all'interno della tua rete che il resolver DNS consulta durante le ricerche. Se una regola nel criterio di risposta influisce sulla query in entrata, questa viene elaborata. In caso contrario, la ricerca continua normalmente. Per maggiori informazioni, consulta la pagina Gestire i criteri e le regole di risposta.
Un criterio di risposta è diverso da una RPZ, che è una zona DNS normalmente normale con dati appositamente formattati che causa operazioni speciali da parte di resolver compatibili. I criteri di risposta non sono zone DNS e sono gestiti separatamente nell'API.
- operazioni nella zona
Le modifiche apportate alle zone gestite in Cloud DNS vengono registrate nella raccolta delle operazioni, che elenca gli aggiornamenti delle zone gestite (modificando le descrizioni o lo stato o la configurazione di DNSSEC). Le modifiche ai set di record all'interno di una zona vengono archiviate separatamente nei set di record di risorse, descritti più avanti in questo documento.
- Nome di dominio internazionalizzato (IDN)
Un nome di dominio internazionalizzato (IDN, Internationalized Domain Name) è un nome di dominio Internet che consente agli utenti di tutto il mondo di utilizzare script o alfabeti specifici della lingua, come arabo, cinese, cirillico, devanagari, ebraico o caratteri speciali l'alfabeto latino nei nomi di dominio. Questa conversione viene implementata utilizzando Punycode, che è una rappresentazione dei caratteri Unicode che utilizzano ASCII. Ad esempio, una rappresentazione IDN di
.ελè.xn--qxam. Alcuni browser, client di posta e applicazioni potrebbero riconoscerlo e visualizzarlo come.ελper tuo conto. Lo standard Internationalna Domain Domain in Applications (IDNA) consente solo le stringhe Unicode abbastanza brevi da essere rappresentate come etichetta DNS valida. Per informazioni su come utilizzare l'IDN con Cloud DNS, consulta Creazione di zone con nomi di dominio internazionalizzati.- registrar
Un registrar di nomi di dominio è un'organizzazione che gestisce la prenotazione di nomi di dominio Internet. Un registrar deve essere accreditato da un registro di dominio di primo livello generico (gTLD) o da un registro di dominio di primo livello (ccTLD) per paese.
- DNS interno
Google Cloud crea automaticamente nomi DNS interni per le VM, anche se non utilizzi Cloud DNS. Per ulteriori informazioni sul DNS interno, consulta la documentazione relativa al DNS interno.
- sottozona con delega
Il DNS consente al proprietario di una zona di delegare un sottodominio a un server dei nomi diverso utilizzando i record NS (Name Server). I resolver seguono questi record e inviano query per il sottodominio al server dei nomi di destinazione specificato nella delega.
- set di record di risorse
Un set di record di risorse è una raccolta di record DNS con la stessa etichetta, la stessa classe e lo stesso tipo, ma con dati diversi. I set di record di risorse contengono lo stato attuale dei record DNS che compongono una zona gestita. Puoi leggere un set di record di risorse, ma non di modificarlo direttamente. Piuttosto, modifica il record di risorse impostato in una zona gestita creando una richiesta
Changenella raccolta delle modifiche. Puoi anche modificare i set di record di risorse utilizzando l'APIResourceRecordSets. Il set di record di risorse riflette immediatamente tutte le modifiche. Tuttavia, si verifica un ritardo tra il momento in cui vengono apportate le modifiche all'API e il momento in cui vengono applicate ai server DNS autorevoli. Per informazioni su come gestire i record, consulta Aggiungere, modificare ed eliminare i record.- modifica del set di record di risorse
Per apportare una modifica a un set di record di risorse, invia una richiesta
ChangeoResourceRecordSetscontenente aggiunte o eliminazioni. Le aggiunte e le eliminazioni possono essere apportate in blocco o in una singola transazione atomica e hanno effetto contemporaneamente su ciascun server DNS autorevole.Ad esempio, se hai un record A simile al seguente:
www A 203.0.113.1 203.0.113.2
E esegui un comando simile al seguente:
DEL www A 203.0.113.2 ADD www A 203.0.113.3
Il record avrà il seguente aspetto dopo la modifica collettiva:
www A 203.0.113.1 203.0.113.3
ADD e DEL avvengono contemporaneamente.
- Formato del numero di serie SOA
Il numero di serie di record SOA creati nelle zone gestite di Cloud DNS aumenta monotonicamente a ogni modifica transazionale per i set di record di una zona creati utilizzando il comando
gcloud dns record-sets transaction. Tuttavia, puoi modificare manualmente il numero di serie di un record SOA in un numero arbitrario, inclusa una data in formato ISO 8601, come consigliato nella RFC 1912.Ad esempio, nel seguente record SOA puoi modificare il numero di serie direttamente dalla console Google Cloud inserendo il valore desiderato nel terzo campo delimitato da spazi del record:
ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com. [serial number] 21600 3600 259200 300`
- Criterio del server DNS
Un criterio del server DNS ti consente di accedere ai servizi di risoluzione dei nomi forniti da Google Cloud in una rete VPC con inoltro in entrata o di sostituire l'ordine di risoluzione dei nomi VPC con un criterio del server in uscita. Per saperne di più, vedi Criteri dei server DNS.
- dominio, sottodominio e delega
La maggior parte dei sottodomini è registrata solo nella zona gestita per il dominio principale. Anche i sottodomini delegati creando record NS (Name Server) nella zona del dominio principale devono avere le proprie zone.
Crea zone pubbliche gestite per i domini principali in Cloud DNS prima di creare eventuali zone pubbliche per i relativi sottodomini delegati. Esegui questa operazione anche se ospiti il dominio principale su un altro servizio DNS. Se hai più zone sottodominio ma non crei la zona padre, può essere complicato creare la zona padre in un secondo momento se decidi di spostarla in Cloud DNS. Per ulteriori informazioni, consulta i limiti dei server dei nomi.
- DNSSEC
Le DNSSEC (Domain Name System Security Extensions) sono una suite di estensioni IETF (Internet Engineering Task Force) al DNS che autenticano le risposte alle ricerche dei nomi di dominio. Le DNSSEC non forniscono protezioni della privacy per tali ricerche, ma impediscono agli utenti malintenzionati di manipolare o falsificare le risposte alle richieste DNS.
- raccolta DNSKEY
La raccolta DNSKEY contiene lo stato attuale dei record DNSKEY utilizzati per firmare una zona gestita abilitata per DNSSEC. Puoi leggere solo questa raccolta; tutte le modifiche alle chiavi DNS vengono apportate da Cloud DNS. La raccolta DNSKEY contiene tutte le informazioni richieste dai registrar di dominio per attivare DNSSEC.