Mots clés

Cette page présente la terminologie clé qui s'applique à Cloud DNS. Consultez la terminologie pour mieux comprendre le fonctionnement de Cloud DNS et les concepts sur lesquels il repose.

L'API Cloud DNS repose sur des projets, des zones gérées et des jeux d'enregistrements, ainsi que sur les modifications apportées à ces jeux.

Projet
Un projet Google Cloud Console est un conteneur pour les ressources, un domaine permettant de contrôler les accès, et un emplacement dans lequel la facturation est configurée et consolidée. Pour en savoir plus, consultez la page Créer et gérer des projets.
Zone gérée

La zone gérée contient les enregistrements DNS (Domain Name System) du même suffixe de nom DNS (par exemple, example.com). Un projet peut posséder plusieurs zones gérées, mais chacune doit avoir un nom unique. Dans Cloud DNS, la zone gérée est la ressource qui modélise une zone DNS.

Tous les enregistrements d'une zone gérée sont hébergés sur les mêmes serveurs de noms exploités par Google. Ces serveurs répondent aux requêtes DNS sur votre zone gérée en fonction de sa configuration. Un projet peut contenir plusieurs zones gérées. Des frais sont générés pour chaque jour d'existence de chaque zone gérée. Les zones gérées sont compatibles avec les libellés que vous pouvez utiliser pour organiser votre facturation.

Zone publique

Une zone publique est visible sur Internet. Cloud DNS dispose de serveurs de noms primaires publics qui répondent aux requêtes concernant les zones publiques, quelle que soit leur origine. Vous pouvez créer des enregistrements DNS dans une zone publique pour publier votre service sur Internet. Par exemple, vous pouvez créer l'enregistrement suivant dans une zone publique example.com pour votre site Web public www.example.com.

Nom DNS Type TTL (secondes) Données
www.example.com A 300 198.51.100.0

Cloud DNS affecte un ensemble de serveurs de noms lors de la création d'une zone publique. Pour que les enregistrements DNS d'une zone publique puissent être résolus sur Internet, vous devez mettre à jour le paramètre de serveur de noms de votre enregistrement de domaine auprès de votre bureau d'enregistrement de noms de domaine.

Pour en savoir plus sur l'enregistrement et la configuration de votre domaine, consultez la page Configurer un domaine à l'aide de Cloud DNS.

Zone privée

Les zones privées vous permettent de gérer les noms de domaine personnalisés de vos instances de machine virtuelle (VM), équilibreurs de charge et autres ressources Google Cloud sans exposer les données DNS sous-jacentes à l'Internet public. Une zone privée est un conteneur d'enregistrements DNS qui ne peut être interrogé que par un ou plusieurs réseaux VPC (Virtual Private Cloud) que vous autorisez.

Une zone privée ne peut être interrogée que par des ressources qui se trouvent dans le projet où elle est définie. Les réseaux VPC que vous autorisez doivent être situés dans le même projet que la zone privée. Si vous devez interroger des enregistrements hébergés dans des zones privées gérées dans d'autres projets, utilisez l'appairage DNS.

Vous devez spécifier la liste des réseaux VPC autorisés pouvant interroger votre zone privée lorsque vous la créez ou la mettez à jour. Seuls les réseaux autorisés peuvent interroger votre zone privée. Si vous ne spécifiez aucun réseau autorisé, vous ne pouvez pas interroger la zone privée.

Vous pouvez utiliser des zones privées avec des VPC partagés. Pour prendre connaissance d'informations importantes sur l'utilisation des zones privées avec des VPC partagés, consultez la section Considérations relatives au VPC partagé.

Les zones privées ne sont pas compatibles avec les extensions de sécurité DNS (DNSSEC) ni avec les jeux d'enregistrements de ressources personnalisés de type NS. Les requêtes concernant les enregistrements DNS de zones privées doivent être soumises via le serveur de métadonnées, 169.254.169.254, qui est le serveur de noms interne par défaut pour les VM créées à partir d'images fournies par Google.

Vous pouvez soumettre des requêtes à ce serveur de noms à partir de toute VM utilisant un réseau VPC autorisé. Par exemple, vous pouvez créer une zone privée pour le domaine dev.gcp.example.com afin d'héberger des enregistrements DNS internes pour des applications expérimentales. Le tableau suivant montre des exemples d'enregistrements dans cette zone. Les clients de base de données peuvent se connecter au serveur de base de données, db-01.dev.gcp.example.com, en utilisant son nom DNS interne au lieu de son adresse IP. Les clients de base de données résolvent ce nom DNS interne à l'aide du résolveur d'hôte de la VM, qui soumet la requête DNS au serveur de métadonnées 169.254.169.254. Le serveur de métadonnées agit comme un résolveur récursif pour interroger votre zone privée.

Nom DNS Type TTL (secondes) Données
db-01.dev.gcp.example.com A 5 10.128.1.35
instance-01.dev.gcp.example.com A 50 10.128.1.10

Les zones privées vous permettent de créer des configurations de DNS fractionné. En effet, vous pouvez créer une zone privée avec un jeu d'enregistrements différent, qui remplace l'ensemble d'enregistrements dans une zone publique. Vous pouvez ensuite contrôler les réseaux VPC qui interrogent les enregistrements définis dans la zone privée. Par exemple, consultez la section Chevauchement de zones.

Annuaire des services

L'annuaire des services est un registre de services géré pour Google Cloud qui vous permet d'enregistrer et de découvrir des services en utilisant HTTP ou gRPC (à l'aide de son API Lookup) en plus d'un DNS traditionnel. Vous pouvez utiliser l'annuaire des services pour enregistrer des services Google Cloud et d'autres services.

Cloud DNS vous permet de créer des zones sauvegardées par l'annuaire de services, un type de zone privée contenant des informations sur vos services et vos points de terminaison. Vous n'ajoutez pas de jeux d'enregistrements à la zone. En effet, ils sont automatiquement déduits en fonction de la configuration de l'espace de noms du répertoire de service associé à la zone. Pour en savoir plus sur l'annuaire des services, consultez la Présentation de l'annuaire des services.

Adresses Cloud DNS et non-RFC 1918

Par défaut, Cloud DNS effectue un transfert vers des adresses non-RFC 1918 via le réseau Internet public. Toutefois, Cloud DNS accepte également le transfert vers des adresses non-RFC 1918 pour les zones privées.

Après avoir configuré un réseau VPC pour utiliser des adresses non-RFC 1918, vous devez configurer la zone privée Cloud DNS en tant que zone de recherche inversée gérée. Cette configuration permet à Cloud DNS de résoudre localement les adresses autres que RFC 1918, au lieu de les envoyer via Internet.

Cloud DNS accepte également le transfert sortant vers des adresses non-RFC 1918 en acheminant ces adresses en mode privé dans Google Cloud. Pour activer ce type de transfert sortant, vous devez configurer une zone de transfert avec des arguments de chemin de transfert spécifiques. Pour plus d'informations, consultez la section Créer une règle de serveur sortant.

Zone de transfert

Une zone de transfert est un type de zone gérée privée de Cloud DNS, qui envoie des requêtes de cette zone aux adresses IP de ses cibles de transfert. Pour en savoir plus, consultez la section Méthodes de transfert DNS.

Zone d'appairage

Une zone d'appairage est un type de zone gérée privée de Cloud DNS, qui suit l'ordre de résolution des noms d'un autre réseau VPC. Elle permet de résoudre les noms définis dans l'autre réseau VPC.

Opérations de zone

Toutes les modifications que vous apportez aux zones gérées dans Cloud DNS sont enregistrées dans la collection des opérations, qui répertorie les mises à jour des zones gérées (modification des descriptions, de l'état DNSSEC ou de la configuration).

Nom du domaine internationalisé (IDN)

Un nom de domaine internationalisé (IDN) est un nom de domaine Internet permettant à des internautes du monde entier d'utiliser un script ou un alphabet spécifique à une langue, comme l'arabe, le chinois, le cyrillique, le devanagari, l'hébreu ou des caractères spéciaux basés sur l'alphabet latin dans les noms de domaine. Cette conversion est mise en œuvre à l'aide de Punycode, qui est une représentation de caractères Unicode qui utilise le format ASCII. Par exemple, une représentation IDN de .ελ est .xn--qxam. Certains navigateurs, clients de messagerie et d'applications peuvent la reconnaître et l'afficher comme .ελ en votre nom. La norme Internationalisation des noms de domaine dans les applications (IDNA) n'autorise que les chaînes Unicode suffisamment courtes pour être représentées comme un libellé DNS valide. Pour en savoir plus sur l'utilisation des IDN avec Cloud DNS, consultez la page Créer des zones avec des noms de domaine internationalisés.

Service d'enregistrement de noms de domaine

Un service d'enregistrement de noms de domaine est une organisation qui gère la réservation de noms de domaine Internet. Un tel service doit être accrédité par un registre de domaines de premier niveau (gTLD) générique ou un registre de domaine de premier niveau (ccTLD) national.

DNS interne

Google Cloud crée automatiquement des noms DNS internes pour les VM, même si vous n'utilisez pas Cloud DNS. Pour en savoir plus sur les DNS internes, consultez la documentation sur les DNS internes.

Sous-zone déléguée

DNS permet au propriétaire d'une zone de déléguer un sous-domaine à un autre serveur de noms à l'aide d'enregistrements NS (serveur de noms). Les résolveurs suivent ces enregistrements et envoient des requêtes destinées au sous-domaine au serveur de noms cible spécifié dans la délégation.

Collection de jeux d'enregistrements de ressources

La collection de jeux d'enregistrements de ressources préserve l'état actuel des enregistrements DNS qui composent une zone gérée. Vous pouvez consulter cette collection, mais vous ne pouvez pas la modifier directement. Vous devez plutôt modifier les jeux d'enregistrements de ressources dans une zone gérée en créant une requête Change dans la collection de modifications. La collection de jeux d'enregistrements de ressources reflète immédiatement toutes vos modifications. Toutefois, il existe un délai entre le moment où les modifications sont apportées dans l'API et le moment où elles sont appliquées sur vos serveurs DNS primaires. Pour en savoir plus sur la gestion des enregistrements, consultez la section Gérer les enregistrements.

Modification de l'enregistrement de ressources

Pour apporter une modification à la collection de jeux d'enregistrements de ressources, envoyez une requête Change contenant les ajouts ou les suppressions. Ces opérations peuvent être effectuées de façon groupée en une seule transaction atomique et être appliquées en même temps sur chaque serveur DNS primaire.

Supposons, par exemple, que vous disposiez d'un enregistrement A semblable au suivant :

www  A  203.0.113.1 203.0.113.2

Vous exécutez des commandes telles que les suivantes :

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

Votre enregistrement se présente comme suit après les modifications groupées :

www  A  203.0.113.1 203.0.113.3

Les commandes ADD et DEL sont exécutées simultanément.

Format de numéro de série SOA

Les numéros de série des enregistrements SOA créés dans les zones gérées de Cloud DNS augmentent de manière monotone avec chaque modification transactionnelle apportée aux jeux d'enregistrements d'une zone à l'aide de la commande gcloud dns record-sets transaction. Toutefois, vous êtes libre de remplacer manuellement le numéro de série d'un enregistrement SOA par un nombre arbitraire (y compris par une date au format ISO 8601, comme recommandé dans le document RFC 1912).

Par exemple, dans l'enregistrement SOA suivant, vous pouvez modifier le numéro de série directement à partir de Google Cloud Console en saisissant la valeur souhaitée dans le troisième champ de l'enregistrement délimité par des espaces :

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`
Règle de serveur DNS

Une règle de serveur DNS vous permet d'accéder aux services de résolution de noms fournis par Google Cloud sur un réseau VPC avec transfert entrant, ou de modifier l'ordre de résolution des noms VPC avec transfert sortant.

Domaine, sous-domaine et délégation

La plupart des sous-domaines ne sont que des enregistrements dans la zone gérée du domaine parent. Les sous-domaines délégués en créant des enregistrements NS (serveur de noms) dans la zone de leur domaine parent doivent également posséder leurs propres zones.

Créez des zones gérées pour les domaines parents dans Cloud DNS avant de définir des zones pour leurs sous-domaines délégués. Procédez ainsi même si vous hébergez le domaine parent sur un autre service DNS. Si vous disposez de plusieurs zones de sous-domaine, mais ne définissez pas de zone parente, la création de la zone parente peut s'avérer compliquée si vous décidez par la suite de la déplacer vers Cloud DNS. Pour en savoir plus, consultez la section Limites du serveur de noms.

DNSSEC

Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une suite d'extensions IETF (Internet Engineering Task Force) du DNS qui authentifient les réponses aux recherches de noms de domaine. Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.

Collection DNSKEY

La collection DNSKEY préserve l'état actuel des enregistrements DNSKEY servant à signer une zone gérée où DNSSEC est activé. Cette collection n'offre qu'un accès en lecture. Toutes les modifications apportées aux enregistrements DNSKEY sont effectuées par Cloud DNS. La collection DNSKEY contient toutes les informations dont les services d'enregistrement de noms de domaine ont besoin pour activer DNSSEC.