Cette page présente la terminologie clé qui s'applique à Cloud DNS. Consultez la terminologie pour mieux comprendre le fonctionnement de Cloud DNS et les concepts sur lesquels il repose.
L'API Cloud DNS repose sur des projets, des zones gérées et des jeux d'enregistrements, ainsi que sur les modifications apportées à ces jeux.
- projet
- Un projet de la console Google Cloud est un conteneur pour les ressources, un domaine permettant de contrôler les accès, et un emplacement dans lequel la facturation est configurée et consolidée. Pour en savoir plus, consultez la page Créer et gérer des projets.
- zone gérée
La zone gérée contient les enregistrements DNS (Domain Name System) du même suffixe de nom DNS (par exemple,
example.com
). Un projet peut posséder plusieurs zones gérées, mais chacune doit avoir un nom unique. Dans Cloud DNS, la zone gérée est la ressource qui modélise une zone DNS.Tous les enregistrements d'une zone gérée sont hébergés sur les mêmes serveurs de noms exploités par Google. Ces serveurs répondent aux requêtes DNS sur votre zone gérée en fonction de sa configuration. Un projet peut contenir plusieurs zones gérées. Des frais sont générés pour chaque jour d'existence de chaque zone gérée. Les zones gérées sont compatibles avec les libellés que vous pouvez utiliser pour organiser votre facturation.
- zone publique
Une zone publique est visible sur Internet. Cloud DNS dispose de serveurs de noms primaires publics qui répondent aux requêtes concernant les zones publiques, quelle que soit leur origine. Vous pouvez créer des enregistrements DNS dans une zone publique pour publier votre service sur Internet. Par exemple, vous pouvez créer l'enregistrement suivant dans une zone publique
example.com
pour votre site Web publicwww.example.com
.Nom DNS Type TTL (secondes) Données www.example.com A 300 198.51.100.0 Cloud DNS affecte un ensemble de serveurs de noms lors de la création d'une zone publique. Pour que les enregistrements DNS d'une zone publique puissent être résolus sur Internet, vous devez mettre à jour le paramètre de serveur de noms de votre enregistrement de domaine auprès de votre bureau d'enregistrement de noms de domaine.
Pour en savoir plus sur l'enregistrement et la configuration de votre domaine, consultez la page Configurer un domaine à l'aide de Cloud DNS.
- zone privée
Les zones privées vous permettent de gérer les noms de domaine personnalisés de vos instances de machine virtuelle (VM), équilibreurs de charge et autres ressources Google Cloud sans exposer les données DNS sous-jacentes à l'Internet public. Une zone privée est un conteneur d'enregistrements DNS qui ne peut être interrogé que par un ou plusieurs réseaux VPC (Virtual Private Cloud) que vous autorisez.
Vous devez spécifier la liste des réseaux VPC autorisés pouvant interroger votre zone privée lorsque vous la créez ou la mettez à jour. Seuls les réseaux autorisés peuvent interroger votre zone privée. Si vous ne spécifiez aucun réseau autorisé, vous ne pouvez pas interroger la zone privée.
Vous pouvez utiliser des zones privées avec des VPC partagés. Pour prendre connaissance d'informations importantes sur l'utilisation des zones privées avec des VPC partagés, consultez la section Considérations relatives au VPC partagé.
Les zones privées ne sont pas compatibles avec les extensions de sécurité DNS (DNSSEC) ni avec les jeux d'enregistrements de ressources personnalisés de type NS. Les requêtes concernant les enregistrements DNS de zones privées doivent être soumises via le serveur de métadonnées,
169.254.169.254
, qui est le serveur de noms interne par défaut pour les VM créées à partir d'images fournies par Google.Vous pouvez soumettre des requêtes à ce serveur de noms à partir de toute VM utilisant un réseau VPC autorisé. Par exemple, vous pouvez créer une zone privée pour le domaine
dev.gcp.example.com
afin d'héberger des enregistrements DNS internes pour des applications expérimentales. Le tableau suivant montre des exemples d'enregistrements dans cette zone. Les clients de base de données peuvent se connecter au serveur de base de données,db-01.dev.gcp.example.com
, en utilisant son nom DNS interne au lieu de son adresse IP. Les clients de base de données résolvent ce nom DNS interne à l'aide du résolveur d'hôte de la VM, qui soumet la requête DNS au serveur de métadonnées169.254.169.254
. Le serveur de métadonnées agit comme un résolveur récursif pour interroger votre zone privée.Nom DNS Type TTL (secondes) Données db-01.dev.gcp.example.com
A 5 10.128.1.35 instance-01.dev.gcp.example.com
A 50 10.128.1.10 Les zones privées vous permettent de créer des configurations de DNS fractionné. En effet, vous pouvez créer une zone privée avec un jeu d'enregistrements différent, qui remplace l'ensemble d'enregistrements dans une zone publique. Vous pouvez ensuite contrôler les réseaux VPC qui interrogent les enregistrements définis dans la zone privée. Par exemple, consultez la section Chevauchement de zones.
- Annuaire des services
L'annuaire des services est un registre de services géré pour Google Cloud qui vous permet d'enregistrer et de découvrir des services en utilisant HTTP ou gRPC (à l'aide de son API Lookup) en plus d'un DNS traditionnel. Vous pouvez utiliser l'annuaire des services pour enregistrer des services Google Cloud et d'autres services.
Cloud DNS vous permet de créer des zones sauvegardées par l'annuaire de services, un type de zone privée contenant des informations sur vos services et vos points de terminaison. Vous n'ajoutez pas de jeux d'enregistrements à la zone. En effet, ils sont automatiquement déduits en fonction de la configuration de l'espace de noms du répertoire de service associé à la zone. Pour en savoir plus sur l'annuaire des services, consultez la Présentation de l'annuaire des services.
Lorsque vous créez une zone avec Service Directory, vous ne pouvez pas ajouter d'enregistrements directement à cette zone. Les données proviennent du registre de Service Directory.
- Cloud DNS et recherche inversée pour les adresses non-RFC 1918
Par défaut, Cloud DNS transfère les requêtes pour les enregistrements PTR d'adresses autres que RFC 1918 via l'Internet public. Cependant, Cloud DNS est également compatible avec la recherche inversée d'adresses non-RFC 1918 par le biais de zones privées.
Après avoir configuré un réseau VPC pour utiliser des adresses non-RFC 1918, vous devez configurer la zone privée Cloud DNS en tant que zone de recherche inversée gérée. Cette configuration permet à Cloud DNS de résoudre localement les adresses autres que RFC 1918, au lieu de les envoyer via Internet.
Lorsque vous créez une zone DNS de recherche inversée gérée, vous ne pouvez pas y ajouter directement des enregistrements. Les données proviennent des données d'adresse IP de Compute Engine.
Cloud DNS accepte également le transfert sortant vers des adresses non-RFC 1918 en acheminant ces adresses en mode privé dans Google Cloud. Pour activer ce type de transfert sortant, vous devez configurer une zone de transfert avec des arguments de chemin de transfert spécifiques. Pour en savoir plus, consultez la section Cibles de transfert et méthodes de routage.
- zone de transfert
Une zone de transfert est un type de zone gérée privée de Cloud DNS, qui transfère des requêtes de cette zone aux adresses IP de ses cibles de transfert. Pour en savoir plus, consultez la section Méthodes de transfert DNS.
Lorsque vous créez une zone de transfert, vous ne pouvez pas ajouter d'enregistrements directement à cette zone. Les données proviennent d'un ou de plusieurs serveurs de noms cibles ou résolveurs configurés.
- zone d'appairage
Une zone d'appairage est un type de zone gérée privée de Cloud DNS, qui suit l'ordre de résolution des noms d'un autre réseau VPC. Elle permet de résoudre les noms définis dans l'autre réseau VPC.
Lorsque vous créez une zone d'appairage DNS, vous ne pouvez pas ajouter directement des enregistrements à la zone. Les données proviennent du réseau VPC producteur conformément à l'ordre de résolution des noms.
- stratégie de réponse
Une stratégie de réponse est un concept de zone privée Cloud DNS qui contient des stratégies plutôt que des enregistrements. Ces stratégies peuvent être utilisées pour obtenir des effets semblables au projet de concept de zone de stratégie de réponse DNS (RPZ) (IETF). La fonction de stratégie de réponse vous permet d'intégrer des règles personnalisées dans les serveurs DNS de votre réseau. Le résolveur DNS consulte ensuite ces règles lors des recherches. Si une règle de la stratégie de réponse affecte la requête entrante, elle est traitée. Sinon, la recherche se poursuit normalement. Pour en savoir plus, consultez la page Gérer les règles et les stratégies relatives aux réponses.
Une stratégie de réponse est différente d'une valeur RPZ, qui est une zone DNS normalement standard avec des données spéciales au format qui amène les résolveurs compatibles à effectuer des tâches spéciales. Les stratégies de réponse ne sont pas des zones DNS et sont gérées séparément dans l'API.
- opérations de zone
Toutes les modifications que vous apportez aux zones gérées dans Cloud DNS sont enregistrées dans la collection des opérations, qui répertorie les mises à jour des zones gérées (modification des descriptions, de l'état DNSSEC ou de la configuration). Les modifications apportées aux jeux d'enregistrements au sein d'une zone sont stockées séparément dans les jeux d'enregistrements de ressources décrits plus loin dans ce document.
- Nom du domaine internationalisé (IDN)
Un nom de domaine internationalisé (IDN) est un nom de domaine Internet permettant à des internautes du monde entier d'utiliser un script ou un alphabet spécifique à une langue, comme l'arabe, le chinois, le cyrillique, le devanagari, l'hébreu ou des caractères spéciaux basés sur l'alphabet latin dans les noms de domaine. Cette conversion est mise en œuvre à l'aide de Punycode, qui est une représentation de caractères Unicode qui utilise le format ASCII. Par exemple, une représentation IDN de
.ελ
est.xn--qxam
. Certains navigateurs, clients de messagerie et d'applications peuvent la reconnaître et l'afficher comme.ελ
en votre nom. La norme Internationalisation des noms de domaine dans les applications (IDNA) n'autorise que les chaînes Unicode suffisamment courtes pour être représentées comme un libellé DNS valide. Pour en savoir plus sur l'utilisation des IDN avec Cloud DNS, consultez la page Créer des zones avec des noms de domaine internationalisés.- service d'enregistrement de noms de domaine
Un service d'enregistrement de noms de domaine est une organisation qui gère la réservation de noms de domaine Internet. Un tel service doit être accrédité par un registre de domaines de premier niveau (gTLD) générique ou un registre de domaine de premier niveau (ccTLD) national.
- DNS interne
Google Cloud crée automatiquement des noms DNS internes pour les VM, même si vous n'utilisez pas Cloud DNS. Pour en savoir plus sur les DNS internes, consultez la documentation sur les DNS internes.
- sous-zone déléguée
DNS permet au propriétaire d'une zone de déléguer un sous-domaine à un autre serveur de noms à l'aide d'enregistrements NS (serveur de noms). Les résolveurs suivent ces enregistrements et envoient des requêtes destinées au sous-domaine au serveur de noms cible spécifié dans la délégation.
- jeux d'enregistrements de ressources
Un jeu d'enregistrements de ressources est une collection d'enregistrements DNS associés au même libellé, à la même classe et au même type, mais avec des données différentes. Les jeux d'enregistrements de ressources contiennent l'état actuel des enregistrements DNS qui composent une zone gérée. Vous pouvez consulter un jeu d'enregistrements de ressources, mais vous ne pouvez pas la modifier directement. Vous devez plutôt modifier les jeux d'enregistrements de ressources dans une zone gérée en créant une requête
Change
dans la collection de modifications. Vous pouvez également modifier les jeux d'enregistrements de ressources à l'aide de l'APIResourceRecordSets
. Le jeu d'enregistrements de ressources reflète immédiatement toutes vos modifications. Toutefois, il existe un délai entre le moment où les modifications sont apportées dans l'API et le moment où elles sont appliquées sur vos serveurs DNS primaires. Pour plus d'informations sur la manière de gérer les enregistrements, consultez la section Ajouter, modifier et supprimer des enregistrements.- modification du jeu d'enregistrements de ressources
Pour modifier un jeu d'enregistrements de ressources, envoyez une requête
Change
ouResourceRecordSets
contenant des ajouts ou des suppressions. Ces opérations peuvent être effectuées de façon groupée en une seule transaction atomique et être appliquées en même temps sur chaque serveur DNS primaire.Supposons, par exemple, que vous disposiez d'un enregistrement A semblable au suivant :
www A 203.0.113.1 203.0.113.2
Vous exécutez des commandes telles que les suivantes :
DEL www A 203.0.113.2 ADD www A 203.0.113.3
Votre enregistrement se présente comme suit après les modifications groupées :
www A 203.0.113.1 203.0.113.3
Les commandes ADD et DEL sont exécutées simultanément.
- Format de numéro de série SOA
Les numéros de série des enregistrements SOA créés dans les zones gérées de Cloud DNS augmentent de manière monotone avec chaque modification transactionnelle apportée aux jeux d'enregistrements d'une zone à l'aide de la commande
gcloud dns record-sets transaction
. Toutefois, vous êtes libre de remplacer manuellement le numéro de série d'un enregistrement SOA par un nombre arbitraire (y compris par une date au format ISO 8601, comme recommandé dans le document RFC 1912).Par exemple, dans l'enregistrement SOA suivant, vous pouvez modifier le numéro de série directement à partir de Google Cloud Console en saisissant la valeur souhaitée dans le troisième champ de l'enregistrement délimité par des espaces :
ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com. [serial number] 21600 3600 259200 300`
- Règle de serveur DNS
Une règle de serveur DNS vous permet d'accéder aux services de résolution de noms fournis par Google Cloud sur un réseau VPC avec transfert entrant, ou de remplacer l'ordre de résolution des noms VPC avec une règle de serveur sortant. Pour plus d'informations, consultez les règles de serveur DNS.
- domaine, sous-domaine et délégation
La plupart des sous-domaines ne sont que des enregistrements dans la zone gérée du domaine parent. Les sous-domaines délégués en créant des enregistrements NS (serveur de noms) dans la zone de leur domaine parent doivent également posséder leurs propres zones.
Créez des zones publiques gérées pour les domaines parents dans Cloud DNS avant de définir des zones publiques pour leurs sous-domaines délégués. Procédez ainsi même si vous hébergez le domaine parent sur un autre service DNS. Si vous disposez de plusieurs zones de sous-domaine, mais ne définissez pas de zone parente, la création de la zone parente peut s'avérer compliquée si vous décidez par la suite de la déplacer vers Cloud DNS. Pour en savoir plus, consultez la section Limites du serveur de noms.
- DNSSEC
Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une suite d'extensions IETF (Internet Engineering Task Force) du DNS qui authentifient les réponses aux recherches de noms de domaine. Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.
- Collection DNSKEY
La collection DNSKEY préserve l'état actuel des enregistrements DNSKEY servant à signer une zone gérée où DNSSEC est activé. Cette collection n'offre qu'un accès en lecture. Toutes les modifications apportées aux enregistrements DNSKEY sont effectuées par Cloud DNS. La collection DNSKEY contient toutes les informations dont les services d'enregistrement de noms de domaine ont besoin pour activer DNSSEC.