Questa pagina è stata tradotta dall'API Cloud Translation.

Termini chiave

Questo documento fornisce la terminologia chiave applicabile a Cloud DNS. Esamina questi termini per comprendere meglio il funzionamento di Cloud DNS e i concetti su cui si basa.

L'API Cloud DNS è basata su progetti, zone gestite, set di record e modifiche ai set di record.

progetto: Un progetto della console Google Cloud è un contenitore per le risorse, un dominio per il controllo dell'accesso e il luogo in cui viene configurata e aggregata la fatturazione. Per maggiori dettagli, consulta la sezione Creare e gestire progetti.
zona gestita: La zona gestita contiene i record DNS (Domain Name System) per lo stesso suffisso di nomi DNS (ad esempio example.com). Un progetto può avere più zone gestite, ma ognuna deve avere un nome univoco. In Cloud DNS, la zona gestita è la risorsa che modella una zona DNS.; Tutti i record di una zona gestita sono ospitati sugli stessi server dei nomi gestiti da Google. Questi server dei nomi rispondono alle query DNS relative alla tua zona gestita in base alla configurazione della zona. Un progetto può contenere più zone gestite. Gli addebiti maturano per ogni zona per ogni giorno di esistenza della zona gestita. Le zone gestite supportano le etichette che puoi utilizzare per organizzare la fatturazione.

zona pubblica

Una zona pubblica è visibile su Internet. Cloud DNS dispone di server dei nomi autorevoli pubblici che rispondono alle query sulle zone pubbliche, indipendentemente dalla loro origine. Puoi creare record DNS in una zona pubblica per pubblicare il tuo servizio su internet. Ad esempio, potresti creare il seguente record in una zona pubblica example.com per il tuo sito web pubblico www.example.com.

Nome DNS	Tipo	TTL (secondi)	Dati
www.example.com	A	300	198.51.100.0

Cloud DNS assegna un insieme di server dei nomi quando viene creata una zona pubblica. Affinché i record DNS di una zona pubblica siano risolvibili su internet, devi aggiornare l'impostazione del server dei nomi della registrazione del dominio presso il registrar.

Per ulteriori informazioni su come registrare e configurare il tuo dominio, consulta Configurare un dominio utilizzando Cloud DNS.

zona privata

Le zone private ti consentono di gestire nomi di dominio personalizzati per le istanze di macchine virtuali (VM), i bilanciatori di carico e altre risorse Google Cloud senza esporre i dati DNS sottostanti alla rete internet pubblica. Una zona privata è un contenitore di record DNS su cui è possibile eseguire query solo da una o più reti Virtual Private Cloud (VPC) che autorizzi.

Devi specificare l'elenco delle reti VPC autorizzate che possono eseguire query sulla tua zona privata quando la crei o la aggiorni. Solo le reti autorizzate possono eseguire query sulla tua zona privata. Se non specifichi alcuna rete autorizzata, non puoi eseguire query sulla zona privata.

Puoi utilizzare le zone private con VPC condiviso. Per informazioni importanti sull'utilizzo delle zone private con VPC condiviso, consulta Considerazioni sul VPC condiviso.

Le zone private non supportano le estensioni di sicurezza DNS (DNSSEC) o i set di record di risorse personalizzati di tipo NS. Le richieste di record DNS nelle zone private devono essere inviate tramite il server dei metadati 169.254.169.254, che è il server dei nomi interno predefinito per le VM create da immagini fornite da Google.

Puoi inviare query a questo server dei nomi da qualsiasi VM che utilizza una rete VPC autorizzata. Ad esempio, puoi creare una zona privata per dev.gcp.example.com per ospitare record DNS interni per applicazioni sperimentali. La tabella seguente mostra alcuni record di esempio in quella zona. I client di database possono connettersi al server di database db-01.dev.gcp.example.com utilizzando il relativo nome DNS interno anziché il relativo indirizzo IP. I client di database risolvono questo nome DNS interno utilizzando il resolver host sulla VM, che invia la query DNS al server di metadati169.254.169.254. Il server di metadati funge da resolver ricorsivo per eseguire query sulla tua zona privata.

Nome DNS	Tipo	TTL (secondi)	Dati
`db-01.dev.gcp.example.com`	A	5	10.128.1.35
`instance-01.dev.gcp.example.com`	A	50	10.128.1.10

Le zone private ti consentono di creare configurazioni DNS con orizzonte diviso. Questo perché puoi creare una zona privata con un insieme diverso di record, che sostituisce l'intero insieme di record di una zona pubblica. Puoi quindi controllare le reti VPC che eseguono query sui record nella zona privata. Ad esempio, consulta le zone sovrapposte.

Service Directory

Service Directory è un registry di servizi gestito perGoogle Cloud che ti consente di registrare e scoprire servizi utilizzando HTTP o gRPC (utilizzando la relativa API Lookup) oltre a utilizzare il DNS tradizionale. Puoi utilizzare Service Directory per registrare sia i serviziGoogle Cloud sia quelli nonGoogle Cloud .

Cloud DNS ti consente di creare zone basate su Service Directory, un tipo di zona privata contenente informazioni sui tuoi servizi e endpoint. Non devi aggiungere set di record alla zona, ma vengono dedotti automaticamente in base alla configurazione dello spazio dei nomi Service Directory associato alla zona. Per ulteriori informazioni su Service Directory, consulta la panoramica di Service Directory.

Quando crei una zona basata su Service Directory, non puoi aggiungere direttamente i record alla zona. I dati provengono dal registry dei servizi di Service Directory.

Cloud DNS e ricerca inversa per indirizzi non RFC 1918

Per impostazione predefinita, Cloud DNS inoltra le richieste di record PTR di indirizzi non RFC 1918 tramite internet pubblico. Tuttavia, Cloud DNS supporta anche la ricerca inversa degli indirizzi non RFC 1918 utilizzando le zone private.

Dopo aver configurato una rete VPC per utilizzare indirizzi non RFC 1918, devi configurare una zona privata Cloud DNS come zona di ricerca inversa gestita. Questa configurazione consente a Cloud DNS di risolvere gli indirizzi non RFC 1918 localmente anziché inviarli tramite internet.

Quando crei una zona DNS di ricerca inversa gestita, non puoi aggiungere direttamente i record alla zona. I dati provengono dai dati degli indirizzi IP di Compute Engine.

Cloud DNS supporta anche il reindirizzamento in uscita ad indirizzi non RFC 1918 indirizzandoli privatamente all'interno di Google Cloud. Per attivare questo tipo di inoltro in uscita, devi configurare una zona di inoltro con argomenti del percorso di inoltro specifici. Per maggiori dettagli, consulta Destinatari inoltro e metodi di routing.

zona di inoltro

Una zona di inoltro è un tipo di zona privata gestita da Cloud DNS che inoltra le richieste per quella zona agli indirizzi IP dei relativi target di inoltro. Per ulteriori informazioni, consulta la sezione Metodi di inoltro DNS.

Quando crei una zona di inoltro, non puoi aggiungere record direttamente alla zona di inoltro. I dati provengono da uno o più server dei nomi o resolver di destinazione configurati.

zona di peering

Una zona di peering è un tipo di zona privata gestita Cloud DNS che segue l'ordine di risoluzione dei nomi di un'altra rete VPC. Puoi utilizzarlo per risolvere i nomi definiti nell'altra rete VPC.

Quando crei una zona di peering DNS, non puoi aggiungere record direttamente alla zona. I dati provengono dalla rete VPC del produttore in base al relativo ordine di risoluzione dei nomi.

norme di risposta

Un criterio di risposta è un concetto di zona privata Cloud DNS che contiene regole anziché record. Queste regole possono essere utilizzate per ottenere effetti simili al concetto di bozza della zona di criteri di risposta (RPZ) del DNS (IETF). La funzionalità dei criteri di risposta ti consente di introdurre regole personalizzate nei server DNS all'interno della tua rete che il resolver DNS consulta durante le ricerche. Se una regola del criterio di risposta influisce sulla query in entrata, viene elaborata. In caso contrario, la ricerca procede normalmente. Per saperne di più, consulta Gestire i criteri e le regole di risposta.

Un criterio di risposta è diverso da un RPZ, che è una normale zona DNS con dati formattati in modo speciale che inducono i resolver compatibili a eseguire operazioni speciali. I criteri di risposta non sono zone DNS e vengono gestiti distintamente nell'API.

operazioni sulle zone

Eventuali modifiche apportate alle zone gestite in Cloud DNS vengono registrate nella raccolta operations, che elenca gli aggiornamenti delle zone gestite (modifica delle descrizioni o dello stato o della configurazione DNSSEC). Le modifiche ai set di record all'interno di una zona vengono archiviate separatamente nei set di record di risorse, descritti più avanti in questo documento.

Nome di dominio internazionale (IDN)

Un nome di dominio internazionalizzato (IDN) è un nome di dominio internet che consente a persone di tutto il mondo di utilizzare un alfabeto o uno script specifico per una lingua, ad esempio arabo, cinese, cirillico, Devanagari, ebraico o i caratteri speciali basati sull'alfabeto latino nei nomi di dominio. Questa conversione viene implementata utilizzando Punycode, che è una rappresentazione dei caratteri Unicode che utilizzano ASCII. Ad esempio, una rappresentazione IDN di .ελ è .xn--qxam. Alcuni browser, client di posta e applicazioni potrebbero riconoscerlo e visualizzarlo come .ελ per tuo conto. Lo standard Internationalizing Domain Names in Applications (IDNA) consente solo stringhe Unicode sufficientemente brevi da essere rappresentate come un'etichetta DNS valida. Per informazioni su come utilizzare gli IDN con Cloud DNS, consulta Creazione di zone con nomi di dominio internazionalizzati.

registrar

Un registrar del nome di dominio è un'organizzazione che gestisce la prenotazione dei nomi di dominio internet. Un registrar deve essere accreditato da un registry di domini di primo livello generici (gTLD) o da un registry di domini di primo livello con codice paese (ccTLD).

DNS interno

Google Cloud crea automaticamente i nomi DNS interni per le VM, anche se non utilizzi Cloud DNS. Per ulteriori informazioni sul DNS interno, consulta la documentazione del DNS interno.

sottozona delegata

Il DNS consente al proprietario di una zona di delegare un sottodominio a un altro server dei nomi utilizzando i record NS (Name Server). I resolver seguono questi record e invia query per il sottodominio al server dei nomi di destinazione specificato nella delega.

set di record di risorse

Un set di record di risorse è una raccolta di record DNS con la stessa etichetta, stessa classe e stesso tipo, ma con dati diversi. I set di record di risorse contengono lo stato corrente dei record DNS che compongono una zona gestita. Puoi leggere un insieme di record di risorse, ma non modificarlo direttamente. Modifica il set di record di risorse in una zona gestita creando una richiesta Change nella raccolta delle modifiche. Puoi anche modificare i set di record di risorse utilizzando l'API ResourceRecordSets. Il set di record di risorse riflette immediatamente tutte le modifiche. Tuttavia, esiste un ritardo tra il momento in cui vengono apportate le modifiche nell'API e il momento in cui vengono applicate ai tuoi server DNS autorevoli. Per informazioni su come gestire i record, consulta Aggiungere, modificare ed eliminare record.

Modifica del set di record di risorse

Per apportare una modifica a un insieme di record di risorse, invia una richiesta Change o ResourceRecordSets contenente aggiunte o eliminazioni. Le aggiunte e le eliminazioni possono essere eseguite collettivamente o in una singola transazione atomica e avere effetto contemporaneamente in ogni server DNS autorevole.

Ad esempio, se hai un record A che ha il seguente aspetto:

www  A  203.0.113.1 203.0.113.2

ed esegui un comando simile al seguente:

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

Il record avrà il seguente aspetto dopo la modifica collettiva:

www  A  203.0.113.1 203.0.113.3

Le operazioni ADD e DEL vengono eseguite contemporaneamente.

Formato del numero di serie dell'SOA

I numeri di serie dei record SOA creati nelle zone gestite di Cloud DNS aumentano in modo monotono con ogni modifica transazionale ai set di record di una zona eseguita utilizzando il comando gcloud dns record-sets transaction. Tuttavia, puoi modificare manualmente il numero di serie di un record SOA in un numero arbitrario, inclusa una data nel formato ISO 8601 come consigliato nel documento RFC 1912.

Ad esempio, nel seguente record SOA, puoi cambiare il numero di serie direttamente dalla console Google Cloud inserendo il valore desiderato nel terzo campo delimitato da spazi del record:

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`

Criterio del server DNS

Un criterio del server DNS ti consente di accedere ai servizi di risoluzione dei nomi fornito da Google Cloud in una rete VPC con l'inoltro in entrata o di sostituire l'ordine di risoluzione dei nomi della VPC con un criterio del server in uscita. Per ulteriori informazioni, consulta le norme dei server DNS.

dominio, sottodominio e delega

La maggior parte dei sottodomini sono solo record nella zona gestita per il dominio principale. I sottodomini delegati creando record NS (server dei nomi) nella zona del dominio principale devono avere anche le proprie zone.

Crea zone pubbliche gestite per i domini principali in Cloud DNS prima di creare zone pubbliche per i relativi sottodomini delegati. Esegui questa operazione anche se ospiti il dominio principale su un altro servizio DNS. Se hai più zone di sottodomini, ma non crei la zona principale, puoi avere difficoltà a creare la zona principale in un secondo momento se decidi di trasferirla in Cloud DNS. Per ulteriori informazioni, consulta Limiti dei server dei nomi. DNSSEC

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una suite di estensioni del DNS di Internet Engineering Task Force (IETF) che autenticano le risposte alle ricerche dei nomi di dominio. DNSSEC non fornisce protezioni della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Raccolta di DNSKEY

La raccolta DNSKEY contiene lo stato corrente dei record DNSKEY utilizzati per firmare una zona gestita con DNSSEC abilitato. Puoi solo leggere questa raccolta. Tutte le modifiche ai DNSKEY vengono apportate da Cloud DNS. La raccolta DNSKEY contiene tutte le informazioni necessarie ai registrar di domini per attivare DNSSEC.