主な用語

このページでは、Cloud DNS に関する主な用語について説明します。これらの用語を確認して、Cloud DNS の仕組みとそのコンセプトについて理解してください。

Cloud DNS API は、プロジェクトマネージド ゾーンレコードセット、レコードセットへの変更を中心に構築されています。

プロジェクト
Google Cloud Console プロジェクトは、リソースのコンテナであり、アクセス制御のためのドメインであり、さらには課金の構成と集計を行う場所でもあります。詳しくは、プロジェクトの作成と管理をご覧ください。
マネージド ゾーン

マネージド ゾーンでは、同じドメイン ネーム システム(DNS)名サフィックス(example.com など)の DNS レコードが保持されます。プロジェクトには複数のマネージド ゾーンを含めることができますが、それぞれ一意の名前にする必要があります。Cloud DNS では、マネージド ゾーンは DNS ゾーンをモデル化するリソースです。

マネージド ゾーン内のすべてのレコードは Google でオペレーションされている同じネームサーバー上でホストされています。これらのネームサーバーは、ゾーンの構成方法に応じて、マネージド ゾーンに対する DNS クエリに応答します。プロジェクトには複数のマネージド ゾーンを含めることができます。マネージド ゾーンが存在する各ゾーンに対し、毎日料金が発生します。マネージド ゾーンでは、課金の整理に役立つラベルをサポートしています。

一般公開ゾーン

一般公開ゾーンはインターネットに公開されます。Cloud DNS には、クエリの発信元に関係なく、一般公開ゾーンに関するクエリに応答する一般公開された権威ネームサーバーがあります。一般公開ゾーンに DNS レコードを作成して、サービスをインターネットで公開できます。たとえば、パブリック ウェブサイト www.example.com では、一般公開ゾーン example.com に次のレコードを作成できます。

DNS 名 タイプ TTL(秒) データ
www.example.com A 300 198.51.100.0

Cloud DNS は、一般公開ゾーンの作成時に一連のネームサーバーを割り当てます。限定公開ゾーン内の DNS レコードをインターネット経由で解決できるようにするには、登録事業者を通してドメイン登録のネームサーバー設定を更新する必要があります。

ドメインを登録して設定する方法については、Cloud DNS を使用したドメインの設定をご覧ください。

限定公開ゾーン

限定公開ゾーンを使用すると、基になる DNS データを公共のインターネットにさらすことなく、仮想マシン(VM)、ロードバランサ、その他の Google Cloud リソースのカスタム ドメイン名を管理できます。限定公開ゾーンは、承認した 1 つ以上の Virtual Private Cloud(VPC)ネットワークによってのみクエリできる DNS レコードのコンテナです。

限定公開ゾーンは、定義されている同じプロジェクト内のリソースによってのみ照会できます。承認する VPC ネットワークは、限定公開ゾーンと同じプロジェクト内に配置する必要があります。他のプロジェクトの限定公開マネージド ゾーンにホストされているレコードをクエリする必要がある場合は、DNS ピアリングを使用します。

限定公開ゾーンを作成または更新するときは、その限定公開ゾーンをクエリできる承認済みの VPC ネットワークのリストを指定する必要があります。承認済みのネットワークだけが限定公開ゾーンをクエリできます。承認済みのネットワークを指定しない場合、限定公開ゾーンは一切クエリできません。

共有 VPC で限定公開ゾーンを使用できます。共有 VPC で限定公開ゾーンを使用する場合の重要な情報については、共有 VPC に関する考慮事項をご覧ください。

限定公開ゾーンは、DNSSEC(DNS Security Extensions)または NS タイプのカスタム リソースのレコードセットをサポートしていません。限定公開ゾーンでの DNS レコードのリクエストは、メタデータ サーバー 169.254.169.254 を介して送信する必要があります。このサーバーは、Google が提供するイメージから作成された VM のデフォルトの内部ネームサーバーです。

このネームサーバーへのクエリは、承認された VPC ネットワークを使用する任意の VM から送信できます。たとえば、dev.gcp.example.com に対して限定公開ゾーンを作成して、実験的なアプリケーション用の内部 DNS レコードをホストできます。次の表に、そのゾーン内のレコードの例を示します。データベース クライアントは、データベース サーバー db-01.dev.gcp.example.com に接続する場合、その IP アドレスの代わりに内部 DNS 名を使用できます。データベース クライアントは、VM 上のホストリゾルバを使用してこの内部 DNS 名を解決し、VM は DNS クエリをメタデータ サーバー 169.254.169.254 に送信します。このメタデータ サーバーは、限定公開ゾーンを照会する再帰リゾルバとして機能します。

DNS 名 タイプ TTL(秒) データ
db-01.dev.gcp.example.com A 5 10.128.1.35
instance-01.dev.gcp.example.com A 50 10.128.1.10

限定公開ゾーンを使用すると、スプリット ホライズン DNS 構成を作成できます。これは、レコードセットが異なる限定公開ゾーンを作成して、一般公開ゾーン内のレコードセットをオーバーライドできるためです。これにより、どの VPC ネットワークで限定公開ゾーン内のレコードをクエリするかを制御できます。例については、重複するゾーンをご覧ください。

Service Directory

Service Directory は Google Cloud のマネージド サービス レジストリです。これにより、従来の DNS だけでなく、HTTP または gRPC(Lookup API を使用)を使用してサービスの登録と検出を行うことができます。Service Directory を使用すると、Google Cloud と Google Cloud 以外の両方のサービスを登録できます。

Cloud DNS を使用すると、Service Directory がサポートするゾーンを作成できます。これは、サービスとエンドポイントに関する情報を含む限定公開ゾーンです。レコードセットはゾーンに追加しません。ゾーンに関連付けられている Service Directory の名前空間の構成に基づいて自動的に推定されます。Service Directory の詳細については、Service Directory の概要をご覧ください。

Cloud DNS と RFC 1918 以外のアドレス

デフォルトでは、Cloud DNS は、公共のインターネットを経由して RFC 1918 以外のアドレスに転送します。ただし、Cloud DNS は限定公開ゾーンの RFC 1918 以外のアドレスへの転送もサポートしています。

RFC 1918 以外のアドレスを使用するように VPC ネットワークを構成したら、Cloud DNS 限定公開ゾーンをマネージド逆引き参照ゾーンとして構成する必要があります。この構成により、Cloud DNS はインターネット経由ではなく、RFC 1918 以外のアドレスをローカルで解決できます。

Cloud DNS は、Google Cloud 内のアドレスをプライベートにルーティングすることで、RFC 1918 以外のアドレスへの送信転送もサポートします。このタイプの送信転送を有効にするには、特定の転送パス引数を指定して転送ゾーンを構成する必要があります。詳細については、送信サーバー ポリシーの作成をご覧ください。

転送ゾーン

転送ゾーンとは、そのゾーンに対するリクエストを転送先の IP アドレスに送信する Cloud DNS 限定公開マネージド ゾーンのタイプです。詳しくは、DNS 転送方式をご覧ください。

ピアリング ゾーン

ピアリング ゾーンは、別の VPC ネットワークの名前解決順序に従う Cloud DNS 限定公開マネージド ゾーンのタイプで、他の VPC ネットワークで定義されている名前の解決に使用できます。

ゾーン オペレーション

Cloud DNS のマネージド ゾーンに加えた変更はすべて、オペレーション コレクションに記録されます。ここには、マネージド ゾーンの更新内容(説明、DNSSEC 状態、または構成の変更)がリストされます。

国際化ドメイン名(IDN)

国際化ドメイン名(IDN)は、アラビア文字、漢字、キリル文字、デーバナーガリー、ヘブライ文字、ラテン文字の特殊文字などを含むインターネット ドメイン名です。これにより、世界中のユーザーがドメイン名に言語固有の文字を使用できます。この変換は、Punycode(ASCII を使用する Unicode 文字の表現)によって実装されます。たとえば、.ελ の IDN 表現は .xn--qxam になります。一部のブラウザ、メール クライアント、アプリケーションはこれを自動的に認識し、.ελ としてレンダリングします。Internationalizing Domain Names in Applications(IDNA)標準では、有効な DNS ラベルとして表現できる長さの Unicode 文字列のみを許可しています。Cloud DNS で IDN を使用する方法については、国際化ドメイン名を使用したゾーンの作成をご覧ください。

登録事業者

ドメイン名登録事業者は、インターネット ドメイン名の予約を管理する組織です。登録事業者は、ジェネリック トップレベル ドメイン(gTLD)レジストリまたは国別コード トップレベル ドメイン(ccTLD)レジストリによる認可を受ける必要があります。

内部 DNS

Google Cloud は、Cloud DNS を使用しない場合でも、VM に内部 DNS 名を自動的に作成します。内部 DNS について詳しくは、内部 DNS のドキュメントをご覧ください。

委任サブゾーン

DNS では、ゾーンのオーナーが NS(ネームサーバー)レコードを使用してサブドメインを別のネームサーバーに委任できます。リゾルバは、これらのレコードに従い、委任で指定されたターゲット ネームサーバーにサブドメインに関するクエリを送信します。

リソース レコードセット コレクション

リソース レコードセット コレクションは、マネージド ゾーンを構成する DNS レコードの現在の状態を保持します。このコレクションは読み取ることはできますが、直接変更しないでください。代わりに、変更コレクション内に Change リクエストを作成することで、マネージド ゾーン内のリソース レコードセットを編集します。リソース レコードセット コレクションには、すべての変更がすぐに反映されます。ただし、API で変更されてから、権威 DNS サーバーでそれらの変更が有効になるまでには、遅延があります。レコードを管理する方法については、レコードの管理をご覧ください。

リソース レコードの変更

リソース レコードセット コレクションを変更するには、追加または削除を含む Change リクエストを送信します。追加と削除は、1 つのアトミック トランザクションまたは一括で行うことができ、それぞれの権威 DNS サーバーで同時に有効になります。

たとえば、次のような A レコードがあるとします。

www  A  203.0.113.1 203.0.113.2

次のようなコマンドを実行します。

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

一括変更後のレコードは次のようになります。

www  A  203.0.113.1 203.0.113.3

ADD と DEL は同時に行われます。

SOA シリアル番号形式

Cloud DNS マネージド ゾーンで作成された SOA レコードのシリアル番号は、gcloud dns record-sets transaction コマンドを使用してゾーンのレコードセットに対するトランザクション変更が行われるごとに単調に増加します。SOA レコードのシリアル番号は任意の番号に手動で変更できますが、RFC 1912 で推奨されている ISO 8601 形式の日付を含める必要があります。

たとえば、次の SOA レコードでは、レコードの 3 番目のスペース区切りフィールドに目的の値を入力して、Google Cloud Console から直接シリアル番号を変更できます。

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`
DNS サーバー ポリシー

DNS サーバー ポリシーにより、受信転送を使用して VPC ネットワーク内の Google Cloud が提供する名前解決サービスにアクセスできます。また、送信転送を使用して VPC 名前解決順序を変更することもできます。

ドメイン、サブドメイン、委任

ほとんどのサブドメインは、親ドメインのマネージド ゾーンに含まれるレコードにすぎません。親ドメインのゾーン内に NS(ネームサーバー)レコードを作成することによって委任されたサブドメインには、独自のゾーンも設定する必要があります。

Cloud DNS で親ドメインのマネージド ゾーンを作成した後に、委任されたサブドメインのゾーンを作成してください。この操作は、別の DNS サービスに親ドメインをホストしている場合も行います。サブドメイン ゾーンが複数あるのに親ゾーンを作成しない場合、後で親ゾーンを Cloud DNS に移動しようとしても、親ゾーンを作成するのが複雑になることがあります。詳細については、ネームサーバーの上限をご覧ください。

DNSSEC

DNSSEC(Domain Name System Security Extensions)は、Internet Engineering Task Force(IETF)による DNS に対する一連の拡張機能で、ドメインネーム ルックアップに対するレスポンスを認証します。DNSSEC はこれらのルックアップに対するプライバシー保護は行いませんが、攻撃者が DNS リクエストに対するレスポンスを改ざんまたは汚染できないようにします。

DNSKEY コレクション

DNSKEY コレクションには、DNSSEC 対応のマネージド ゾーンの署名に使用される DNSKEY レコードの現在の状態が保持されます。このコレクションは読み取りのみが可能です。DNSKEY に対する変更はすべて Cloud DNS によって行われます。DNSKEY コレクションには、ドメイン登録事業者が DNSSEC を有効にするために必要なすべての情報が含まれています。