关键词

本页面提供适用于 Cloud DNS 的关键术语。请查看这些条款,以更好地了解 Cloud DNS 的工作原理及其基础概念。

Cloud DNS API 围绕项目代管区域记录集和记录集更改构建而成。

项目
Google Cloud Console 项目是一个资源容器、一个访问权限控制网域,还是配置和汇总帐单的地方。如需了解详情,请参阅创建和管理项目
代管区域

代管区域保存具有相同域名系统 (DNS) 名称后缀(例如 example.com)的 DNS 记录。一个项目可以有多个代管区域,但这些区域必须各自有唯一的名称。在 Cloud DNS 中,代管区域是模仿 DNS 区域的资源。

代管区域中的所有记录都托管在由 Google 运营的同一域名服务器上。这些域名服务器会根据代管区域的配置方式响应针对该区域的 DNS 查询。一个项目可以包含多个代管区域。每个代管区域的费用按该区域的存在时间每天累计。代管区域支持标签,您可以借助标签来整理您的帐单。

公开区域

公开区域在互联网上可见。Cloud DNS 具有公开的权威域名服务器,它们可以响应任意位置对公开区域的查询。您可以在公开区域中创建 DNS 记录,以将您的服务发布到互联网上。例如,您可以在公开区域 example.com 中为您的公开网站 www.example.com 创建以下记录。

DNS 名称 类型 TTL(秒) 数据
www.example.com A 300 198.51.100.0

创建公开区域时,Cloud DNS 会分配一组域名服务器。如需使公开区域中的 DNS 记录可通过互联网解析,您必须在注册商处更新网域注册的域名服务器设置

如需详细了解如何注册和设置您的网域,请参阅使用 Cloud DNS 设置网域

专用区域

通过专用区域,您可以管理虚拟机、负载平衡器和其他 Google Cloud 资源的自定义域名,而无需将底层 DNS 数据暴露给公共互联网。专用区域用于存放只能供您授权的一个或多个 Virtual Private Cloud (VPC) 网络查询的 DNS 记录。

专用区域只能供与该区域属于同一项目的资源查询。您授权的 VPC 网络必须与专用区域位于同一项目中。如果您需要查询其他项目中的代管专用区域中托管的记录,请使用 DNS 对等互连

创建或更新专用区域时,您必须指定获得授权的 VPC 网络(可以查询您的专用区域)的列表。只有获得授权的网络才可以查询您的专用区域;如果您没有指定任何获得授权的网络,则无法查询该专用区域。

您可以将专用区域与共享 VPC 一起使用。如需了解如何将专用区域与共享 VPC 一起使用,请参阅共享 VPC 注意事项

专用区域不支持 DNS 安全扩展程序 (DNSSEC) 或类型为 NS 的自定义资源记录集。针对专用区域中 DNS 记录的请求必须通过元数据服务器 (169.254.169.254) 提交,该服务器是基于 Google 提供的映像创建的虚拟机的默认内部域名服务器。

您可以从任何使用授权 VPC 网络的虚拟机向此域名服务器提交查询。例如,您可以为 dev.gcp.example.com 创建一个专用区域,以此托管实验性应用的内部 DNS 记录。下表显示了该区域中的示例记录。数据库客户端可以使用其内部 DNS 名称(而不是其 IP 地址)连接到数据库服务器 (db-01.dev.gcp.example.com)。数据库客户端会使用虚拟机上的主机解析器解析此内部 DNS 名称,该解析器会将 DNS 查询提交到元数据服务器 (169.254.169.254)。元数据服务器充当递归解析器,用于对您的专用区域执行查询。

DNS 名称 类型 TTL(秒) 数据
db-01.dev.gcp.example.com A 5 10.128.1.35
instance-01.dev.gcp.example.com A 50 10.128.1.10

使用专用区域可以创建水平分割 DNS 配置。这是因为您可以使用其他记录集创建专用区域,以替换公开区域中的记录集。然后,您可以控制哪些 VPC 网络查询专用区域中的记录。如需查看示例,请参阅重叠区域

Service Directory

Service Directory 是 Google Cloud 的代管式服务注册表,这样除了使用传统 DNS 之外,它还让您可使用 HTTP 或 gRPC(使用其 Lookup API)注册和发现服务。您可以使用 Service Directory 来注册 Google Cloud 服务和非 Google Cloud 服务。

Cloud DNS 允许您创建受 Service Directory 支持的区域,这是一种专用区域类型,包含有关您的服务和端点的信息。您不会将记录集添加到区域;而是根据与区域关联的 Service Directory 命名空间的配置自动推断。如需详细了解 Service Directory,请参阅 Service Directory 概览

Cloud DNS 和非 RFC 1918 地址

默认情况下,Cloud DNS 通过公共互联网转发到非 RFC 1918 地址。但是,Cloud DNS 还支持转发到专用区域的非 RFC 1918 地址。

将 VPC 网络配置为使用非 RFC 1918 地址后,必须将 Cloud DNS 专用区域配置为代管反向查找区域。此配置使 Cloud DNS 能够在本地解析非 RFC 1918 地址,而不是通过互联网发送这些地址。

Cloud DNS 还支持在 Google Cloud 中以私密方式路由这些地址,从而向非 RFC 1918 地址进行出站转发。如需启用这种类型的出站转发,必须使用特定转发路径参数配置转发区域。如需了解详情,请参阅创建出站服务器政策

转发区域

转发区域是一种由 Cloud DNS 管理的专用区域,它会将对于该区域的请求发送至其转发目标的 IP 地址。如需了解详情,请参阅 DNS 转发方法

对等互连区域

对等互连区域是一种由 Cloud DNS 代管的专用区域,这些区域遵循另一个 VPC 网络的名称解析顺序,可用于解析另外这个 VPC 网络中定义的名称。

区域操作

您对 Cloud DNS 代管区域所做的任何更改都会记录在操作集合中,该集合列出了代管区域更新(对说明、DNSSEC 状态或配置进行修改)。

国际化域名 (IDN)

国际化域名 (IDN) 是一种互联网域名,让世界各地的用户可在域名中使用特定于语言的文字或字母,如阿拉伯语、中文、西里尔文、梵文、希伯来语或基于拉丁字母的特殊字符。此转换是使用 Punycode(使用 ASCII 的 Unicode 字符表示法)实现的。例如,.ελ 的 IDN 表示法是 .xn--qxam。某些浏览器、电子邮件客户端和应用可能会识别它,并代表您以 .ελ 的形式呈现它。应用国际化域名 (IDNA) 标准仅允许将长度足够短的 Unicode 字符串表示为有效 DNS 标签。如需了解如何将 IDN 与 Cloud DNS 搭配使用,请参阅创建具有国际化域名的区域

注册商

域名注册商是一个管理互联网域名预留的组织。 注册商必须经通用顶级网域 (gTLD) 域名注册管理机构或国家/地区代码顶级网域 (ccTLD) 域名注册管理机构认可。

内部 DNS

即便您不使用 Cloud DNS,Google Cloud 也会自动为虚拟机创建内部 DNS 名称。如需详细了解内部 DNS,请参阅内部 DNS 文档

委派子区域

DNS 允许区域所有者使用 NS(域名服务器)记录将子网域委派给不同的域名服务器。解析器会按照这些记录,将对子网域的查询发送到委派中指定的目标域名服务器。

资源记录集集合

资源记录集集合包含构成代管区域的 DNS 记录的当前状态。您可以读取此集合,但不能直接对其进行修改。如需修改代管区域中的资源记录集,您可以在更改集合中创建一个 Change 请求。资源记录集集合会立即反映您所做的全部更改。 但是,在 API 中进行的更改要经过一段延迟才会在您的权威 DNS 服务器上生效。如需了解如何管理记录,请参阅管理记录

资源记录更改

如需更改资源记录集集合,请提交一个包含添加或删除操作的 Change 请求。您可以通过一项原子化事务来执行批量添加和删除操作,使所做更改在各个权威 DNS 服务器中同时生效。

例如,如果您的 A 记录如下所示:

www  A  203.0.113.1 203.0.113.2

您运行了如下命令:

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

执行批量更改后,您的记录将如下所示:

www  A  203.0.113.1 203.0.113.3

ADD 和 DEL 同时发生。

SOA 序列号格式

随着使用 gcloud dns record-sets transaction 命令对区域记录集进行的每次事务性更改,在 Cloud DNS 代管区域中创建的 SOA 记录的序列号会单调递增。您可以随时将 SOA 记录的序列号手动更改为任意数字,其中包括 RFC 1912 中建议的 ISO 8601 格式的日期。

例如,在以下 SOA 记录中,您可以通过将所需的值输入记录的第三个空格分隔字段,直接从 Google Cloud Console 更改序列号:

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`
DNS 服务器政策

借助 DNS 服务器政策,您可以在带有入站转发的 VPC 网络中访问 Google Cloud 提供的名称解析服务,或者通过出站转发更改 VPC 名称解析顺序

网域、子网域和委派

大多数子网域只是父网域代管区域中的记录。如果子网域是通过在其父网域的区域中创建 NS(域名服务器)记录委派的,则子网域还需要拥有自己的区域。

请先在 Cloud DNS 中为父网域创建代管区域,然后再为委托的子网域创建任何区域。即使父网域托管在其他 DNS 服务上也是如此。 如果您有多个子网域区域,但没有创建父区域,那么日后若想创建父区域以将其迁移到 Cloud DNS,则过程可能会非常复杂。如需了解详情,请参阅域名服务器限制

DNSSEC

域名系统安全扩展程序 (DNSSEC) 是一套针对 DNS 的互联网工程任务组 (IETF) 扩展程序,用于验证对域名查找的响应。DNSSEC 不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或对该响应进行投毒攻击。

DNSKEY 集合

DNSKEY 集合包含用于对启用了 DNSSEC 的代管区域进行签名的 DNSKEY 记录的当前状态。您只能读取此集合;对 DNSKEY 的所有更改均由 Cloud DNS 完成。DNSKEY 集合包含网域注册商激活 DNSSEC 所需的全部信息。