Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Cloud DNS

Questa pagina fornisce una panoramica delle funzionalità e caratteristiche di Cloud DNS. Cloud DNS è un servizio DNS (Domain Name System) globale, resiliente e ad alte prestazioni che pubblica i tuoi nomi di dominio nel DNS globale in modo economico.

Il DNS è un database gerarchico distribuito che ti consente di archiviare indirizzi IP e altri dati e di cercarli per nome. Cloud DNS ti consente di pubblicare zone e record in DNS senza l'onere di gestire il software e i server DNS.

Cloud DNS supporta le autorizzazioni IAM (Identity and Access Management) a livello di progetto e di singola zona DNS. Per informazioni su come impostare le autorizzazioni IAM delle singole risorse, consulta Creare una zona con autorizzazioni IAM specifiche.

Per un elenco della terminologia DNS generale, consulta la panoramica DNS generale.

Per un elenco della terminologia chiave su cui è basato Cloud DNS, consulta Termini chiave.

Per iniziare a utilizzare Cloud DNS, consulta la guida rapida.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud DNS in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud DNS gratuitamente

Considerazioni sui VPC condiviso

Per utilizzare una zona privata gestita di Cloud DNS, una zona di forwarding Cloud DNS o una zona di peering Cloud DNS con un VPC condiviso, devi creare la zona nel progetto host, quindi aggiungere una o più reti VPC condivise all'elenco delle reti autorizzate per quella zona. In alternativa, puoi configurare la zona in un progetto di servizio utilizzando l'associazione tra progetti.

Per maggiori informazioni, consulta le best practice per le zone private di Cloud DNS.

Metodi di forwarding DNS

Google Cloud offre l'inoltro DNS in entrata e in uscita per le zone private. Puoi configurare l'inoltro DNS creando una zona di inoltro o un criterio del server Cloud DNS. I due metodi sono riassunti nella tabella seguente.

Forwarding DNS	Metodi di Cloud DNS
In entrata	Crea un criterio del server in entrata per consentire a un client o server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC. I client on-premise possono risolvere i record in zone private, zone di forwarding e di peering per le quali la rete VPC è stata autorizzata. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per la connessione alla rete VPC.
In uscita	Puoi configurare le VM in una rete VPC per: Invia richieste DNS ai server dei nomi DNS di tua scelta. I server dei nomi possono trovarsi nella stessa rete VPC, in una rete on-premise o su internet. Risolvi i record ospitati su server dei nomi configurati come destinazioni di forwarding di una zona di forwarding autorizzata per l'utilizzo dalla tua rete VPC. Per informazioni su come Google Cloud instrada il traffico all'indirizzo IP di una destinazione di forwarding, consulta Destinazioni di forwarding e metodi di routing. Crea un criterio del server in uscita per la rete VPC al fine di inviare tutte le richieste DNS a un server dei nomi alternativo. Quando utilizzi un server dei nomi alternativo, le VM nella tua rete VPC non sono più in grado di risolvere i record nelle zone private, nelle zone di forwarding, nelle zone di peering o nelle zone DNS interne di Compute Engine di Cloud DNS. Per maggiori dettagli, consulta Ordine di risoluzione dei nomi.

Forwarding DNS

Metodi di Cloud DNS

In entrata

Crea un criterio del server in entrata per consentire a un client o server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC.

I client on-premise possono risolvere i record in zone private, zone di forwarding e di peering per le quali la rete VPC è stata autorizzata. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per la connessione alla rete VPC.

In uscita

Puoi configurare le VM in una rete VPC per:

Invia richieste DNS ai server dei nomi DNS di tua scelta. I server dei nomi possono trovarsi nella stessa rete VPC, in una rete on-premise o su internet.
Risolvi i record ospitati su server dei nomi configurati come destinazioni di forwarding di una zona di forwarding autorizzata per l'utilizzo dalla tua rete VPC. Per informazioni su come Google Cloud instrada il traffico all'indirizzo IP di una destinazione di forwarding, consulta Destinazioni di forwarding e metodi di routing.
Crea un criterio del server in uscita per la rete VPC al fine di inviare tutte le richieste DNS a un server dei nomi alternativo. Quando utilizzi un server dei nomi alternativo, le VM nella tua rete VPC non sono più in grado di risolvere i record nelle zone private, nelle zone di forwarding, nelle zone di peering o nelle zone DNS interne di Compute Engine di Cloud DNS. Per maggiori dettagli, consulta Ordine di risoluzione dei nomi.

Puoi configurare contemporaneamente l'inoltro DNS in entrata e in uscita per una rete VPC. Il forwarding bidirezionale consente alle VM nella rete VPC di risolvere i record in una rete on-premise o in una rete ospitata da un altro cloud provider. Questo tipo di forwarding consente inoltre agli host nella rete on-premise di risolvere i record per le risorse Google Cloud.

Il piano di controllo di Cloud DNS utilizza l'ordine di selezione della destinazione di inoltro per selezionare una destinazione di inoltro. Le query inoltrate in uscita potrebbero talvolta generare errori SERVFAIL se le destinazioni di inoltro non sono raggiungibili o se non rispondono abbastanza rapidamente. Per istruzioni per la risoluzione dei problemi, consulta Le query inoltrate in uscita ricevono errori SERVFAIL.

Per informazioni su come applicare i criteri del server, consulta Creare criteri del server DNS. Per scoprire come creare una zona di forwarding, consulta Creare una zona di forwarding.

DNSSEC

Cloud DNS supporta le DNSSEC gestite, proteggendo i tuoi domini da attacchi di spoofing e poisoning della cache. Quando utilizzi un resolver di convalida come Google Public DNS, DNSSEC fornisce un'autenticazione avanzata (ma non la crittografia) delle ricerche di dominio. Per ulteriori informazioni sulle DNSSEC, consulta Gestire la configurazione di DNSSEC.

Controllo dell'accesso

Puoi gestire gli utenti autorizzati ad apportare modifiche ai record DNS nella pagina IAM e amministrazione della console Google Cloud. Per essere autorizzati ad apportare modifiche, gli utenti devono disporre del ruolo di amministratore DNS (roles/dns.admin) nella sezione Autorizzazioni della console Google Cloud. Il ruolo di lettore DNS (roles/dns.reader) concede l'accesso di sola lettura ai record Cloud DNS.

Queste autorizzazioni si applicano anche agli account di servizio che potresti utilizzare per gestire i tuoi servizi DNS.

Per visualizzare le autorizzazioni assegnate a questi ruoli, vedi Ruoli.

Controllo dell'accesso per le zone gestite

Gli utenti con il ruolo Proprietario o Editor del progetto (roles/owner o roles/editor) possono gestire o visualizzare le zone gestite nello specifico progetto che stanno gestendo.

Gli utenti con il ruolo Amministratore DNS o Lettore DNS possono gestire o visualizzare le zone gestite in tutti i progetti a cui hanno accesso.

I proprietari del progetto, gli editor, gli amministratori DNS e i lettori DNS possono visualizzare l'elenco delle zone private applicate a qualsiasi rete VPC nel progetto corrente.

Accesso per autorizzazione per risorsa

Per configurare un criterio su una risorsa DNS come una zona gestita, devi disporre dell'accesso come proprietario al progetto proprietario della risorsa. Il ruolo Amministratore DNS non ha l'autorizzazione setIamPolicy. Come proprietario del progetto, puoi anche creare ruoli IAM personalizzati per le tue esigenze specifiche. Per informazioni dettagliate, consulta Informazioni sui ruoli IAM personalizzati.

Prestazioni e tempistiche

Cloud DNS utilizza anycast per gestire le tue zone gestite da più località in tutto il mondo e garantire una disponibilità elevata. Le richieste vengono instradate automaticamente alla località più vicina, riducendo la latenza e migliorando le prestazioni della ricerca del nome autorevole per i tuoi utenti.

Propagazione delle modifiche

Le modifiche vengono propagate in due parti. Innanzitutto, la modifica inviata tramite l'API o lo strumento a riga di comando deve essere inviata ai server DNS autoritativi di Cloud DNS. In secondo luogo, i resolver DNS devono rilevare questa modifica alla scadenza della cache dei record.

Il valore di durata (TTL) impostato per i record, specificato in secondi, controlla la cache del resolver DNS. Ad esempio, se imposti un valore TTL di 86400 (il numero di secondi in 24 ore), ai resolver DNS viene chiesto di memorizzare i record nella cache per 24 ore. Alcuni resolver DNS ignorano il valore TTL o utilizzano i propri valori, il che può ritardare la propagazione completa dei record.

Se stai pianificando una modifica ai servizi che richiedono un periodo di tempo limitato, ti consigliamo di impostare un valore più breve per il TTL prima di apportare la modifica: il nuovo valore TTL più breve viene applicato dopo che il valore TTL precedente scade nella cache del resolver. Questo approccio può contribuire a ridurre la finestra di memorizzazione nella cache e assicurare una modifica più rapida alle nuove impostazioni dei record. Dopo la modifica, puoi ripristinare il valore TTL precedente per ridurre il carico sui resolver DNS.

Passaggi successivi

Per iniziare a utilizzare Cloud DNS, consulta la Guida rapida: configurazione dei record DNS per un nome di dominio con Cloud DNS.
Per registrare e configurare il dominio, guarda il Tutorial: configura un dominio utilizzando Cloud DNS.
Per scoprire di più sulle librerie client delle API, consulta Esempi e librerie.
Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.