Visão geral do Cloud DNS

Nesta página, você encontra uma visão geral dos recursos do Cloud DNS. O Cloud DNS é um serviço de Sistema de Nome de Domínio (DNS, na sigla em inglês) global, confiável e de alto desempenho. Com ele, você publica nomes de domínio no DNS global com economia.

O DNS é um banco de dados distribuído hierarquicamente, usado para armazenar endereços IP e outros dados e para procurá-los por nome. Com o Cloud DNS, você publica zonas e registros no DNS sem precisar gerenciar os próprios servidores e software de DNS.

No Cloud DNS, são fornecidas zonas públicas e zonas DNS gerenciadas particulares. Uma zona pública é visível para todos na Internet pública, mas uma zona particular é visível apenas para os usuários em uma ou mais redes de nuvem privada virtual (VPC) especificadas. Para informações detalhadas sobre zonas, consulte Visão geral sobre zonas de DNS.

O Cloud DNS aceita permissões de gerenciamento de identidade e acesso (IAM) no nível do projeto e na zona de DNS individual (disponível em Visualização). Para informações sobre como definir permissões individuais do IAM, consulte Criar uma zona com permissões específicas do IAM.

Para ver uma lista de terminologia geral de DNS, acesse a visão geral do DNS.

Veja uma lista de termos-chave em que o Cloud DNS é criado em Termos importantes.

Para começar a usar o Cloud DNS, consulte o Início rápido.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud DNS em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Faça um teste gratuito do Cloud DNS

Considerações sobre VPC compartilhada

Para usar uma zona privada gerenciada do Cloud DNS, uma zona de encaminhamento do Cloud DNS ou uma zona de peering do Cloud DNS com a VPC compartilhada, é preciso criar a zona no projeto host. Depois, adicione uma ou mais redes VPC compartilhadas à lista de redes autorizadas para essa zona. Outra opção é configurar a zona em um projeto de serviço usando a vinculação entre projetos.

Para acessar mais informações, consulte as práticas recomendadas para as zonas particulares do Cloud DNS.

Métodos de encaminhamento de DNS

O Google Cloud oferece encaminhamento de DNS de entrada e saída para zonas particulares. É possível configurar o encaminhamento de DNS criando uma zona de encaminhamento ou uma política de servidor do Cloud DNS. Os dois métodos estão resumidos na tabela a seguir:

Encaminhamento de DNS Métodos do Cloud DNS
Entrada

Crie uma política de servidor de entrada para permitir que um servidor ou cliente DNS local envie solicitações DNS para o Cloud DNS. O cliente ou servidor DNS pode resolver registros de acordo com a ordem de resolução de nomes de uma rede VPC.

Os clientes locais podem resolver registros em zonas particulares, zonas de encaminhamento e zonas de peering para as quais a rede VPC foi autorizada. Os clientes locais usam o Cloud VPN ou o Cloud Interconnect para se conectar à rede VPC.

Saída

É possível configurar VMs em uma rede VPC para:

  • Enviar solicitações de DNS para os servidores de nomes de DNS de sua escolha. Os servidores de nomes podem estar localizados na mesma rede VPC, em uma rede local ou na Internet.
  • Resolver registros hospedados em servidores de nomes configurados como destinos de encaminhamento de uma zona de encaminhamento autorizada para uso pela rede VPC. Para informações sobre como o Google Cloud encaminha o tráfego para o endereço IP de um destino de encaminhamento, consulte FMétodos de encaminhamento e métodos de roteamento.
  • Crie uma política de servidor de saída para a rede VPC enviar todas as solicitações DNS de um servidor de nomes alternativo. Ao usar um servidor de nomes alternativo, as VMs na sua rede VPC não poderão mais resolver registros em zonas particulares, zonas de encaminhamento, zonas de peering ou zonas DNS internas do Compute Engine. Para ver mais detalhes, consulte a ordem de resolução de nomes.

É possível configurar simultaneamente o encaminhamento DNS de entrada e saída para uma rede VPC. O encaminhamento bidirecional permite que as VMs na sua rede VPC sejam usadas para resolver registros em uma rede no local ou em uma rede hospedada por outro provedor de nuvem. Esse tipo de encaminhamento também permite que os hosts na rede local sejam usados para resolver registros dos recursos do Google Cloud.

O plano de controle do Cloud DNS usa o pedido de seleção de destino de encaminhamento para selecionar um destino de encaminhamento. As consultas de saída encaminhadas podem resultar em erros SERVFAIL se os destinos de encaminhamento não estiverem acessíveis ou se não responderem com rapidez suficiente. Para instruções sobre solução de problemas, consulte As consultas de encaminhamento de saída recebem erros SERVFAIL.

Para informações sobre como aplicar políticas de servidor, consulte Criar políticas de servidor DNS. Para saber como criar uma zona de encaminhamento, consulte esta página.

DNSSEC

O Cloud DNS aceita DNSSEC gerenciado, que protege os domínios contra spoofing e ataques de envenenamento de cache. Quando você usa um resolvedor de validação como o DNS público do Google, o DNSSEC fornece uma autenticação forte (mas não criptografia) para pesquisas de domínio. Para mais informações sobre o DNSSEC, consulte Como gerenciar a configuração da DNSSEC.

Controle de acesso

É possível gerenciar os usuários que têm permissão para fazer mudanças nos seus registros DNS na página IAM e Admin no Console do Google Cloud. Para que os usuários sejam autorizados a fazer alterações, eles precisam ter o papel Editor (roles/editor) ou Proprietário (roles/owner) na seção Permissões do Console do Cloud. O papel de Visualizador (roles/viewer) concede acesso somente leitura aos registros do Cloud DNS.

Essas permissões também se aplicam às contas de serviço que você pode usar para gerenciar seus serviços DNS.

Controle de acesso para zonas gerenciadas

Os usuários com os papéis de proprietário do projeto ou editor do projeto podem gerenciar ou visualizar as zonas gerenciadas nesse projeto específico.

Os usuários com os papéis administrador de DNS ou leitor de DNS (roles/dns.admin ou roles/dns.reader) podem gerenciar ou visualizar as zonas gerenciadas em todos os projetos aos que têm acesso.

Proprietários de projetos, editores, administradores de DNS e leitores de DNS podem visualizar a lista de zonas particulares aplicadas a qualquer rede VPC no projeto atual.

Desempenho e tempo

O Cloud DNS usa o Anycast para atender às suas zonas gerenciadas de diversos locais no mundo todo, garantindo alta disponibilidade. As solicitações são automaticamente encaminhadas para o local mais próximo, o que reduz a latência e melhora o desempenho das buscas de nomes autoritativos para seus usuários.

Propagação de alterações

As alterações são propagadas em dois estágios. Primeiro, a alteração enviada por meio da API ou da ferramenta de linha de comando precisa ser enviada para os servidores DNS autoritativos do Cloud DNS. Depois, os resolvedores de nomes DNS precisam usar essas alterações quando o cache dos registros expirar.

O valor de time to live (TTL) definido para seus registros, especificado em segundos, controla o cache do resolvedor de DNS. Por exemplo, se você definir um valor de TTL de 86400 (o número de segundos em 24 horas), os resolvedores de nomes DNS são instruídos a armazenar os registros em cache por 24 horas. Alguns resolvedores de nomes DNS ignoram o valor de TTL ou usam um valor próprio, que pode atrasar a propagação completa dos registros.

Se você está planejando fazer alterações em serviços que exigem uma janela restrita, convém alterar o TTL para um valor mais curto antes de fazer a alteração. Essa abordagem pode ajudar a reduzir a janela de armazenamento em cache e garantir uma alteração mais rápida para suas novas configurações de registro. Depois da alteração, retorne o valor de TTL para o valor anterior para reduzir a carga dos resolvedores de DNS.

A seguir