Cette page présente les fonctionnalités et les capacités de Cloud DNS. Cloud DNS est un système global de noms de domaine (DNS) offrant de hautes performances et une grande fiabilité. C'est un moyen économique de publier vos noms de domaine dans le DNS mondial.
Un DNS est une base de données organisée de manière hiérarchique qui vous permet de stocker des adresses IP et d'autres données, et de les rechercher par nom. Avec Cloud DNS, vous pouvez publier vos zones et vos enregistrements dans DNS sans avoir à gérer vos propres serveurs et logiciels DNS.
Cloud DNS propose à la fois des zones publiques et des zones gérées DNS privées. Une zone publique est visible depuis l'Internet public, tandis qu'une zone privée n'est visible que depuis le ou les réseaux VPC (Virtual Private Cloud) que vous spécifiez. Pour en savoir plus sur les zones, consultez la section Présentation des zones DNS.
Cloud DNS est compatible avec les autorisations IAM (Identity and Access Management) au niveau du projet et au niveau de la zone DNS individuelle. Pour en savoir plus sur la définition d'autorisations IAM pour des ressources individuelles, consultez la page Créer une zone avec des autorisations IAM spécifiques.
Pour obtenir la liste des termes généraux du DNS, consultez la présentation générale du DNS.
Pour obtenir la liste des termes clés sur lesquels Cloud DNS repose, consultez la section Termes clés.
Pour commencer à utiliser Cloud DNS, consultez la section Démarrage rapide.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud DNS en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Profiter d'un essai gratuit de Cloud DNSConsidérations relatives au VPC partagé
Pour utiliser une zone Cloud DNS gérée privée, de transfert ou d'appairage avec un VPC partagé, vous devez d'abord la créer dans le projet hôte, puis ajouter un ou plusieurs réseaux VPC partagés à la liste des réseaux autorisés pour cette zone. Vous pouvez également configurer la zone dans un projet de service à l'aide d'une liaison inter-projets.
Pour plus d'informations, consultez les Bonnes pratiques pour les zones privées Cloud DNS.
Méthodes de transfert DNS
Google Cloud propose un transfert DNS entrant et sortant pour les zones privées. Vous pouvez configurer le transfert DNS en créant une zone de transfert ou une règle de serveur Cloud DNS. Les deux méthodes sont résumées dans le tableau suivant.
Transfert DNS | Méthodes Cloud DNS |
---|---|
Entrant | Créez une règle de serveur entrant pour permettre à un client ou à un serveur DNS sur site d'envoyer des requêtes DNS à Cloud DNS. Le client ou le serveur DNS peut ensuite résoudre les enregistrements en fonction de l'ordre de résolution des noms d'un réseau VPC. Les clients sur site peuvent résoudre des enregistrements dans des zones privées, des zones de transfert et des zones d'appairage pour lesquelles le réseau VPC a été autorisé. Les clients sur site utilisent Cloud VPN ou Cloud Interconnect pour se connecter au réseau VPC. |
Sortant |
Vous pouvez configurer les VM d'un réseau VPC pour effectuer les opérations suivantes :
|
Vous pouvez configurer simultanément les transferts entrants et sortants pour un réseau VPC. Le transfert bidirectionnel permet aux VM de votre réseau VPC de résoudre les enregistrements dans un réseau sur site ou dans un réseau hébergé par un autre fournisseur cloud. Ce type de transfert permet également aux hôtes du réseau sur site de résoudre les enregistrements de vos ressourcesGoogle Cloud .
Le plan de contrôle Cloud DNS utilise l'ordre de sélection des cibles de transfert pour sélectionner une cible de transfert. Les requêtes transférées sortantes peuvent parfois entraîner des erreurs SERVFAIL
si les cibles de transfert ne sont pas accessibles ou si elles ne répondent pas assez rapidement. Pour obtenir des instructions de dépannage, consultez la section Les requêtes sortantes transférées reçoivent des erreurs SERVFAIL.
Pour plus d'informations sur l'application des règles de serveur, consultez la page Créer des règles de serveur DNS. Pour savoir comment créer une zone de transfert, consultez la section Créer une zone de transfert.
DNSSEC
Cloud DNS est compatible avec le protocole DNSSEC géré, qui protège vos domaines des attaques de spoofing et de contamination du cache. Lorsque vous utilisez un résolveur de validation tel que Google Public DNS, DNSSEC assure l'authentification renforcée (mais pas le chiffrement) des recherches de domaine. Pour en savoir plus sur DNSSEC, consultez la page Gérer la configuration DNSSEC.
DNS64 (Preview)
Vous pouvez connecter vos instances de machine virtuelle (VM) Compute Engine IPv6 uniquement (Preview) à des destinations IPv4 à l'aide de DNS64 Cloud DNS. DNS64 fournit une adresse IPv6 synthétique pour chaque destination IPv4. Cloud DNS crée une adresse synthétisée en combinant le préfixe connu 64:ff9b::/96
avec les 32 bits de l'adresse IPv4 de destination.
Configurez DNS64 et la traduction d'adresse réseau avec NAT public (NAT64) pour permettre à vos instances de VM IPv6 uniquement (preview) de communiquer avec des destinations IPv4 sur Internet. Pour configurer NAT64, suivez les instructions de la section Créer une passerelle Cloud NAT.
L'exemple suivant montre comment une instance de VM IPv6 uniquement (Preview) nommée vmipv6
résout le nom d'une destination IPv4 uniquement.
L'instance de VM
vmipv6
envoie une requête DNS pour résoudre le nom de destination en adresse IPv6.Si un enregistrement
AAAA
(adresse IPv6) existe, Cloud DNS renvoie l'adresse IPv6, et l'instance de VMvmipv6
l'utilise pour se connecter à la destination.Si aucun enregistrement
AAAA
n'existe, mais que vous avez configuré DNS64, Cloud DNS recherche un enregistrementA
(adresse IPv4). Si Cloud DNS trouve un enregistrementA
, il synthétise un enregistrementAAAA
en ajoutant le préfixe64:ff9b::/96
à l'adresse IPv4.
Par exemple, si l'adresse IPv4 est 32.34.50.60
, l'adresse IPv6 synthétisée est 64:ff9b::2022:323c
, où 2022:323c
est l'équivalent hexadécimal de l'adresse IPv4. Le préfixe 64:ff9b::/96
est défini dans la RFC 6052. Cloud DNS synthétise ces adresses IPv6 même lorsque vous hébergez les enregistrements DNS sur site, à condition d'activer le transfert DNS dans Cloud DNS.
Vous pouvez utiliser DNS64 dans les scénarios suivants:
- Respectez les obligations qui exigent un passage aux adresses IPv6 sans allouer d'adresses IPv4.
- Passez progressivement à une infrastructure d'adresses IPv6 uniquement tout en conservant l'accès à l'infrastructure IPv4 existante.
- Évitez les perturbations des services critiques en veillant à ce que les environnements avec les anciennes adresses IPv4 restent accessibles pendant la transition vers les adresses IPv6.
Pour configurer DNS64 pour un réseau VPC, suivez les instructions de la section Configurer DNS64.
Contrôle des accès
Vous pouvez gérer les utilisateurs autorisés à apporter des modifications à vos enregistrements DNS sur la page IAM et administration de la console Google Cloud.
Pour être autorisés à apporter des modifications, les utilisateurs doivent détenir le rôle d'administrateur DNS (roles/dns.admin
) dans la section "Autorisations" de la console Google Cloud. Le rôle de Lecteur DNS (roles/dns.reader
) accorde un accès en lecture seule aux enregistrements Cloud DNS.
Ces autorisations s'appliquent également aux comptes de service grâce auxquels vous pouvez gérer vos services DNS.
Pour connaître les autorisations assignées à ces rôles, consultez la section Rôles.
Contrôle des accès pour les zones gérées
Les utilisateurs dotés du rôle Propriétaire du projet ou Éditeur de projet (roles/owner
ou roles/editor
) peuvent gérer ou afficher les zones gérées dans le projet spécifique qu'ils gèrent.
Les utilisateurs dotés du rôle Administrateur DNS ou Lecteur DNS peuvent gérer ou afficher les zones gérées dans tous les projets auxquels ils ont accès.
Les propriétaires de projet, les éditeurs, les administrateurs DNS et les lecteurs DNS peuvent afficher la liste des zones privées appliquées à tout réseau VPC du projet en cours.
Accès aux autorisations par ressource
Pour configurer une règle sur une ressource DNS telle qu'une zone gérée, vous devez disposer de l'accès Propriétaire au projet auquel appartient la ressource. L'administrateur DNS ne dispose pas de l'autorisation setIamPolicy
. En tant que propriétaire de projet, vous pouvez également créer des rôles IAM personnalisés en fonction de vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés IAM.
Performances et planification
Cloud DNS utilise la technique Anycast pour desservir les zones gérées à partir de plusieurs sites à travers le monde afin d'offrir une haute disponibilité. Les requêtes sont automatiquement redirigées vers le site le plus proche, ce qui réduit la latence et améliore les performances de recherche de noms prioritaires pour vos utilisateurs.
Propagation des modifications
Les modifications sont propagées en deux parties. La modification que vous envoyez via l'API ou l'outil de ligne de commande doit tout d'abord être transmise aux serveurs DNS primaires de Cloud DNS. Les outils de résolution DNS doivent ensuite récupérer cette modification lorsque leur cache d'enregistrements vient à expiration.
La valeur TTL (Time To Live) que vous avez définie pour vos enregistrements (en secondes) contrôle le cache du résolveur DNS. Par exemple, si vous définissez une valeur TTL sur 86 400 (le nombre de secondes correspondant à 24 heures), les résolveurs DNS mettent en cache les enregistrements pendant 24 heures. Certains résolveurs DNS ignorent la valeur TTL ou utilisent leurs propres valeurs, ce qui peut retarder la propagation complète des enregistrements.
Si vous envisagez d'apporter une modification urgente à des services, vous pouvez réduire la valeur TTL au préalable. La nouvelle valeur TTL plus courte est appliquée dès que la valeur TTL précédente a expirée dans le cache du résolveur. Cette approche peut aider à réduire l'intervalle de mise en cache et à assurer une modification plus rapide de vos nouveaux paramètres d'enregistrement. Après la modification, vous pouvez rétablir l'ancienne valeur TTL afin de réduire la charge sur les résolveurs DNS.
Étape suivante
Pour commencer à utiliser Cloud DNS, consultez la page Guide de démarrage rapide : Configurer des enregistrements DNS pour un nom de domaine avec Cloud DNS.
Pour enregistrer et configurer votre domaine, consultez le tutoriel Configurer un domaine à l'aide de Cloud DNS.
Pour en savoir plus sur les bibliothèques clientes de l'API, consultez la page Exemples et bibliothèques.
Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.