O Cloud DNS é compatível com diferentes tipos de políticas. Nesta página, você verá detalhes sobre os diferentes tipos de política e quando é possível usar uma ou outra.
- As políticas de servidor aplicam a configuração de DNS particular a uma rede de nuvem privada virtual (VPC, na sigla em inglês), como encaminhamento de DNS, registro.
- As políticas de resposta substituem as respostas de DNS particulares com base no nome da consulta.
- As políticas de roteamento direcionam o tráfego com base na consulta (por exemplo, round-robin, geolocalização).
Dependendo das suas necessidades, é possível usar as três políticas ao mesmo tempo.
Políticas de servidor
Use políticas de servidor para configurar implantações híbridas para resoluções de DNS. É possível configurar uma política de servidor de entrada dependendo da direção das resoluções de DNS. Se as cargas de trabalho planejam usar um resolvedor de DNS local, é possível configurar zonas de encaminhamento de DNS usando uma política de servidor de saída. Por outro lado, se você quiser que as cargas de trabalho locais resolvam nomes no Google Cloud, configure uma política de servidor de entrada.
Para informações detalhadas sobre as políticas de servidor, consulte a Visão geral das políticas de servidor.
Para configurar e aplicar políticas de servidor DNS, consulte Aplicar políticas de servidor DNS.
Políticas de resposta
Uma política de resposta é um conceito de zona particular do Cloud DNS que contém regras em vez de registros. É possível usar essas regras para alcançar efeitos semelhantes ao conceito de rascunho da zona de política de resposta (RPZ, na sigla em inglês) de DNS (IETF, link em inglês). O recurso de política de resposta permite introduzir regras personalizadas nos servidores DNS na rede que o resolvedor de DNS consulta durante as pesquisas. Se uma regra na política de resposta afetar a consulta recebida, ela será processada. Caso contrário, a pesquisa continuará normalmente. Para mais informações, consulte Como gerenciar políticas e regras de resposta.
Uma política de resposta é diferente de uma RPZ, que é uma zona DNS normal com dados especialmente formatados que faz com que os resolvedores compatíveis realizem ações especiais. As políticas de resposta não são zonas DNS e são gerenciadas separadamente na API. Para criar e modificar políticas de resposta no
Cloud DNS, use a API
ResponsePolicies. As políticas de resposta são
separadas de ManagedZones e não podem ser gerenciadas usando a
API ManagedZones ou a API RRSet
.
Políticas de roteamento
As políticas de roteamento de DNS permitem que você direcione o tráfego com base em critérios específicos. O Cloud DNS também aceita verificação de integridade e failovers automáticos incorporados a cada política de roteamento. A verificação de integridade está disponível para balanceadores de carga de rede de passagem interna com acesso global ativado e balanceadores de carga de aplicativo internos entre regiões.
O Cloud DNS oferece suporte às seguintes políticas de roteamento:
- Política de roteamento de round-robin ponderado
- Política de roteamento de geolocalização
- Política de roteamento com fronteiras geográficas virtuais
- Política de roteamento de failover
Apenas um tipo de política de roteamento pode ser aplicado a um conjunto de registros de recurso por vez. Não é possível combinar políticas de roteamento, exceto ao configurar uma política de roteamento de failover, em que é possível definir uma política de roteamento de geolocalização como backup.
Políticas de roteamento de round-robin ponderado
Uma política de roteamento de round-robin ponderado (WRR) permite especificar ponderações diferentes por
meta de DNS, e o Cloud DNS garante que o tráfego seja distribuído
de acordo com as ponderações. Use essa política para oferecer suporte a configurações
manuais
active-active ou active-passive. Também é possível dividir o tráfego entre as versões de produção e experimental do software.
A verificação de integridade estará disponível por padrão se os destinos forem balanceadores de carga de rede de passagem interna. Isso permite o failover automático quando os endpoints falham nas verificações de integridade. No caso de um failover, a divisão de tráfego é automaticamente ajustada entre os endpoints íntegros restantes. Para mais detalhes, consulte Verificações de integridade.
Políticas de roteamento de geolocalização
Uma política de roteamento de geolocalização (GEO) permite mapear o tráfego proveniente de geografias de origem (regiões do Google Cloud) para destinos de DNS específicos. Use essa política para distribuir solicitações recebidas para diferentes instâncias de serviço com base na origem do tráfego. É possível usar esse recurso com a Internet, com tráfego externo ou com tráfego proveniente do Google Cloud e vinculado à passagem de balanceadores de carga internos. O Cloud DNS usa a região em que as consultas entram no Google Cloud como a região geográfica de origem.
A verificação de integridade está disponível por padrão se o destino for o balanceador de carga de rede de passagem, o balanceador de carga de aplicativo interno ou o balanceador de carga de aplicativo interno entre regiões. Isso permite o failover automático quando os endpoints falham nas verificações de integridade. No caso de geolocalização, o tráfego falha para a próxima geolocalização mais próxima ao tráfego de origem.
Políticas de roteamento com fronteiras geográficas virtuais
A verificação de integridade permite o tipo de política de roteamento em que é possível restringir o tráfego a uma geolocalização específica, mesmo que todos os endpoints dessa geolocalização não estejam íntegros. Em uma política de geolocalização, quando as falhas na verificação de integridade são observadas em um bucket geográfico específico, o tráfego faz o failover automaticamente para a próxima geolocalização mais próxima. Quando a fronteira geográfica virtual estiver ativada, o failover automático não ocorrerá. Como servidor autoritativo, o Cloud DNS precisa retornar um valor e, neste cenário, o Cloud DNS retorna todos os endereços IP inalterados quando falham nas verificações de integridade.
Políticas de roteamento de failover
A política de roteamento de failover permite definir configurações de backup ativas para fornecer alta disponibilidade a recursos internos na sua VPC. Só é possível configurar uma política de roteamento de failover para zonas particulares.
Na operação normal, os endereços IP provisionados no conjunto
active são sempre retornados. Quando todos os endereços IP no conjunto ativo
falharem (o status de integridade muda para não íntegro), o Cloud DNS começará a exibir
os endereços IP no conjunto de backup. É possível configurar o backup como
políticas de geolocalização, e eles se comportam da mesma maneira que a descrita na seção
de políticas de geolocalização. Se configurados como balanceador de carga de rede interno de passagem, Balanceador de carga de aplicativo interno ou
Balanceador de carga de aplicativo interno entre regiões, todos os endereços IP de backup (VIP) também são
verificados.
O Cloud DNS permite enganar gradualmente o tráfego para os endereços VIP de backup para ter certeza de que os endereços VIP de backup estão funcionando. Você pode configurar a porcentagem do tráfego enviado para o backup como uma fração de 0 para 1. O valor típico precisa ser 0, 1, embora o Cloud DNS possa enviar 100% do tráfego aos endereços VIP de backup para acionar manualmente um failover. As verificações de integridade só podem ser aplicadas a balanceadores de carga internos. Portanto, todos os endereços VIP configurados precisam ser balanceadores de carga de rede de passagem interna, balanceadores de carga de aplicativo internos ou balanceadores de carga de aplicativo internos entre regiões.
Verificações de integridade
O Cloud DNS oferece suporte a verificações de integridade para balanceadores de carga de rede de passagem interna com acesso global ativado e balanceadores de carga de aplicativo internos entre regiões.
As verificações de integridade para balanceadores de carga particulares só estão disponíveis em zonas gerenciadas particulares. As verificações de integridade não estão disponíveis para encaminhamento, peering e zonas de pesquisa reversa gerenciadas.
Para informações detalhadas sobre verificações de integridade de balanceadores de carga, consulte Visão geral das verificações de integridade.
Verificações de integridade para balanceadores de carga de rede de passagem interna
O Cloud DNS determina o estado de integridade do balanceador de carga de rede de passagem interno usando a configuração de verificação de integridade integrada do balanceador de carga. O Cloud DNS considera o balanceador de carga de rede de passagem interno íntegro e qualificado para receber tráfego quando pelo menos 20% das verificações de integridade são bem-sucedidas.
Para um balanceador de carga de rede de passagem interno, o Cloud DNS recebe sinais diretos de integridade das instâncias de back-end individuais, e um algoritmo de limite é aplicado para determinar se um endpoint está ou não íntegro.
Um único endereço IP virtual de balanceador de carga de rede de passagem interno pode ter vários serviços em execução. O Cloud DNS procura sinais de integridade do protocolo e da porta especificados na configuração da verificação de integridade do balanceador de carga. Para informações detalhadas sobre verificações de integridade, consulte Visão geral das verificações de integridade.
Para o balanceador de carga de aplicativo interno e o balanceador de carga de aplicativo interno entre regiões, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para garantir que haja back-ends íntegros, é possível gerenciar o ciclo de vida deles usando serviços como grupos de instâncias gerenciadas (MIGs, na sigla em inglês). O Cloud DNS não precisa estar ciente do status de integridade de back-ends individuais. O balanceador de carga realiza essa tarefa.
Políticas e verificações de integridade de round-robin
O Cloud DNS oferece suporte a pesos de 0 a 1.000, incluindo ambos. Quando as verificações de integridade são incluídas, ocorre o seguinte:
- Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
- Se você configurar um novo objetivo ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego mudará para ele.
- À medida que você adiciona mais destinos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os destinos (com cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você tiver configurado três destinos com ponderações de 0, 25 e 75, a meta com a ponderação 0 não receberá tráfego, a meta com uma ponderação de 25 receberá um quarto do tráfego e a meta restante recebe três quartos do tráfego de entrada.
- Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero forem íntegros, o Cloud DNS retornará os registros ponderados zero.
- Se as verificações de integridade estiverem associadas a registros ponderados que não sejam zero e zero e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará quaisquer destinos ponderados diferentes de zero e evitará completamente os destinos ponderados zero.
- Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP desse bucket é retornado. Se você especificar apenas um endereço IP no bucket de peso, apenas esse endereço estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.
Política de geolocalização com verificação de integridade
Veja o que acontece com as políticas de geolocalização com verificações de integridade:
- Quando um bucket geográfico tem vários endereços IP configurados e todos os endereços IP têm verificação de integridade, somente os endereços IP íntegros são retornados.
- Se houver uma combinação de verificações de integridade em comparação com nenhuma verificação de integridade, e todos os endereços IP verificados de integridade falharem, o Cloud DNS retornará todos os endereços IP que não têm a verificação de integridade configurada. Nesse cenário, o failover automático para a próxima região geográfica mais próxima não ocorre.
- Essa política roteia automaticamente o tráfego para o próximo bucket geográfico mais próximo quando:
- A verificação de integridade está ativada em todos os endereços IP em um bucket geográfico.
- A cerca está desativada na política.
- Todos os endereços IP não passam nas verificações de integridade. Assim, é possível fazer o failover automático para o próximo destino geográfico mais próximo.
Geração de registros de verificação de integridade
O Cloud DNS oferece suporte à geração de registros de verificação de integridade e registra o status da verificação de integridade de quaisquer alterações de back-end. Ele permite que você faça o seguinte:
- Confirme se as políticas de roteamento estão funcionando conforme o esperado. Por
exemplo:
- Para políticas de
GEO, ele permite validar se as políticas estão detectando a região geográfica certa e retornando o conjunto de dados de RR correto. - Para políticas
WRR, ele permite que você valide se as políticas estão retornando os endereços IP na ponderação correta.
- Para políticas de
- Identifique problemas de infraestrutura com back-ends e endereços IP específicos que tenham falhas.
- Solucione problemas em que back-ends específicos nunca estão incluídos ou são os únicos que estão sendo retornados.
Para criar, editar ou excluir políticas de roteamento de DNS, consulte Gerenciar políticas de roteamento de DNS e verificações de integridade.
Tipos de registro compatíveis com políticas de roteamento de DNS
As políticas de roteamento de DNS não são compatíveis com todos os tipos de registro compatíveis com o Cloud DNS. As políticas de roteamento de DNS são compatíveis com os seguintes tipos de registro.
| Tipo de registro | Descrição |
|---|---|
| A | Endereços IPv4 |
| AAAA | Endereços IPv6 |
| CNAME | Nomes canônicos |
| MX | Registros de troca de e-mails |
| SRV | Host/porta (RFC 2782, link em inglês) |
| TXT | Dados de texto |