Cloud DNS accepte différents types de règles. Cette page fournit des détails sur les différents types de règles et sur leur utilisation.
- Les règles de serveur appliquent la configuration DNS privée à un réseau cloud privé virtuel (transfert DNS, journalisation).
- Les stratégies de réponse remplacent les réponses DNS privées en fonction du nom de la requête.
- Les règles de routage orientent le trafic en fonction de la requête (par exemple, round robin, géolocalisation).
Vous pouvez utiliser les trois règles simultanément en fonction de vos besoins.
Règles de serveur
Utilisez des règles de serveur pour configurer des déploiements hybrides pour les résolutions DNS. Vous pouvez configurer une règle de serveur entrant en fonction de la direction des résolutions DNS. Si vos charges de travail prévoient d'utiliser un résolveur DNS sur site, vous pouvez configurer des zones de transfert DNS à l'aide d'une règle de serveur sortant. En revanche, si vous souhaitez que vos charges de travail sur site résolvent les noms sur Google Cloud, vous pouvez configurer une règle de serveur entrant.
Pour en savoir plus sur les règles de serveur, consultez la présentation des règles de serveur.
Pour configurer et appliquer des règles de serveur DNS, consultez la page Appliquer des règles de serveur DNS.
Stratégies de réponse
Une stratégie de réponse est un concept de zone privée Cloud DNS qui contient des règles plutôt que des enregistrements. Ces règles peuvent être utilisées pour obtenir des effets semblables au projet de concept RPZ (zone de stratégie de réponse) DNS (IETF). La fonctionnalité de stratégie de réponse vous permet d'intégrer des règles personnalisées dans les serveurs DNS de votre réseau. Le résolveur DNS consulte ensuite ces règles lors des recherches. Si une règle de la stratégie de réponse affecte la requête entrante, elle est traitée. Sinon, la recherche se poursuit normalement. Pour en savoir plus, consultez la page Gérer les stratégies et les règles de réponses.
Une stratégie de réponse est différente d'une valeur RPZ, qui est une zone DNS normalement standard avec des données spéciales au format qui amène les résolveurs compatibles à effectuer des tâches spéciales. Les stratégies de réponse ne sont pas des zones DNS et sont gérées séparément dans l'API. Pour créer et modifier des stratégies de réponse dans Cloud DNS, utilisez l'API ResponsePolicies. Les stratégies de réponse sont distinctes de ManagedZones et ne peuvent pas être gérées à l'aide de l'API ManagedZones ou de l'API RRSet.
Règles de routage
Les règles de routage DNS vous permettent d'orienter votre trafic en fonction de critères spécifiques. Cloud DNS accepte également les fonctionnalités de vérification de l'état et de basculement automatique intégrées à chaque règle de routage. Les vérifications de l'état sont disponibles pour les équilibreurs de charge réseau passthrough internes et les équilibreurs de charge d'application internes pour lesquels l'accès mondial est activé, ainsi que pour les équilibreurs de charge d'application internes interrégionaux.
Cloud DNS est compatible avec les règles de routage suivantes :
- Règle de routage round robin pondéré
- Règle de routage de géolocalisation
- Règle de routage avec géorepérage
- Règle de routage avec basculement
Un seul type de règle de routage peut être appliqué à un jeu d'enregistrements de ressources à la fois. Vous ne pouvez combiner des règles de routage que lorsque vous configurez une règle de routage de basculement dans laquelle vous pouvez définir une règle de routage avec géolocalisation en tant que sauvegarde.
Règles de routage round robin pondéré
Une règle de routage round robin (à tour de rôle) pondéré (WRR) vous permet de spécifier différentes pondérations par cible DNS. Cloud DNS s'assure que votre trafic est réparti en fonction des pondérations. Vous pouvez utiliser cette règle pour accepter les configurations manuelles active-active ou active-passive. Vous pouvez également répartir le trafic entre les versions de production et expérimentales du logiciel.
La vérification de l'état est disponible par défaut si les cibles sont des équilibreurs de charge réseau passthrough internes. Cela permet le basculement automatique lorsque les points de terminaison échouent à leur vérification de l'état. En cas de basculement, la répartition du trafic est automatiquement ajustée entre les points de terminaison opérationnels restants. Pour en savoir plus, consultez la section Vérifications d'état.
Règles de routage avec géolocalisation
Une règle de routage avec géolocalisation (GEO) vous permet de mapper le trafic provenant des zones géographiques sources (régions Google Cloud) à des cibles DNS spécifiques. Utilisez cette règle pour répartir les requêtes entrantes vers différentes instances de service en fonction de l'origine du trafic. Vous pouvez utiliser cette fonctionnalité avec Internet, avec du trafic externe, ou avec le trafic provenant de Google Cloud et limité aux équilibreurs de charge réseau passthrough internes. Cloud DNS utilise la région dans laquelle les requêtes entrent dans Google Cloud en tant que géographie source.
La vérification de l'état est disponible par défaut si la cible est un équilibreur de charge d'application interne interrégional, un équilibreur de charge d'application interne ou un équilibreur de charge d'application interne interrégional. Cela permet le basculement automatique lorsque les points de terminaison échouent à leur vérification de l'état. Dans le cas de la géolocalisation, le trafic est basculé vers la géolocalisation suivante la plus proche du trafic source.
Règles de routage avec géorepérage
Les vérifications de l'état activent les règles de routage avec géorepérage qui permettent de limiter le trafic à une géolocalisation spécifique même si tous les points de terminaison de la géolocalisation sont non opérationnels. Avec une règle de géolocalisation, si toutes les vérifications de l'état échouent pour un bucket d'une géolocalisation spécifique, le trafic est automatiquement basculé vers la géolocalisation suivante la plus proche. Lorsque le géorepérage est activé, aucun basculement automatique ne se produit. En tant que serveur primaire, Cloud DNS doit renvoyer une valeur, et dans ce scénario, Cloud DNS renvoie toutes les adresses IP non modifiées lorsqu'elles échouent à la vérification de l'état.
Règles de routage avec basculement
La règle de routage de basculement vous permet de définir des configurations de sauvegarde actives afin de fournir une haute disponibilité pour les ressources internes de votre VPC. Vous ne pouvez configurer une règle de routage de basculement que pour les zones privées.
En fonctionnement normal, les adresses IP provisionnées dans le jeu active sont systématiquement renvoyées. Lorsque toutes les adresses IP du jeu actif échouent (c'est-à-dire lorsque l'état de santé devient "non opérationnel"), Cloud DNS commence à utiliser les adresses IP du jeu de sauvegarde. Vous pouvez configurer le jeu de sauvegarde en tant que règles de géolocalisation. Pour en savoir plus sur leur comportement, consultez la section "Règles de géolocalisation". Si elles sont configurées en tant qu'équilibreur de charge réseau passthrough interne, équilibreur de charge d'application interne ou équilibreur de charge d'application interne interrégional, toutes les adresses IP virtuelles de sauvegarde sont également vérifiées.
Cloud DNS vous permet de gérer progressivement le trafic vers les adresses IP virtuelles de sauvegarde, afin que vous puissiez vous assurer que les adresses IP virtuelles de sauvegarde fonctionnent. Vous pouvez configurer le pourcentage du trafic envoyé à la sauvegarde sous la forme d'une fraction comprise entre 0 et 1. La valeur type doit être 0, 1, bien que Cloud DNS vous permette d'envoyer 100% du trafic aux adresses IP virtuelles de sauvegarde pour déclencher manuellement un basculement. Les vérifications d'état ne peuvent être appliquées qu'aux équilibreurs de charge internes. Par conséquent, toutes les adresses IP virtuelles configurées doivent être des équilibreurs de charge réseau passthrough internes, des équilibreurs de charge d'application internes ou des équilibreurs de charge d'application internes interrégionaux.
Vérifications d'état
Cloud DNS accepte les vérifications d'état pour les équilibreurs de charge réseau passthrough internes et les équilibreurs de charge d'application internes pour lesquels l'accès mondial est activé, ainsi que pour les équilibreurs de charge d'application internes interrégionaux.
Les vérifications de l'état pour les équilibreurs de charge privés sont uniquement disponibles dans les zones gérées privées. Les vérifications de l'état ne sont pas disponibles pour les zones de transfert, d'appairage et les zones de recherche inversées gérées.
Pour en savoir plus sur les vérifications d'état pour les équilibreurs de charge, consultez la page Présentation des vérifications d'état.
Vérifications de l'état pour les équilibreurs de charge réseau passthrough internes
Cloud DNS détermine l'état de fonctionnement d'un équilibreur de charge réseau passthrough interne à l'aide de la configuration intégrée de vérification de l'état de l'état de l'équilibreur de charge. Cloud DNS considère que l'équilibreur de charge réseau passthrough interne est opérationnel et peut recevoir du trafic lorsqu'au moins 20% des vérifications d'état aboutissent.
Pour un équilibreur de charge réseau passthrough interne, Cloud DNS reçoit des signaux d'état directs de chaque instance backend et un algorithme de seuil est appliqué pour déterminer si un point de terminaison est opérationnel ou non.
Une seule adresse IP virtuelle d'équilibreur de charge réseau passthrough interne peut être associée à plusieurs services en arrière-plan. Cloud DNS recherche des signaux d'état provenant du protocole et du port spécifiés dans la configuration de la vérification de l'état de l'équilibreur de charge. Pour en savoir plus sur les vérifications d'état, consultez la page Présentation des vérifications d'état.
Pour les équilibreurs de charge d'application internes et interrégionaux internes, Cloud DNS prend en compte l'état de l'équilibreur de charge lui-même lors de la décision de routage. Lorsqu'un équilibreur de charge reçoit une requête, il ne distribue le trafic qu'entre les services de backend opérationnels. Pour vous assurer que les backends sont opérationnels, vous pouvez gérer leur cycle de vie à l'aide de services tels que les groupes d'instances gérés (MIG). Cloud DNS n'a pas besoin de connaître l'état de fonctionnement des backends individuels. L'équilibreur de charge se charge de cette tâche.
Règles round robin pondéré et vérifications de l'état
Cloud DNS prend en charge des valeurs de pondérations allant de 0 à 1 000 (ces deux nombres compris). Lorsque les vérifications de l'état sont incluses, il se produit ce qui suit :
- Si vous configurez plusieurs cibles avec une valeur de pondération de 0, le trafic est réparti de manière égale entre les cibles.
- Si vous configurez une nouvelle cible dont la pondération n'est pas nulle, elle devient alors la cible principale, et tout le trafic se dirige vers cette cible.
- À mesure que vous ajoutez des cibles avec des pondérations non nulles, Cloud DNS calcule de manière dynamique la répartition du trafic entre les cibles (à chaque requête) et répartit le trafic de manière appropriée. Par exemple, si vous avez configuré trois cibles avec des pondérations de 0, 25 et 75, la cible avec la pondération de 0 n'obtient aucun trafic, la cible avec une pondération de 25 reçoit un quart du trafic, et la cible restante reçoit les trois quarts du trafic entrant.
- Si des vérifications de l'état sont uniquement associées à des cibles dont les valeurs de pondération sont non nulles, les cibles dont la valeur de pondération est nulle sont toujours considérées comme opérationnelles. Si tous les enregistrements dont la valeur de pondération est non nulle ne sont pas opérationnels, Cloud DNS renvoie les enregistrements dont la valeur de pondération est nulle.
- Si les vérifications de l'état sont associées à des enregistrements dont les valeurs de pondération sont non nulles et nulles, et si tous les enregistrements échouent aux vérifications de l'état, Cloud DNS renvoie toutes les cibles dont la pondération est non nulle et évite complètement les cibles dont la valeur de pondération est nulle.
- Lorsque Cloud DNS choisit un bucket de pondération à renvoyer au demandeur (un seul élément de règle), seule l'adresse IP de ce bucket est renvoyée. Si vous ne spécifiez qu'une seule adresse IP dans le bucket de pondération, seule cette adresse IP figure dans la réponse. Si le bucket de pondération contient plusieurs adresses IP, Cloud DNS renvoie toutes les adresses IP dans un ordre aléatoire.
Règle de géolocalisation avec vérification de l'état
Pour la règle de géolocalisation avec vérification de l'état activée, il se produit ce qui suit :
- Lorsqu'un bucket géographique a plusieurs adresses IP configurées et que toutes les adresses IP ont fait l'objet d'une vérification de l'état, seules les adresses IP opérationnelles sont renvoyées.
- Si un mélange de vérifications de l'état et d'absence de vérifications de l'état se produit, et que toutes les adresses IP contrôlées échouent, Cloud DNS renvoie toutes les adresses IP pour lesquelles la vérification de l'état n'était pas configurée. Dans ce scénario, le basculement automatique vers la géographie suivante la plus proche ne se produit pas.
- Cette règle achemine automatiquement le trafic vers le bucket géographique le plus proche dans les cas suivants :
- La vérification de l'état est activée pour toutes les adresses IP d'un bucket géographique.
- Le cloisonnement est désactivé sur la règle.
- Toutes les adresses IP échouent à la vérification de l'état. Le basculement automatique vers la cible géographique suivante la plus proche se produit donc.
Journalisation des vérifications de l'état
Cloud DNS accepte la journalisation de la vérification de l'état et journalise l'état de santé des modifications du backend. Il vous permet d'effectuer les opérations suivantes :
- Vérifiez si les règles de routage fonctionnent comme prévu. Exemple :
- Pour les règles
GEO, vous pouvez vérifier qu'elles détectent la bonne zone géographique et renvoient le bon ensemble de données RR. - Pour les règles
WRR, vous pouvez vérifier qu'elles renvoient les adresses IP avec la bonne pondération.
- Pour les règles
- Identifiez les problèmes d'infrastructure avec des backends et des adresses IP spécifiques qui présentent des défaillances.
- Déterminez pourquoi certains backends ne sont jamais inclus ou sont les seuls à être renvoyés.
Pour créer, modifier ou supprimer des règles de routage DNS, consultez la section Gérer les règles de routage DNS et les vérifications de l'état.
Types d'enregistrements compatibles avec les règles de routage DNS
Les règles de routage DNS ne sont pas compatibles avec tous les types d'enregistrements compatibles avec Cloud DNS. Les règles de routage DNS sont compatibles avec les types d'enregistrements suivants.
| Type d'enregistrement | Description |
|---|---|
| A | Adresses IPv4 |
| AAAA | Adresses IPv6 |
| CNAME | Noms canoniques |
| MX | Enregistrements Mail Exchange |
| SRV | Hôte/port (RFC 2782) |
| TXT | Text data |