Panoramica dei criteri DNS

Cloud DNS supporta diversi tipi di criteri. In questa pagina vengono forniti i dettagli sui diversi tipi di criteri e quando è possibile utilizzare uno dei due.

  • I criteri del server applicano la configurazione del DNS privato a una rete Virtual Private Cloud (VPC) (inoltro DNS, logging).
  • I criteri di risposta sostituiscono le risposte dei DNS privati in base al nome della query.
  • I criteri di routing orientano il traffico in base alla query (ad esempio, round robin, geolocalizzazione).

Puoi utilizzare tutti e tre i criteri contemporaneamente, in base alle tue esigenze.

Criteri del server

Utilizza i criteri dei server per configurare deployment ibridi per risoluzioni DNS. Puoi configurare un criterio del server in entrata in base alla direzione delle risoluzioni DNS. Se i tuoi carichi di lavoro prevedono di utilizzare un resolver DNS on-premise, puoi configurare le zone di forwarding DNS utilizzando un criterio del server in uscita. D'altra parte, se vuoi che i tuoi carichi di lavoro on-premise risolvino i nomi su Google Cloud, puoi configurare un criterio del server in entrata.

Per informazioni dettagliate sui criteri dei server, consulta la panoramica dei criteri dei server.

Per configurare e applicare i criteri dei server DNS, consulta la pagina Applicare i criteri dei server DNS.

Criteri di risposta

Un criterio di risposta è un concetto di zona privata di Cloud DNS che contiene regole anziché record. Queste regole possono essere utilizzate per ottenere effetti simili alla bozza di zona dei criteri di risposta DNS (RPZ) (IETF). La funzionalità dei criteri di risposta consente di introdurre regole personalizzate nei server DNS all'interno della tua rete che il resolver DNS consulta durante le ricerche. Se una regola nel criterio di risposta influisce sulla query in entrata, questa viene elaborata. In caso contrario, la ricerca continua normalmente. Per maggiori informazioni, consulta Gestire i criteri e le regole di risposta.

Un criterio di risposta è diverso da una RPZ, che è una zona DNS normalmente normale con dati appositamente formattati che causa operazioni speciali da parte di resolver compatibili. I criteri di risposta non sono zone DNS e sono gestiti separatamente nell'API. Per creare e modificare i criteri di risposta in Cloud DNS, utilizza l'API ResponsePolicies. I criteri di risposta sono separati da ManagedZones e non possono essere gestiti utilizzando l'API ManagedZones o l'API RRSet.

Criteri di routing

I criteri di routing DNS ti consentono di indirizzare il traffico in base a criteri specifici. Cloud DNS supporta anche il controllo di integrità e i failover automatici incorporati in ogni criterio di routing. Il controllo di integrità è disponibile solo per i bilanciatori del carico TCP/UDP interni con l'accesso globale abilitato.

Cloud DNS supporta i seguenti criteri di routing:

  • Criterio di routing round robin ponderato
  • Criterio di geolocalizzazione
  • Criterio di routing geofencing
  • Criterio di routing del failover

È possibile applicare un solo tipo di criterio di routing alla volta a un set di record di risorse. La nidificazione o la combinazione di criteri di routing non è supportata.

Criteri di routing Round Robin ponderati

Un criterio di routing Round Robin (WRR) ponderato consente di specificare ponderazioni diverse per target DNS e Cloud DNS garantisce che il traffico sia distribuito in base alle ponderazioni. Puoi utilizzare questo criterio per supportare le configurazioni manualiactive-active o active-passive. Puoi anche suddividere il traffico tra le versioni di produzione e sperimentali del software.

Il controllo di integrità è disponibile per impostazione predefinita se i target sono ILB. Questo consente il failover automatico quando gli endpoint non superano i controlli di integrità. Nel caso di un failover, la suddivisione del traffico viene modificata automaticamente tra gli endpoint integri rimanenti. Per ulteriori dettagli, consulta la pagina Controlli di integrità.

Criteri di routing per la geolocalizzazione

Un criterio di routing per la geolocalizzazione (GEO) ti consente di mappare il traffico proveniente dalle regioni di origine (regioni di Google Cloud) a target DNS specifici. Utilizza questo criterio per distribuire le richieste in entrata a diverse istanze di servizio in base all'origine del traffico. Puoi utilizzare questa funzionalità con Internet, con traffico esterno o con traffico proveniente da Google Cloud e vincolato agli ILB. Cloud DNS utilizza la regione in cui le query entrano in Google Cloud come area geografica di origine.

Il controllo di integrità è disponibile per impostazione predefinita se i target sono ILB. Consente il failover automatico quando gli endpoint non superano i controlli di integrità. Nel caso della geolocalizzazione, il traffico passa alla successiva geolocalizzazione più vicina al traffico di origine.

Criteri di routing geofencing

Il controllo di integrità consente il tipo di criterio di routing geofencing, in cui puoi limitare il traffico a una determinata geolocalizzazione anche se tutti gli endpoint in quella località non sono integri. In un criterio di geolocalizzazione, quando si verificano errori di controllo di integrità per un bucket geografico specifico, il traffico esegue automaticamente il failover sulla geolocalizzazione successiva più vicina. Se il geofencing è attivo, il failover automatico non viene eseguito. In qualità di server autorevole, Cloud DNS deve restituire un valore e, in questo scenario, Cloud DNS restituisce tutti gli indirizzi IP inalterati quando non superano i controlli di integrità.

Criteri di routing del failover

Il criterio di routing di failover consente di configurare le configurazioni di backup attive.

Durante il normale funzionamento, gli indirizzi IP di cui è stato eseguito il provisioning nel set active vengono sempre restituiti. Quando tutti gli indirizzi IP nel set attivo non hanno esito positivo (lo stato di integrità diventa non integro), Cloud DNS inizia a gestire gli indirizzi IP nel set di backup. Puoi configurare il set di backup come criteri di geolocalizzazione e il comportamento è lo stesso descritto nella sezione dei criteri di geolocalizzazione. Se configurati come ILB, vengono controllati anche tutti gli indirizzi IP virtuali (VIP) di backup.

Inoltre, Cloud DNS supporta il traffico limitato agli indirizzi VIP di backup per garantirti che gli indirizzi VIP di backup funzionino. Puoi configurare la percentuale di traffico in inganno come frazione da 0 a 100. I valori tipici devono essere inferiori a 10, anche se Cloud DNS consente al 100% del traffico di essere trasferito al backup. La configurazione di questo stratagemma può essere utilizzata come metodo manuale per attivare il failover. Uno è che, poiché il controllo di integrità può essere applicato solo agli ILB, tutti gli indirizzi VIP configurati devono essere ILB o L4.

Controlli di integrità

Cloud DNS supporta i controlli di integrità per i bilanciatori del carico TCP/UDP interni con accesso globale abilitato.

I controlli di integrità per i bilanciatori del carico privati sono disponibili solo nelle zone gestite private. I controlli di integrità non sono disponibili per le zone di forwarding, peering e ricerca inversa gestita.

Per informazioni dettagliate sui controlli di integrità per i bilanciatori del carico, consulta la panoramica dei controlli di integrità.

Controllo di integrità per i bilanciatori del carico interni

Cloud DNS utilizza controlli di integrità unificati per tutti i controlli di integrità. Per un bilanciatore del carico HTTP(S) interno, fornisce lo stato di integrità di tutti i proxy Envoy e Cloud DNS applica un valore di soglia (20%) per determinare se un endpoint è in stato integro o meno. Finché almeno la percentuale della soglia dei proxy Envoy è in stato integro per un determinato bilanciatore del carico HTTP(S) interno, Cloud DNS invia il traffico al bilanciatore del carico HTTP(S) interno.

Una delle limitazioni per i controlli di integrità del bilanciatore del carico HTTP(S) interno è che Cloud DNS invia il traffico agli Envoy se i proxy Envoy per un bilanciatore del carico HTTP(S) interno mostrano che è integro. Tuttavia, non considera l'integrità dei backend alla base di tali proxy Envoy, che potrebbero essere in stato non integro.

Per un bilanciatore del carico TCP/UDP interno, Cloud DNS riceve indicatori di integrità diretta dalle singole istanze di backend e viene applicato lo stesso algoritmo di soglia.

L'indirizzo IP virtuale di un unico ILB può avere più servizi in esecuzione. Cloud DNS cerca gli indicatori di integrità dal protocollo e dalla porta specificati nella configurazione del controllo di integrità per il bilanciatore del carico. Per informazioni dettagliate sui controlli di integrità, consulta la pagina Controllo di integrità.

Criteri di round robin ponderati e controlli di integrità

Cloud DNS supporta ponderazioni da 0 a 1000, incluse entrambe. Quando sono inclusi i controlli di integrità, si verifica quanto segue:

  • Se configuri più target, tutti con ponderazione 0, il traffico viene distribuito uguale ai target.
  • Se configuri un nuovo target ponderato diverso da zero, questo diventa il target principale e tutto il traffico si sposta su quel target.
  • Man mano che aggiungi altri target con ponderazioni diverse da zero, Cloud DNS calcola dinamicamente la suddivisione del traffico tra i target (con ogni richiesta) e distribuisce il traffico in modo appropriato. Ad esempio, se hai configurato tre target con ponderazioni pari a 0, 25 e 75, il target con ponderazione 0 non riceve traffico, mentre il target con ponderazione pari a 25 riceve un quarto del traffico e il target rimanente riceve tre quarti del traffico in entrata.
  • Se i controlli di integrità sono associati a target ponderati diversi da zero, ma non a target ponderati zero, i target ponderati zero sono sempre considerati integri. Se tutti i record diversi da zero sono in stato non integro, Cloud DNS restituisce i record ponderati zero.
  • Se i controlli di integrità sono associati a record ponderati diversi da zero e zero e se tutti i record non superano i controlli di integrità, Cloud DNS restituisce qualsiasi target ponderato diverso da zero ed evita completamente i target ponderati zero.
  • Quando Cloud DNS sceglie un bucket di ponderazione da restituire al richiedente (un singolo elemento del criterio), viene restituito solo l'indirizzo IP in quel bucket di peso. Se specifichi un solo indirizzo IP nel bucket di ponderazione, solo quell'indirizzo IP è nella risposta. Se nel bucket di ponderazione sono presenti più indirizzi IP, Cloud DNS restituisce tutti gli indirizzi IP in ordine casuale.

Criterio di geolocalizzazione con controllo di integrità

Per i criteri di geolocalizzazione con i controlli di integrità abilitati, si verifica quanto segue:

  • Quando un bucket geografico ha più indirizzi IP configurati e tutti gli indirizzi IP sono sottoposti a controllo di integrità, vengono restituiti solo gli indirizzi IP integri.
  • Se esiste una combinazione di controlli di integrità e controlli di integrità e tutti gli indirizzi IP sottoposti a controllo di integrità hanno esito negativo, Cloud DNS restituisce tutti gli indirizzi IP per i quali non è stato configurato il controllo di integrità. In questo scenario, non si verifica il failover automatico nella geografia successiva più vicina.
  • Questo criterio instrada automaticamente il traffico al successivo bucket geografico quando:
    • Il controllo di integrità è abilitato per tutti gli indirizzi IP in un bucket geografico.
    • Il criterio è stato disattivato.
    • Tutti gli indirizzi IP non hanno superato i controlli di integrità. Questo consente di eseguire il failover automatico al successivo targeting geografico più vicino.

Logging del controllo di integrità

Cloud DNS supporta il logging dei controlli di integrità e registra lo stato dei controllo di integrità delle modifiche di backend. Ti consente di svolgere le seguenti operazioni:

  • Verifica se i criteri di routing hanno il rendimento previsto. Ad esempio:
    • Per i criteri GEO, consente di verificare se i criteri rilevano l'area geografica corretta e restituiscono il set di dati RR corretto.
    • Per i criteri WRR, consente di verificare se i criteri restituiscono gli indirizzi IP con una ponderazione corretta.
  • Identifica i problemi dell'infrastruttura con backend e indirizzi IP specifici che presentano errori.
  • Risolvi i problemi relativi al motivo per cui determinati backend non vengono mai inclusi o sono gli unici che vengono restituiti.

Per creare, modificare o eliminare i criteri di routing DNS, consulta Gestire i criteri di routing DNS e i controlli di integrità.

Tipi di record supportati per i criteri di routing DNS

I criteri di routing DNS non supportano tutti i tipi di record attualmente supportati da Cloud DNS. I criteri di routing DNS supportano i seguenti tipi di record.

Tipo di record Description
A Indirizzi IPv4
AAAA Indirizzi IPv6
CNAME Nomi canonici
MX Record Exchange
Valore di ricarica suggerito Host/porta (RFC 2782)
TXT Dati di testo