En esta página, se describe cómo configurar las políticas del servidor de Cloud DNS y usarlas con redes de nube privada virtual (VPC). Antes de usar esta página, revisa la descripción general de las políticas del servidor DNS.
Antes de comenzar
En la API de Cloud DNS, se requiere que crees un proyecto de Google Cloud y que habilites la API de Cloud DNS.
Si creas una aplicación que usa la API de REST, también debes crear un ID de cliente de OAuth 2.0.
- Si aún no lo hiciste, regístrate para obtener una Cuenta de Google.
- Habilita la API de Cloud DNS en la consola de Google Cloud. Puedes seleccionar un proyecto existente de Compute Engine o App Engine, o puedes crear un proyecto nuevo.
- Si necesitas realizar solicitudes a la API de REST, deberás crear un ID de OAuth 2.0. Consulta Configura OAuth 2.0.
- En el proyecto, observa la siguiente información que deberás ingresar en los pasos posteriores:
-
El ID de cliente (
xxxxxx.apps.googleusercontent.com
). - El ID del proyecto que deseas usar. Puedes encontrar el ID en la parte superior de la página Descripción general en la consola de Google Cloud. También puedes solicitarle al usuario que proporcione el nombre del proyecto que desea usar en tu app.
-
El ID de cliente (
Si no ejecutaste la Google Cloud CLI antes, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarlo con la consola de Google Cloud:
gcloud auth login
Para elegir un proyecto diferente del que elegiste anteriormente, especifica la opción --project
en la línea de comandos.
Crea políticas del servidor DNS
En cada objeto de política del servidor DNS, se puede definir cualquiera de las siguientes políticas del servidor:
- Una política del servidor entrante, en la que se habilita el reenvío entrante
- Una política del servidor saliente, en la que se especifican uno o más servidores de nombres alternativos
- Una política del servidor tanto entrante como saliente
En cada red de VPC, solo puede hacerse referencia a una política del servidor DNS. Si necesitas definir el reenvío entrante y saliente para una red de VPC, crea una política que defina una política tanto entrante como saliente.
Crea una política del servidor de entrada
Para crear una política del servidor entrante, cumple con las siguientes instrucciones. En Cloud DNS, se crea un conjunto de direcciones IP de reenviadores entrantes a partir de los rangos de direcciones IPv4 principales de las subredes en cada red de VPC a la que se aplica la política. Después de crear la política, puedes enumerar los puntos de entrada que crea Cloud DNS.
gcloud
Para crear una política de servidor entrante, ejecuta el comando dns policies
create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --enable-inbound-forwarding
Reemplaza lo siguiente:
NAME
: Es un nombre para la políticaDESCRIPTION
: Es una descripción de la políticaVPC_NETWORK_LIST
: Es una lista delimitada por comas de redes de VPC en la que se deben crear direcciones de reenvío de entrada
Terraform
Crea una política del servidor de salida
Para especificar una lista de servidores de nombres alternativos para una red de VPC, puedes crear una política de servidor saliente.
gcloud
Para crear una política de servidor saliente, ejecuta el comando dns policies
create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \ --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST
Reemplaza lo siguiente:
NAME
: Es un nombre para la políticaDESCRIPTION
: Es una descripción de la políticaVPC_NETWORK_LIST
: Es una lista delimitada por comas de redes de VPC que consultan los servidores de nombres alternativosALTERNATIVE_NAMESERVER_LIST
: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para servidores de nombres alternativos que tienen direcciones RFC 1918.PRIVATE_ALTERNATIVE_NAMESERVER_LIST
: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado.
Terraform
Crea una política del servidor para ambos
gcloud
A fin de crear una política de servidor DNS para reenvío entrante y saliente, ejecuta el comando dns policies create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \ --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \ --enable-inbound-forwarding
Reemplaza lo siguiente:
NAME
: Es un nombre para la políticaDESCRIPTION
: Es una descripción de la políticaVPC_NETWORK_LIST
: Es una lista delimitada por comas de redes de VPC en la que se deben crear las direcciones de reenvío de entrada y que deben consultar los servidores de nombres alternativosALTERNATIVE_NAMESERVER_LIST
: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para los servidores de nombres alternativos que tienen direcciones RFC 1918PRIVATE_ALTERNATIVE_NAMESERVER_LIST
: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado
Terraform
Enumera los puntos de ingreso de los reenviadores entrantes
Cuando una política del servidor entrante se aplica a una red de VPC, se crea un conjunto de direcciones IP internas regionales que sirven como destinos a los que tus sistemas locales o agentes de resolución de nombres pueden enviar consultas de DNS. Estas direcciones sirven como puntos de ingreso al orden de resolución de nombres de tu red de VPC.
Las reglas de firewall de Google Cloud no se aplican a las direcciones internas regionales que actúan como puntos de ingreso para los reenviadores entrantes. En Cloud DNS, se acepta el tráfico de TCP y UDP del puerto 53
automáticamente.
En cada reenviador entrante, se aceptan y reciben consultas de túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN) en la misma región que la dirección IP interna regional. Las instancias de VM pueden acceder al servidor de reenvío de entrada a través de cualquiera de las direcciones IP internas de la misma red de VPC. Para acceder al reenvío entrante, la interfaz de red debe tener una dirección IP externa o una subred de la NIC debe tener habilitado el Acceso privado a Google.
gcloud
Si quieres generar una lista del conjunto de direcciones IP internas regionales que funcionan como puntos de entrada para el reenvío entrante, ejecuta el comando compute addresses
list
:
gcloud compute addresses list \ --filter='purpose = "DNS_RESOLVER"' \ --format='csv(address, region, subnetwork)'
Actualiza las políticas de DNS
En las siguientes secciones, se proporciona información para cambiar las redes de VPC y habilitar o inhabilitar el reenvío de entrada.
Cambia las redes de VPC
En la siguiente lista, se describe qué sucede cuando cambias la lista de redes de VPC a las que se aplica una política de DNS:
- Si en la política se especifica una política de entrada, los puntos de ingreso para los reenviadores entrantes se crean en las redes de VPC según sea necesario.
Si en la política se especifica una política de salida, el orden de resolución de nombres de cada red de VPC se actualiza para incluir los servidores de nombres alternativos especificados.
gcloud
Para modificar la lista de redes a las que se aplica una política de servidor DNS, ejecuta el comando dns policies update
:
gcloud dns policies update NAME \ --networks=VPC_NETWORK_LIST
Reemplaza lo siguiente:
NAME
: Es un nombre para la políticaVPC_NETWORK_LIST
: Es una lista delimitada por comas de redes de VPC a las que se aplica la política. La lista de redes de VPC que especificas reemplaza a la lista anterior
Habilita o inhabilita el reenvío de entrada
Puedes habilitar el reenvío entrante para una política del servidor DNS que defina solo una política de salida (servidor de nombres alternativo). También puedes inhabilitar el reenvío entrante para una política de DNS existente.
gcloud
A fin de habilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies
update
:
gcloud dns policies update NAME \ --enable-inbound-forwarding
A fin de inhabilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies
update
:
gcloud dns policies update NAME \ --no-enable-inbound-forwarding
Reemplaza NAME
por el nombre de la política.
Enumera las políticas de DNS
gcloud
Para enumerar las políticas del servidor DNS en tu proyecto, ejecuta el comando dns policies
list
:
gcloud dns policies list
Borra una política de DNS
gcloud
Para borrar una política de servidor, ejecuta el comando dns policies
delete
:
gcloud dns policies delete NAME
Reemplaza NAME
por el nombre de la política que deseas borrar.
¿Qué sigue?
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.