Cloud DNS-Serverrichtlinien anwenden

Auf dieser Seite wird beschrieben, wie Sie Cloud DNS-Serverrichtlinien konfigurieren und mit VPC-Netzwerken (Virtual Private Cloud) verwenden. Machen Sie sich mit den Cloud DNS-Konzepten vertraut, bevor Sie auf dieser Seite weiterlesen.

Vorbereitung

Für die Cloud DNS API müssen Sie ein Google Cloud-Projekt erstellen und die Cloud DNS API aktivieren.

Wenn Sie eine Anwendung erstellen, die die REST API verwendet, müssen Sie auch eine OAuth 2.0-Client-ID anlegen.

  1. Registrieren Sie sich für ein Google-Konto, falls noch nicht geschehen, .
  2. Aktivieren Sie die Cloud DNS API in der Cloud Console. Sie können ein vorhandenes Compute Engine- oder App Engine-Projekt auswählen oder ein neues Projekt erstellen.
  3. Für Anfragen an die REST API müssen Sie eine OAuth 2.0-Client-ID erstellen.
  4. Notieren Sie sich die folgenden Daten des Projekts, die in Schritten weiter unten eingegeben werden müssen:
    • Die Client-ID (xxxxxx.apps.googleusercontent.com).
    • Die Projekt-ID, die Sie verwenden möchten. Die ID finden Sie in der Cloud Console oben auf der Seite Übersicht. Sie können auch den Nutzer nach dem Projektnamen fragen, der in Ihrer Anwendung verwendet werden soll.

Wenn Sie das gcloud-Befehlszeilentool zuvor noch nicht ausgeführt haben, müssen Sie mit dem folgenden Befehl den Projektnamen angeben und bei der Cloud Console authentifizieren:

gcloud auth login

Wenn Sie ein anderes Projekt als zuvor auswählen möchten, geben Sie in der Befehlszeile die Option --project an.

DNS-Serverrichtlinien erstellen

Jedes DNS-Serverrichtlinienobjekt kann eine der folgenden Serverrichtlinien definieren:

Jedes VPC-Netzwerk kann auf maximal eine DNS-Serverrichtlinie verweisen. Wenn Sie die Weiterleitung sowohl für eingehenden als auch für ausgehenden Traffic für ein VPC-Netzwerk definieren müssen, erstellen Sie eine Richtlinie, die sowohl eingehenden als auch ausgehenden Traffic definiert.

Weitere Informationen zu DNS-Serverrichtlinien finden Sie unter DNS-Serverrichtlinien.

Serverrichtlinie für eingehenden Traffic erstellen

So erstellen Sie eine Serverrichtlinie für eingehenden Traffic: Cloud DNS erstellt in jedem VPC-Netzwerk, für das die Richtlinie gilt, eine Reihe von Weiterleitungs-IP-Adressen für eingehenden Traffic. Nachdem Sie die Richtlinie erstellt haben, können Sie die Einstiegspunkte auflisten, die von Cloud DNS erstellt werden.

gcloud

Verwenden Sie den Befehl dns policy create, um eine neue Serverrichtlinie für eingehenden Traffic zu erstellen:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --enable-inbound-forwarding

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: ein Name für die Richtlinie
  • description: eine Beschreibung der Richtlinie
  • vpc-network-list: eine durch Kommas getrennte Liste von VPC-Netzwerken, in denen eingehende Weiterleitungsadressen erstellt werden müssen

Serverrichtlinie für ausgehenden Traffic erstellen

Sie können eine Serverrichtlinie für ausgehenden Traffic erstellen, um die Reihenfolge der Namensauflösung eines VPC-Netzwerks zu ändern, indem Sie alle DNS-Abfragen an einen alternativen Nameserver weiterleiten. Führen Sie hierzu folgende Schritte aus: Bevor Sie beginnen, sollten Sie sich mit den Unterschieden zwischen Standard- und privatem Routing und den Netzwerkanforderungen an alternative Nameserver vertraut machen.

gcloud

Verwenden Sie den Befehl dns policy create, um eine neue Serverrichtlinie für ausgehenden Traffic zu erstellen:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --alternative-name-servers=alternative-nameserver-list \
    --private-alternative-name-servers=private-alternative-nameserver-list

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: ein Name für die Richtlinie
  • description: eine Beschreibung der Richtlinie
  • vpc-network-list: eine durch Kommas getrennte Liste von VPC-Netzwerken, die die alternativen Nameserver abfragen
  • alternative-nameserver-list: Eine durch Kommas getrennte Liste von IP-Adressen, die als alternative Nameserver verwendet werden sollen. Privates Routing wird nur für alternative Nameserver mit RFC-1918-Adressen verwendet.
  • private-alternative-nameserver-list: Eine durch Kommas getrennte Liste von IP-Adressen, die als alternative Nameserver verwendet werden sollen und auf die über ein privates Routing zugegriffen wird. Weitere Informationen finden Sie unter Alternative Nameserver und Routingmethoden.

Serverrichtlinie für beides erstellen

gcloud

Verwenden Sie den Befehl dns policy create, um eine neue DNS-Serverrichtlinie für die Weiterleitung von eingehendem und ausgehendem Traffic zu erstellen:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --alternative-name-servers=alternative-nameserver-list \
    --private-alternative-name-servers=private-alternative-nameserver-list \
    --enable-inbound-forwarding

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: ein Name für die Richtlinie
  • description: eine Beschreibung der Richtlinie
  • vpc-network-list: Eine durch Kommas getrennte Liste von VPC-Netzwerken, in denen eingehende Weiterleitungsadressen erstellt werden und die alternative Nameserver abfragen müssen
  • alternative-nameserver-list: Eine durch Kommas getrennte Liste von IP-Adressen, die als alternative Nameserver verwendet werden sollen. Privates Routing wird nur für alternative Nameserver mit RFC-1918-Adressen verwendet.
  • private-alternative-nameserver-list: Eine durch Kommas getrennte Liste von IP-Adressen, die als alternative Nameserver verwendet werden sollen und auf die über ein privates Routing zugegriffen wird. Weitere Informationen finden Sie unter Alternative Nameserver und Routingmethoden.

Weiterleitungs-Einstiegspunkte für eingehenden Traffic auflisten

Wenn eine Serverrichtlinie für eingehenden Traffic auf ein VPC-Netzwerk angewendet wird, erstellt Cloud DNS eine Reihe regionaler interner IP-Adressen, die als Ziele dienen, an die Ihre lokalen Systeme oder Namensauflöser DNS-Anfragen senden können. Diese Adressen dienen als Einstiegspunkte für die Reihenfolge der Namensauflösung Ihres VPC-Netzwerks.

Google Cloud-Firewallregeln gelten nicht für die regionalen internen Adressen, die als Einstiegspunkte für Weiterleitungen von eingehendem Traffic dienen. Cloud DNS akzeptiert TCP- und UDP-Traffic auf Port 53 automatisch.

Jede Weiterleitung von eingehendem Traffic akzeptiert und empfängt Abfragen von Cloud VPN-Tunneln oder Cloud Interconnect-Anhängen (VLANs) in derselben Region wie die regionale interne IP-Adresse.

gcloud

Verwenden Sie zum Auflisten der regionalen internen IP-Adressen, die als Einstiegspunkte für die Weiterleitung von eingehendem Traffic dienen, den Befehl compute address list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

DNS-Richtlinien aktualisieren

VPC-Netzwerke ändern

Wenn Sie die Liste der VPC-Netzwerke ändern, für die eine DNS-Richtlinie gilt, ist Folgendes zu beachten:

  • Wenn die Richtlinie eine Richtlinie für eingehenden Traffic festlegt, werden in VPC-Netzwerken nach Bedarf Einstiegspunkte für Weiterleitungen von eingehendem Traffic erstellt.
  • Wenn die Richtlinie eine Richtlinie für ausgehenden Traffic festlegt, wird die Reihenfolge der Namensauflösung jedes VPC-Netzwerks aktualisiert, um alle Anfragen an einen alternativen Nameserver weiterzuleiten.

gcloud

Verwenden Sie den Befehl dns policy update, um die Liste der Netzwerke zu ändern, auf die eine DNS-Serverrichtlinie angewendet wird:

gcloud dns policies update name \
    --networks=vpc-network-list

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: ein Name für die Richtlinie
  • vpc-network-list: Eine durch Kommas getrennte Liste von VPC-Netzwerken, auf die die Richtlinie angewendet wird. Die Liste der von Ihnen angegebenen VPC-Netzwerke ersetzt die vorherige Liste.

Weiterleitung von eingehendem Traffic aktivieren oder deaktivieren

Sie können die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie aktivieren, die nur eine Richtlinie für ausgehenden Traffic (alternativer Nameserver) definiert. Sie können auch die Weiterleitung von eingehendem Traffic für eine vorhandene DNS-Richtlinie deaktivieren.

gcloud

Verwenden Sie den Befehl dns policy update, um die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie zu aktivieren:

gcloud dns policies update name \
    --enable-inbound-forwarding

Verwenden Sie den Befehl dns policy update, um die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie zu deaktivieren:

gcloud dns policies update name \
    --no-enable-inbound-forwarding

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: der Name der Richtlinie

DNS-Richtlinien auflisten

gcloud

Verwenden Sie den Befehl dns policy list, um DNS-Serverrichtlinien in Ihrem Projekt aufzulisten:

gcloud dns policies list

DNS-Richtlinie löschen

gcloud

Verwenden Sie den Befehl dns policy delete, um eine Serverrichtlinie zu löschen:

gcloud dns policies delete name

Ersetzen Sie dabei die folgenden Befehlsoptionen:

  • name: der Name der Richtlinie, die entfernt werden soll

Netzwerkanforderungen an alternative Nameserver

Wenn Cloud DNS Anfragen an alternative Nameserver sendet, werden Pakete mit den in der folgenden Tabelle aufgeführten Quellbereichen gesendet: Weitere Hintergrundinformationen zu den verschiedenen Arten von Nameservern finden Sie unter Alternative Nameserver und Routingmethoden.

Alternativer Nameserver-Typ Quellbereiche
  • Nameserver vom Typ 1
    (VMs in einem VPC-Netzwerk mit ausgehender Richtlinie)
  • Nameserver vom Typ 2
    (lokal, mit einem VPC-Netzwerk mit der Richtlinie für ausgehenden Traffic verbunden)
35.199.192.0/19
Cloud DNS verwendet den Quellbereich 35.199.192.0/19 für alle Kunden. Dieser Bereich ist nur über ein Google Cloud-VPC-Netzwerk oder über ein lokales Netzwerk erreichbar, das mit einem VPC-Netzwerk verbunden ist.
  • Nameserver vom Typ 3
    (Zugriff über Internet)
Google Public DNS-Quellbereiche

Alternative Nameserver vom Typ 1 und 2

Cloud DNS erfordert Folgendes, um auf einen alternativen Nameserver des Typs 1 oder 2 zuzugreifen. Diese Anforderungen sind identisch, unabhängig davon, ob der Nameserver eine RFC 1918-IP-Adresse ist und Sie das Standard-Routing verwenden oder wenn Sie explizit ein privates Routing ausgewählt haben:

  • Firewallregel für 35.199.192.0/19: Erstellen Sie für Nameserver des Typs 1 eine Firewallregel für zulässigen eingehenden Traffic für TCP- und UDP-Port 53. Gilt für Ihre alternativen Nameserver in jedem VPC-Netzwerk, das für die Verwendung einer ausgehenden Richtlinie konfiguriert ist, die den Nameserver angibt. Konfigurieren Sie für Nameserver vom Typ 2 eine lokale Netzwerk-Firewall und ähnliche Geräte, um den TCP- und UDP-Port 53 zuzulassen.
  • Weiterleitung zum alternativen Nameserver: Bei Nameservern vom Typ 1 greift Cloud DNS über eine Subnetzroute auf den Nameserver im VPC-Netzwerk zu, der für die Verwendung einer ausgehenden Richtlinie konfiguriert ist, die den Nameserver angibt. Für Nameserver vom Typ 2 verwendet Cloud DNS entweder benutzerdefinierte dynamische oder benutzerdefinierte statische Routen, mit Ausnahme von getaggten statischen Routen, um auf den Nameserver zuzugreifen.
  • Rückwegroute nach 35.199.192.0/19 über dasselbe VPC-Netzwerk: Bei Nameservern vom Typ 1 fügt Google Cloud automatisch eine spezielle Rückwegroute für das Ziel 35.199.192.0/19 hinzu. Bei Nameservern vom Typ 2 muss Ihr lokales Netzwerk eine Route für das Ziel 35.199.192.0/19 haben, deren nächster Hop sich im selben VPC-Netzwerk und in derselben Region befindet wie die Anfrage. Dies erfolgt durch einen Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) Informationen zum Erfüllen dieser Anforderung finden Sie unter Rückwegroutenstrategien für Nameserver vom Typ 2.

  • Direkte Antwort vom alternativen Nameserver: Cloud DNS erfordert, dass der alternative Nameserver, der Pakete empfängt, derjenige ist, der Antworten an 35.199.192.0/19 sendet. Wenn Ihr Nameserver die Anfrage an einen anderen Nameserver sendet und dieser andere Nameserver auf 35.199.192.0/19 antwortet, ignoriert Cloud DNS die Antwort. Aus Sicherheitsgründen erwartet Google Cloud, dass die Quelladresse der DNS-Antwort jedes alternativen Nameservers mit der IP-Adresse des alternativen Nameservers übereinstimmt.

Rückwegroutenstrategien für Nameserver vom Typ 2 zurück

Antworten von Nameserver-2-Servern können nicht über das Internet, ein anderes VPC-Netzwerk oder eine andere Region gesendet werden (auch im selben VPC-Netzwerk). Antworten müssen in dieselbe Region und dasselbe VPC-Netzwerk zurückgegeben werden. Allerdings können sie einen beliebigen Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) in derselben Region und im selben Netzwerk verwenden.

  • Erstellen Sie für Cloud VPN-Tunnel, die statisches Routing verwenden, manuell eine Route in Ihrem lokalen Netzwerk, deren Ziel 35.199.192.0/19 und deren nächster Hop der Cloud VPN-Tunnel ist. Für Cloud VPN-Tunnel, die richtlinienbasiertes Routing verwenden, konfigurieren Sie die lokale Trafficauswahl des Cloud VPN und die Remote-Trafficauswahl des lokalen VPN-Gateways so, dass 35.199.192.0/19 enthalten ist.
  • Für Cloud VPN-Tunnel, die dynamisches Routing verwenden, und für Cloud Interconnect konfigurieren Sie ein benutzerdefiniertes Route Advertisement für 35.199.192.0/19 der BGP-Sitzung auf dem Cloud Router, der den Tunnel oder Interconnect-Anhang (VLAN) verwaltet.

Alternative Nameserver vom Typ 3

Wenn Cloud DNS mithilfe des Standardroutings auf eine IP-Adresse außerhalb des RFC 1918-Bereichs zugreift, muss der alternative Nameserver öffentlich zugänglich sein.

Tipp