Aplica políticas del servidor de Cloud DNS

En esta página, se describe cómo configurar las políticas del servidor de Cloud DNS y usarlas con redes de nube privada virtual (VPC). Antes de usar esta página, revisa la descripción general de las políticas del servidor DNS.

Antes de comenzar

En la API de Cloud DNS, se requiere que crees un proyecto de Google Cloud y que habilites la API de Cloud DNS.

Si creas una aplicación que usa la API de REST, también debes crear un ID de cliente de OAuth 2.0.

Si aún no lo hiciste, regístrate para obtener una Cuenta de Google.
Habilita la API de Cloud DNS en la consola de Google Cloud. Puedes seleccionar un proyecto existente de Compute Engine o App Engine, o puedes crear un proyecto nuevo.
Si necesitas realizar solicitudes a la API de REST, debes crear un ID de OAuth 2.0: Configura OAuth 2.0.
En el proyecto, observa la siguiente información que deberás ingresar en los pasos posteriores:
- El ID de cliente (xxxxxx.apps.googleusercontent.com).
- El ID del proyecto que deseas usar. Puedes encontrar el ID en la parte superior de la página Descripción general en la consola de Google Cloud. También podrías solicitarle a tu usuario que proporcione el nombre del proyecto que desea usar en tu aplicación.

Si no ejecutaste la CLI de Google Cloud antes, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarlo con Google Cloud Console:

gcloud auth login

Para elegir un proyecto diferente del que elegiste anteriormente, especifica la opción --project en la línea de comandos.

Crea políticas del servidor DNS

En cada objeto de política del servidor DNS, se puede definir cualquiera de las siguientes políticas del servidor:

Una política del servidor entrante, en la que se habilita el reenvío entrante
Una política del servidor saliente, en la que se especifican uno o más servidores de nombres alternativos
Una política del servidor tanto entrante como saliente

En cada red de VPC, solo puede hacerse referencia a una política del servidor DNS. Si necesitas definir el reenvío entrante y saliente para una red de VPC, crea una política que defina una política tanto entrante como saliente.

Nota: Una política de salida se encarga del orden de resolución de nombres de VPC por completo. Una red de VPC con una política de salida no puede usar zonas privadas administradas de Cloud DNS, zonas de reenvío, zonas de intercambio de tráfico, políticas de respuesta, DNS interno de Compute Engine o Cloud DNS para Google Kubernetes Engine. Si necesitas alguna de estas funciones, usa una zona comodín de reenvío (* o .) (todos los demás nombres de DNS) en lugar de una política de salida.

Crea una política del servidor de entrada

Para crear una política del servidor entrante, cumple con las siguientes instrucciones. En Cloud DNS, se crea un conjunto de direcciones IP de reenviadores entrantes en cada red de VPC en la que se aplica la política. Después de crear la política, puedes enumerar los puntos de entrada que crea Cloud DNS.

gcloud

Para crear una política de servidor entrante, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --enable-inbound-forwarding

Reemplaza lo siguiente:

NAME: Es un nombre para la política
DESCRIPTION: Es una descripción de la política
VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC en la que se deben crear direcciones de reenvío de entrada

Terraform

dns_policy_basic/main.tf

Ver en GitHub

resource "google_dns_policy" "example-policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network-1.id
  }
  networks {
    network_url = google_compute_network.network-2.id
  }
}

resource "google_compute_network" "network-1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network-2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Crea una política del servidor de salida

Si deseas crear una política del servidor saliente para modificar el orden de resolución de nombres de una red de VPC, dirige todas las consultas de DNS a un servidor de nombres alternativo. Para hacerlo, cumple con las siguientes instrucciones: Antes de comenzar, asegúrate de comprender las diferencias entre el enrutamiento estándar y privado y los requisitos de red para los servidores de nombres alternativos.

gcloud

Para crear una política de servidor saliente, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST

Reemplaza lo siguiente:

NAME: Es un nombre para la política
DESCRIPTION: Es una descripción de la política
VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC que consultan los servidores de nombres alternativos
ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para servidores de nombres alternativos que tienen direcciones RFC 1918.
PRIVATE_ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado.

Crea una política del servidor para ambos

gcloud

A fin de crear una política de servidor DNS para reenvío entrante y saliente, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \
    --enable-inbound-forwarding

Reemplaza lo siguiente:

NAME: Es un nombre para la política
DESCRIPTION: Es una descripción de la política
VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC en la que se deben crear las direcciones de reenvío de entrada y que deben consultar los servidores de nombres alternativos
ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para los servidores de nombres alternativos que tienen direcciones RFC 1918
PRIVATE_ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado

Enumera los puntos de ingreso de los reenviadores entrantes

Cuando una política del servidor entrante se aplica a una red de VPC, se crea un conjunto de direcciones IP internas regionales que sirven como destinos a los que tus sistemas locales o agentes de resolución de nombres pueden enviar solicitudes de DNS en Cloud DNS. Estas direcciones sirven como puntos de ingreso al orden de resolución de nombres de tu red de VPC.

Las reglas de firewall de Google Cloud no se aplican a las direcciones internas regionales que actúan como puntos de ingreso para los reenviadores entrantes. En Cloud DNS, se acepta el tráfico de TCP y UDP del puerto 53 automáticamente.

En cada reenviador entrante, se aceptan y reciben consultas de túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN) en la misma región que la dirección IP interna regional. Las instancias de VM pueden acceder al servidor de reenvío de entrada a través de cualquiera de las direcciones IP internas de la misma red de VPC. Para acceder al reenvío entrante, la interfaz de red debe tener una dirección IP externa o una subred de la NIC debe tener habilitado el Acceso privado a Google.

gcloud

Si quieres generar una lista del conjunto de direcciones IP internas regionales que funcionan como puntos de entrada para el reenvío entrante, ejecuta el comando compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Actualiza las políticas de DNS

En las siguientes secciones, se proporciona información para cambiar las redes de VPC y habilitar o inhabilitar el reenvío de entrada.

Cambia las redes de VPC

En la siguiente lista, se describe qué sucede cuando cambias la lista de redes de VPC a las que se aplica una política de DNS:

Si en la política se especifica una política de entrada, los puntos de ingreso para los reenviadores entrantes se crean en las redes de VPC según sea necesario.
Si en la política se especifica una política de salida, el orden de resolución de nombres de cada red de VPC se actualiza para dirigir todas las solicitudes a un servidor de nombres alternativo.

gcloud

Para modificar la lista de redes a las que se aplica una política de servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --networks=VPC_NETWORK_LIST

Reemplaza lo siguiente:

NAME: Es un nombre para la política
VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC a las que se aplica la política. La lista de redes de VPC que especificas reemplaza a la lista anterior

Habilita o inhabilita el reenvío de entrada

Puedes habilitar el reenvío entrante para una política del servidor DNS que defina solo una política de salida (servidor de nombres alternativo). También puedes inhabilitar el reenvío entrante para una política de DNS existente.

gcloud

A fin de habilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

A fin de inhabilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Reemplaza NAME por el nombre de la política.

Enumera las políticas de DNS

gcloud

Para enumerar las políticas del servidor DNS en tu proyecto, ejecuta el comando dns policies list:

gcloud dns policies list

Borra una política de DNS

gcloud

Para borrar una política de servidor, ejecuta el comando dns policies delete:

gcloud dns policies delete NAME

Reemplaza NAME por el nombre de la política que deseas borrar.

Requisitos de red del servidor de nombres alternativo

Cuando se remiten solicitudes a servidores de nombres alternativos con Cloud DNS, se envían paquetes con los rangos de origen enumerados en la siguiente tabla. Para obtener información adicional sobre los diferentes tipos de servidores de nombres, consulta servidores de nombres alternativos y métodos de enrutamiento.

Tipo de servidor de nombres alternativo Rangos de origen

Tipo de servidor de nombres alternativo	Rangos de origen
Servidor de nombres de tipo 1 Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC con la política de salida. Servidor de nombres de tipo 2 Es una dirección IP de un sistema local, conectada a la red de VPC con la política de salida, mediante Cloud VPN o Cloud Interconnect.	`35.199.192.0/19` En Cloud DNS, se usa el rango de origen `35.199.192.0/19` para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.
Servidor de nombres de tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC.	Rangos de origen de DNS público de Google

Servidor de nombres de tipo 1

Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC con la política de salida.

Servidor de nombres de tipo 2

Es una dirección IP de un sistema local, conectada a la red de VPC con la política de salida, mediante Cloud VPN o Cloud Interconnect.

35.199.192.0/19

En Cloud DNS, se usa el rango de origen 35.199.192.0/19 para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.

Servidor de nombres de tipo 3

Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC.

Rangos de origen de DNS público de Google

Servidores de nombres alternativos tipo 1 y 2

Cloud DNS requiere lo siguiente para acceder a un servidor de nombres alternativo de tipo 1 o tipo 2. Estos requisitos son los mismos si el servidor de nombres es una dirección IP RFC 1918 y usas el enrutamiento estándar o si eliges el enrutamiento privado:

Configuración de firewall de 35.199.192.0/19

Para los servidores de nombres de tipo 1, debes crear una regla de firewall de entrada permitida para el puerto TCP y UDP 53, aplicable a tus servidores de nombres alternativos en cada red de VPC configurada para usar una política de salida que especifique el servidor de nombres. Para los servidores de nombres de tipo 2, configura un firewall de red local y equipos similares para permitir el puerto 53 de TCP y UDP.
Enruta al servidor de nombres alternativo

En el caso de los servidores de nombres de tipo 1, Cloud DNS usa una ruta de subred para acceder al servidor de nombres en la red de VPC configurada con el fin de usar una política de salida que especifique el servidor de nombres. Para los servidores de nombres de tipo 2, Cloud DNS usa rutas dinámicas personalizadas o personalizadas, excepto las rutas estáticas etiquetadas, a fin de acceder al servidor de nombres.
Muestra la ruta a 35.199.192.0/19 a través de la misma red de VPC

Para los servidores de nombres de tipo 1, Google Cloud agrega de forma automática una ruta de retorno especial para el destino 35.199.192.0/19. Para los servidores de nombres de tipo 2, tu red local debe tener una ruta para el destino 35.199.192.0/19, cuyo siguiente salto se encuentra en la misma red de VPC y región en la que se originó la solicitud, a través de una Túnel de Cloud VPN o adjunto de Cloud Interconnect (VLAN). Si deseas obtener información a fin de cumplir este requisito, consulta las Muestra estrategias de ruta para servidores de nombres de tipo 2.
Respuesta directa desde un servidor de nombres alternativo

Cloud DNS requiere que el servidor de nombres alternativo que recibe paquetes sea el que envíe respuestas a 35.199.192.0/19. Si desde tu servidor de nombres se envía la solicitud a un servidor de nombres diferente y con ese otro servidor de nombres se responde a 35.199.192.0/19, en Cloud DNS se ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de cada respuesta de DNS del servidor de nombre coincida con la dirección IP del servidor de nombres alternativo.

Muestra estrategias de ruta para servidores de nombres de tipo 2

Las respuestas de los servidores de nombres de tipo 2 no se pueden enviar a través de Internet, a través de otra red de VPC ni a otra región (incluso en la misma red de VPC). Las respuestas deben regresar a la misma región y red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o adjunto de Cloud Interconnect (VLAN) en la misma región y red.

En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea 35.199.192.0/19 y cuyo siguiente salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.
Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura un anuncio de ruta personalizado en 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Servidores de nombre alternativos de tipo 3

Cuando Cloud DNS usa el enrutamiento estándar para acceder a una dirección IP externa, se espera que el servidor de nombres alternativo sea un sistema de Internet de acceso público o una dirección IP externa de un recurso de Google Cloud.

Por ejemplo, un servidor de nombres alternativo de tipo 3 incluye la dirección IP externa de una VM en una red de VPC diferente.

No se admite el enrutamiento privado a los servidores de nombres alternativos de tipo 3.

¿Qué sigue?

Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.