En esta página, se describe cómo configurar las políticas del servidor de Cloud DNS y usarlas con redes de nube privada virtual (VPC). Antes de usar esta página, familiarízate con la sección de políticas del servidor DNS en la descripción general de Cloud DNS.
Antes de comenzar
En la API de Cloud DNS, se requiere que crees un proyecto de Google Cloud y que habilites la API de Cloud DNS.
Si creas una aplicación que usa la API de REST, también debes crear un ID de cliente de OAuth 2.0.
- Si aún no lo hiciste, regístrate para obtener una Cuenta de Google.
- Habilita la API de Cloud DNS en Cloud Console. Puedes seleccionar un proyecto existente de Compute Engine o App Engine, o puedes crear un proyecto nuevo.
- Si necesitas realizar solicitudes a la API de REST, debes crear un ID de OAuth 2.0: Configura OAuth 2.0.
- En el proyecto, observa la siguiente información que deberás ingresar en los pasos posteriores:
- El ID de cliente (
xxxxxx.apps.googleusercontent.com). - El ID del proyecto que deseas usar. Puedes encontrar el ID en la parte superior de la página Descripción general en Cloud Console. También podrías solicitarle a tu usuario que proporcione el nombre del proyecto que desea usar en tu aplicación.
- El ID de cliente (
Si no ejecutaste la herramienta de línea de comandos de gcloud antes, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarlo con Google Cloud Console:
gcloud auth login
Para elegir un proyecto diferente del que elegiste anteriormente, especifica la opción --project en la línea de comandos.
Crea políticas del servidor DNS
En cada objeto de política del servidor DNS, se puede definir cualquiera de las siguientes políticas del servidor:
- Una política del servidor entrante, en la que se habilita el reenvío entrante
- Una política del servidor saliente, en la que se especifican uno o más servidores de nombres alternativos
- Una política del servidor tanto entrante como saliente
En cada red de VPC, solo puede hacerse referencia a una política del servidor DNS. Si necesitas definir el reenvío entrante y saliente para una red de VPC, crea una política que defina una política tanto entrante como saliente.
Crea una política del servidor entrante
Para crear una política del servidor entrante, cumple con las siguientes instrucciones. En Cloud DNS, se crea un conjunto de direcciones IP de reenviadores entrantes en cada red de VPC en la que se aplica la política. Después de crear la política, puedes enumerar los puntos de entrada que crea Cloud DNS.
gcloud
Para crear una política de servidor entrante, ejecuta el comando dns policies
create:
gcloud dns policies create NAME \
--description=DESCRIPTION \
--networks=VPC_NETWORK_LIST \
--enable-inbound-forwarding
Reemplaza lo siguiente:
NAME: Es un nombre para la políticaDESCRIPTION: Es una descripción de la políticaVPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC en la que se deben crear direcciones de reenvío de entrada
Crea una política del servidor saliente
Si deseas crear una política del servidor saliente para modificar el orden de resolución de nombres de una red de VPC, dirige todas las consultas de DNS a un servidor de nombres alternativo. Para hacerlo, cumple con las siguientes instrucciones: Antes de comenzar, asegúrate de comprender las diferencias entre el enrutamiento estándar y privado y los requisitos de red para los servidores de nombres alternativos.
gcloud
Para crear una política de servidor saliente, ejecuta el comando dns policies
create:
gcloud dns policies create NAME \
--description=DESCRIPTION \
--networks=VPC_NETWORK_LIST \
--alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
--private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST
Reemplaza lo siguiente:
NAME: Es un nombre para la políticaDESCRIPTION: Es una descripción de la políticaVPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC que consultan los servidores de nombres alternativosALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para servidores de nombres alternativos que tienen direcciones RFC 1918.PRIVATE_ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado.
Crea una política del servidor para ambos
gcloud
A fin de crear una política de servidor DNS para reenvío entrante y saliente, ejecuta el comando dns policies create:
gcloud dns policies create NAME \
--description=DESCRIPTION \
--networks=VPC_NETWORK_LIST \
--alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
--private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \
--enable-inbound-forwarding
Reemplaza lo siguiente:
NAME: Es un nombre para la políticaDESCRIPTION: Es una descripción de la políticaVPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC en la que se deben crear las direcciones de reenvío de entrada y que deben consultar los servidores de nombres alternativosALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos. El enrutamiento privado solo se usa para los servidores de nombres alternativos que tienen direcciones RFC 1918PRIVATE_ALTERNATIVE_NAMESERVER_LIST: Es una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos, a los que se accede mediante enrutamiento privado
Enumera los puntos de ingreso de los reenviadores entrantes
Cuando una política del servidor entrante se aplica a una red de VPC, se crea un conjunto de direcciones IP internas regionales que sirven como destinos a los que tus sistemas locales o agentes de resolución de nombres pueden enviar solicitudes de DNS en Cloud DNS. Estas direcciones sirven como puntos de ingreso al orden de resolución de nombres de tu red de VPC.
Las reglas de firewall de Google Cloud no se aplican a las direcciones internas regionales que actúan como puntos de ingreso para los reenviadores entrantes. En Cloud DNS, se acepta el tráfico de TCP y UDP del puerto 53 automáticamente.
En cada reenviador entrante, se aceptan y reciben consultas de túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN) en la misma región que la dirección IP interna regional.
gcloud
Si quieres generar una lista del conjunto de direcciones IP internas regionales que funcionan como puntos de entrada para el reenvío entrante, ejecuta el comando compute addresses
list:
gcloud compute addresses list \
--filter='purpose = "DNS_RESOLVER"' \
--format='csv(address, region, subnetwork)'
Actualiza las políticas de DNS
En las siguientes secciones, se proporciona información para cambiar las redes de VPC y habilitar o inhabilitar el reenvío de entrada.
Cambia las redes de VPC
En la siguiente lista, se describe qué sucede cuando cambias la lista de redes de VPC a las que se aplica una política de DNS:
- Si en la política se especifica una política de entrada, los puntos de ingreso para los reenviadores entrantes se crean en las redes de VPC según sea necesario.
Si en la política se especifica una política de salida, el orden de resolución de nombres de cada red de VPC se actualiza para dirigir todas las solicitudes a un servidor de nombres alternativo.
gcloud
Para modificar la lista de redes a las que se aplica una política de servidor DNS, ejecuta el comando dns policies update:
gcloud dns policies update NAME \
--networks=VPC_NETWORK_LIST
Reemplaza lo siguiente:
NAME: Es un nombre para la políticaVPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC a las que se aplica la política. La lista de redes de VPC que especificas reemplaza a la lista anterior
Habilita o inhabilita el reenvío entrante
Puedes habilitar el reenvío entrante para una política del servidor DNS que defina solo una política de salida (servidor de nombres alternativo). También puedes inhabilitar el reenvío entrante para una política de DNS existente.
gcloud
A fin de habilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies
update:
gcloud dns policies update NAME \
--enable-inbound-forwarding
A fin de inhabilitar el reenvío entrante para una política de servidor DNS, ejecuta el comando dns policies
update:
gcloud dns policies update NAME \
--no-enable-inbound-forwarding
Reemplaza NAME por el nombre de la política.
Enumera las políticas de DNS
gcloud
Para enumerar las políticas del servidor DNS en tu proyecto, ejecuta el comando dns policies
list:
gcloud dns policies list
Borra una política de DNS
gcloud
Para borrar una política de servidor, ejecuta el comando dns policies
delete:
gcloud dns policies delete NAME
Reemplaza NAME por el nombre de la política que deseas borrar.
Requisitos de red del servidor de nombres alternativo
Cuando se remiten solicitudes a servidores de nombres alternativos con Cloud DNS, se envían paquetes con los rangos de origen enumerados en la siguiente tabla. Para obtener información adicional sobre los diferentes tipos de servidores de nombres, consulta servidores de nombres alternativos y métodos de enrutamiento.
| Tipo de servidor de nombres alternativo | Rangos de origen |
|---|---|
Servidor de nombres de tipo 1 Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC con la política de salida. Servidor de nombres de tipo 2 Es una dirección IP de un sistema local, conectada a la red de VPC con la política de salida, mediante Cloud VPN o Cloud Interconnect. |
En Cloud DNS, se usa el rango de origen |
Servidor de nombres de tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC. |
Rangos de origen de DNS público de Google |
Servidores de nombres alternativos tipo 1 y 2
Cloud DNS requiere lo siguiente para acceder a un servidor de nombres alternativo de tipo 1 o tipo 2. Estos requisitos son los mismos si el servidor de nombres es una dirección IP RFC 1918 y usas el enrutamiento estándar o si eliges el enrutamiento privado:
Configuración de firewall de
35.199.192.0/19Para los servidores de nombres de tipo 1, debes crear una regla de firewall de entrada permitida para el puerto TCP y UDP
53, aplicable a tus servidores de nombres alternativos en cada red de VPC configurada para usar una política de salida que especifique el servidor de nombres. Para los servidores de nombres de tipo 2, configura un firewall de red local y equipos similares para permitir el puerto53de TCP y UDP.Enruta al servidor de nombres alternativo
En el caso de los servidores de nombres de tipo 1, Cloud DNS usa una ruta de subred para acceder al servidor de nombres en la red de VPC configurada con el fin de usar una política de salida que especifique el servidor de nombres. Para los servidores de nombres de tipo 2, Cloud DNS usa rutas dinámicas personalizadas o personalizadas, excepto las rutas estáticas etiquetadas, a fin de acceder al servidor de nombres.
Muestra la ruta a
35.199.192.0/19a través de la misma red de VPCPara los servidores de nombres de tipo 1, Google Cloud agrega de forma automática una ruta de retorno especial para el destino
35.199.192.0/19. Para los servidores de nombres de tipo 2, tu red local debe tener una ruta para el destino35.199.192.0/19, cuyo siguiente salto se encuentra en la misma red de VPC y región en la que se originó la solicitud, a través de una Túnel de Cloud VPN o adjunto de Cloud Interconnect (VLAN). Si deseas obtener información a fin de cumplir este requisito, consulta las Muestra estrategias de ruta para servidores de nombres de tipo 2.Respuesta directa desde un servidor de nombres alternativo
Cloud DNS requiere que el servidor de nombres alternativo que recibe paquetes sea el que envíe respuestas a
35.199.192.0/19. Si desde tu servidor de nombres se envía la solicitud a un servidor de nombres diferente y con ese otro servidor de nombres se responde a35.199.192.0/19, en Cloud DNS se ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de cada respuesta de DNS del servidor de nombre coincida con la dirección IP del servidor de nombres alternativo.
Muestra estrategias de ruta para servidores de nombres de tipo 2
Las respuestas de los servidores de nombres de tipo 2 no se pueden enviar a través de Internet, a través de otra red de VPC ni a otra región (incluso en la misma red de VPC). Las respuestas deben regresar a la misma región y red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o adjunto de Cloud Interconnect (VLAN) en la misma región y red.
- En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea
35.199.192.0/19y cuyo siguiente salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir35.199.192.0/19. - Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura un anuncio de ruta personalizado en
35.199.192.0/19en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.
Servidores de nombre alternativos de tipo 3
Cuando Cloud DNS usa el enrutamiento estándar para acceder a una dirección IP externa, se espera que el servidor de nombres alternativo sea un sistema de Internet de acceso público o una dirección IP externa de un recurso de Google Cloud.
Por ejemplo, un servidor de nombres alternativo de tipo 3 incluye la dirección IP externa de una VM en una red de VPC diferente.
No se admite el enrutamiento privado a los servidores de nombres alternativos de tipo 3.
¿Qué sigue?
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.