Mengonfigurasi kebijakan server DNS

Halaman ini menjelaskan cara mengonfigurasi kebijakan server DNS dan menggunakannya dengan jaringan Virtual Private Cloud (VPC). Sebelum Anda menggunakan halaman ini, tinjau ringkasan kebijakan server DNS.

Sebelum memulai

Cloud DNS API mengharuskan Anda membuat project Google Cloud dan mengaktifkan Cloud DNS API.

Jika membuat aplikasi yang menggunakan REST API, Anda juga harus membuat client ID OAuth 2.0.

  1. Jika Anda belum memilikinya, daftar untuk membuat Akun Google.
  2. Aktifkan Cloud DNS API di konsol Google Cloud . Anda dapat memilih project Compute Engine atau App Engine yang sudah ada, atau Anda dapat membuat project baru.
  3. Jika perlu membuat permintaan ke REST API, Anda harus membuat ID OAuth 2.0. Lihat Menyiapkan OAuth 2.0.
  4. Dalam project, catat informasi berikut yang perlu Anda masukkan di langkah-langkah selanjutnya:
    • Client ID (xxxxxx.apps.googleusercontent.com).
    • Project ID yang ingin Anda gunakan. Anda dapat menemukan ID di bagian atas halaman Overview di konsol Google Cloud . Anda juga dapat meminta pengguna mencantumkan nama project yang ingin ia gunakan di aplikasi Anda.

Jika belum pernah menjalankan Google Cloud CLI, Anda harus menjalankan perintah berikut untuk menentukan nama project dan melakukan autentikasi dengan konsol Google Cloud :

gcloud auth login

Untuk memilih project yang berbeda dengan project yang Anda pilih sebelumnya, tentukan opsi --project di command line.

Membuat kebijakan server DNS

Setiap objek kebijakan server DNS dapat menentukan salah satu kebijakan server berikut:

Setiap jaringan VPC hanya dapat mereferensikan satu kebijakan server DNS. Jika Anda perlu menentukan penerusan masuk dan keluar untuk jaringan VPC, buat satu kebijakan yang menetapkan kebijakan masuk dan keluar. Anda tidak dapat mengonfigurasi DNS64 dengan kebijakan server DNS masuk.

Membuat kebijakan server DNS masuk

Untuk membuat kebijakan server DNS masuk, ikuti petunjuk berikut. Cloud DNS membuat serangkaian alamat IP forwarder masuk dari rentang alamat IPv4 utama subnet di setiap jaringan VPC yang menerapkan kebijakan tersebut. Setelah membuat kebijakan, Anda dapat mencantumkan titik entri yang dibuat Cloud DNS.

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik Create policy.

  3. Di kolom Name, masukkan nama kebijakan server DNS masuk yang ingin Anda buat, seperti inbound-dns-server-policy.

  4. Di bagian Inbound query forwarding, pilih On.

  5. Anda dapat mengaktifkan DNS64 secara opsional untuk mengaktifkan komunikasi antara workload khusus IPv6 dan tujuan khusus IPv4. Baca Mengonfigurasi DNS64 untuk mengetahui informasi selengkapnya.

  6. Anda dapat mengaktifkan log DNS pribadi secara opsional di bagian Logs, tetapi aktivasi ini dapat meningkatkan biaya Anda di Cloud Logging.

  7. Di daftar Networks, pilih jaringan VPC yang ingin Anda ikatkan ke kebijakan server DNS ini.

    Jaringan hanya dapat terikat ke satu kebijakan. Jika Anda tidak dapat memilih jaringan dari daftar, jaringan tersebut sedang digunakan oleh kebijakan lain. Untuk melihat jaringan yang digunakan oleh kebijakan, lihat kolom In use by di halaman DNS server policies.

  8. Klik Create.

gcloud

Untuk membuat kebijakan server DNS masuk, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Ganti kode berikut:

  • NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang harus diikat oleh kebijakan server DNS

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Membuat kebijakan server DNS keluar

Untuk menentukan daftar server nama alternatif untuk jaringan VPC, Anda dapat membuat kebijakan server DNS keluar.

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik Create policy.

  3. Di kolom Name, masukkan nama kebijakan server DNS keluar yang ingin Anda buat, seperti outbound-dns-server-policy.

  4. Di bagian Inbound query forwarding, pilih Off.

  5. Anda dapat mengaktifkan log DNS pribadi secara opsional di bagian Logs, tetapi aktivasi ini dapat meningkatkan biaya Anda di Cloud Logging.

  6. Di bagian Alternative DNS servers (Optional), klik Add item, dan masukkan alamat IP server DNS keluar di kolom IP Address.

    • Pilih kotak centang Private forwarding jika Anda ingin menerapkan pemilihan rute pribadi ke server DNS keluar.

  7. Di daftar Networks, pilih jaringan VPC yang ingin Anda ikatkan ke kebijakan server DNS ini.

  8. Klik Create.

gcloud

Untuk membuat kebijakan server DNS keluar, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Ganti kode berikut:

  • NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang mengkueri server nama alternatif
  • ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif, yang diakses menggunakan pemilihan rute pribadi

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Membuat kebijakan server DNS untuk penerusan masuk dan keluar

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik Create policy.

  3. Di kolom Name, masukkan nama kebijakan server DNS masuk yang ingin Anda buat, seperti inbound-outbound-dns-server-policy.

  4. Di bagian Inbound query forwarding, pilih On.

  5. Anda dapat mengaktifkan log DNS pribadi secara opsional di bagian Logs, tetapi aktivasi ini dapat meningkatkan biaya Anda di Cloud Logging.

  6. Di bagian Alternative DNS servers (Optional), klik Add item, dan masukkan alamat IP server DNS keluar di kolom IP Address.

    • Pilih Private forwarding jika Anda ingin menerapkan pemilihan rute pribadi ke server DNS keluar.

  7. Di daftar Networks, pilih jaringan VPC yang ingin Anda ikatkan ke kebijakan server DNS ini.

  8. Klik Create.

gcloud

Untuk membuat kebijakan server DNS untuk penerusan masuk dan keluar, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Ganti kode berikut:

  • NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma tempat alamat penerusan masuk harus dibuat dan yang harus mengkueri server nama alternatif
  • ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif, yang diakses menggunakan pemilihan rute pribadi.

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Mencantumkan titik entri forwarder masuk

Saat kebijakan server DNS masuk berlaku untuk jaringan VPC, Cloud DNS membuat serangkaian alamat IP internal regional yang berfungsi sebagai tujuan sistem atau resolver nama lokal Anda dalam mengirim kueri DNS. Alamat ini berfungsi sebagai titik entri ke urutan resolusi nama jaringan VPC Anda.

Google Cloud Aturan firewall tidak berlaku untuk alamat internal regional yang berfungsi sebagai titik entri untuk forwarder masuk. Cloud DNS menerima traffic TCP dan UDP di port 53 secara otomatis.

Setiap forwarder masuk menyetujui dan menerima kueri dari tunnel Cloud VPN atau lampiran Cloud Interconnect (VLAN) di region yang sama dengan alamat IP internal regional. Instance VM dapat mengakses forwarder masuk melalui alamat IP internal mana pun di jaringan VPC yang sama. Untuk mengakses penerusan masuk, antarmuka jaringan harus memiliki alamat IP eksternal atau subnet NIC harus mengaktifkan Akses Google Pribadi.

Konsol

Melihat daftar titik entri forwarder masuk untuk suatu kebijakan:

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik nama kebijakan.

  3. Di halaman Policy details, klik tab In use by.

Setiap jaringan yang terikat ke kebijakan mencantumkan alamat Inbound query forwarding IP.

gcloud

Guna mencantumkan kumpulan alamat IP internal regional yang berfungsi sebagai titik entri untuk semua kebijakan penerusan masuk, jalankan perintah compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Memperbarui kebijakan DNS

Bagian berikut memberikan informasi tentang cara mengubah jaringan VPC dan mengaktifkan atau menonaktifkan penerusan masuk.

Mengubah jaringan VPC

Daftar berikut menjelaskan hal yang terjadi saat Anda mengubah daftar jaringan VPC yang menjadi cakupan kebijakan DNS:

  • Jika kebijakan menentukan kebijakan masuk, titik entri untuk forwarder masuk dibuat di jaringan VPC sesuai kebutuhan.

  • Jika kebijakan menentukan kebijakan keluar, urutan resolusi nama setiap jaringan VPC diperbarui untuk menyertakan server nama alternatif yang ditentukan.

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik nama kebijakan yang ingin diubah.

  3. Klik Edit policy.

  4. Di daftar Networks, centang atau hapus centang pada kotak di samping jaringan VPC.

  5. Klik Save.

gcloud

Untuk mengubah daftar jaringan tempat kebijakan server DNS diterapkan, jalankan perintah dns policies update:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Ganti kode berikut:

  • NAME: nama kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang menjadi cakupan kebijakan; daftar jaringan VPC yang Anda tentukan akan menggantikan daftar sebelumnya

Mengaktifkan atau menonaktifkan penerusan masuk

Anda dapat mengaktifkan penerusan masuk untuk kebijakan server DNS yang hanya menentukan kebijakan keluar (server nama alternatif). Anda juga dapat menonaktifkan penerusan masuk untuk kebijakan DNS yang ada.

Konsol

Aktifkan penerusan masuk untuk kebijakan server DNS:

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik nama kebijakan yang ingin diubah.

  3. Klik Edit policy.

  4. Di bagian Inbound query forwarding, pilih On.

  5. Klik Save.

Menonaktifkan penerusan masuk untuk kebijakan server DNS:

  1. Buka halaman Cloud DNS server policies.
  2. Klik nama kebijakan yang ingin diubah.
  3. Klik Edit policy.
  4. Di bagian Inbound query forwarding, pilih Off.
  5. Klik Save.

gcloud

Untuk mengaktifkan penerusan masuk untuk kebijakan server DNS, jalankan perintah dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Untuk menonaktifkan penerusan masuk untuk kebijakan server DNS, tentukan flag --no-enable-inbound-forwarding:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Ganti NAME dengan nama kebijakan.

Mencantumkan kebijakan DNS

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Kebijakan server DNS apa pun yang dibuat di project Anda akan tercantum.

gcloud

Untuk mencantumkan kebijakan server DNS di project Anda, jalankan perintah dns policies list:

gcloud dns policies list

Menghapus kebijakan DNS

Konsol

Untuk menghapus kebijakan server DNS, kebijakan tersebut tidak boleh terikat ke jaringan mana pun. Perbarui kebijakan Anda untuk menghapus semua jaringan sebelum menghapus kebijakan.

  1. Di konsol Google Cloud , buka halaman Cloud DNS server policies.

    Buka Cloud DNS server policies

  2. Klik Delete di samping nama kebijakan yang ingin Anda hapus.

gcloud

Untuk menghapus kebijakan server DNS, jalankan perintah dns policies delete:

gcloud dns policies delete NAME

Ganti NAME dengan nama kebijakan yang akan dihapus.

Langkah berikutnya

  • Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
  • Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.