Como aplicar políticas de servidor do Cloud DNS

Nesta página, você verá como configurar políticas de servidor do Cloud DNS e usá-las com redes de nuvem privada virtual (VPC). Antes de ler esta página, familiarize-se com os conceitos do Cloud DNS.

Antes de começar

A API do Cloud DNS exige que você crie um projeto do Google Cloud e depois ative-a.

Se você estiver criando um aplicativo que usa a API REST, também precisará criar um ID do cliente do OAuth 2.0.

  1. Crie uma Conta do Google se ainda não tiver uma.
  2. Ative a API do Cloud DNS no Console do Cloud. Escolha um dos seus projetos atuais no Compute Engine ou no App Engine, ou crie um projeto novo.
  3. Se você precisa fazer solicitações para a API REST, precisará criar um ID do OAuth 2.0. Veja as instruções em Como configurar o OAuth 2.0.
  4. Anote as seguintes informações do projeto que serão usadas nas próximas etapas:
    • O ID do cliente (xxxxxx.apps.googleusercontent.com).
    • O ID do projeto que você quer usar. Esse ID está na parte superior da página Visão geral no Console do Cloud. Se preferir, peça ao usuário que forneça o nome do projeto a ser usado no seu app.

Se você nunca usou a ferramenta de linha de comando gcloud, execute o comando a seguir para especificar o nome do projeto e autenticar com o Console do Cloud:

gcloud auth login

Para escolher um projeto diferente daquele que você escolheu anteriormente, especifique a opção --project na linha de comando.

Como criar políticas de servidor DNS

Cada objeto de política de servidor DNS pode definir qualquer uma das seguintes políticas de servidor:

Cada rede VPC não pode fazer referência a mais de uma política de servidor DNS. Se você precisar definir o encaminhamento de entrada e de saída para uma rede VPC, crie uma política que defina uma política de entrada e de saída.

Para mais informações sobre políticas de servidor DNS, consulte esta página.

Como criar uma política de servidor de entrada

Para criar uma política de servidor de entrada, siga as instruções. O Cloud DNS cria um conjunto de endereços IP de encaminhamento de entrada em cada rede VPC em que a política se aplica. Depois de criar a política, liste os pontos de entrada criados pelo Cloud DNS.

gcloud

Para criar uma nova política de servidor de entrada, use o comando dns policies create:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --enable-inbound-forwarding

Substitua as seguintes opções de comando:

  • name: um nome para a política
  • description: uma descrição para a política
  • vpc-network-list: uma lista de redes VPC delimitada por vírgulas em que os endereços de encaminhamento de entrada precisam ser criados

Como criar uma política de servidor de saída

É possível criar uma política de servidor de saída para modificar o pedido de resolução de nomes de uma rede VPC direcionando todas as consultas DNS para um servidor de nomes alternativo. Para fazer isso, siga estas instruções: Antes de começar, entenda as diferenças entre o roteamento padrão e o particular e os requisitos de rede para servidores de nomes alternativos.

gcloud

Para criar uma nova política de servidor de saída, use o comando dns policies create:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --alternative-name-servers=alternative-nameserver-list \
    --private-alternative-name-servers=private-alternative-nameserver-list

Substitua as seguintes opções de comando:

  • name: um nome para a política.
  • description: uma descrição para a política.
  • vpc-network-list: uma lista de redes VPC delimitada por vírgulas que consultam os servidores de nomes alternativos.
  • alternative-nameserver-list: uma lista de endereços IP delimitada por vírgulas a serem usados como servidores de nomes alternativos. O roteamento particular é usado apenas para servidores de nomes alternativos que têm endereços RFC 1918.
  • private-alternative-nameserver-list: uma lista de endereços IP delimitada por vírgulas a serem usados como servidores de nomes alternativos, acessados usando roteamento particular. Para mais informações, consulte Servidores de nomes alternativos e métodos de roteamento.

Como criar uma política de servidor para ambos

gcloud

Para criar uma nova política de servidor DNS para encaminhamento de entrada e de saída, use o comando dns policies create:

gcloud dns policies create name \
    --description=description \
    --networks=vpc-network-list \
    --alternative-name-servers=alternative-nameserver-list \
    --private-alternative-name-servers=private-alternative-nameserver-list \
    --enable-inbound-forwarding

Substitua as seguintes opções de comando:

  • name: um nome para a política.
  • description: uma descrição para a política.
  • vpc-network-list: uma lista de redes VPC delimitada por vírgulas em que os endereços de encaminhamento de entrada precisam ser criados e consultar os servidores de nomes alternativos.
  • alternative-nameserver-list: uma lista de endereços IP delimitada por vírgulas a serem usados como servidores de nomes alternativos. O roteamento particular é usado apenas para servidores de nomes alternativos que têm endereços RFC 1918.
  • private-alternative-nameserver-list: uma lista de endereços IP delimitada por vírgulas a serem usados como servidores de nomes alternativos, acessados usando roteamento particular. Para mais informações, consulte Servidores de nomes alternativos e métodos de roteamento.

Como listar pontos de entrada de encaminhador

Quando uma política de servidor de entrada se aplica a uma rede VPC, o Cloud DNS cria um conjunto de endereços IP internos regionais que servem como destinos para onde seus sistemas locais ou resolvedores de nomes podem enviar solicitações de DNS. Esses endereços servem como pontos de entrada para o pedido de resolução de nome da sua rede VPC.

As regras de firewall do Google Cloud não se aplicam aos endereços internos regionais que agem como pontos de entrada para encaminhadores de entrada. O Cloud DNS aceita tráfego TCP e UDP na porta 53 automaticamente.

Cada encaminhador de entrada aceita e recebe consultas de túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) na mesma região do endereço IP interno regional.

gcloud

Para listar o conjunto de endereços IP internos regionais que servem como pontos de entrada para encaminhamento de entrada, use o comando compute address list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Como atualizar políticas de DNS

Como alterar redes VPC

Quando você altera a lista de redes VPC em que uma política de DNS se aplica:

  • Se a política especificar uma política de entrada, os pontos de entrada para encaminhadores de entrada serão criados em redes VPC conforme necessário.
  • Se a política especificar uma política de saída, o pedido de resolução de nome de cada rede VPC será atualizado para direcionar todas as solicitações para um servidor de nomes alternativo.

gcloud

Para modificar a lista de redes em que uma política de servidor DNS se aplica, use o comando dns policies update:

gcloud dns policies update name \
    --networks=vpc-network-list

Substitua as seguintes opções de comando:

  • name: um nome para a política.
  • vpc-network-list: uma lista delimitada por vírgulas de redes VPC em que a política se aplica. A lista de redes VPC especificadas substitui a lista anterior.

Como ativar ou desativar o encaminhamento de entrada

É possível ativar o encaminhamento de entrada para uma política de servidor DNS que defina apenas uma política de saída (servidor de nomes alternativo). Também é possível desativar o encaminhamento de entrada para uma política de DNS atual.

gcloud

Para ativar o encaminhamento de entrada para uma política de servidor DNS, use o comando dns policies update:

gcloud dns policies update name \
    --enable-inbound-forwarding

Para desativar o encaminhamento de entrada para uma política de servidor DNS, use o comando dns policies update:

gcloud dns policies update name \
    --no-enable-inbound-forwarding

Substitua as seguintes opções de comando:

  • name: o nome da política

Como listar políticas de DNS

gcloud

Para listar as políticas do servidor DNS no projeto, use o comando dns policies list:

gcloud dns policies list

Como excluir uma política de DNS

gcloud

Para criar uma política de servidor, use o comando dns policies delete:

gcloud dns policies delete name

Substitua as seguintes opções de comando:

  • name: o nome da política a ser removida

Requisitos de rede do servidor de nomes alternativo

Quando o Cloud DNS envia solicitações para servidores de nomes alternativos, ele envia pacotes com os intervalos de origem listados na tabela a seguir:

Destino de encaminhamento Intervalos de origem
Servidores de nomes alternativos RFC 1918 acessados usando o roteamento padrão
Qualquer servidor de nomes alternativo acessado usando o roteamento particular
35.199.192.0/19
Servidores de nomes alternativos não RFC 1918 acessados usando roteamento padrão Intervalos de origem do DNS público do Google

Servidores de nomes alternativos particulares

Quando o Cloud DNS acessa servidores de nomes alternativos RFC 1918 usando roteamento padrão ou quando o Cloud DNS acessa qualquer servidor de nomes alternativo usando roteamento particular, a rede local precisa atender aos seguintes requisitos:

  • Permitir tráfego de 35.199.192.0/19: o firewall de rede local e equipamentos semelhantes precisam permitir pacotes de origens em 35.199.192.0/19. O Cloud DNS usa o intervalo de origem 35.199.192.0/19 para todos os clientes. O intervalo de endereços 35.199.192.0/19 é acessível apenas a partir de uma rede VPC do Google Cloud ou de uma rede local conectada a uma rede VPC.
  • Responder a 35.199.192.0/19 por meio de uma rede VPC: sua rede local precisa ter uma rota que direcione o tráfego de resposta destinado a 35.199.192.0/19 de volta para sua rede VPC, por meio de um túnel do Cloud VPN ou do anexo de interconexão do Cloud (VLAN). As respostas a consultas DNS de servidores de nomes alternativos não podem ser enviadas pela Internet. Se sua rede local responder a 35.199.192.0/19 pela Internet, o Google Cloud ignorará a resposta. É possível atender a esse requisito de roteamento de duas maneiras:
    • Para túneis do Cloud VPN que usam roteamento estático, crie manualmente uma rota na rede local em que o destino seja 35.199.192.0/19 e o próximo salto seja o túnel do Cloud VPN. Para túneis do Cloud VPN que usam roteamento baseado em políticas, configure o seletor de tráfego local do Cloud VPN e o seletor de tráfego remoto do gateway da VPN para incluir 35.199.192.0/19.
    • Para túneis do Cloud VPN que usam roteamento dinâmico ou para o Cloud Interconnect, configure uma divulgação de rota personalizada no Cloud Router que gerencia o túnel ou o anexo de interconexão (VLAN).
  • Resposta direta do servidor de nomes alternativo: o Cloud DNS exige que o servidor de nomes alternativo que recebe pacotes seja o que envia a resposta para 35.199.192.0/19. Se o servidor de nomes enviar a solicitação para um servidor de nomes diferente e esse outro servidor de nomes responder a 35.199.192.0/19, o Cloud DNS ignorará a resposta. Por motivos de segurança, o Google Cloud espera que o endereço de origem da resposta DNS de cada servidor de nomes alternativo corresponda ao endereço IP do servidor de nomes alternativo.

Servidores de nomes alternativos públicos

Quando o Cloud DNS acessa um servidor de nomes alternativo não RFC 1918 usando o roteamento padrão, ele espera que o servidor de nomes seja acessível publicamente.

Próximas etapas