Présentation des enregistrements DNS

Cette page présente les enregistrements et répertorie les types d'enregistrements DNS compatibles avec Cloud DNS.

Un enregistrement est un mappage entre une ressource DNS et un nom de domaine. Chaque enregistrement DNS individuel possède un type (nom et numéro), un délai d'expiration (durée de vie) et des données spécifiques aux différents types d'enregistrements.

Types d'enregistrements DNS acceptés

Cloud DNS accepte les types d'enregistrements suivants :

Type d'enregistrement Description
A

Enregistrement d'adresse permettant de mapper les noms d'hôte sur leur adresse IPv4.

AAAA

Enregistrement d'adresse IPv6 permettant de mapper les noms d'hôte sur leur adresse IPv6.

ALIAS

Enregistrements alias (aperçu), qui mappe un nom de domaine d'alias à un nom canonique au niveau de l'apex de la zone. Un enregistrement alias est également appelé enregistrement ANAME ou aplatissement CNAME.

Vous pouvez configurer les enregistrements alias à l'aide de gcloud CLI ou de l'API Cloud DNS. Vous ne pouvez pas configurer les enregistrements alias à l'aide de la console Google Cloud.

CAA

Autorisation de l'autorité de certification (CA) permettant de spécifier les autorités de certification qui peuvent créer des certificats pour un domaine.

CNAME

Enregistrement de nom canonique permettant de spécifier des noms d'alias.

Si vous rencontrez des problèmes lors de la création d'un enregistrement CNAME, consultez la section Enregistrement CNAME défini dans une zone privée qui ne fonctionne pas.

DNSKEY

Clé DNSSEC d'un autre opérateur pour sécuriser le transfert. Ce type de jeu d'enregistrements peut uniquement être ajouté à une zone où DNSSEC est activé pour le transfert.

DS

Empreinte numérique de la clé DNSSEC pour sécuriser la zone déléguée. Ce type de jeu d'enregistrements n'active pas DNSSEC pour une zone déléguée, sauf si vous l'activez pour celle-ci.

HTTPS

Enregistrement de liaison de service HTTPS qui permet à une origine d'indiquer plusieurs points de terminaison alternatifs, chacun avec des paramètres associés. Cet enregistrement redirige également HTTP vers HTTPS. Ce type d'enregistrement est basé sur le type d'enregistrement SVCB plus général et utilise le même format de valeur.

IPSECKEY

Données de passerelle de tunnel IPSEC et clés publiques pour les clients compatibles IPSEC permettant d'activer le chiffrement opportuniste.

MX

Enregistrement Mail Exchange utilisé pour router des requêtes vers des serveurs de messagerie.

NS

Enregistrement du serveur de noms déléguant une zone DNS à un serveur primaire.

SOA

Début de l'enregistrement d'autorité spécifiant les informations primaires relatives à une zone DNS. Un enregistrement de ressource SOA est généré pour vous lorsque vous créez votre zone gérée. Vous pouvez modifier l'enregistrement si nécessaire (par exemple, en remplaçant le numéro de série par un nombre arbitraire pour que les versions puissent être gérées en fonction de la date).

SPF

Les enregistrements Sender Policy Framework constituent un type d'enregistrement obsolète précédemment utilisé dans les systèmes de validation d'e-mail (utilisez plutôt un enregistrement TXT).

SRV

Enregistrement de localisateur de service utilisé par certains protocoles de voix sur IP (VoIP) et de messagerie instantanée, ainsi que par d'autres applications.

SSHFP

Empreinte SSH permettant aux clients SSH de valider les clés publiques des serveurs SSH.

SVCB

Enregistrement de liaison de service, qui permet à un service logique d'indiquer plusieurs points de terminaison alternatifs, chacun avec des paramètres associés. Pour les origines HTTPS, consultez le type d'enregistrement HTTPS.

TLSA

Enregistrement d'authentification TLS permettant aux clients TLS de valider les certificats de serveur X.509.

TXT

Enregistrement de texte pouvant contenir du texte arbitraire et permettant de définir des données exploitables par un ordinateur, telles que des informations de sécurité ou de prévention des abus.

Un enregistrement TXT peut contenir une ou plusieurs chaînes de texte. La longueur maximale de chaque chaîne individuelle est de 255 caractères. Les agents de messagerie et d'autres agents logiciels rassemblent plusieurs chaînes. Placez chacune d'elles entre guillemets.

Pour ajouter, supprimer ou mettre à jour des enregistrements, consultez la section Gérer les enregistrements.

Enregistrements DNS wildcard (zones génériques)

Cloud DNS accepte les enregistrements wildcard pour tous les types d'enregistrements, à l'exception des enregistrements NS.

Enregistrements alias

Un enregistrement ALIAS est un type d'enregistrement personnalisé de Cloud DNS qui se comporte comme un enregistrement CNAME, mais qui peut uniquement être utilisé au niveau de l'apex de la zone et qui ne répond qu'aux requêtes d'enregistrement d'adresses (A ou AAAA). Plus précisément, le type d'enregistrement ALIAS mappe un nom de domaine alias à un nom canonique et utilise le nom canonique pour rechercher la réponse. Ce type d'enregistrement est utile lorsque vous avez besoin d'un comportement CNAME au niveau de l'apex. Vous ne pouvez pas placer un enregistrement CNAME au niveau de l'apex parce qu'il ne peut pas coexister avec d'autres types d'enregistrements, y compris l'enregistrement SOA qui lui est obligatoire.

Les enregistrements ALIAS sont spécifiques à Cloud DNS et ne sont jamais exposés à un client externe qui interroge les zones Cloud DNS Pour un client, un enregistrement ALIAS apparaît comme un enregistrement A ou AAAA standard dans la réponse DNS. Les enregistrements ALIAS ne sont pas compatibles avec DNSSEC. Vous ne pouvez donc pas activer DNSSEC sur une zone contenant des enregistrements ALIAS.

Vous pouvez gérer les enregistrements ALIAS comme n'importe quel autre type d'enregistrement. Pour découvrir comment gérer les enregistrements, consultez la section Gérer les enregistrements.

Processus de résolution des requêtes

Les enregistrements alias ne sont disponibles que pour les zones publiques Cloud DNS.

Pour les enregistrements CNAME, le résolveur est responsable de la résolution du nom canonique. Pour les enregistrements ALIAS, le serveur de noms Cloud DNS résout le nom canonique et produit des enregistrements A ou AAAA synthétisés qu'il renvoie au résolveur. Les enregistrements A ou AAAA synthétisés contiennent le nom de l'enregistrement ALIAS et les adresses IP détectées lors de la résolution de la cible de l'enregistrement ALIAS. Les serveurs de noms Cloud DNS utilisent les résolveurs récursifs disponibles de Google pour résoudre les enregistrements alias.

Si la cible de l'alias résout un jeu d'enregistrements de ressources (RRSet) avec plusieurs adresses, Cloud DNS renvoie tous les enregistrements de manière aléatoire avant de renvoyer l'enregistrement d'adresse synthétisé. Ce processus est semblable à la manière dont Cloud DNS traite les réponses provenant de ses serveurs de noms.

Seuls les enregistrements d'adresses sont synthétisés lors de la résolution des cibles d'enregistrement ALIAS. Les requêtes d'enregistrements ALIAS ne renvoient pas les enregistrements CNAME intermédiaires détectés lors de la résolution de la cible de l'enregistrement alias. Les enregistrements CNAME qui sont trouvés par le biais de la résolution d'enregistrements CNAME avant d'atteindre l'enregistrement ALIAS sont renvoyés sans modification. Si la résolution de la cible ALIAS échoue (c'est-à-dire si elle renvoie un code de réponse autre que NOERROR), le serveur de noms Cloud DNS renvoie une réponse SERVFAIL à son client. Si la résolution aboutit à une réponse NODATA qui est une réponse NOERROR sans enregistrement d'adresse, le serveur de noms Cloud DNS renvoie une réponse NODATA.

Lors de la résolution des cibles d'enregistrement ALIAS, Cloud DNS n'utilise pas le sous-réseau client EDNS fourni par le client.

Paramètre TTL (Time to live) et mise en cache

La valeur TTL renvoyée avec un enregistrement d'adresse synthétisé est la plus petite des valeurs TTL de l'enregistrement ALIAS et des valeurs TTL rencontrées lors de la résolution de la cible ALIAS. Avec cette méthode, la valeur TTL renvoyée peut être inférieure à la valeur TTL configurée de l'enregistrement ALIAS, mais jamais supérieure.

L'exemple suivant montre comment la valeur TTL est déterminée pour les enregistrements d'adresse synthétisés.

Supposons que les enregistrements suivants sont configurés dans une zone gérée par Cloud DNS :

example.com.    3600    SOA      ns.com.  admin.example.com. (...)
                86400   NS       ns.com.
                6000    ALIAS    test-cname.example.com.
test-cname      3000    CNAME    address.example.com.
address         5000    A        1.2.3.4

Une requête sur cette zone pour l'enregistrement A dans example.com renvoie une réponse semblable à la suivante :

QUESTION SECTION
example.com.                  A

ANSWER SECTION
example.com.        3000      A      1.2.3.4

Les valeurs TTL rencontrées lors de la résolution sont 6 000 (pour l'enregistrement ALIAS), 3 000 (pour l'enregistrement CNAME) et 5 000 (pour l'enregistrement A). 3 000 est la valeur TTL la plus basse. Elle est donc renvoyée à l'enregistrement d'adresse synthétisé.

Cet exemple montre tous les enregistrements dans la même zone pour des raisons de simplicité, mais la logique TTL est identique pour les résolutions qui passent par différentes zones.

Bit faisant autorité

Le bit faisant autorité dans la réponse DNS est basé sur le premier nom de la chaîne (qname d'origine), que les données associées à ce nom aient été trouvées sur le serveur ou extraites à l'aide d'une résolution d'enregistrements ALIAS.

Traitement des erreurs

Il est possible que le serveur Cloud DNS ne soient pas en mesure de résoudre le nom canonique associé à un enregistrement ALIAS. Par exemple, le nom canonique peut ne pas exister ou ses serveurs de noms peuvent connaître une défaillance temporaire.

Si la résolution de la cible ALIAS aboutit à une réponse NODATA (une réponse vide avec un OK RCODE), elle renvoie une réponse NODATA à son client. Les enregistrements ALIAS répondent aux requêtes A et AAAA, mais il est possible que la cible ALIAS ne détienne qu'un seul de ces types de requêtes, ce qui peut entraîner des réponses NODATA pour l'autre type. Ce cas d'utilisation prévu ne doit pas être considéré comme une erreur. Pour toute autre erreur, telle que nonexistent ou refused, l'enregistrement ALIAS renvoie un SERVFAIL RCODE au client.

Le renvoi de SERVFAIL pour toutes les erreurs n'est pas très clair. Ainsi, pour faciliter le débogage, un champ supplémentaire est disponible dans la journalisation Cloud DNS afin d'enregistrer les erreurs RCODE renvoyées au cours de la résolution d'ALIAS. Pour une description détaillée, consultez Utiliser la journalisation et la surveillance.

Importer et exporter des enregistrements

Vous pouvez importer et exporter des enregistrements vers et depuis un fichier de zone BIND ou un fichier YAML.

Les enregistrements ALIAS ne sont pas pris en charge dans les fichiers BIND, car le type d'enregistrement ALIAS n'est pas un type d'enregistrement DNS standard. Bien que Cloud DNS reconnaisse ces entrées, ce n'est pas le cas de tous les logiciels DNS compatibles avec BIND.

Les enregistrements ALIAS sont exportés vers des fichiers YAML spécifiques à Cloud DNS, au format suivant :

kind: dns#resourceRecordSet
name: DNS Name
rrdatas: RR Data
ttl: TTL
type: ALIAS

Cloud DNS peut importer les enregistrements ALIAS pour un fichier YAML au format précédent.

Sécurité et confidentialité

Les serveurs de noms publiques Cloud DNS résolvent la cible ALIAS en votre nom, mais vous devez vérifier que vous l'avez configurée correctement. Dans le cas contraire, vos enregistrements publiques pourraient ne pas fonctionner comme vous le souhaitez ou renvoyer des adresses IP indésirables.

Surveiller les zones gérées

Cloud DNS propose la journalisation pour toutes les requêtes envoyées à des zones gérées via la fonctionnalité Logging. Le champ facultatif alias_query_response_code est disponible dans le journal des requêtes DNS pour enregistrer des informations sur l'état de la résolution de noms ALIAS, étant donné que cette information n'est pas disponible dans la réponse DNS.

Pour en savoir plus, consultez la section Afficher les journaux.

Le alias_query_response_code est défini uniquement si la requête est résolue à l'aide d'un enregistrement ALIAS. La valeur NoError signifie que l'enregistrement ALIAS a été résolu. Toute autre valeur indique la présence d'une erreur. SERVFAIL peut indiquer les erreurs suivantes :

  • Serveur de noms cible indisponible
  • La résolution de la cible a échouée avant de trouver une réponse
  • Échec de la validation DNSSEC

Le champ qtype des entrées de journal n'inclut pas d'option ALIAS. Si une requête A ou AAAA obtient une réponse à l'aide d'un enregistrement ALIAS, le champ qtype reste A ou AAAA.

Étapes suivantes