Diese Seite bietet eine Übersicht über Einträge und listet die von Cloud DNS unterstützten DNS-Eintragstypen auf.
Ein Eintrag ist eine Zuordnung zwischen einer DNS-Ressource und einem Domainnamen. Jeder einzelne DNS-Eintrag hat einen Typ (Name und Nummer), eine Ablaufzeit (Gültigkeitsdauer TTL) und typspezifische Daten.
Unterstützte DNS-Eintragstypen
Cloud DNS unterstützt die folgenden Eintragstypen.
Eintragstyp | Beschreibung |
---|---|
A |
Adresseintrag, der Hostnamen ihrer IPv4-Adresse zuordnet. |
AAAA |
IPv6-Adresseintrag, der Hostnamen ihrer IPv6-Adresse zuordnet. |
ALIAS |
Alias-Eintrag (Vorabversion), der einen Alias-Domainnamen einem kanonischen Namen an der Zonenspitze zuordnet. Ein Alias-Eintrag wird auch als ANAME-Eintrag oder CNAME-Flattening bezeichnet. Sie können Aliaseinträge über die gcloud CLI oder die Cloud DNS API konfigurieren. Sie können Alias-Einträge nicht über die Google Cloud Console konfigurieren. |
CAA |
CA-Autorisierung (Certificate Authority Authorization), die angibt, welche Zertifizierungsstellen zum Erstellen von Zertifikaten für eine Domain berechtigt sind. |
CNAME |
Canonical-Name-Eintrag, der Aliasnamen angibt. Sollten beim Erstellen eines CNAME-Eintrags Probleme auftreten, lesen Sie den Abschnitt CNAME-Eintrag in einer privaten Zone definiert funktioniert nicht. |
DNSKEY |
Der DNSSEC-Schlüssel von einem anderen Operator für die sichere Übertragung. Dieser Eintragstyp kann einer Zone, für die DNSSEC aktiviert ist, nur im Übertragungsstatus hinzugefügt werden. |
DS |
Fingerabdruck für DNSSEC-Schlüssel für eine sichere delegierte Zone. Bei diesem Datensatztyp wird DNSSEC für eine delegierte Zone nur dann aktiviert, wenn Sie DNSSEC für diese Zone freischalten und aktivieren. |
HTTPS |
HTTPS-Dienstbindungseintrag, durch den ein Ursprung mehrere alternative Endpunkte mit jeweils zugehörigen Parametern angeben kann. Durch diesen Eintrag wird auch HTTP zu HTTPS weitergeleitet. Dieser Eintragstyp basiert auf dem allgemeineren SVCB-Eintragstyp und verwendet dasselbe Wertformat. |
IPSECKEY |
IPsec-Tunnel-Gateway-Daten und öffentliche Schlüssel für IPsec-fähige Clients, um die opportunistische Verschlüsselung zu ermöglichen. |
MX |
Mail-Exchange-Eintrag, der Anfragen an Mailserver weiterleitet. |
NAPTR |
Naming-Authority-Pointer-Eintrag, definiert durch RFC 3403. |
NS |
Nameserver-Eintrag, mit dem eine DNS-Zone an einen autoritativen Server delegiert wird. |
PTR |
Pointer-Eintrag, der häufig für Reverse DNS-Lookups verwendet wird. |
SOA |
Start-of-Authority-Eintrag, mit dem autoritative Informationen über eine DNS-Zone angegeben werden. Ein |
SPF |
Sender Policy Framework-Eintrag, ein verworfener Eintragstyp, der früher in E-Mail-Validierungssystemen verwendet wurde (verwenden Sie stattdessen einen TXT-Eintrag). |
SRV |
Service-Locator-Eintrag, der von einigen Voice-over-IP- (VoIP), Instant-Messaging-Protokollen und anderen Anwendungen verwendet wird. |
SSHFP |
SSH-Fingerabdruck für SSH-Clients zur Überprüfung der öffentlichen Schlüssel von SSH-Servern. |
SVCB |
Dienstbindungseintrag, durch den ein logischer Dienst mehrere alternative Endpunkte mit jeweils verknüpften Parametern angeben kann. Informationen zu HTTPS-Ursprüngen finden Sie im Abschnitt zum HTTPS-Eintragstyp. |
TLSA |
TLS-Authentifizierungseintrag für TLS-Clients zur Überprüfung von X.509-Serverzertifikaten. |
TXT |
Texteintrag, der willkürlichen Text enthalten und außerdem für die Definition von maschinenlesbaren Daten verwendet werden kann, wie zum Beispiel Sicherheitsdaten oder Informationen zur Verhinderung von Datenmissbrauch. Ein TXT-Eintrag kann einen oder mehrere Textstrings enthalten. Die maximale Länge eines einzelnen Strings beträgt 255 Zeichen. Mehrere Strings werden durch Mail-Agents und andere Software-Agents verkettet. Setzen Sie jeden String in Anführungszeichen. |
Informationen zum Hinzufügen, Löschen oder Aktualisieren von Einträgen finden Sie unter Einträge verwalten.
Platzhalter-DNS-Einträge
Cloud DNS unterstützt Platzhaltereinträge für alle Eintragstypen, mit Ausnahme von NS-Einträgen.
Alias-Einträge
Ein ALIAS-Eintrag ist ein benutzerdefinierter Cloud DNS-Eintragstyp, der sich wie ein CNAME-Eintrag verhält, aber nur an der Zonenspitze verwendet werden kann und nur auf Abfragen von Adresseinträgen (A oder AAAA) antwortet. Insbesondere ordnet der ALIAS-Eintragstyp einem kanonischen Namen einen Alias-Domainnamen zu und verwendet den kanonischen Namen, um die Antwort nachzuschlagen. Dieser Eintragstyp ist nützlich, wenn Sie ein CNAME-Verhalten an der Spitze benötigen. Sie können einen CNAME-Eintrag nicht an der Spitze platzieren, da er nicht zusammen mit anderen Eintragstypen, einschließlich des SOA-Eintrags, der an der Zonenspitze erforderlich ist, vorhanden sein darf.
ALIAS-Einträge sind spezifisch für Cloud DNS und werden niemals einem externen Client zugänglich gemacht, der Cloud DNS-Zonen abfragt. Für einen Client wird ein ALIAS-Eintrag als Standard-A- oder AAAA-Eintrag in der DNS-Antwort angezeigt. ALIAS-Einträge sind nicht mit DNSSEC kompatibel. Daher können Sie DNSSEC nicht für eine Zone mit ALIAS-Einträgen aktivieren.
Sie können Alias-Einträge wie alle anderen Einträge verwalten. Informationen zum Verwalten von Einträgen finden Sie unter Einträge verwalten.
Prozess zum Lösen von Abfragen
Alias-Einträge sind nur für öffentliche Cloud DNS-Zonen verfügbar.
Bei CNAME-Einträgen ist der Resolver für die Auflösung des kanonischen Namens verantwortlich. Bei ALIAS-Einträgen löst der Cloud DNS-Nameserver den kanonischen Namen auf und erzeugt synthetisierte A- oder AAAA-Einträge, die an den Resolver zurückgegeben werden. Die synthetisierten A- oder AAAA-Einträge haben den Namen des ALIAS-Eintrags mit den IP-Adressen, die beim Auflösen des Ziels des ALIAS-Eintrags ermittelt wurden. Die Cloud DNS-Nameserver verwenden die verfügbaren rekursiven Resolver von Google, um Alias-Einträge aufzulösen.
Wenn das Alias-Ziel in einen Ressourceneintragssatz (Ressourcendatensatz) mit mehreren Adressen aufgelöst wird, gibt Cloud DNS alle Einträge zurück, setzt jedoch ihre Reihenfolge in zufälliger Reihenfolge, bevor der synthetisierte Adresseintrag zurückgegeben wird. Dieser Vorgang ähnelt der Verarbeitung von Antworten von seinen Nameservern in Cloud DNS.
Während der ALIAS-Zielauflösung werden nur Adresseinträge synthetisiert. Bei Abfragen nach ALIAS-Einträgen werden keine zwischengeschalteten CNAME-Einträge zurückgegeben, die beim Auflösen des Ziels des Alias-Eintrags gefunden wurden. CNAME-Einträge, die über CNAME-Chasing gefunden werden, bevor der ALIAS-Eintrag erreicht wird, werden unverändert zurückgegeben.
Wenn die ALIAS-Zielauflösung fehlschlägt, also einen anderen Antwortcode als NOERROR
zurückgibt, gibt der Cloud DNS-Nameserver eine SERVFAIL
-Antwort an seinen Client zurück. Wenn die Auflösung zu einer NODATA
-Antwort führt, bei der es sich um eine NOERROR
-Antwort ohne Adresseinträge handelt, gibt der Cloud DNS-Nameserver eine NODATA
-Antwort zurück.
Parameter für die Gültigkeitsdauer (TTL) und Caching
Der mit einem synthetisierten Adresseintrag zurückgegebene TTL-Wert ist der kleinste für den ALIAS-Eintrag konfigurierte TTL-Wert und die TTL-Werte, die beim Auflösen des ALIAS-Ziels erkannt werden. Bei dieser Methode kann die zurückgegebene TTL kleiner sein als die konfigurierte TTL des ALIAS-Eintrags, sie ist aber nie größer als die konfigurierte TTL.
Das folgende Beispiel zeigt, wie die TTL für die synthetisierten Adresseinträge bestimmt wird.
Angenommen, die folgenden Einträge sind in einer von Cloud DNS verwalteten Zone konfiguriert:
example.com. 3600 SOA ns.com. admin.example.com. (...) 86400 NS ns.com. 6000 ALIAS test-cname.example.com. test-cname 3000 CNAME address.example.com. address 5000 A 1.2.3.4
Eine Abfrage an diese Zone für den A-Eintrag unter example.com
gibt eine Antwort ähnlich der folgenden zurück:
QUESTION SECTION example.com. A ANSWER SECTION example.com. 3000 A 1.2.3.4
Die während der Auflösung ermittelten TTLs sind 6.000 (für den ALIAS-Eintrag), 3.000 (für den CNAME-Eintrag) und 5.000 (für den A-Eintrag). Von diesen TTLs ist 3.000 die kleinste, daher wird sie im synthetisierten Adresseintrag zurückgegeben.
Dieses Beispiel zeigt der Einfachheit halber alle Einträge in derselben Zone. Die TTL-Logik ist jedoch für Auflösungen, die durch verschiedene Zonen springen, identisch.
Bit für autoritative Antwort
Das autoritative Bit in der DNS-Antwort basiert auf dem Vornamen in der Kette (dem ursprünglichen qname
), unabhängig davon, ob die mit diesem Namen verknüpften Daten auf dem Server gefunden wurden oder über eine ALIAS-Eintragsauflösung abgerufen wurden.
Fehlerbehandlung
Es ist möglich, dass der Cloud DNS-Server den kanonischen Namen, der mit einem ALIAS-Eintrag verknüpft ist, nicht auflösen kann. Beispielsweise ist der kanonische Name möglicherweise nicht vorhanden oder bei den Nameservern treten vorübergehend Fehler auf.
Wenn die Zielauflösung von ALIAS zu einer NODATA
-Antwort führt, bei der es sich um eine leere Antwort mit einem OK RCODE
handelt, wird eine NODATA
-Antwort an seinen Client zurückgegeben.
ALIAS-Einträge reagieren sowohl auf A- als auch auf AAAA-Abfragen. Es ist jedoch möglich, dass das ALIAS-Ziel nur einen dieser Typen enthält, was zu NODATA
-Antworten für den anderen Typ führen kann. Dieser erwartete Anwendungsfall darf nicht als Fehler behandelt werden. Bei jedem anderen Fehler wie nonexistent
oder refused
gibt der ALIAS-Eintrag ein SERVFAIL RCODE
an den Client zurück.
Da die Rückgabe von SERVFAIL
für alle Fehler intransparent ist, steht zur Unterstützung der Fehlerbehebung ein zusätzliches Feld in DNS-Cloud-Logging zur Verfügung, um den RCODE
zu erfassen, der während der ALIAS-Auflösung zurückgegeben wird.
Eine ausführliche Beschreibung finden Sie unter Logging und Monitoring verwenden.
Datensätze importieren und exportieren
Sie können Datensätze in eine BIND-Zonendatei oder eine YAML-Datei importieren und daraus exportieren.
ALIAS-Einträge werden in BIND-Dateien nicht unterstützt, da der ALIAS-Eintragstyp kein DNS-Standardeintragstyp ist. Cloud DNS erkennt diese Einträge, andere BIND-kompatible DNS-Software jedoch möglicherweise nicht.
ALIAS-Einträge werden in YAML-Dateien exportiert, die für Cloud DNS spezifisch sind, und zwar im folgenden Format:
kind: dns#resourceRecordSet name: DNS Name rrdatas: RR Data ttl: TTL type: ALIAS
Cloud DNS kann ALIAS-Einträge aus einer YAML-Datei im vorherigen Format importieren.
Sicherheit und Datenschutz
Öffentliche Cloud DNS-Nameserver lösen das ALIAS-Ziel in Ihrem Namen auf. Sie müssen jedoch darauf achten, dass das ALIAS-Ziel korrekt konfiguriert ist. Ein falsches ALIAS-Ziel kann dazu führen, dass Ihre öffentlichen Einträge nicht wie erforderlich funktionieren oder unerwünschte IP-Adressen zurückgeben.
Verwaltete Zonen überwachen
Cloud DNS bietet Logging für alle Abfragen in verwalteten Zonen über Logging. Im DNS-Abfragelog steht das optionale Feld alias_query_response_code
zur Verfügung, um Informationen zum Status der ALIAS-Namensauflösung aufzuzeichnen, da diese Informationen nicht in der DNS-Antwort verfügbar sind.
Weitere Informationen finden Sie unter Logs ansehen.
alias_query_response_code
wird nur festgelegt, wenn die Abfrage mit einem ALIAS-Eintrag aufgelöst wird. Der Wert NoError
bedeutet, dass der ALIAS-Eintrag erfolgreich aufgelöst wurde, während jeder andere Wert den Fehler darstellt. Ein SERVFAIL
-Wert kann eines der folgenden Probleme darstellen:
- Ziel-Nameserver nicht erreichbar
- Zeitüberschreitung bei der Ziellösung, bevor eine Antwort gefunden wird
- DNSSEC-Validierung fehlgeschlagen
Das Feld qtype
in den Logeinträgen hat keine ALIAS-Option. Wenn eine A- oder AAAA-Abfrage mit einem ALIAS-Eintrag beantwortet wird, bleibt das Feld qtype
auf „A“ oder „AAAA“.
Nächste Schritte
Eine Einführung in Cloud DNS finden Sie unter Kurzanleitung: DNS-Einträge für einen Domainnamen mit Cloud DNS einrichten.
Informationen zum Registrieren und Einrichten Ihrer Domain finden Sie unter Anleitung: Domain mit Cloud DNS einrichten.
Weitere Informationen zu API-Clientbibliotheken finden Sie unter Beispiele und Bibliotheken.
Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.