DNS-Einträge

Diese Seite bietet eine Übersicht über Einträge und listet die von Cloud DNS unterstützten DNS-Eintragstypen auf.

Ein Eintrag ist eine Zuordnung zwischen einer DNS-Ressource und einem Domainnamen. Jeder einzelne DNS-Eintrag hat einen Typ (Name und Nummer), eine Ablaufzeit (Gültigkeitsdauer TTL) und typspezifische Daten.

Unterstützte DNS-Eintragstypen

Cloud DNS unterstützt die folgenden Eintragstypen.

Eintragstyp Beschreibung
A

Adresseintrag, der Hostnamen ihrer IPv4-Adresse zuordnet.

AAAA

IPv6-Adresseintrag, der Hostnamen ihrer IPv6-Adresse zuordnet.

ALIAS

Alias-Eintrag (Vorabversion), der einen Alias-Domainnamen einem kanonischen Namen an der Zonenspitze zuordnet. Ein Alias-Eintrag wird auch als ANAME-Eintrag oder CNAME-Flattening bezeichnet.

Sie können Aliaseinträge über die gcloud CLI oder die Cloud DNS API konfigurieren. Sie können Alias-Einträge nicht über die Google Cloud Console konfigurieren.

CAA

CA-Autorisierung (Certificate Authority Authorization), die angibt, welche Zertifizierungsstellen zum Erstellen von Zertifikaten für eine Domain berechtigt sind.

CNAME

Canonical-Name-Eintrag, der Aliasnamen angibt.

Sollten beim Erstellen eines CNAME-Eintrags Probleme auftreten, lesen Sie den Abschnitt CNAME-Eintrag in einer privaten Zone definiert funktioniert nicht.
DNSKEY

Der DNSSEC-Schlüssel von einem anderen Operator für die sichere Übertragung. Dieser Eintragstyp kann einer Zone, für die DNSSEC aktiviert ist, nur im Übertragungsstatus hinzugefügt werden.

DS

Fingerabdruck für DNSSEC-Schlüssel für eine sichere delegierte Zone. Bei diesem Datensatztyp wird DNSSEC für eine delegierte Zone nur dann aktiviert, wenn Sie DNSSEC für diese Zone freischalten und aktivieren.

HTTPS

HTTPS-Dienstbindungseintrag, durch den ein Ursprung mehrere alternative Endpunkte mit jeweils zugehörigen Parametern angeben kann. Durch diesen Eintrag wird auch HTTP zu HTTPS weitergeleitet. Dieser Eintragstyp basiert auf dem allgemeineren SVCB-Eintragstyp und verwendet dasselbe Wertformat.

IPSECKEY

IPsec-Tunnel-Gateway-Daten und öffentliche Schlüssel für IPsec-fähige Clients, um die opportunistische Verschlüsselung zu ermöglichen.

MX

Mail-Exchange-Eintrag, der Anfragen an Mailserver weiterleitet.

NAPTR

Naming-Authority-Pointer-Eintrag, definiert durch RFC 3403.

NS

Nameserver-Eintrag, mit dem eine DNS-Zone an einen autoritativen Server delegiert wird.

PTR

Pointer-Eintrag, der häufig für Reverse DNS-Lookups verwendet wird.

SOA

Start-of-Authority-Eintrag, mit dem autoritative Informationen über eine DNS-Zone angegeben werden. Ein SOA-Ressourceneintrag wird für Sie erstellt, wenn Sie Ihre verwaltete Zone erstellen. Sie können diesen Eintrag nach Bedarf anpassen. Zum Beispiel haben Sie die Möglichkeit, die Seriennummer in eine beliebige Zahl zu ändern, mit der eine datumsbasierte Versionsverwaltung unterstützt wird.

SPF

Sender Policy Framework-Eintrag, ein verworfener Eintragstyp, der früher in E-Mail-Validierungssystemen verwendet wurde (verwenden Sie stattdessen einen TXT-Eintrag).

SRV

Service-Locator-Eintrag, der von einigen Voice-over-IP- (VoIP), Instant-Messaging-Protokollen und anderen Anwendungen verwendet wird.

SSHFP

SSH-Fingerabdruck für SSH-Clients zur Überprüfung der öffentlichen Schlüssel von SSH-Servern.

SVCB

Dienstbindungseintrag, durch den ein logischer Dienst mehrere alternative Endpunkte mit jeweils verknüpften Parametern angeben kann. Informationen zu HTTPS-Ursprüngen finden Sie im Abschnitt zum HTTPS-Eintragstyp.

TLSA

TLS-Authentifizierungseintrag für TLS-Clients zur Überprüfung von X.509-Serverzertifikaten.

TXT

Texteintrag, der willkürlichen Text enthalten und außerdem für die Definition von maschinenlesbaren Daten verwendet werden kann, wie zum Beispiel Sicherheitsdaten oder Informationen zur Verhinderung von Datenmissbrauch.

Ein TXT-Eintrag kann einen oder mehrere Textstrings enthalten. Die maximale Länge eines einzelnen Strings beträgt 255 Zeichen. Mehrere Strings werden durch Mail-Agents und andere Software-Agents verkettet. Setzen Sie jeden String in Anführungszeichen.

Informationen zum Hinzufügen, Löschen oder Aktualisieren von Einträgen finden Sie unter Einträge verwalten.

Platzhalter-DNS-Einträge

Cloud DNS unterstützt Platzhaltereinträge für alle Eintragstypen, mit Ausnahme von NS-Einträgen.

Alias-Einträge

Ein ALIAS-Eintrag ist ein benutzerdefinierter Cloud DNS-Eintragstyp, der sich wie ein CNAME-Eintrag verhält, aber nur an der Zonenspitze verwendet werden kann und nur auf Abfragen von Adresseinträgen (A oder AAAA) antwortet. Insbesondere ordnet der ALIAS-Eintragstyp einem kanonischen Namen einen Alias-Domainnamen zu und verwendet den kanonischen Namen, um die Antwort nachzuschlagen. Dieser Eintragstyp ist nützlich, wenn Sie ein CNAME-Verhalten an der Spitze benötigen. Sie können einen CNAME-Eintrag nicht an der Spitze platzieren, da er nicht zusammen mit anderen Eintragstypen, einschließlich des SOA-Eintrags, der an der Zonenspitze erforderlich ist, vorhanden sein darf.

ALIAS-Einträge sind spezifisch für Cloud DNS und werden niemals einem externen Client zugänglich gemacht, der Cloud DNS-Zonen abfragt. Für einen Client wird ein ALIAS-Eintrag als Standard-A- oder AAAA-Eintrag in der DNS-Antwort angezeigt. ALIAS-Einträge sind nicht mit DNSSEC kompatibel. Daher können Sie DNSSEC nicht für eine Zone mit ALIAS-Einträgen aktivieren.

Sie können Alias-Einträge wie alle anderen Einträge verwalten. Informationen zum Verwalten von Einträgen finden Sie unter Einträge verwalten.

Prozess zum Lösen von Abfragen

Alias-Einträge sind nur für öffentliche Cloud DNS-Zonen verfügbar.

Bei CNAME-Einträgen ist der Resolver für die Auflösung des kanonischen Namens verantwortlich. Bei ALIAS-Einträgen löst der Cloud DNS-Nameserver den kanonischen Namen auf und erzeugt synthetisierte A- oder AAAA-Einträge, die an den Resolver zurückgegeben werden. Die synthetisierten A- oder AAAA-Einträge haben den Namen des ALIAS-Eintrags mit den IP-Adressen, die beim Auflösen des Ziels des ALIAS-Eintrags ermittelt wurden. Die Cloud DNS-Nameserver verwenden die verfügbaren rekursiven Resolver von Google, um Alias-Einträge aufzulösen.

Wenn das Alias-Ziel in einen Ressourceneintragssatz (Ressourcendatensatz) mit mehreren Adressen aufgelöst wird, gibt Cloud DNS alle Einträge zurück, setzt jedoch ihre Reihenfolge in zufälliger Reihenfolge, bevor der synthetisierte Adresseintrag zurückgegeben wird. Dieser Vorgang ähnelt der Verarbeitung von Antworten von seinen Nameservern in Cloud DNS.

Während der ALIAS-Zielauflösung werden nur Adresseinträge synthetisiert. Bei Abfragen nach ALIAS-Einträgen werden keine zwischengeschalteten CNAME-Einträge zurückgegeben, die beim Auflösen des Ziels des Alias-Eintrags gefunden wurden. CNAME-Einträge, die über CNAME-Chasing gefunden werden, bevor der ALIAS-Eintrag erreicht wird, werden unverändert zurückgegeben. Wenn die ALIAS-Zielauflösung fehlschlägt, also einen anderen Antwortcode als NOERROR zurückgibt, gibt der Cloud DNS-Nameserver eine SERVFAIL-Antwort an seinen Client zurück. Wenn die Auflösung zu einer NODATA-Antwort führt, bei der es sich um eine NOERROR-Antwort ohne Adresseinträge handelt, gibt der Cloud DNS-Nameserver eine NODATA-Antwort zurück.

Parameter für die Gültigkeitsdauer (TTL) und Caching

Der mit einem synthetisierten Adresseintrag zurückgegebene TTL-Wert ist der kleinste für den ALIAS-Eintrag konfigurierte TTL-Wert und die TTL-Werte, die beim Auflösen des ALIAS-Ziels erkannt werden. Bei dieser Methode kann die zurückgegebene TTL kleiner sein als die konfigurierte TTL des ALIAS-Eintrags, sie ist aber nie größer als die konfigurierte TTL.

Das folgende Beispiel zeigt, wie die TTL für die synthetisierten Adresseinträge bestimmt wird.

Angenommen, die folgenden Einträge sind in einer von Cloud DNS verwalteten Zone konfiguriert:

example.com.    3600    SOA      ns.com.  admin.example.com. (...)
                86400   NS       ns.com.
                6000    ALIAS    test-cname.example.com.
test-cname      3000    CNAME    address.example.com.
address         5000    A        1.2.3.4

Eine Abfrage an diese Zone für den A-Eintrag unter example.com gibt eine Antwort ähnlich der folgenden zurück:

QUESTION SECTION
example.com.                  A

ANSWER SECTION
example.com.        3000      A      1.2.3.4

Die während der Auflösung ermittelten TTLs sind 6.000 (für den ALIAS-Eintrag), 3.000 (für den CNAME-Eintrag) und 5.000 (für den A-Eintrag). Von diesen TTLs ist 3.000 die kleinste, daher wird sie im synthetisierten Adresseintrag zurückgegeben.

Dieses Beispiel zeigt der Einfachheit halber alle Einträge in derselben Zone. Die TTL-Logik ist jedoch für Auflösungen, die durch verschiedene Zonen springen, identisch.

Bit für autoritative Antwort

Das autoritative Bit in der DNS-Antwort basiert auf dem Vornamen in der Kette (dem ursprünglichen qname), unabhängig davon, ob die mit diesem Namen verknüpften Daten auf dem Server gefunden wurden oder über eine ALIAS-Eintragsauflösung abgerufen wurden.

Fehlerbehandlung

Es ist möglich, dass der Cloud DNS-Server den kanonischen Namen, der mit einem ALIAS-Eintrag verknüpft ist, nicht auflösen kann. Beispielsweise ist der kanonische Name möglicherweise nicht vorhanden oder bei den Nameservern treten vorübergehend Fehler auf.

Wenn die Zielauflösung von ALIAS zu einer NODATA-Antwort führt, bei der es sich um eine leere Antwort mit einem OK RCODE handelt, wird eine NODATA-Antwort an seinen Client zurückgegeben. ALIAS-Einträge reagieren sowohl auf A- als auch auf AAAA-Abfragen. Es ist jedoch möglich, dass das ALIAS-Ziel nur einen dieser Typen enthält, was zu NODATA-Antworten für den anderen Typ führen kann. Dieser erwartete Anwendungsfall darf nicht als Fehler behandelt werden. Bei jedem anderen Fehler wie nonexistent oder refused gibt der ALIAS-Eintrag ein SERVFAIL RCODE an den Client zurück.

Da die Rückgabe von SERVFAIL für alle Fehler intransparent ist, steht zur Unterstützung der Fehlerbehebung ein zusätzliches Feld in DNS-Cloud-Logging zur Verfügung, um den RCODE zu erfassen, der während der ALIAS-Auflösung zurückgegeben wird. Eine ausführliche Beschreibung finden Sie unter Logging und Monitoring verwenden.

Datensätze importieren und exportieren

Sie können Datensätze in eine BIND-Zonendatei oder eine YAML-Datei importieren und daraus exportieren.

ALIAS-Einträge werden in BIND-Dateien nicht unterstützt, da der ALIAS-Eintragstyp kein DNS-Standardeintragstyp ist. Cloud DNS erkennt diese Einträge, andere BIND-kompatible DNS-Software jedoch möglicherweise nicht.

ALIAS-Einträge werden in YAML-Dateien exportiert, die für Cloud DNS spezifisch sind, und zwar im folgenden Format:

kind: dns#resourceRecordSet
name: DNS Name
rrdatas: RR Data
ttl: TTL
type: ALIAS

Cloud DNS kann ALIAS-Einträge aus einer YAML-Datei im vorherigen Format importieren.

Sicherheit und Datenschutz

Öffentliche Cloud DNS-Nameserver lösen das ALIAS-Ziel in Ihrem Namen auf. Sie müssen jedoch darauf achten, dass das ALIAS-Ziel korrekt konfiguriert ist. Ein falsches ALIAS-Ziel kann dazu führen, dass Ihre öffentlichen Einträge nicht wie erforderlich funktionieren oder unerwünschte IP-Adressen zurückgeben.

Verwaltete Zonen überwachen

Cloud DNS bietet Logging für alle Abfragen in verwalteten Zonen über Logging. Im DNS-Abfragelog steht das optionale Feld alias_query_response_code zur Verfügung, um Informationen zum Status der ALIAS-Namensauflösung aufzuzeichnen, da diese Informationen nicht in der DNS-Antwort verfügbar sind.

Weitere Informationen finden Sie unter Logs ansehen.

alias_query_response_code wird nur festgelegt, wenn die Abfrage mit einem ALIAS-Eintrag aufgelöst wird. Der Wert NoError bedeutet, dass der ALIAS-Eintrag erfolgreich aufgelöst wurde, während jeder andere Wert den Fehler darstellt. Ein SERVFAIL-Wert kann eines der folgenden Probleme darstellen:

  • Ziel-Nameserver nicht erreichbar
  • Zeitüberschreitung bei der Ziellösung, bevor eine Antwort gefunden wird
  • DNSSEC-Validierung fehlgeschlagen

Das Feld qtype in den Logeinträgen hat keine ALIAS-Option. Wenn eine A- oder AAAA-Abfrage mit einem ALIAS-Eintrag beantwortet wird, bleibt das Feld qtype auf „A“ oder „AAAA“.

Nächste Schritte