Puoi configurare i criteri di routing DNS per i set di record di risorse nelle zone private o pubbliche per indirizzare il traffico in base a criteri specifici. Crea risorsa set di record con valori specifici dei criteri di routing per configurare questi criteri. Questi valori determinano il modo in cui Cloud DNS instrada il traffico delle query.
Cloud DNS supporta i seguenti criteri di routing:
Criterio di routing WRR (round robin) ponderato: utilizza un criterio WRR criterio di routing per assegnare pesi diversi a ciascun set di record di risorse per Nome DNS. Un criterio di routing WRR (round robin pesato) contribuisce a garantire che il traffico venga distribuito in base ai pesi configurati. La combinazione di criteri di routing WRR e geolocalizzazione non è supportata.
Criterio di routing per la geolocalizzazione: utilizza il criterio di routing per la geolocalizzazione per specificare le geolocalizzazioni di origine e fornire le risposte corrispondenti a queste aree geografiche. Il criterio di routing della geolocalizzazione applica una corrispondenza più vicina alla località di origine quando nessun elemento delle norme corrisponde esattamente alla sorgente di traffico.
- Criterio di routing della geolocalizzazione con un recinto virtuale: utilizza criterio di routing di geolocalizzazione con un recinto virtuale per limitare il traffico a una specifica anche se tutti gli endpoint in quella geolocalizzazione sono in stato non integro.
Criterio di routing del failover: utilizza il routing di failover per impostare le configurazioni dei backup attivi.
I criteri di routing DNS non possono essere configurati per le seguenti zone private:
- Zone di inoltro
- Zone di peering DNS
- Zone di ricerca inversa gestite
- Zone Service Directory
Criteri di routing WRR
Un criterio di routing WRR ti consente di specificare pesi diversi per ogni target DNS e Cloud DNS garantisce che il traffico venga distribuito in base ai pesi. Puoi utilizzare questo criterio per supportare le istruzioni
active-active o active-passive
configurazioni. Puoi anche suddividere il traffico tra le versioni di produzione e sperimentali del servizio.
Cloud DNS supporta i controlli di integrità e i failover all'interno dei criteri di routing per i bilanciatori del carico interni e gli endpoint esterni. Cloud DNS attiva il failover automatico quando gli endpoint non superano i controlli di integrità. Durante un failover, Cloud DNS regola automaticamente la suddivisione del traffico tra gli endpoint integri rimanenti. Per ulteriori informazioni, vedi Controlli di integrità.
Criteri di routing della geolocalizzazione
Un criterio di routing di geolocalizzazione ti consente di mappare il traffico proveniente dall'origine regioni di Google Cloud) a target DNS specifici. Usa questa per distribuire le richieste in entrata a diverse istanze di servizio in base all'origine del traffico. Puoi utilizzare questa funzionalità con il traffico proveniente dall'esterno di Google Cloud o con il traffico proveniente da Google Cloud e destinato ai bilanciatori del carico di rete passthrough interni. Cloud DNS utilizza la regione in cui le query inserite in Google Cloud come area geografica di origine.
Un criterio di routing della geolocalizzazione mappa l'origine in modo diverso a seconda del DNS pubblico e di quello privato nei seguenti modi:
- Per il DNS pubblico, l'indirizzo IP di origine o meccanismo di estensione per DNS (EDNS) viene utilizzata la subnet client della query.
- Per il DNS privato, non viene utilizzata la subnet del client EDNS. Invece, la posizione
della query è la posizione del sistema che invia i pacchetti
la query:
- Per le query da un'istanza di una macchina virtuale (VM) Compute Engine con una rete in una rete VPC, la posizione della query corrisponde alla regione che contiene l'istanza VM.
- Per le query ricevute da un punto di contatto delle norme del server in entrata, la località della query è la regione del tunnel VPN Cloud, del collegamento VLAN Cloud Interconnect o dell'appliance router che ha ricevuto i pacchetti per la query. La regione dell'indirizzo IP del punto di contatto non è pertinente. Per ulteriori informazioni, consulta Rete e regione per le query in entrata.
Cloud DNS supporta il controllo di integrità e i failover all'interno del routing per i bilanciatori del carico interni ed endpoint esterni. Cloud DNS abilita il failover automatico in caso di errore degli endpoint e controlli di integrità. Quando utilizzi i criteri di routing di geolocalizzazione, il traffico non riesce alla geolocalizzazione più vicina al traffico di origine.
Criterio di routing per la geolocalizzazione con recinto virtuale
Un recinto virtuale contribuisce ad assicurare che il traffico venga indirizzato a una regione specifica, anche se tutti gli endpoint all'interno di quella regione non superano i controlli di integrità.
Quando il geofencing è disabilitato e si verifica un errore del controllo di integrità per una specifica geolocalizzazione, il traffico viene inviato automaticamente alla successiva geolocalizzazione più vicina. Tuttavia, quando il recinto virtuale è attivo, questo failover automatico non si verifica. In qualità di server autorevole, Cloud DNS deve restituire un valore e, in questo scenario, restituisce tutti gli indirizzi IP invariati quando gli endpoint non superano i controlli di integrità.
Criteri di routing del failover
Il criterio di routing di failover ti consente di configurare configurazioni di backup attive per fornire alta disponibilità per le risorse interne all'interno della rete VPC.
In condizioni normali, Cloud DNS restituisce sempre gli indirizzi IP dall'insieme active. Quando tutti gli indirizzi IP nell'insieme active diventano non disponibili, Cloud DNS serve gli indirizzi IP nell'insieme backup. Se configuri il criterio backup come criterio di routing di geolocalizzazione,
funziona come descritto nei criteri di routing di geolocalizzazione
. Se configuri l'impostazione backup per un bilanciatore del carico interno, Cloud DNS esegue controlli di integrità su tutti gli indirizzi IP virtuali (VIP) di backup.
Cloud DNS ti consente di distribuire gradualmente il traffico agli indirizzi VIP di backup per verificare che funzionino. Puoi configurare la percentuale del traffico inviato al backup come frazione da 0 a 1. Puoi attivare manualmente un failover inviando il 100% del traffico agli indirizzi VIP di riserva. Il valore tipico è 0,1. I controlli di integrità possono essere applicata solo ai bilanciatori del carico interni e agli endpoint esterni.
Controlli di integrità
Cloud DNS supporta il controllo di integrità e i failover all'interno del routing per i seguenti bilanciatori del carico interni ed endpoint esterni:
- Bilanciatori del carico delle applicazioni interni (regionali e tra regioni)
- Bilanciatori del carico di rete passthrough interni
- Bilanciatori del carico di rete proxy interni (anteprima)
- Endpoint esterni
Quando vuoi utilizzare il controllo di integrità con una zona gestita e le estensioni DNSSEC (DNS Security Extensions) sono attive, in ogni elemento del criterio può essere utilizzato un solo indirizzo IP (un WRR o una geolocalizzazione). Non puoi combinare indirizzi IP sottoposti a controllo di integrità e indirizzi IP non sottoposti a controllo di integrità in un criterio specifico.
Per informazioni sulle best practice da tenere presenti durante la configurazione del record DNS Cloud e dei controlli di integrità, consulta Best practice.
Controlli di integrità per i bilanciatori del carico interni
I controlli di integrità per i bilanciatori del carico interni sono disponibili solo nelle zone private.
Per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni, Cloud DNS considera l'integrità del bilanciatore del carico stesso durante la decisione di routing. Quando un bilanciatore del carico riceve una query, distribuisce il traffico solo ai servizi di backend integri. Per contribuire ad assicurare l'esistenza di backend integri, puoi gestire il ciclo di vita dei backend utilizzando servizi come i gruppi di istanze gestite (MIG). Cloud DNS non deve essere a conoscenza dello stato di integrità dei singoli backend; questa attività è gestita dal bilanciatore del carico.
Per i bilanciatori del carico di rete passthrough interni, Cloud DNS controlla le informazioni di integrità delle singole istanze di backend del bilanciatore del carico. Cloud DNS applica una soglia predefinita del 20% e se almeno il 20% delle istanze di backend viene integro, l'endpoint del bilanciatore del carico è considerato integro. I criteri di routing DNS contrassegnano l'endpoint come integro o non integro in base su questa soglia e instradare il traffico di conseguenza.
Un singolo indirizzo IP virtuale (VIP) del bilanciatore del carico di rete passthrough interno può avere più backend di Compute Engine. Se un bilanciatore del carico di rete passthrough interno non ha istanze di backend, Cloud DNS lo considera comunque integro. Affinché il controllo di integrità funzioni correttamente, specifica in almeno un'istanza di backend nella configurazione del bilanciatore del carico.
Quando l'endpoint è contrassegnato come non integro, possono verificarsi le seguenti condizioni:
- Se sono presenti più indirizzi VIP programmati in base a un criterio, vengono restituiti solo gli indirizzi VIP integri.
Se tutti gli indirizzi VIP programmati in un bucket di criteri non sono integri, la riga del criterio non è andata a buon fine. Si applica il seguente comportamento:
- Per un criterio WRR, Cloud DNS distribuisce il traffico proporzionalmente tra gli endpoint integri rimanenti definiti .
- Per un criterio di geolocalizzazione per cui non è abilitata la recinzione, il traffico passa agli endpoint nell'area geografica più prossima regione Google Cloud di origine definita nel criterio.
- Per un criterio di geolocalizzazione con il geofencing abilitato, Cloud DNS distribuisce il traffico all'indirizzo VIP più vicino alla regione Google Cloud di origine definita nel criterio.
- Per un criterio di failover, Cloud DNS indirizza il traffico agli endpoint di backup definiti nel criterio.
- Se tutti i bucket dei criteri non sono integri, Cloud DNS si comporta come se tutti gli endpoint fossero integri. Questo scenario potrebbe potenzialmente portare a un aumento del traffico distribuito a endpoint non rispondenti.
Per saperne di più sui controlli di integrità per i bilanciatori del carico interni, consulta la Panoramica dei controlli di integrità.
Controlli di integrità per endpoint esterni (anteprima)
I controlli di integrità per gli endpoint esterni sono disponibili solo nelle zone pubbliche. Gli endpoint di cui vuoi eseguire il controllo di integrità devono essere accessibili tramite internet pubblico. L'endpoint specificato può essere un indirizzo IP esterno e una porta inclusi un VIP del bilanciatore del carico delle applicazioni esterno globale, un VIP del bilanciatore del carico delle applicazioni esterno regionale, VIP del bilanciatore del carico di rete proxy esterno globale, on-premise endpoint o qualsiasi altro endpoint accessibile sulla rete internet pubblica.
Utilizza i controlli di integrità per gli endpoint esterni nei seguenti scenari:
- Reindirizzare il traffico a un bilanciatore del carico delle applicazioni esterno regionale se si tratta di un bilanciatore del carico delle applicazioni esterno globale o il backend di un bilanciatore del carico di rete proxy esterno globale non è integro.
- Reindirizzare il traffico a un altro bilanciatore del carico delle applicazioni esterno regionale se si verifica una specifica il backend del bilanciatore del carico delle applicazioni esterno regionale non è integro.
- Per monitorare lo stato degli endpoint on-premise o di altri endpoint accessibili sull'internet pubblico.
Quando crei un criterio di routing DNS con controlli di integrità per gli endpoint esterni, Cloud DNS invia probe di controllo di integrità agli endpoint. Questi probe di controllo di integrità provengono da tre regioni di origine Google Cloud che specifichi. I probe del controllo di integrità di ogni regione vengono eseguiti in modo indipendente Cloud DNS aggrega i risultati per determinare la temperatura complessiva dell'endpoint l'integrità fisica. All'interno di ogni regione, tre istanze di prober del controllo di integrità eseguono il probe endpoint. Se un probe ha esito negativo, Cloud DNS può comunque determinare il l'integrità dell'endpoint utilizzando i probe rimanenti. Ciò significa che hai nove probe in totale per ogni endpoint e ogni probe viene eseguito con la frequenza specificata nell'intervallo di controllo del controllo di integrità. In base ai parametri del criterio di routing e alle informazioni sull'integrità, Cloud DNS seleziona un endpoint e instrada il traffico verso l'endpoint selezionato.
Cloud DNS supporta i protocolli TCP, HTTP e HTTPS con con le seguenti avvertenze:
- Il campo della richiesta TCP non è supportato.
- Il campo
proxyHeaderper HTTP, HTTPS e TCP non è supportato.
I protocolli SSL, HTTP/2 e gRPC non sono supportati.
Per il protocollo TCP, Cloud DNS tenta di connettersi all'endpoint.
Per i protocolli HTTP e HTTPS, Cloud DNS verifica che l'endpoint
restituisce un codice di risposta HTTP 200. Puoi anche configurare l'integrità basata sui contenuti
dove Cloud DNS controlla che la risposta contenga uno specifico
stringa.
A differenza del controllo di integrità per i bilanciatori del carico interni, Cloud DNS i controlli di integrità per gli endpoint esterni non provengono da intervalli di indirizzi IP fissi. Gli intervalli di indirizzi IP di origine del probe sono soggetti a modifica nel tempo.
Il protocollo e la porta specificati durante la creazione del controllo di integrità determinano come vengono eseguiti i probe del controllo di integrità. Se non specifichi una porta, Cloud DNS
utilizza la porta 80. Per assicurarti che i controlli di integrità funzionino correttamente,
configurare le regole del firewall per consentire i probe del controllo di integrità da qualsiasi origine
Indirizzo IP e sulla porta specifica configurata nel controllo di integrità.
Se non hai configurato il firewall per consentire i probe del controllo di integrità, questi probe non vanno a buon fine, pertanto Cloud DNS considera gli endpoint bloccati non integri. Se tutti gli endpoint vengono restituiti come non integri, Cloud DNS li fornisce comunque, anche se non sono integri.
Intervallo del controllo di integrità
Cloud DNS invia periodicamente i probe del controllo di integrità in base all'intervallo del controllo di integrità. Ad esempio, se l'intervallo del controllo di integrità è 30 secondi, Cloud DNS invia un probe di controllo di integrità ogni 30 secondi.
Per il controllo di integrità degli endpoint esterni di Cloud DNS, deve essere compreso tra 30 e 300 secondi.
Criteri di routing Round Robin ponderati e controlli di integrità
Cloud DNS supporta pesi compresi tra 0 e 1000, inclusi entrambi. Quando controlli di integrità, si verifica quanto segue:
- Se configuri più target, tutte con ponderazione pari a 0, il traffico viene distribuito in egual misura tra i target.
- Se configuri un nuovo target ponderato diverso da zero, questo diventa il target principale e tutto il traffico viene spostato su quel target.
- Man mano che aggiungi altri target con pesi diversi da zero, Cloud DNS calcola dinamicamente la suddivisione del traffico tra i target (con ogni richiesta) e lo distribuisce in modo appropriato. Ad esempio, se disponi configurato tre target con ponderazioni pari a 0, 25 e 75, il target con Il peso pari a 0 non riceve traffico, mentre il target con ponderazione pari a 25 riceve un quarto del del traffico, mentre il target rimanente riceve tre quarti del traffico in entrata per via del traffico.
- Se i controlli di integrità sono associati a target ponderati diversi da zero, ma non a quelli con ponderazione pari a zero, questi ultimi sono sempre considerati integri. Se tutti i record diversi da zero sono in stato non integro, restituisce i record ponderati pari a zero.
- Se i controlli di integrità sono associati con un peso diverso da zero e zero e se tutti i record non superano i controlli di integrità, Cloud DNS restituisce eventuali target ponderati diversi da zero e ignora i target ponderati pari a zero.
- Quando Cloud DNS sceglie un bucket di peso da restituire al richiedente (un singolo elemento del criterio), solo l'indirizzo IP in quel bucket di peso è restituito. Se specifichi un solo indirizzo IP nel bucket del peso, solo questo indirizzo IP sarà presente nella risposta. Se il bucket del peso contiene più di un indirizzo IP, Cloud DNS restituisce tutti gli indirizzi IP in un ordine randomizzato.
Criteri di routing della geolocalizzazione e controlli di integrità
Per i criteri di routing della geolocalizzazione con controlli di integrità abilitati, si verifica quanto segue:
- Quando per un criterio sono configurati più indirizzi IP e tutti gli indirizzi IP controlli di integrità, vengono restituiti solo gli indirizzi IP integri.
- Quando sono presenti indirizzi IP sottoposti a controllo di integrità e indirizzi IP non sottoposti a controllo di integrità e tutti gli indirizzi IP sottoposti a controllo di integrità non rispondono, Cloud DNS restituisce tutti gli indirizzi IP per i quali non è configurato il controllo di integrità. Nella in questo scenario, il failover automatico all'area geografica più vicina che si verificano.
Logging del controllo di integrità
Cloud DNS supporta la registrazione dei controlli di integrità e registra lo stato di integrità dei tuoi indirizzi IP per i quali è stato eseguito il controllo di integrità quando esegui una query sul nome DNS che fa riferimento a questi indirizzi IP.
La registrazione del controllo di integrità ti consente di:
- Verifica che i criteri di routing funzionino come previsto. Ad
esempio:
- Per i criteri di geolocalizzazione, ti consente di verificare se i criteri rilevano la località corretta e restituiscono il set di dati dei record di risorse corretto.
- Per i criteri WRR, ti consente di verificare se i criteri restituiscono gli indirizzi IP con il peso corretto.
- Identifica i problemi di infrastruttura con backend e indirizzi IP specifici che hanno errori.
- Risolvi i problemi relativi al motivo per cui backend specifici non vengono mai inclusi o sono gli unici che vengono restituiti.
Per ulteriori informazioni, vedi Informazioni sui log del controllo di integrità.
Tipi di record supportati per i criteri di routing DNS
I criteri di routing del DNS non supportano tutti i tipi di record che sono supportate da Cloud DNS.
Sono supportati i seguenti tipi di record:
| Tipo di record | Descrizione |
|---|---|
| A | Indirizzi IPv4 per i controlli di integrità interni (zona privata) ed esterni (zona pubblica). |
| AAAA | Indirizzi IPv6 per i controlli di integrità esterni (zona pubblica). |
| CNAME | Nomi canonici. I controlli di integrità non sono supportati. |
| MX | Record Mail Exchange. I controlli di integrità non sono supportati. |
| SRV | Host/porta (RFC 2782). I controlli di integrità non sono supportati. |
| TXT | Dati di testo. I controlli di integrità non sono supportati. |