Puoi configurare i criteri di routing DNS per i set di record di risorse nelle zone privateo pubblicheper indirizzare il traffico in base a criteri specifici. Crea set di record di risorse con valori specifici dei criteri di routing per configurarli. Questi valori determinano il modo in cui Cloud DNS indirizza il traffico delle query.
Cloud DNS supporta i seguenti criteri di routing:
Criterio di routing round robin ponderato (WRR): utilizza un criterio di routing WRR per assegnare pesi diversi a ogni insieme di record di risorse per un nome DNS. Un criterio di routing WRR (round robin pesato) contribuisce a garantire che il traffico venga distribuito in base ai pesi configurati. La combinazione di WRR e delle norme di routing basate sulla geolocalizzazione non è supportata.
Criterio di routing per la geolocalizzazione: utilizza il criterio di routing per la geolocalizzazione per specificare le geolocalizzazioni di origine e fornire le risposte corrispondenti a queste aree geografiche. La norma di routing della geolocalizzazione applica una corrispondenza migliore per la località di origine quando nessun elemento della norma corrisponde esattamente alla sorgente di traffico.
- Criterio di routing per la geolocalizzazione con un recinto virtuale: utilizza il criterio di routing per la geolocalizzazione con un recinto virtuale per limitare il traffico a una determinata località geografica, anche se tutti gli endpoint in quella località non sono integri.
- Criterio di routing failover: utilizza il criterio di routing failover per configurare le configurazioni di backup attive.
I criteri di routing DNS non possono essere configurati per le seguenti zone private:
- Zone di inoltro
- Zone di peering DNS
- Zone di ricerca inversa gestite
- Zone di Service Directory
Criteri di routing WRR
Un criterio di routing WRR ti consente di specificare pesi diversi per ogni target DNS e Cloud DNS garantisce che il traffico venga distribuito in base ai pesi. Puoi utilizzare questo criterio per supportare le configurazioniactive-active
o active-passive
manualmente. Puoi anche suddividere il traffico tra le versioni di produzione e sperimentali del servizio.
Cloud DNS supporta i controlli di integrità e i failover all'interno dei criteri di routing per i bilanciatori del carico interni e gli endpoint esterni. Cloud DNS attiva il failover automatico quando gli endpoint non superano i controlli di integrità. Durante un failover, Cloud DNS regola automaticamente la suddivisione del traffico tra gli endpoint integri rimanenti. Per ulteriori informazioni, consulta Controlli di integrità.
Criteri di routing per la geolocalizzazione
Un criterio di routing per la geolocalizzazione ti consente di mappare il traffico proveniente da determinate aree geografiche di origine (regioni Google Cloud) a target DNS specifici. Utilizza questo criterio per distribuire le richieste in arrivo a diverse istanze di servizio in base all'origine del traffico. Puoi utilizzare questa funzionalità con il traffico proveniente dall'esterno di Google Cloud o con il traffico proveniente da Google Cloud e destinato ai bilanciatori del carico di rete passthrough interni. Cloud DNS utilizza la regione in cui le query vengono inserite in Google Cloud come area geografica di origine.
Un criterio di routing per la geolocalizzazione mappa l'origine in modo diverso per i DNS pubblici e privati nel seguente modo:
- Per il DNS pubblico, viene utilizzato l'indirizzo IP di origine o la subnet del client del meccanismo di estensione per il DNS (EDNS) della query.
- Per il DNS privato, la subnet del client EDNS non viene utilizzata. La posizione della query è invece la posizione del sistema che invia i pacchetti per la query:
- Per le query da un'istanza di una macchina virtuale (VM) Compute Engine con un'interfaccia di rete in una rete VPC, la posizione della query è la regione che contiene l'istanza VM.
- Per le query ricevute da un punto di contatto delle norme del server in entrata, la località della query è la regione del tunnel Cloud VPN, del collegamento VLAN Cloud Interconnect o dell'appliance router che ha ricevuto i pacchetti per la query. La regione dell'indirizzo IP del punto di contatto non è pertinente. Per ulteriori informazioni, consulta Rete e regione per le query in entrata.
Cloud DNS supporta i controlli di integrità e i failover all'interno dei criteri di routing per i bilanciatori del carico interni e gli endpoint esterni. Cloud DNS attiva il failover automatico quando gli endpoint non superano i controlli di integrità. Quando utilizzi i criteri di routing per la geolocalizzazione, il traffico viene trasferito alla geolocalizzazione più vicina al traffico di origine.
Criterio di routing per la geolocalizzazione con recinto virtuale
Un recinto virtuale contribuisce ad assicurare che il traffico venga indirizzato a una regione specifica, anche se tutti gli endpoint all'interno di quella regione non superano i controlli di integrità.
Quando il geofencing è disattivato e si verifica un errore di controllo di integrità per una determinata località geografica, il traffico viene eseguito automaticamente sulla località geografica più vicina. Tuttavia, quando il recinto virtuale è attivo, questo failover automatico non si verifica. In qualità di server autorevole, Cloud DNS deve restituire un valore e, in questo scenario, restituisce tutti gli indirizzi IP invariati quando gli endpoint non superano i controlli di integrità.
Criteri di routing di failover
Il criterio di routing di failover ti consente di configurare configurazioni di backup attive per fornire alta disponibilità per le risorse interne all'interno della rete VPC.
In condizioni normali, Cloud DNS restituisce sempre gli indirizzi IP dall'insieme active
. Quando tutti gli indirizzi IP nell'insieme active
diventano non operativi, Cloud DNS serve gli indirizzi IP nell'insieme backup
. Se configuri l'insieme backup
come criterio di routing per la geolocalizzazione, funziona come descritto nella sezione Criteri di routing per la geolocalizzazione. Se configuri l'impostazione backup
per un bilanciatore del carico interno, Cloud DNS esegue controlli di integrità su tutti gli indirizzi IP virtuali (VIP) di backup.
Cloud DNS ti consente di distribuire gradualmente il traffico agli indirizzi VIP di backup per verificare che funzionino. Puoi configurare la percentuale di traffico inviato al backup come frazione da 0 a 1. Puoi attivare manualmente un failover inviando il 100% del traffico agli indirizzi VIP di riserva. Il valore tipico è 0,1. I controlli di integrità possono essere applicati solo ai bilanciatori del carico interni e agli endpoint esterni.
Controlli di integrità
Cloud DNS supporta i controlli di integrità e i failover all'interno dei criteri di routing per i seguenti bilanciatori del carico interni e endpoint esterni:
- Bilanciatori del carico delle applicazioni interni (regionali e tra regioni)
- Bilanciatori del carico di rete passthrough interni
- Bilanciatori del carico di rete proxy interni (anteprima)
- Endpoint esterni
Quando vuoi utilizzare il controllo di integrità con una zona gestita e le estensioni DNSSEC (DNS Security Extensions) sono attive, in ogni elemento del criterio può essere utilizzato un solo indirizzo IP(un WRR o una geolocalizzazione). Non puoi combinare indirizzi IP sottoposti a controllo di integrità e indirizzi IP non sottoposti a controllo di integrità in un criterio specifico.
Per informazioni sulle best practice da tenere presenti durante la configurazione del record Cloud DNS e dei controlli di integrità, consulta Best practice.
Controlli di integrità per i bilanciatori del carico interni
I controlli di integrità per i bilanciatori del carico interni sono disponibili solo nelle zone private.
Per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni, Cloud DNS prende in considerazione lo stato del bilanciatore del carico stesso durante la decisione di routing. Quando un bilanciatore del carico riceve una query, distribuisce il traffico solo ai servizi di backend integri. Per contribuire ad assicurare l'esistenza di backend integri, puoi gestire il ciclo di vita dei backend utilizzando servizi come i gruppi di istanze gestite (MIG). Cloud DNS non deve essere a conoscenza dello stato di integrità dei singoli backend; questa attività è gestita dal bilanciatore del carico.
Per i bilanciatori del carico di rete passthrough interni, Cloud DNS controlla le informazioni sull'integrità delle singole istanze di backend del bilanciatore del carico. Cloud DNS applica una soglia predefinita del 20% e, se almeno il 20% delle istanze di backend è integro, l'endpoint del bilanciatore del carico è considerato integro. I criteri di routing DNS contrassegnano l'endpoint come integro o non integro in base a questa soglia e indirizzano il traffico di conseguenza.
Un singolo indirizzo IP virtuale (VIP) del bilanciatore del carico di rete passthrough interno può avere più istanze di backend. Se un bilanciatore del carico di rete passthrough interno non ha istanze di backend, Cloud DNS lo considera comunque integro. Affinché il controllo di integrità funzioni correttamente, specifica almeno un'istanza di backend nella configurazione del bilanciatore del carico.
Quando l'endpoint è contrassegnato come non integro, possono verificarsi le seguenti condizioni:
- Se sono presenti più indirizzi VIP programmati in base a un criterio, vengono restituiti solo gli indirizzi VIP integri.
Se tutti gli indirizzi VIP programmati in base a un bucket di criteri non sono integri, la riga del criterio non è riuscita. Si applica il seguente comportamento:
- Per un criterio WRR, Cloud DNS distribuisce il traffico proporzionalmente tra gli endpoint integri rimanenti definiti nel criterio.
- Per un criterio di geolocalizzazione per il quale non è abilitato il recinto virtuale, il traffico passa agli endpoint nella località geografica più vicina alla regione Google Cloud di origine definita nel criterio.
- Per un criterio di geolocalizzazione con il geofencing abilitato, Cloud DNS distribuisce il traffico all'indirizzo VIP più vicino alla regione Google Cloud di origine definita nel criterio.
- Per un criterio di failover, Cloud DNS indirizza il traffico agli endpoint di backup definiti nel criterio.
- Se tutti i bucket dei criteri non sono integri, Cloud DNS si comporta come se tutti gli endpoint fossero integri. Questo scenario potrebbe potenzialmente portare a un aumento del traffico distribuito a endpoint non rispondenti.
Per saperne di più sui controlli di integrità per i bilanciatori del carico interni, consulta la Panoramica dei controlli di integrità.
Controlli di integrità per gli endpoint esterni (anteprima)
I controlli di integrità per gli endpoint esterni sono disponibili solo nelle zone pubbliche. Gli endpoint di cui vuoi eseguire il controllo di integrità devono essere accessibili tramite internet pubblico. L'endpoint specificato può essere qualsiasi indirizzo IP e porta esterni, incluso un VIP del bilanciatore del carico delle applicazioni esterno globale, un VIP del bilanciatore del carico delle applicazioni esterno regionale, un VIP del bilanciatore del carico di rete proxy esterno globale, endpoint on-premise o qualsiasi altro endpoint accessibile tramite la rete internet pubblica.
Utilizza i controlli di integrità per gli endpoint esterni nei seguenti scenari:
- Per reindirizzare il traffico a un bilanciatore del carico delle applicazioni esterno regionale se il backend di un bilanciatore del carico delle applicazioni esterno globale o il backend di un bilanciatore del carico di rete con proxy esterno globale non è più disponibile.
- Per reindirizzare il traffico a un altro bilanciatore del carico delle applicazioni esterno regionale se il backend di un bilanciatore del carico delle applicazioni esterno regionale specifico non è più disponibile.
- Per monitorare lo stato degli endpoint on-premise o di altri endpoint accessibili sull'internet pubblico.
Quando crei un criterio di routing DNS con controlli di integrità per gli endpoint esterni, Cloud DNS invia probe di controllo di integrità ai tuoi endpoint. Questi probe di controllo di integrità provengono da tre regioni di origine Google Cloud da te specificate. I sondaggi di controllo di integrità di ogni regione vengono eseguiti in modo indipendente e Cloud DNS aggrega i relativi risultati per determinare l'integrità complessiva dell'endpoint. All'interno di ogni regione, tre istanze di prober di controllo di integrità eseguono il probe di ogni endpoint. Se un probe non va a buon fine, Cloud DNS può comunque determinare l'integrità dell'endpoint utilizzando i probe rimanenti. Ciò significa che hai nove probe in totale per ogni endpoint e ogni probe viene eseguito con la frequenza specificata nell'intervallo di controllo del controllo di integrità. In base ai parametri del criterio di routing e alle informazioni sull'integrità, Cloud DNS seleziona un endpoint e instrada il traffico verso l'endpoint selezionato.
Cloud DNS supporta i protocolli TCP, HTTP e HTTPS con i seguenti vincoli:
- Il campo della richiesta TCP non è supportato.
- Il campo
proxyHeader
per HTTP, HTTPS e TCP non è supportato.
I protocolli SSL, HTTP/2 e gRPC non sono supportati.
Per il protocollo TCP, Cloud DNS tenta di connettersi all'endpoint.
Per i protocolli HTTP e HTTPS, Cloud DNS verifica che l'endpoint 200
restituisca un codice di risposta HTTP. Puoi anche configurare il controllo di stato basato sui contenuti, in cui Cloud DNS verifica che la risposta contenga una stringa specifica.
A differenza dei controlli di integrità per i bilanciatori del carico interni, i controlli di integrità di Cloud DNS per gli endpoint esterni non provengono da intervalli di indirizzi IP fissi. Gli intervalli di indirizzi IP di origine della sonda sono soggetti a modifiche nel tempo.
Il protocollo e la porta specificati durante la creazione del controllo di integrità determinano come vengono eseguiti i probe del controllo di integrità. Se non specifichi una porta, Cloud DNS
utilizza la porta 80
. Per contribuire a garantire il corretto funzionamento dei controlli di integrità,
configura le regole firewall in modo da consentire i probe del controllo di integrità da qualsiasi indirizzo IP di origine e sulla porta specifica configurata nel controllo di integrità.
Se non hai configurato il firewall per consentire i probe del controllo di integrità, questi probe non vanno a buon fine, pertanto Cloud DNS considera gli endpoint bloccati non integri. Se tutti gli endpoint vengono restituiti come non integri, Cloud DNS li fornisce comunque, anche se non sono integri.
Intervallo del controllo di integrità
Cloud DNS invia periodicamente i probe del controllo di integrità in base all'intervallo del controllo di integrità. Ad esempio, se l'intervallo del controllo di integrità è di 30 secondi, Cloud DNS invia un controllo di integrità ogni 30 secondi.
Per i controlli di integrità degli endpoint esterni di Cloud DNS, l'intervallo del controllo di integrità deve essere compreso tra 30 e 300 secondi.
Criteri di routing round robin ponderati e controlli di integrità
Cloud DNS supporta pesi da 0 a 1000, inclusi. Quando vengono inclusi i controlli di salute, si verifica quanto segue:
- Se configuri più target, tutti con un peso pari a 0, il traffico viene distribuito uniformemente tra i target.
- Se configuri un nuovo target ponderato diverso da zero, questo diventa il target principale e tutto il traffico viene indirizzato a questo target.
- Man mano che aggiungi altri target con pesi diversi da zero, Cloud DNS calcola dinamicamente la suddivisione del traffico tra i target (con ogni richiesta) e lo distribuisce in modo appropriato. Ad esempio, se hai configurato tre target con pesi pari a 0, 25 e 75, il target con un peso pari a 0 non riceve traffico, il target con un peso pari a 25 riceve un quarto del traffico e il target rimanente riceve tre quarti del traffico in entrata.
- Se i controlli di integrità sono associati a target ponderati diversi da zero, ma non a quelli con ponderazione pari a zero, questi ultimi sono sempre considerati integri. Se tutti i record diversi da zero non sono in stato corretto, Cloud DNS restituisce i record con ponderazione zero.
- Se i controlli di integrità sono associati sia a record con pesi diversi da zero sia a record con peso zero e se tutti i record non superano i controlli di integrità, Cloud DNS restituisce i target con pesi diversi da zero e ignora i target con peso zero.
- Quando Cloud DNS sceglie un bucket di peso da restituire all'autore della richiesta (un singolo elemento del criterio), viene restituito solo l'indirizzo IP in quel bucket di peso. Se specifichi un solo indirizzo IP nel bucket del peso, solo questo indirizzo IP sarà presente nella risposta. Se il bucket del peso contiene più di un indirizzo IP, Cloud DNS restituisce tutti gli indirizzi IP in un ordine randomizzato.
Criteri di routing e controlli di integrità per la geolocalizzazione
Per i criteri di routing basati sulla geolocalizzazione con i controlli di integrità abilitati, si verifica quanto segue:
- Quando un criterio ha più indirizzi IP configurati e tutti gli indirizzi IP sono sottoposti a controllo di integrità, vengono restituiti solo gli indirizzi IP integri.
- Quando sono presenti indirizzi IP sottoposti a controllo di integrità e indirizzi IP non sottoposti a controllo di integrità e tutti gli indirizzi IP sottoposti a controllo di integrità non rispondono, Cloud DNS restituisce tutti gli indirizzi IP per i quali non è configurato il controllo di integrità. In questo scenario, il failover automatico alla località geografica più vicina non avviene.
Logging del controllo di integrità
Cloud DNS supporta la registrazione dei controlli di integrità e registra lo stato di integrità dei tuoi indirizzi IP per i quali è stato eseguito il controllo di integrità quando esegui una query sul nome DNS che fa riferimento a questi indirizzi IP.
Il logging del controllo di integrità ti consente di svolgere le seguenti operazioni:
- Verifica che i criteri di routing funzionino come previsto. Ad
esempio:
- Per i criteri di geolocalizzazione, ti consente di verificare se i criteri rilevano la località corretta e restituiscono il set di dati dei record di risorse corretto.
- Per i criteri WRR, ti consente di verificare se i criteri restituiscono gli indirizzi IP con il peso corretto.
- Identificare i problemi di infrastruttura con backend e indirizzi IP specifici che hanno errori.
- Risolvi i problemi relativi al motivo per cui backend specifici non vengono mai inclusi o sono gli unici che vengono restituiti.
Per ulteriori informazioni, consulta le informazioni sui log dei controlli di integrità.
Tipi di record supportati per le policy di routing DNS
I criteri di routing DNS non supportano tutti i tipi di record supportati da Cloud DNS.
Sono supportati i seguenti tipi di record:
Tipo di record | Descrizione |
---|---|
A | Indirizzi IPv4 per i controlli di integrità interni (zona privata) ed esterni (zona pubblica) . |
AAAA | Indirizzi IPv6 per i controlli di integrità esterni (zona pubblica). |
CNAME | Nomi canonici. I controlli di integrità non sono supportati. |
MX | Record MX. I controlli di integrità non sono supportati. |
SRV | Host/porta (RFC 2782). I controlli di integrità non sono supportati. |
TXT | Dati di testo. I controlli di integrità non sono supportati. |