Esta página foi traduzida pela API Cloud Translation.

Políticas de roteamento de DNS e verificações de integridade

É possível configurar políticas de roteamento de DNS para conjuntos de registros de recursos em zonas públicas ou privadas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registros de recursos com valores específicos de política de roteamento para configurar essas políticas. Esses valores determinam como o Cloud DNS encaminha o tráfego de consulta.

O Cloud DNS oferece suporte às seguintes políticas de roteamento:

Política de roteamento de round-robin ponderado (WRR): use uma política de roteamento WRR para atribuir ponderações diferentes a cada conjunto de registros de recursos de um nome de DNS. Uma política de roteamento de round-robin ponderado ajuda a garantir que o tráfego seja distribuído de acordo com os pesos configurados. Como combinar roteamento de WRR e geolocalização não é compatível.

Observação: os resolvedores podem armazenar em cache e exibir respostas a vários clientes até o time to live (TTL) do registro de recurso expira. Esse comportamento inerente Às vezes, o direcionamento do tráfego DNS pode resultar em um direcionamento impreciso.
Política de roteamento de geolocalização: use a geolocalização. de roteamento do Google para especificar geolocalizações de origem e fornecer respostas nesses locais. A política de roteamento de geolocalização aplica uma correspondência mais próxima para o local de origem quando nenhum item da política corresponde exatamente à origem do tráfego.
- Política de roteamento de geolocalização com uma fronteira geográfica virtual: use a política de roteamento de geolocalização com uma fronteira geográfica virtual para restringir o tráfego a uma geolocalização específica, mesmo que todos os endpoints dessa geolocalização não estejam íntegros.
Política de roteamento de failover: use a política de roteamento de failover para definir as configurações de backup ativo.

As políticas de roteamento de DNS não podem ser configuradas para as seguintes zonas particulares:

Zonas de encaminhamento
Zonas de peering de DNS
Zonas de pesquisa reversa gerenciadas
Zonas do Diretório de serviços

Políticas de roteamento de WRR

Uma política de roteamento de round-robin ponderado (WRR) permite especificar ponderações diferentes por meta de DNS, e o Cloud DNS garante que o tráfego seja distribuído de acordo com as ponderações. Use essa política para oferecer suporte a configurações manuais active-active ou active-passive. Também é possível dividir o tráfego entre as versões de produção e experimental do serviço.

O Cloud DNS dá suporte à verificação de integridade e a failovers no roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS ativa o failover automático quando os endpoints falham nas verificações de integridade. Durante um failover, o Cloud DNS ajusta automaticamente a divisão de tráfego entre os endpoints íntegros restantes. Para mais informações, consulte Verificações de integridade.

Políticas de roteamento de geolocalização

Uma política de roteamento de geolocalização permite mapear o tráfego proveniente da origem geografias (regiões do Google Cloud) para destinos de DNS específicos. Use essa política para distribuir solicitações recebidas para diferentes instâncias de serviço com base na origem do tráfego. Você pode usar esse recurso com tráfego de fora do Google Cloud ou com tráfego proveniente do Google Cloud e para balanceadores de carga de rede de passagem interna. O Cloud DNS usa a região em que o as consultas entram no Google Cloud como região geográfica de origem.

Uma política de roteamento de geolocalização mapeia a origem de maneira diferente para DNS público e privado da seguinte maneira:

Para DNS público, o endereço IP de origem ou o mecanismo de extensão para DNS (EDNS) sub-rede cliente da consulta é usada.
Para DNS particular, a sub-rede do cliente EDNS não é usada. Em vez disso, o local da consulta é o local do sistema que envia os pacotes para a consulta:
- Para consultas de uma instância de máquina virtual (VM) do Compute Engine com uma interface de rede em uma rede VPC, o local da consulta é a região que contém a instância da VM.
- Para consultas recebidas por uma entrada de política do servidor de entrada momento, o o local da consulta é a região do túnel do Cloud VPN, Anexo da VLAN do Cloud Interconnect ou dispositivo roteador que recebeu os pacotes para a consulta. A região do endereço IP do ponto de entrada não é relevante. Para mais informações, consulte Rede e região para consultas recebidas.

O Cloud DNS dá suporte à verificação de integridade e a failovers no roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite failover automático quando os endpoints falham verificações de integridade. Quando você usa políticas de roteamento de geolocalização, o tráfego falha para a geolocalização mais próxima do tráfego de origem.

Política de roteamento de geolocalização com fronteira geográfica virtual

Uma fronteira geográfica virtual ajuda a garantir que o tráfego seja direcionado para uma região específica, mesmo todos os endpoints dessa região falharem nas verificações de integridade.

Quando a fronteira geográfica virtual está desativada e ocorre uma falha na verificação de integridade em uma geolocalização específica, o tráfego falha automaticamente para a próxima geolocalização mais próxima. No entanto, quando a fronteira geográfica virtual está ativada, esse failover automático não ocorre. Como servidor autoritativo, o Cloud DNS precisa retornar um valor. Neste cenário, o Cloud DNS retorna todos os endereços IP inalterados quando os endpoints falham nas verificações de integridade.

Políticas de roteamento de failover

A política de roteamento de failover permite que você defina configurações de backup ativo para oferecer alta disponibilidade aos recursos internos na rede VPC.

Em operação normal, o Cloud DNS sempre retorna os endereços IP do conjunto active. Quando todos os endereços IP no conjunto active se tornam inativos, o Cloud DNS serve os endereços IP do conjunto backup. Se você configurar o conjunto backup como uma política de roteamento de geolocalização, ela vai funcionar conforme descrito na seção Políticas de roteamento de geolocalização. Se você configurar o backup definido para um balanceador de carga interno, O Cloud DNS verifica todos os endereços IP virtuais (VIP) de backup.

O Cloud DNS permite engajar gradualmente o tráfego para os endereços VIP de backup para que você possa verificar se os endereços VIP de backup estão funcionando. Você pode configure a porcentagem do tráfego enviado ao backup como uma fração de 0 a 1. É possível acionar manualmente um failover enviando 100% do tráfego para os endereços VIP de backup. O valor típico é 0,1. As verificações de integridade podem ser aplicadas apenas a balanceadores de carga internos e endpoints externos.

Verificações de integridade

O Cloud DNS oferece suporte a verificações de integridade e failovers nas políticas de roteamento para os seguintes balanceadores de carga internos e endpoints externos:

Balanceadores de carga de aplicativo internos (regionais e entre regiões)
Balanceadores de carga de rede de passagem interna
Balanceadores de carga de rede de proxy interno (pré-lançamento)
Endpoints externos

Quando você quiser usar a verificação de integridade com uma zona gerenciada e Extensões de segurança de DNS (DNSSEC) estiver ativado, somente um endereço IP poderá ser usado em cada item de política (um WRR ou geolocalização). Não é possível misturar IPs com verificação de integridade e em endereços IP sem verificação de integridade em uma política específica.

Para informações sobre as práticas recomendadas ao configurar o registro do Cloud DNS e as verificações de integridade, consulte Práticas recomendadas.

Verificações de integridade para balanceadores de carga internos

As verificações de integridade para balanceadores de carga internos só estão disponíveis zonas de controle.

Para balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para garantir que haja back-ends íntegros, é possível gerenciar o ciclo de vida deles usando serviços como grupos de instâncias gerenciadas (MIGs, na sigla em inglês). O Cloud DNS não precisa estar ciente do status de integridade de back-ends individuais. O balanceador de carga realiza essa tarefa.

Para balanceadores de carga de rede de passagem internos, o Cloud DNS verifica as informações de integridade nas instâncias de back-end individuais do balanceador. Cloud DNS aplica um limite padrão de 20% e, se pelo menos 20% das instâncias de back-end forem íntegro, o endpoint do balanceador de carga será considerado íntegro. As políticas de roteamento de DNS marcam o endpoint como íntegro ou não íntegro com base nesse limite e rotear o tráfego de acordo com ele.

Um único endereço IP virtual (VIP) do balanceador de carga de rede de passagem interna pode ter vários instâncias. Se um balanceador de carga de rede de passagem interna não tiver instâncias de back-end, o Cloud DNS ainda a considerar saudável. Para que a verificação de integridade funcione corretamente, especifique em pelo menos uma instância de back-end na configuração do balanceador de carga.

Quando o endpoint é marcado como não íntegro, podem ocorrer as seguintes condições:

Se houver vários endereços VIP programados com uma política, somente endereços VIP íntegros serão retornados.
Se todos os endereços VIP programados em um bucket de políticas não estiverem íntegros, essa linha de política falhará. O comportamento a seguir se aplica:
- Para uma política WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os endpoints íntegros restantes definidos na política.
- No caso de uma política de geolocalização sem o isolamento ativado, o tráfego muda para endpoints na região geográfica mais próxima região de origem do Google Cloud definida na política.
- Para uma política de geolocalização com fronteira geográfica virtual ativada, o Cloud DNS distribui o tráfego para o endereço VIP mais próximo da região de origem do Google Cloud definida na política.
- Para uma política de failover, o Cloud DNS alterna o tráfego para o de backup de dados definidos na política.
- Se todos os buckets de política não estiverem íntegros, o Cloud DNS vai se comportar como se todos os endpoints estivessem íntegros. Esse cenário pode levar a distribuído para endpoints sem resposta.

Para mais informações sobre verificações de integridade para balanceadores de carga internos, consulte Visão geral das verificações de integridade.

Verificações de integridade para endpoints externos (prévia)

As verificações de integridade para endpoints externos estão disponíveis apenas em zonas públicas. Os endpoints que você quer verificar precisam ser acessíveis pela Internet pública. O endpoint especificado pode ser qualquer endereço IP e porta externos, incluindo um VIP do balanceador de carga de aplicativo externo global, um VIP do balanceador de carga de aplicativo externo regional, um VIP do balanceador de carga de rede de proxy externo global, endpoints no local ou qualquer outro endpoint acessível pela Internet pública.

Use verificações de integridade para endpoints externos nos seguintes cenários:

Para redirecionar o tráfego para um balanceador de carga de aplicativo externo regional se um back-end de balanceador de carga de aplicativo externo global ou um back-end de balanceador de carga de rede de proxy externo global ficar indisponível.
Para redirecionar o tráfego para outro balanceador de carga de aplicativo externo regional se uma o back-end do balanceador de carga de aplicativo externo regional perde a integridade.
Para monitorar a integridade de endpoints no local ou de outros endpoints que estão acessíveis pela Internet pública.

Quando você cria uma política de roteamento de DNS com verificações de integridade para endpoints externos, o Cloud DNS envia sondagens de verificação de integridade para os endpoints. Essas sondagens de verificação de integridade são originadas de três regiões de origem do Google Cloud que você especifica. Os verificadores de integridade de cada região são executados de forma independente, e o Cloud DNS agrega os resultados para determinar a integridade geral do endpoint. Em cada região, três instâncias de sonda de verificação de integridade sondam cada endpoint. Se uma sonda falhar, o Cloud DNS ainda poderá determinar a integridade do endpoint usando as sondas restantes. Isso significa que você tem nove sondas no total para cada endpoint, e cada sondagem ocorre na frequência especificados no intervalo de verificação da verificação de integridade. Com base nos parâmetros da política de roteamento e nas informações de integridade, o Cloud DNS seleciona um endpoint e encaminha o tráfego para ele.

O Cloud DNS oferece suporte aos protocolos TCP, HTTP e HTTPS com a seguintes ressalvas:

O campo de solicitação TCP não é aceito.
O campo proxyHeader para HTTP, HTTPS e TCP não é compatível.

Os protocolos SSL, HTTP/2 e gRPC não são compatíveis.

Para o protocolo TCP, o Cloud DNS tenta se conectar ao endpoint. Para os protocolos HTTP e HTTPS, o Cloud DNS verifica se o endpoint retorna um código de resposta HTTP 200. Também é possível configurar a verificação de integridade com base em conteúdo, em que o Cloud DNS verifica se a resposta contém uma string específica.

Ao contrário da verificação de integridade para balanceadores de carga internos, as verificações de integridade do Cloud DNS para endpoints externos não são originadas de intervalos de endereços IP fixos. Os intervalos de endereços IP de origem da sondagem estão sujeitos a mudanças ao longo do tempo.

O protocolo e a porta especificados ao criar a verificação de integridade determinam como as sondagens de verificação de integridade são feitas. Se você não especificar uma porta, o Cloud DNS usará a porta 80. Para garantir que as verificações de integridade funcionem corretamente, configurar as regras de firewall para permitir sondagens de verificação de integridade de qualquer origem e na porta específica configurada na verificação de integridade.

Se você não tiver configurado o firewall para permitir sondagens de verificação de integridade, elas vão falhar, e o Cloud DNS vai considerar os endpoints bloqueados como não íntegros. Se todos os endpoints forem retornados como não íntegros, o Cloud DNS ainda vai fornecer todos deles como resultado, mesmo que não estejam íntegros.

Intervalo da verificação de integridade

O Cloud DNS envia periodicamente sondagens de verificação de integridade de acordo com o intervalo de verificação de integridade. Por exemplo, se o intervalo de verificação de integridade for de 30 segundos, o Cloud DNS vai enviar uma sondagem de verificação de integridade a cada 30 segundos.

Para a verificação de integridade de endpoint externo do Cloud DNS, o intervalo de verificação precisa ser de 30 a 300 segundos.

Políticas de roteamento round-robin ponderado e verificações de integridade

O Cloud DNS oferece suporte a pesos de 0 a 1.000, incluindo ambos. Quando as verificações de integridade são incluídas, ocorre o seguinte:

Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
Se você configurar um novo objetivo ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego mudará para ele.
À medida que você adicionar mais destinos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os destinos (com cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você tiver configurado três destinos com ponderações de 0, 25 e 75, a meta com a ponderação 0 não receberá tráfego, a meta com uma ponderação de 25 receberá um quarto do tráfego e a meta restante recebe três quartos do tráfego de entrada.
Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero forem íntegros, o Cloud DNS retornará os registros ponderados zero.
Se as verificações de integridade estiverem associadas a registros ponderados que não sejam zero e zero e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará todos os destinos ponderados diferentes de zero e ignorará os destinos ponderados zero.
Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP desse bucket é retornado. Se você especificar apenas um endereço IP no bucket de peso, apenas esse endereço estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.

Políticas de roteamento de geolocalização e verificações de integridade

Nas políticas de roteamento de geolocalização com verificações de integridade ativadas, ocorre o seguinte:

Quando uma política tem vários endereços IP configurados e todos eles tiver verificação de integridade, somente os endereços IP íntegros serão retornados.
Quando há uma combinação de endereços IP com e sem verificação de integridade, e todos os endereços IP verificados de integridade falham, o Cloud DNS retorna todos os endereços IP que não têm a verificação de integridade configurada. Nesse cenário, o failover automático para a próxima região geográfica mais próxima não ocorre.

Geração de registros de verificação de integridade

O Cloud DNS oferece suporte à geração de registros de verificação de integridade e registra o status de seus endereços IP com a verificação de integridade ativada ao consultar o nome DNS que se refere a esses endereços IP.

A geração de registros de verificação de integridade permite fazer o seguinte:

Confirme se as políticas de roteamento estão funcionando conforme o esperado. Por exemplo:
- Para políticas de geolocalização, ele permite validar se elas detectam a localização correta e retornar o conjunto de dados de registros de recurso correto.
- Para políticas de WRR, ele permite que você valide se as políticas estão retornando os endereços IP na ponderação correta.
Identifique problemas de infraestrutura com back-ends e endereços IP específicos que tenham falhas.
Solucione problemas em que back-ends específicos nunca estão incluídos ou são os únicos que estão sendo retornados.

Para mais informações, consulte Informações de registro de verificação de integridade.

Tipos de registro compatíveis com políticas de roteamento de DNS

As políticas de roteamento de DNS não oferecem suporte a todos os tipos de registro com suporte do Cloud DNS.

Os seguintes tipos de registro são aceitos:

Tipo de registro	Descrição
A	Endereços IPv4 para verificações de integridade internas (zona particular) e externa (zona pública).
AAAA	Endereços IPv6 para verificações de integridade externas (zona pública).
CNAME	Nomes canônicos. Não há suporte para verificações de integridade.
MX	Registros de troca de e-mail. Não há suporte para verificações de integridade.
SRV	Host/porta (RFC 2782). Não há suporte para verificações de integridade.
TXT	Dados de texto. Não há suporte para verificações de integridade.

A seguir

Configurar políticas de roteamento e verificações de integridade de DNS