Pode configurar políticas de encaminhamento de DNS para conjuntos de registos de recursos em zonas privadas ou públicas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registos de recursos com valores de política de encaminhamento específicos para configurar estas políticas. Estes valores determinam como o Cloud DNS encaminha o tráfego de consultas.
O Cloud DNS suporta as seguintes políticas de encaminhamento:
Política de encaminhamento de round robin ponderado (WRR): use uma política de encaminhamento WRR para atribuir diferentes ponderações a cada conjunto de registos de recursos para um nome DNS. Uma política de encaminhamento WRR ajuda a garantir que o tráfego é distribuído de acordo com os pesos configurados. A combinação de políticas de encaminhamento de WRR e geolocalização não é suportada.
Política de encaminhamento de geolocalização: use a política de encaminhamento de geolocalização para especificar geolocalizações de origem e fornecer respostas correspondentes a essas geografias. A política de encaminhamento de geolocalização aplica uma correspondência mais próxima para a localização de origem quando nenhum item de política corresponde exatamente à origem do tráfego.
- Política de encaminhamento de geolocalização com um geolimite: use a política de encaminhamento de geolocalização com um geolimite para restringir o tráfego a uma geolocalização específica, mesmo que todos os pontos finais nessa geolocalização não estejam em bom estado.
- Política de encaminhamento de alternativa: use a política de encaminhamento de alternativa para configurar configurações de cópia de segurança ativas.
Não é possível configurar políticas de encaminhamento de DNS para as seguintes zonas privadas:
- Zonas de encaminhamento
- Zonas de intercâmbio de DNS
- Zonas reverse lookup geridas
- Zonas do diretório de serviços
Políticas de encaminhamento WRR
Uma política de encaminhamento WRR permite especificar diferentes ponderações por destino DNS, e o Cloud DNS garante que o seu tráfego é distribuído de acordo com as ponderações. Pode usar esta política para suportar configurações manuais
active-active ou active-passive. Também pode dividir o tráfego entre as versões de produção e experimentais do seu serviço.
O Cloud DNS suporta a verificação de funcionamento e as comutações por falha nas políticas de encaminhamento para balanceadores de carga internos e pontos finais externos. O Cloud DNS permite a comutação por falha automática quando os pontos finais falham nas respetivas verificações de estado. Durante uma ativação pós-falha, o Cloud DNS ajusta automaticamente a divisão do tráfego entre os pontos finais saudáveis restantes. Para mais informações, consulte o artigo Verificações de estado.
Políticas de encaminhamento de geolocalização
Uma política de encaminhamento de geolocalização permite-lhe mapear o tráfego originário de geografias de origem (Google Cloud regiões) para destinos de DNS específicos. Use esta política para distribuir pedidos recebidos a diferentes instâncias de serviço com base na origem do tráfego. Pode usar esta funcionalidade com tráfego proveniente de fora deGoogle Cloud ou com tráfego originário de Google Cloud e destinado a equilibradores de carga de encaminhamento interno. O Cloud DNS usa a região onde as consultas entram Google Cloud como geografia de origem.
Uma política de encaminhamento de geolocalização mapeia a origem de forma diferente para o DNS público e privado das seguintes formas:
- Para o DNS público, é usado o endereço IP de origem ou a sub-rede do cliente do mecanismo de extensão para DNS (EDNS) da consulta.
- Para o DNS privado, a sub-rede do cliente EDNS não é usada. Em alternativa, a localização
da consulta é a localização do sistema que envia os pacotes para
a consulta:
- Para consultas de uma instância de máquina virtual (VM) do Compute Engine com uma interface de rede numa rede VPC, a localização da consulta é a região que contém a instância de VM.
- Para consultas recebidas por um ponto de entrada da política do servidor de entrada, a localização da consulta é a região do túnel de VPN do Cloud, do anexo de VLAN do Cloud Interconnect ou do dispositivo de encaminhamento que recebeu os pacotes para a consulta. A região do endereço IP do ponto de entrada não é relevante. Para mais informações, consulte o artigo Rede e região para consultas de entrada.
O Cloud DNS suporta a verificação de funcionamento e as comutações por falha nas políticas de encaminhamento para balanceadores de carga internos e pontos finais externos. O Cloud DNS permite a comutação por falha automática quando os pontos finais falham nas respetivas verificações de estado. Quando usa políticas de encaminhamento de geolocalização, o tráfego é transferido para a geolocalização mais próxima do tráfego de origem.
Política de encaminhamento de geolocalização com perímetro virtual
Uma geovalla ajuda a garantir que o tráfego é direcionado para uma região específica, mesmo que todos os pontos finais nessa região falhem as verificações de funcionamento.
Quando o geofencing está desativado e ocorre uma falha na verificação de funcionamento para uma geolocalização específica, o tráfego é automaticamente transferido para a geolocalização mais próxima seguinte. No entanto, quando o geofencing está ativado, esta comutação automática para o modo de segurança não ocorre. Como servidor autoritário, o Cloud DNS tem de devolver um valor e, neste cenário, o Cloud DNS devolve todos os endereços IP inalterados quando os pontos finais falham nas verificações de estado.
Políticas de encaminhamento de comutação por falha
A política de encaminhamento de comutação por falha permite configurar configurações de cópia de segurança ativas para oferecer alta disponibilidade para recursos internos na sua rede VPC.
No funcionamento normal, o Cloud DNS devolve sempre os endereços IP do conjunto active. Quando todos os endereços IP no conjunto active ficam indisponíveis, o Cloud DNS publica os endereços IP do conjunto backup.Se configurar o conjunto backup como uma política de encaminhamento de geolocalização, funciona conforme descrito na secção Políticas de encaminhamento de geolocalização. Se configurar o backup para um balanceador de carga interno,
o Cloud DNS verifica o funcionamento de todos os endereços IP virtuais (VIPs) de cópia de segurança.
O Cloud DNS permite-lhe enviar gradualmente tráfego para os endereços VIP de cópia de segurança para que possa verificar se os endereços VIP de cópia de segurança estão a funcionar. Pode configurar a percentagem do tráfego enviado para a solução alternativa como uma fração de 0 a 1. Pode acionar manualmente uma comutação por falha enviando 100% do tráfego para os endereços IP virtuais de cópia de segurança. O valor típico é 0,1. As verificações de estado só podem ser aplicadas a equilibradores de carga internos e pontos finais externos.
Verificações de funcionamento
O Cloud DNS suporta verificações de funcionamento e failovers nas políticas de encaminhamento para os seguintes balanceadores de carga internos e pontos finais externos:
- Balanceadores de carga de aplicações internos (regionais e entre regiões)
- Balanceadores de carga de rede de encaminhamento interno
- Balanceadores de carga de rede de proxy internos (pré-visualização)
- Pontos finais externos
Quando quiser usar a verificação de estado com uma zona gerida e as extensões de segurança do DNS (DNSSEC) estiverem ativadas, só pode usar um único endereço IP em cada item da política (um WRR ou uma geolocalização). Não pode misturar endereços IP verificados quanto ao estado de funcionamento e endereços IP não verificados quanto ao estado de funcionamento numa política específica.
Para ver informações sobre as práticas recomendadas a ter em conta quando configurar o registo do Cloud DNS e as verificações de funcionamento, consulte o artigo Práticas recomendadas.
Verificações de estado para balanceadores de carga internos
As verificações de saúde para equilibradores de carga internos só estão disponíveis em zonas privadas.
Para balanceadores de carga de aplicações internos e balanceadores de carga de rede de proxy internos, o Cloud DNS considera o estado de funcionamento do próprio balanceador de carga durante a decisão de encaminhamento. Quando um balanceador de carga recebe uma consulta, distribui o tráfego apenas para os serviços de back-end em bom estado. Para ajudar a garantir que existem back-ends saudáveis, pode gerir o ciclo de vida dos back-ends através de serviços como grupos de instâncias geridos (MIGs). O Cloud DNS não precisa de estar ciente do estado de funcionamento dos back-ends individuais. O balanceador de carga processa esta tarefa.
Para balanceadores de carga de rede de passagem interna, o Cloud DNS verifica as informações de funcionamento nas instâncias de back-end individuais do balanceador de carga. O Cloud DNS aplica um limite predefinido de 20% e, se, pelo menos, 20% das instâncias de back-end estiverem em bom estado, o ponto final do balanceador de carga é considerado em bom estado. As políticas de encaminhamento de DNS marcam o ponto final como em bom ou mau estado com base neste limite e encaminham o tráfego em conformidade.
Um único endereço IP virtual (VIP) do balanceador de carga de rede de encaminhamento interno pode ter várias instâncias de back-end. Se um Network Load Balancer de encaminhamento interno não tiver instâncias de back-end, o Cloud DNS continua a considerá-lo em bom estado. Para que a verificação de funcionamento funcione corretamente, especifique, pelo menos, uma instância de back-end na configuração do balanceador de carga.
Quando o ponto final é marcado como não saudável, podem ocorrer as seguintes condições:
- Se existirem vários endereços VIP programados em relação a uma política, apenas são devolvidos os endereços VIP em bom estado.
Se todos os endereços VIP programados em relação a um contentor de políticas não estiverem em bom estado, essa linha de política falhou. Aplica-se o seguinte comportamento:
- Para uma política de WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os restantes pontos finais em bom estado definidos na política.
- Para uma política de geolocalização que não tenha a restrição geográfica ativada, o tráfego muda para os pontos finais na geografia mais próxima da região de origem Google Cloud definida na política.
- Para uma política de geolocalização com geovedação ativada, o Cloud DNS distribui o tráfego para o endereço VIP mais próximo da região Google Cloud de origem definida na política.
- Para uma política de comutação por falha, o Cloud DNS comuta o tráfego para os pontos finais de cópia de segurança definidos na política.
- Se todos os contentores de políticas não estiverem em bom estado, o Cloud DNS comporta-se como se todos os pontos finais estivessem em bom estado. Este cenário pode potencialmente levar ao tráfego distribuído a endpoints que não respondem.
Para mais informações sobre as verificações de funcionamento dos balanceadores de carga internos, consulte o artigo Vista geral das verificações de funcionamento.
Verificações de funcionamento para pontos finais externos
As verificações de saúde para pontos finais externos só estão disponíveis em zonas públicas. Os pontos finais que quer verificar têm de estar acessíveis através da Internet pública. O ponto final especificado pode ser qualquer endereço IP externo e porta, incluindo um VIP do Application Load Balancer externo global, um VIP do Application Load Balancer externo regional, um VIP do Network Load Balancer de proxy externo global, pontos finais no local ou qualquer outro ponto final acessível através da Internet pública.
Use verificações de estado para pontos finais externos nos seguintes cenários:
- Para reencaminhar o tráfego para um balanceador de carga de aplicações externo regional se um back-end de um balanceador de carga de aplicações externo global ou um back-end de um balanceador de carga de rede de proxy externo global ficar em mau estado.
- Para reencaminhar o tráfego para outro Application Load Balancer externo regional se o back-end de um Application Load Balancer externo regional específico ficar em mau estado.
- Para monitorizar o estado dos pontos finais no local ou outros pontos finais acessíveis na Internet pública.
Quando cria uma política de encaminhamento de DNS com verificações de funcionamento para pontos finais externos, o Cloud DNS envia sondas de verificação de funcionamento para os seus pontos finais. Estas sondagens de verificação do estado de funcionamento têm origem em três Google Cloud regiões de origem que especifica. As sondas de verificação de funcionamento de cada região são executadas de forma independente e o Cloud DNS agrega os respetivos resultados para determinar o estado geral do ponto final. Em cada região, três instâncias de sondagem de verificação de estado sondam cada ponto final. Se uma sondagem falhar, o Cloud DNS pode continuar a determinar o estado de funcionamento do ponto final através das sondagens restantes. Isto significa que tem nove sondas no total para cada ponto final e que cada sonda ocorre na frequência que especifica no intervalo de verificação da verificação de estado. Com base nos parâmetros da política de encaminhamento e nas informações de estado, o Cloud DNS seleciona um ponto final e encaminha o tráfego para o ponto final selecionado.
O Cloud DNS suporta os protocolos TCP, HTTP e HTTPS com as seguintes ressalvas:
- O campo de pedido TCP não é suportado.
- O campo
proxyHeaderpara HTTP, HTTPS e TCP não é suportado.
Os protocolos SSL, HTTP/2 e gRPC não são suportados.
Para o protocolo TCP, o Cloud DNS tenta estabelecer ligação ao ponto final.
Para os protocolos HTTP e HTTPS, o Cloud DNS verifica se o ponto final devolve um código de resposta HTTP 200. Também pode configurar a verificação do estado de funcionamento baseada no conteúdo, em que o Cloud DNS verifica se a resposta contém uma string específica.
Ao contrário da verificação de funcionamento dos balanceadores de carga internos, as verificações de funcionamento do Cloud DNS para pontos finais externos não têm origem em intervalos de endereços IP fixos. Os intervalos de endereços IP de origem da sondagem estão sujeitos a alterações ao longo do tempo.
O protocolo e a porta que especifica quando cria a verificação de funcionamento determinam como são feitas as sondagens de verificação de funcionamento. Se não especificar uma porta, o Cloud DNS usa a porta 80. Para ajudar a garantir que as verificações de funcionamento funcionam corretamente,
configure as regras de firewall para permitir sondagens de verificação de funcionamento a partir de qualquer endereço IP de origem
e na porta específica configurada na verificação de funcionamento.
Se não tiver configurado a firewall para permitir sondagens de verificação de estado, as sondagens falham, pelo que o Cloud DNS considera os pontos finais bloqueados como não estando em bom estado. Se todos os pontos finais forem devolvidos como não íntegros, o Cloud DNS continua a fornecê-los todos como resultado, mesmo que não sejam íntegros.
Intervalo de verificação de funcionamento
O Cloud DNS envia periodicamente sondas de verificação de estado de funcionamento de acordo com o intervalo de verificação de estado de funcionamento. Por exemplo, se o intervalo de verificação de estado for de 30 segundos, o Cloud DNS envia uma sonda de verificação de estado a cada 30 segundos.
Para a verificação do estado do ponto final externo do Cloud DNS, o intervalo de verificação do estado tem de estar entre 30 e 300 segundos.
Políticas de encaminhamento aleatório ponderado e verificações de funcionamento
O Cloud DNS suporta ponderações de 0 a 1000, inclusive. Quando as verificações de estado são incluídas, ocorre o seguinte:
- Se configurar várias segmentações, todas com peso 0, o tráfego é distribuído igualmente entre as segmentações.
- Se configurar um novo objetivo ponderado diferente de zero, este torna-se o objetivo principal e todo o tráfego muda para esse objetivo.
- À medida que adiciona mais alvos com ponderações diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os alvos (com cada pedido) e distribui o tráfego de forma adequada. Por exemplo, se tiver configurado três alvos com ponderações de 0, 25 e 75, o alvo com a ponderação de 0 não recebe tráfego, o alvo com uma ponderação de 25 recebe um quarto do tráfego e o alvo restante recebe três quartos do tráfego recebido.
- Se as verificações de estado de funcionamento estiverem associadas a alvos com ponderação diferente de zero, mas não a alvos com ponderação zero, os alvos com ponderação zero são sempre considerados em bom estado. Se todos os registos diferentes de zero estiverem em mau estado, o Cloud DNS devolve os registos com peso zero.
- Se as verificações de estado estiverem associadas a registos com ponderação diferente de zero e zero, e se todos os registos estiverem a falhar nas verificações de estado, o Cloud DNS devolve todos os destinos com ponderação diferente de zero e ignora os destinos com ponderação zero.
- Quando o Cloud DNS escolhe um grupo de ponderação para devolver ao requerente (um único item de política), apenas o endereço IP nesse grupo de ponderação é devolvido. Se especificar apenas um endereço IP no grupo de ponderação, apenas esse endereço IP está na resposta. Se existir mais do que um endereço IP no grupo de ponderação, o Cloud DNS devolve todos os endereços IP numa ordem aleatória.
Políticas de encaminhamento de geolocalização e verificações de funcionamento
Para políticas de encaminhamento de geolocalização com verificações de funcionamento ativadas, ocorre o seguinte:
- Quando uma política tem vários endereços IP configurados e todos os endereços IP têm verificação de estado, apenas são devolvidos os endereços IP em bom estado.
- Quando existe uma combinação de endereços IP com e sem verificação de estado, e todos os endereços IP com verificação de estado falham, o Cloud DNS devolve todos os endereços IP que não têm a verificação de estado configurada. Neste cenário, a comutação automática para a geografia mais próxima seguinte não ocorre.
Registo da verificação de funcionamento
O Cloud DNS suporta o registo de verificações de funcionamento e regista o estado de funcionamento dos seus endereços IP ativados para verificações de funcionamento quando consulta o nome DNS que se refere a esses endereços IP.
O registo de verificações de funcionamento permite-lhe fazer o seguinte:
- Valide se as políticas de encaminhamento estão a ter o desempenho esperado. Por
exemplo:
- Para as políticas de geolocalização, permite-lhe validar se as políticas detetam a geografia correta e devolvem o conjunto de dados de registo de recursos correto.
- Para políticas de WRR, permite-lhe validar se as políticas estão a devolver os endereços IP na ponderação correta.
- Identifique problemas de infraestrutura com back-ends e endereços IP específicos que tenham falhas.
- Resolva problemas relativos ao motivo pelo qual determinados backends nunca são incluídos ou são os únicos que estão a ser devolvidos.
Para mais informações, consulte as informações de registo da verificação de estado.
Tipos de registos suportados para políticas de encaminhamento de DNS
As políticas de encaminhamento de DNS não suportam todos os tipos de registos suportados pelo Cloud DNS.
São suportados os seguintes tipos de registos:
| Tipo de registo | Descrição |
|---|---|
| A | Endereços IPv4 para verificações de funcionamento internas (zona privada) e externas (zona pública) . |
| AAAA | Endereços IPv6 para verificações de estado externas (zona pública). |
| CNAME | Nomes canónicos. As verificações de funcionamento não são suportadas. |
| MX | Registos de troca de correio. As verificações de funcionamento não são suportadas. |
| SRV | Anfitrião/porta (RFC 2782). As verificações de funcionamento não são suportadas. |
| TXT | Dados de texto. As verificações de funcionamento não são suportadas. |