Diese Seite wurde von der Cloud Translation API übersetzt.

DNS-Serverrichtlinien

Sie können genau eine DNS-Serverrichtlinie für jedes VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Die Richtlinie kann die eingehende DNS-Weiterleitung, die ausgehende DNS-Weiterleitung oder beides angeben. In diesem Abschnitt bezieht sich Richtlinie für Eingangsserver auf eine Richtlinie, die die eingehende DNS-Weiterleitung zulässt. Die Richtlinie für ausgehende Server bezieht sich auf eine mögliche Methode zur Implementierung der ausgehenden DNS-Weiterleitung. Eine Richtlinie kann sowohl eine Serverrichtlinie für eingehenden Traffic als auch eine Serverrichtlinie für ausgehenden Traffic sein, wenn sie die Features beider Richtlinien implementiert.

Weitere Informationen finden Sie unter Cloud DNS-Serverrichtlinien anwenden.

Serverrichtlinien für eingehenden Traffic

Jedes VPC-Netzwerk bietet Cloud DNS-Namensauflösung Dienste zu VM-Instanzen mit einer Netzwerkschnittstelle (vNIC) die mit dem VPC-Netzwerk verbunden sind. Wenn eine VM ihren Metadatenserver verwendet 169.254.169.254 als Nameserver verwendet, sucht Google Cloud nach Cloud DNS-Ressourcen entsprechend dem VPC-Netzwerknamen Reihenfolge der Problemlösung.

Um die Namensauflösungsdienste eines VPC-Netzwerk für lokalen Netzwerken, die über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge, oder Router-Appliances verwenden, können Sie eine Serverrichtlinie für eingehenden Traffic verwenden.

Wenn Sie eine Serverrichtlinie für eingehenden Traffic erstellen, erstellt Cloud DNS eingehende Einstiegspunkte von Serverrichtlinien in dem VPC-Netzwerk, zu dem der Serverrichtlinie wird angewendet. Einstiegspunkte für eingehende Serverrichtlinien sind interne IPv4-Adressen Adressen aus dem primären IPv4-Adressbereich jedes Subnetzes im entsprechenden VPC-Netzwerk, außer Subnetzen mit bestimmten --purpose-Daten wie Nur-Proxy-Subnetze für bestimmte Load-Balancer und Subnetze, die von Cloud NAT für Private NAT verwendet werden.

Wenn Sie beispielsweise ein VPC-Netzwerk haben, das zwei Subnetze enthält, in derselben Region und ein drittes Subnetz in einer anderen Region, Eine Serverrichtlinie für eingehenden Traffic für das VPC-Netzwerk Cloud DNS verwendet insgesamt drei IPv4-Adressen als Einstiegspunkte für Serverrichtlinien, eine pro Subnetz.

Informationen zum Erstellen einer Serverrichtlinie für eingehenden Traffic VPC, siehe Eingehenden Server erstellen .

Netzwerk und Region für eingehende Abfragen

Zum Verarbeiten von DNS-Abfragen, die an den eingehenden Serverrichtlinieneintrag gesendet werden verknüpft Cloud DNS die Abfrage mit einer VPC, Netzwerk und eine Region:

Das mit einer DNS-Abfrage verknüpfte VPC-Netzwerk ist das VPC-Netzwerk, das den Cloud VPN-Tunnel enthält, Cloud Interconnect-VLAN-Anhang oder Netzwerkschnittstelle des Router-Appliance, die die Pakete für die DNS-Abfrage empfängt.
- Google empfiehlt, eine Serverrichtlinie für eingehenden Traffic in der VPC zu erstellen Netzwerk, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt. Auf diese Weise wird der eingehende Serverrichtlinien-Einstiegspunkte befinden sich in derselben VPC Netzwerk als Cloud VPN-Tunnel, Cloud Interconnect-VLAN oder Router-Appliances, die eine Verbindung zur lokalen Netzwerk.
- Ein lokales Netzwerk kann Abfragen an den eingehenden Server senden Richtlinieneinstiegspunkte in einem anderen VPC-Netzwerk – Wenn das VPC-Netzwerk mit dem Cloud VPN Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances, die eine Verbindung zum lokalen Netzwerk herstellen, mit einem anderen VPC-Netzwerk über VPC-Netzwerk-Peering Wir raten jedoch davon ab, da das zugehörige VPC-Netzwerk für DNS Abfragen stimmen nicht mit dem VPC-Netzwerk überein, das die eingehenden Serverrichtlinien-Einstiegspunkte, was bedeutet, dass DNS-Abfragen nicht aufgelöst werden, mit privaten Cloud DNS-Zonen und -Antwortrichtlinien VPC-Netzwerk, das die Serverrichtlinie für eingehenden Traffic enthält. Um dies zu vermeiden empfehlen wir stattdessen die folgenden Konfigurationsschritte:
  1. Erstellen Sie im VPC-Netzwerk eine Serverrichtlinie für eingehenden Traffic, eine Verbindung zum lokalen Netzwerk über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances.
  2. Lokale Systeme so konfigurieren, dass DNS-Abfragen an den eingehenden Server gesendet werden Richtlinieneinstiegspunkte, die im vorherigen Schritt konfiguriert wurden.
  3. Konfigurieren Sie Cloud DNS-Ressourcen, die für die VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt. Wenden Sie eine oder mehrere der folgenden Methoden an:
    - VPC-Netzwerk hinzufügen, das eine Verbindung zur lokalen Umgebung herstellt der Liste der autorisierten Netzwerke für den Private Cloud DNS-Zonen, die für die andere VPC-Netzwerk: wenn ein privates Cloud DNS-Netzwerk und das VPC-Netzwerk, das eine Verbindung Das lokale Netzwerk befindet sich in verschiedenen Projekten desselben Organisation, verwenden Sie bei der Autorisierung des Netzwerks die vollständige Netzwerk-URL. Weitere Informationen finden Sie unter Projektübergreifend einrichten binding.
    - Cloud DNS-Peering-Zonen die für das VPC-Netzwerk autorisiert sind, das eine Verbindung zum Lokales Netzwerk: Legen Sie für das Zielnetzwerk der Peering-Zone Folgendes fest: mit dem anderen VPC-Netzwerk. Dabei spielt es keine Rolle, VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt mit dem Ziel-VPC-Netzwerk der Peering-Zone verbunden ist mit VPC-Netzwerk-Peering, da Cloud DNS-Peering Zonen sind für Netzwerk-Peering nicht von VPC-Netzwerk-Peering abhängig. Konnektivität haben.
Die für eine DNS-Abfrage zugeordnete Region ist immer die Region, die den Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhang oder Netzwerkschnittstelle der Router-Appliance, die die Pakete für die DNS-Abfrage, nicht die Region des Subnetzes, das den eingehenden Server enthält Richtlinieneinstiegspunkt.
- Wenn die Pakete für eine DNS-Abfrage z. B. eine VPC Netzwerk mit einem Cloud VPN-Tunnel in der Region us-east1 und an einen Einstiegspunkt für Serverrichtlinien für eingehenden Traffic im us-west1 gesendet werden, ist die mit der DNS-Abfrage verknüpfte Region us-east1.
- Senden Sie DNS-Abfragen am besten an die IPv4-Adresse eines Einstiegspunkt der Serverrichtlinie für eingehenden Traffic in derselben Region wie der Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhang oder Router-Appliance.
- Die für eine DNS-Abfrage zugeordnete Region ist wichtig, wenn Sie die Standortbestimmung verwenden Routingrichtlinien. Weitere Informationen finden Sie unter Verwalten von DNS-Routingrichtlinien und -integrität Überprüfungen.

Routen-Advertising für Einstiegspunkt mit Serverrichtlinie für eingehenden Traffic

Da IP-Adressen der Einstiegspunkte von Serverrichtlinien für eingehenden Traffic dem primären IPv4-Adressbereichen von Subnetzen anbieten, bieten Cloud Router diese an IP-Adressen, wenn die BGP-Sitzung (Border Gateway Protocol) Cloud VPN-Tunnel Cloud Interconnect-VLAN-Anhang oder Router-Appliance ist konfiguriert zur Verwendung des Standard-Advertisings von Cloud Router Modus an. Sie können auch eine BGP-Sitzung konfigurieren, um den eingehenden Serverrichtlinieneintrag zu bewerben Punkt-IP-Adressen, wenn Sie das benutzerdefinierte Cloud Router-Advertising verwenden. Modus auf eine der folgenden Arten:

Zusätzlich zu Ihren benutzerdefinierten Präfixen bieten Sie Subnetz-IP-Adressbereiche an.
Sie nehmen IP-Adressen der Einstiegspunkte von Serverrichtlinien für eingehenden Traffic in Ihre benutzerdefinierten Präfix-Advertisings zu verwenden.

Serverrichtlinien für ausgehenden Traffic

Sie können die Reihenfolge der Cloud DNS-Namensauflösung einer VPC-Netzwerk durch Erstellen einer Serverrichtlinie für ausgehenden Traffic, die legt eine Liste mit alternativen Nameservern fest. Wenn eine VM ihre Metadaten verwendet Server 169.254.169.254 als seinen Nameserver verwendet, und wenn Sie Alternative Nameserver für ein VPC-Netzwerk, Cloud DNS sendet alle Abfragen an die alternativen Nameserver, es sei denn, die Abfragen sind Übereinstimmung mit einer clusterbezogenen Antwortrichtlinie von Google Kubernetes Engine oder GKE private Zone auf Clusterebene.

Wenn zwei oder mehr alternative Nameserver vorhanden sind in einer Serverrichtlinie für ausgehenden Traffic verwendet, stuft Cloud DNS den alternativen Namen und fragt sie wie im ersten Schritt der Reihenfolge der Auflösung von VPC-Namen.

Informationen zum Erstellen von Richtlinien für ausgehende Server finden Sie unter Richtlinien für ausgehende Server erstellen.

Alternative Nameserver-Typen, Routingmethoden und Adressen

Cloud DNS unterstützt drei Arten von alternativen Nameservern und bietet Standard- oder privaten Routingmethoden für Verbindungen.

Alternativer Nameserver-Typ Standardrouting wird unterstützt Privates Routing unterstützt Quelladressbereich der Abfrage

Alternativer Nameserver-Typ	Standardrouting wird unterstützt	Privates Routing unterstützt	Quelladressbereich der Abfrage
Nameserver 1 Die interne IP-Adresse einer Google Cloud-VM im selben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse: Der Traffic wird immer über einen autorisierten VPC-Netzwerk.	`35.199.192.0/19`
Nameserver 2 Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse – Traffic wird immer über eine autorisierte Adresse VPC-Netzwerk.	`35.199.192.0/19`
Nameserver 3 Eine externe IP-Adresse eines DNS-Namens über das Internet zugänglich sind oder die externe IP-Adresse eines Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.	Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.	Privates Routing wird nicht unterstützt	Google Public DNS-Quellbereiche

Nameserver 1

Die interne IP-Adresse einer Google Cloud-VM im selben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse: Der Traffic wird immer über einen autorisierten VPC-Netzwerk.

35.199.192.0/19

Nameserver 2

Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse – Traffic wird immer über eine autorisierte Adresse VPC-Netzwerk.

35.199.192.0/19

Nameserver 3

Eine externe IP-Adresse eines DNS-Namens über das Internet zugänglich sind oder die externe IP-Adresse eines Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.

Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.

Privates Routing wird nicht unterstützt

Google Public DNS-Quellbereiche

Cloud DNS bietet zwei Routingmethoden zum Abfragen eines alternativen Namens Server:

Standardrouting: Cloud DNS bestimmt den Typ des eines alternativen Nameservers anhand seiner IP-Adresse Öffentliches Routing:
- Wenn der alternative Nameserver eine RFC 1918-IP-Adresse ist, den Nameserver entweder als Typ 1 oder Typ 2-Nameserver klassifiziert und leitet Abfragen über ein autorisiertes VPC-Netzwerk (privates Netzwerk) Routenplanung).
- Wenn der alternative Nameserver keine RFC 1918-IP-Adresse ist, Cloud DNS klassifiziert den Nameserver als Typ 3 und erwartet dass der alternative Nameserver über das Internet zugänglich ist. Cloud DNS-Routen Abfragen über das Internet (öffentliches Routing).
Privates Routing: Cloud DNS behandelt das Alternativer Nameserver als Typ 1 oder Typ 2. Cloud DNS Traffic immer über ein autorisiertes VPC-Netzwerk, unabhängig von der IP-Adresse des alternativen Nameservers (RFC 1918 oder nicht).

Unzulässige alternative Nameserver-IP-Adressen

Sie können die folgenden IP-Adressen nicht für die Cloud DNS-Alternative verwenden Nameserver:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Netzwerkanforderungen an alternative Nameserver

Die Netzwerkanforderungen für alternative Nameserver variieren je nach Alternative type des Nameservers. Informationen zum Ermitteln des Typs für einen alternativen Nameserver finden Sie unter Alternative Nameserver-Typen, Routingmethoden und Adressen. Informationen zu den Netzwerkanforderungen finden Sie in den folgenden Abschnitten.

Netzwerkanforderungen für alternative Nameserver des Typs 1

Cloud DNS sendet Pakete, deren Quellen von der IP-Adresse 35.199.192.0/19 stammen Adressbereich mit der alternativen IP-Adresse des Nameservers Typ 1. Google Cloud leitet Pakete für Abfragen über lokale Subnetzrouten im VPC-Netzwerk. Achten Sie darauf, dass Sie keine richtlinienbasierten Routen, deren Ziele Typ 1 umfassen mit alternativen Nameserver-IP-Adressen.

Um eingehende Pakete auf alternativen Nameserver-VMs zuzulassen, müssen Sie VPC-Firewallregeln für eingehenden Traffic oder Regeln in Firewallrichtlinien mit dem die folgenden Merkmale:

Ziele: Muss die alternativen Nameserver-VMs enthalten
Quellen: 35.199.192.0/19
Protokolle: TCP und UDP
Port: 53

Für Cloud DNS muss jeder alternative Nameserver eine Antwort senden zurück an die Cloud DNS-IP-Adresse in 35.199.192.0/19 den Ursprung der Abfrage. Die Quellen für Antwortpakete müssen mit der IP-Adresse übereinstimmen. Adresse des alternativen Nameservers an, an den Cloud DNS ursprüngliche Suchanfrage. Cloud DNS ignoriert Antworten, wenn sie von einem Unerwartete Quelle der IP-Adresse, z. B. die IP-Adresse eines anderen Namens -Server, an den ein alternativer Nameserver eine Abfrage weiterleiten könnte.

Wenn ein alternativer Nameserver vom Typ 1 Antwortpakete 35.199.192.0/19 verwendet, wird ein spezieller Routingpfad verwendet.

Netzwerkanforderungen für alternative Nameserver des Typs 2

Cloud DNS sendet Pakete, deren Quellen von der IP-Adresse 35.199.192.0/19 stammen Adressbereich zu alternativen Nameservern vom Typ 2 hinzufügen. Cloud DNS basiert auf Routentypen innerhalb des VPC-Netzwerk, zu dem gilt die Serverrichtlinie für ausgehenden Traffic:

Statische Routen außer statische Routen die nur für VMs nach Netzwerk-Tag gelten
Dynamische Routen

Um eingehende Pakete auf alternativen Nameservern Typ 2 zuzulassen, müssen konfigurieren Sie Firewallregeln zum Zulassen von eingehendem Traffic, alternative Nameserver und relevante lokale Netzwerkgeräte mit Firewall-Funktionen. Die effektive Firewallkonfiguration muss TCP zulassen und UDP mit den Zielports 53 und 35.199.192.0/19.

Ihr lokales Netzwerk muss Routen für das Ziel 35.199.192.0/19 haben deren nächsten Hops Cloud VPN-Tunnel sind, Cloud Interconnect VLAN Anhänge oder Cloud Router in derselben VPC Netzwerk und Region, aus der Cloud DNS die Abfrage sendet. Solange das Feld nächsten Hops diese Netzwerk- und Regionsanforderungen erfüllen, einen symmetrischen Rückgabepfad erfordern. Antworten von Typ 2 alternativer Name Server nicht über einen der folgenden nächsten Hops weitergeleitet:

Nächste Hops im Internet
Next-Hops in einem VPC-Netzwerk, das sich vom VPC-Netzwerk, aus dem die Abfragen stammen
Nächste Hops im selben VPC-Netzwerk, aber in einer Region, sich von der Region unterscheiden, aus der die Abfragen stammen

Verwenden Sie zum Konfigurieren der 35.199.192.0/19-Routen in Ihrem lokalen Netzwerk die Methode Benutzerdefiniertes Cloud Router-Advertising Modus und 35.199.192.0/19 als benutzerdefiniertes Präfix in die BGP-Sitzungen des relevante Cloud VPN-Tunnel, Cloud Interconnect-VLAN Anhänge oder Cloud Router, die Ihre VPC verbinden, Netzwerk mit dem lokalen Netzwerk, das den alternativen Typ 2-Namen enthält Server. Alternativ können Sie entsprechende statische Routen in Ihrem im lokalen Netzwerk.

Netzwerkanforderungen für alternative Nameserver des Typs 3

Cloud DNS sendet Pakete, deren Quellen mit dem Google Public DNS Quellbereiche in Alternative Nameserver vom Typ 3. Cloud DNS verwendet öffentliches Routing – Sie ist nicht von Routen innerhalb des VPC-Netzwerk zu für den die Serverrichtlinie für ausgehenden Traffic gilt.

Um eingehende Pakete auf alternativen Nameservern Typ 3 zuzulassen, müssen Die effektive Firewallkonfiguration, die für den alternativen Namen gilt -Server erlaubt Pakete aus den Google Public DNS-Quellbereichen.