Diese Seite wurde von der Cloud Translation API übersetzt.

DNS-Serverrichtlinien

Sie können genau eine DNS-Serverrichtlinie für jedes VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Die Richtlinie kann die eingehende DNS-Weiterleitung, die ausgehende DNS-Weiterleitung oder beides angeben. In diesem Abschnitt bezieht sich Richtlinie für Eingangsserver auf eine Richtlinie, die die eingehende DNS-Weiterleitung zulässt. Die Richtlinie für ausgehende Server bezieht sich auf eine mögliche Methode zur Implementierung der ausgehenden DNS-Weiterleitung. Eine Richtlinie kann sowohl eine Serverrichtlinie für eingehenden Traffic als auch eine Serverrichtlinie für ausgehenden Traffic sein, wenn sie die Features beider Richtlinien implementiert.

Weitere Informationen finden Sie unter Cloud DNS-Serverrichtlinien anwenden.

Serverrichtlinien für eingehenden Traffic

Jedes VPC-Netzwerk stellt Cloud DNS-Namensauflösungsdienste für VM-Instanzen bereit, die eine Netzwerkschnittstelle (vNIC) haben, die mit dem VPC-Netzwerk verbunden ist. Wenn eine VM ihren Metadatenserver 169.254.169.254 als Nameserver verwendet, sucht Google Cloud gemäß der Reihenfolge der VPC-Namensauflösung nach Cloud DNS-Ressourcen.

Wenn Sie die Namensauflösungsdienste eines VPC-Netzwerks für lokale Netzwerke verfügbar machen möchten, die über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances mit dem VPC-Netzwerk verbunden sind, können Sie eine eingehende Serverrichtlinie verwenden.

Wenn Sie eine Richtlinie für eingehenden Server erstellen, erstellt Cloud DNS Einstiegspunkte für die Richtlinie für eingehenden Traffic im VPC-Netzwerk, auf das die Richtlinie angewendet wird. Einstiegspunkte für eingehende Serverrichtlinien sind interne IPv4-Adressen Adressen aus dem primären IPv4-Adressbereich jedes Subnetzes im entsprechenden VPC-Netzwerk, außer Subnetzen mit bestimmten --purpose-Daten wie Nur-Proxy-Subnetze für bestimmte Load-Balancer und Subnetze, die von Cloud NAT für Private NAT verwendet werden.

Wenn Sie beispielsweise ein VPC-Netzwerk haben, das zwei Subnetze enthält, in derselben Region und ein drittes Subnetz in einer anderen Region, Eine Serverrichtlinie für eingehenden Traffic für das VPC-Netzwerk Cloud DNS verwendet insgesamt drei IPv4-Adressen als Einstiegspunkte für Serverrichtlinien, eine pro Subnetz.

Informationen zum Erstellen einer Serverrichtlinie für eingehenden Traffic VPC, siehe Eingehenden Server erstellen .

Netzwerk und Region für eingehende Abfragen

Zur Verarbeitung von DNS-Abfragen, die an Einstiegspunkte für Serverrichtlinien für eingehenden Traffic gesendet werden, verknüpft Cloud DNS die Abfrage mit einem VPC-Netzwerk und einer Region:

Das zugehörige VPC-Netzwerk für eine DNS-Abfrage ist das VPC-Netzwerk, das den Cloud VPN-Tunnel, den Cloud Interconnect-VLAN-Anhang oder die Netzwerkschnittstelle der Router-Appliance enthält, die die Pakete für die DNS-Abfrage empfängt.
- Google empfiehlt, eine Serverrichtlinie für eingehenden Traffic in der VPC zu erstellen Netzwerk, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt. So befinden sich die Einstiegspunkte für die eingehenden Serverrichtlinien im selben VPC-Netzwerk wie die Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances, die mit dem lokalen Netzwerk verbunden sind.
- Ein lokales Netzwerk kann Abfragen an Eingangspunkte für die Richtlinie für eingehende Server in einem anderen VPC-Netzwerk senden. Das ist beispielsweise der Fall, wenn das VPC-Netzwerk mit den Cloud VPN-Tunneln, Cloud Interconnect-VLAN-Anhängen oder Router-Appliances, die eine Verbindung zum lokalen Netzwerk herstellen, auch über VPC-Netzwerk-Peering mit einem anderen VPC-Netzwerk verbunden ist. Wir raten jedoch davon ab, da das zugehörige VPC-Netzwerk für DNS Abfragen stimmen nicht mit dem VPC-Netzwerk überein, das die eingehenden Serverrichtlinien-Einstiegspunkte, was bedeutet, dass DNS-Abfragen nicht aufgelöst werden, mit privaten Cloud DNS-Zonen und -Antwortrichtlinien VPC-Netzwerk, das die Serverrichtlinie für eingehenden Traffic enthält. Um dies zu vermeiden, empfehlen wir stattdessen die folgenden Konfigurationsschritte:
  1. Erstellen Sie im VPC-Netzwerk eine Serverrichtlinie für eingehenden Traffic, eine Verbindung zum lokalen Netzwerk über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances.
  2. Lokale Systeme so konfigurieren, dass DNS-Abfragen an den eingehenden Server gesendet werden Richtlinieneinstiegspunkte, die im vorherigen Schritt konfiguriert wurden.
  3. Konfigurieren Sie Cloud DNS-Ressourcen, die für die VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt. Verwende eine oder mehrere der folgenden Methoden:
    - Fügen Sie das VPC-Netzwerk, das mit dem lokalen Netzwerk verbunden ist, der Liste der autorisierten Netzwerke für die privaten Cloud DNS-Zonen hinzu, die für das andere VPC-Netzwerk autorisiert sind: Wenn sich eine private Cloud DNS-Zone und das VPC-Netzwerk, das mit dem lokalen Netzwerk verbunden ist, in verschiedenen Projekten derselben Organisation befinden, verwenden Sie beim Autorisieren des Netzwerks die vollständige Netzwerk-URL. Weitere Informationen finden Sie unter Projektübergreifende Bindung einrichten.
    - Cloud DNS-Peering-Zonen die für das VPC-Netzwerk autorisiert sind, das eine Verbindung zum Lokales Netzwerk: Legen Sie für das Zielnetzwerk der Peering-Zone Folgendes fest: mit dem anderen VPC-Netzwerk. Es spielt keine Rolle, ob das VPC-Netzwerk, das mit dem lokalen Netzwerk verbunden ist, über VPC-Netzwerk-Peering mit dem Ziel-VPC-Netzwerk der Peering-Zone verbunden ist, da Cloud DNS-Peering-Zonen für die Netzwerkverbindung nicht auf VPC-Netzwerk-Peering angewiesen sind.
Die für eine DNS-Abfrage zugeordnete Region ist immer die Region, die den Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhang oder Netzwerkschnittstelle der Router-Appliance, die die Pakete für die DNS-Abfrage, nicht die Region des Subnetzes, das den eingehenden Server enthält Richtlinieneinstiegspunkt.
- Wenn die Pakete für eine DNS-Abfrage z. B. eine VPC Netzwerk mit einem Cloud VPN-Tunnel in der Region us-east1 und an einen Einstiegspunkt für Serverrichtlinien für eingehenden Traffic im us-west1 gesendet werden ist die mit der DNS-Abfrage verknüpfte Region us-east1.
- Senden Sie DNS-Abfragen am besten an die IPv4-Adresse eines Einstiegspunkt der Serverrichtlinie für eingehenden Traffic in derselben Region wie der Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhang oder Router-Appliance.
- Die verknüpfte Region für eine DNS-Abfrage ist wichtig, wenn Sie die Standortbestimmung verwenden Routingrichtlinien. Weitere Informationen finden Sie unter DNS-Routingrichtlinien und Systemdiagnosen verwalten.

Route Advertising mit Einstiegspunkt für Serverrichtlinie für eingehenden Traffic

Da IP-Adressen der Einstiegspunkte von Serverrichtlinien für eingehenden Traffic dem primären IPv4-Adressbereichen von Subnetzen anbieten, bieten Cloud Router diese an IP-Adressen, wenn die BGP-Sitzung (Border Gateway Protocol) Cloud VPN-Tunnel Cloud Interconnect-VLAN-Anhang oder Router-Appliance ist konfiguriert zur Verwendung des Standard-Advertisings von Cloud Router Modus an. Sie können auch eine BGP-Sitzung so konfigurieren, dass sie IP-Adressen von Eintragspunkten für die Richtlinie für den eingehenden Server anbietet, wenn Sie den benutzerdefinierten Advertisement-Modus von Cloud Router auf eine der folgenden Arten verwenden:

Sie bewerben Subnetz-IP-Adressbereiche zusätzlich zu Ihren benutzerdefinierten Präfixen.
Sie fügen Ihrem benutzerdefinierten Präfix-Anzeigen-Eintrag die IP-Adressen der Einstiegspunkte für Richtlinien für eingehende Server hinzu.

Serverrichtlinien für ausgehenden Traffic

Sie können die Reihenfolge der Cloud DNS-Namensauflösung einer VPC-Netzwerk durch Erstellen einer Serverrichtlinie für ausgehenden Traffic, die legt eine Liste mit alternativen Nameservern fest. Wenn eine VM ihre Metadaten verwendet Server 169.254.169.254 als seinen Nameserver verwendet, und wenn Sie Alternative Nameserver für ein VPC-Netzwerk, Cloud DNS sendet alle Abfragen an die alternativen Nameserver, es sei denn, die Abfragen sind Übereinstimmung mit einer clusterbezogenen Antwortrichtlinie von Google Kubernetes Engine oder GKE private Zone auf Clusterebene.

Wenn in einer ausgehenden Serverrichtlinie zwei oder mehr alternative Nameserver vorhanden sind, ordnet Cloud DNS die alternativen Nameserver zu und fragt sie wie im ersten Schritt der Reihenfolge der VPC-Namensauflösung beschrieben ab.

Informationen zum Erstellen von Richtlinien für ausgehende Server finden Sie unter Richtlinien für ausgehende Server erstellen.

Typen, Routingmethoden und Adressen alternativer Nameserver

Cloud DNS unterstützt drei Arten von alternativen Nameservern und bietet Standard- oder privaten Routingmethoden für Verbindungen.

Alternativer Nameserver-Typ Standardrouting wird unterstützt Privates Routing unterstützt Quelladressbereich der Abfrage

Alternativer Nameserver-Typ	Standardrouting wird unterstützt	Privates Routing unterstützt	Quelladressbereich der Abfrage
Nameserver 1 Die interne IP-Adresse einer Google Cloud-VM im selben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse: Der Traffic wird immer über einen autorisierten VPC-Netzwerk.	`35.199.192.0/19`
Nameserver 2 Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb RFC 1918 oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme einer unzulässigen IP-Adresse eines alternativen Nameservers – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	`35.199.192.0/19`
Nameserver 3 Eine externe IP-Adresse eines DNS-Namens über das Internet zugänglich sind oder die externe IP-Adresse eines Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.	Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.	Privates Routing wird nicht unterstützt	Google Public DNS-Quellbereiche

Nameserver 1

Die interne IP-Adresse einer Google Cloud-VM im selben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine Nicht-RFC-Adresse 1918 private IP-Adressen oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme von für eine verbotene alternative Nameserver-IP-Adresse Adresse: Der Traffic wird immer über einen autorisierten VPC-Netzwerk.

35.199.192.0/19

Nameserver 2

Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb RFC 1918 oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme einer unzulässigen IP-Adresse eines alternativen Nameservers – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

35.199.192.0/19

Nameserver 3

Eine externe IP-Adresse eines DNS-Namens über das Internet zugänglich sind oder die externe IP-Adresse eines Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.

Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.

Privates Routing wird nicht unterstützt

Google Public DNS-Quellbereiche

Cloud DNS bietet zwei Routingmethoden für die Abfrage alternativer Nameserver:

Standard-Routing: Cloud DNS bestimmt den Typ des alternativen Nameservers anhand seiner IP-Adresse und verwendet dann entweder privates oder öffentliches Routing:
- Wenn der alternative Nameserver eine RFC 1918-IP-Adresse ist, den Nameserver entweder als Typ 1 oder Typ 2-Nameserver klassifiziert und leitet Abfragen über ein autorisiertes VPC-Netzwerk (privates Netzwerk) Routenplanung).
- Wenn der alternative Nameserver keine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver als Typ 3 und erwartet, dass der alternative Nameserver über das Internet zugänglich ist. Cloud DNS leitet Abfragen über das Internet weiter (öffentliches Routing).
Privates Routing: Cloud DNS behandelt den alternativen Nameserver entweder als Typ 1 oder Typ 2. Cloud DNS Traffic immer über ein autorisiertes VPC-Netzwerk, unabhängig von der IP-Adresse des alternativen Nameservers (RFC 1918 oder nicht).

Verbotene IP-Adressen für alternative Nameserver

Die folgenden IP-Adressen können nicht für alternative Cloud DNS-Nameserver verwendet werden:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Netzwerkanforderungen an alternative Nameserver

Die Netzwerkanforderungen für alternative Nameserver variieren je nach Alternative type des Nameservers. Informationen zum Typ eines alternativen Nameservers finden Sie unter Arten, Routingmethoden und Adressen alternativer Nameserver. Informationen zu den Netzwerkanforderungen finden Sie in den folgenden Abschnitten.

Netzwerkanforderungen für alternative Nameserver des Typs 1

Cloud DNS sendet Pakete, deren Quellen von der IP-Adresse 35.199.192.0/19 stammen Adressbereich mit der alternativen IP-Adresse des Nameservers Typ 1. Google Cloud leitet Pakete für Abfragen mithilfe lokaler Subnetzrouten im VPC-Netzwerk weiter. Achten Sie darauf, dass Sie keine richtlinienbasierten Routen erstellt haben, deren Ziele IP-Adressen von alternativen Nameservern vom Typ 1 enthalten.

Wenn Sie eingehende Pakete auf VMs mit alternativen Nameservern zulassen möchten, müssen Sie VPC-Firewallregeln zum Zulassen von eingehendem Traffic oder Regeln in Firewallrichtlinien mit den folgenden Eigenschaften erstellen:

Ziele: Muss die VMs des alternativen Nameservers enthalten
Quellen: 35.199.192.0/19
Protokolle: TCP und UDP
Port: 53

Für Cloud DNS muss jeder alternative Nameserver eine Antwort senden zurück an die Cloud DNS-IP-Adresse in 35.199.192.0/19 den Ursprung der Abfrage. Die Quellen für Antwortpakete müssen mit der IP-Adresse übereinstimmen. Adresse des alternativen Nameservers an, an den Cloud DNS ursprüngliche Suchanfrage. Cloud DNS ignoriert Antworten, wenn sie von einem Unerwartete Quelle der IP-Adresse, z. B. die IP-Adresse eines anderen Namens -Server, an den ein alternativer Nameserver eine Abfrage weiterleiten könnte.

Wenn ein alternativer Nameserver vom Typ 1 Antwortpakete 35.199.192.0/19 verwendet, wird ein spezieller Routingpfad verwendet.

Netzwerkanforderungen für alternative Nameserver des Typs 2

Cloud DNS sendet Pakete, deren Quellen von der IP-Adresse 35.199.192.0/19 stammen Adressbereich auf alternative Typ 2-Nameserver festlegen. Cloud DNS stützt sich auf Routentypen innerhalb des VPC-Netzwerk, zu dem gilt die Serverrichtlinie für ausgehenden Traffic:

Statische Routen außer statische Routen die nur für VMs nach Netzwerk-Tag gelten
Dynamische Routen

Um eingehende Pakete auf alternativen Nameservern Typ 2 zuzulassen, müssen konfigurieren Sie Firewallregeln zum Zulassen von eingehendem Traffic, alternative Nameserver und relevante lokale Netzwerkgeräte mit Firewall-Funktionen. Die effektive Firewallkonfiguration muss sowohl TCP- als auch UDP-Protokolle mit dem Zielport 53 und den Quellen 35.199.192.0/19 zulassen.

Ihr lokales Netzwerk muss Routen für das Ziel 35.199.192.0/19 haben deren nächsten Hops Cloud VPN-Tunnel sind, Cloud Interconnect VLAN Anhänge oder Cloud Router in derselben VPC Netzwerk und Region, aus der Cloud DNS die Abfrage sendet. Solange das Feld nächsten Hops diese Netzwerk- und Regionsanforderungen erfüllen, einen symmetrischen Rückgabepfad erfordern. Antworten von Typ 2 alternativer Name Server nicht über einen der folgenden nächsten Hops weitergeleitet:

Nächste Hops im Internet
Nächste Hops in einem anderen VPC-Netzwerk als dem, in dem die Abfragen stammen
Nächste Hops im selben VPC-Netzwerk, aber in einer Region, sich von der Region unterscheiden, aus der die Abfragen stammen

Verwenden Sie den Modus für benutzerdefiniertes Advertising des Cloud Routers, um die 35.199.192.0/19-Routen in Ihrem lokalen Netzwerk zu konfigurieren, und geben Sie 35.199.192.0/19 als benutzerdefiniertes Präfix in den BGP-Sitzungen der entsprechenden Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Cloud Router an, die Ihr VPC-Netzwerk mit dem lokalen Netzwerk verbinden, das den alternativen Namenserver vom Typ 2 enthält. Alternativ können Sie entsprechende statische Routen in Ihrem im lokalen Netzwerk.

Netzwerkanforderungen für alternative Nameserver vom Typ 3

Cloud DNS sendet Pakete, deren Quellen mit den Quellbereichen von Google Public DNS übereinstimmen, an alternative Nameserver vom Typ 3. Cloud DNS verwendet öffentliches Routing: Sie ist nicht von Routen innerhalb des VPC-Netzwerk zu für den die Serverrichtlinie für ausgehenden Traffic gilt.

Um eingehende Pakete auf alternativen Nameservern Typ 3 zuzulassen, müssen Sie Die effektive Firewallkonfiguration, die für den alternativen Namen gilt -Server erlaubt Pakete aus den Google Public DNS-Quellbereichen.

Nächste Schritte

Informationen zum Konfigurieren und Anwenden von DNS-Serverrichtlinien finden Sie unter DNS-Server anwenden Richtlinien.