Esta página foi traduzida pela API Cloud Translation.

Políticas do servidor DNS

É possível configurar uma política de servidor DNS para cada rede VPC. A política pode especificar encaminhamento de DNS de entrada, encaminhamento de DNS de saída ou ambos. Nesta seção, a política de servidor de entrada se refere a uma política que permite o encaminhamento do DNS de entrada. Política do servidor de saída refere-se a um método possível para implementar o encaminhamento de DNS de saída. É possível que uma política seja de servidor de entrada e de servidor de saída se os recursos de ambas forem implementados.

Para mais informações, consulte Como aplicar políticas de servidor do Cloud DNS.

Políticas de servidor de entrada

Cada rede VPC fornece serviços de resolução de nome DNS do Cloud DNS para instâncias de máquina virtual (VM) que têm uma interface de rede (vNIC) anexada à rede VPC. Quando uma VM usa o servidor de metadados 169.254.169.254 como servidor de nomes, o Google Cloud procura recursos do Cloud DNS de acordo com a ordem de resolução de nome da rede VPC.

Para disponibilizar os serviços de resolução de nomes de uma rede VPC para redes locais conectadas à rede VPC usando túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou dispositivos roteadores, use uma política de servidor de entrada.

Quando você cria uma política de servidor de entrada, o Cloud DNS cria pontos de entrada de políticas de servidor de entrada na rede VPC a que a política de servidor é aplicada. Os pontos de entrada da política de servidor de entrada são endereços IPv4 internos provenientes do intervalo de endereços IPv4 principal de cada sub-rede na rede VPC aplicável, exceto sub-redes com dados --purpose específicos, como sub-redes somente proxy para determinados balanceadores de carga e sub-redes usadas pelo Cloud NAT para NAT particular.

Por exemplo, se você tiver uma rede VPC que contém duas sub-redes na mesma região e uma terceira sub-rede em uma região diferente, ao configurar uma política de servidor de entrada para a rede VPC, o Cloud DNS usa um total de três endereços IPv4 como pontos de entrada da política de servidor de entrada, um por sub-rede.

Para informações sobre como criar uma política de servidor de entrada para uma VPC, consulte Criar uma política de servidor de entrada.

Rede e região para consultas recebidas

Para processar consultas DNS enviadas a pontos de entrada da política do servidor de entrada, o Cloud DNS associa a consulta a uma rede VPC e uma região:

A rede VPC associada a uma consulta DNS é a rede VPC que contém o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou a interface de rede do dispositivo roteador que recebe os pacotes da consulta DNS.
- O Google recomenda criar uma política de servidor de entrada na rede VPC que se conecta à sua rede local. Dessa forma, os pontos de entrada da política do servidor de entrada estão localizados na mesma rede VPC que os túneis do Cloud VPN, os anexos da VLAN do Cloud Interconnect ou os dispositivos roteadores que se conectam à rede local.
- É possível que uma rede local envie consultas para pontos de entrada de políticas de servidor de entrada em uma rede VPC diferente. Por exemplo, se a rede VPC que contém os túneis do Cloud VPN, os anexos da VLAN do Cloud Interconnect ou os dispositivos Router que se conectam à rede local também estiver conectada a uma rede VPC diferente usando o peering de rede VPC. No entanto, não recomendamos o uso dessa configuração porque a rede VPC associada para consultas DNS não corresponde à rede VPC que contém os pontos de entrada da política de servidor de entrada, o que significa que as consultas DNS não são resolvidas usando zonas particulares e políticas de resposta do Cloud DNS na rede VPC que contém a política de servidor de entrada. Para evitar confusão, recomendamos as seguintes etapas de configuração:
  1. Crie uma política de servidor de entrada na rede VPC que se conecte à rede local usando túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou dispositivos roteadores.
  2. Configure os sistemas locais para enviar consultas DNS aos pontos de entrada da política de servidor de entrada configurados na etapa anterior.
  3. Configure os recursos do Cloud DNS autorizados para a rede VPC que se conecta à rede local. Use um ou mais dos seguintes métodos:
    - Adicione a rede VPC que se conecta à rede local à lista de redes autorizadas para as zonas particulares do Cloud DNS autorizadas para a outra rede VPC: se uma zona particular do Cloud DNS e a rede VPC que se conecta à rede local estiverem em projetos diferentes da mesma organização, use o URL completo da rede ao autorizá-la. Para mais informações, consulte Configurar a vinculação entre projetos.
    - Zonas de peering do Cloud DNS autorizadas para a rede VPC que se conecta à rede local: defina a rede de destino da zona de peering como a outra rede VPC. Não importa se a rede VPC que se conecta à rede local está conectada à rede VPC de destino da zona de peering usando o peering de rede VPC, porque as zonas de peering do Cloud DNS não dependem do peering de rede VPC para conectividade de rede.
A região associada a uma consulta DNS é sempre a que contém o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou a interface de rede do dispositivo roteador que recebe os pacotes para a consulta DNS, não a região da sub-rede que contém o ponto de entrada da política do servidor de entrada.
- Por exemplo, se os pacotes de uma consulta DNS entrarem em uma rede VPC usando um túnel do Cloud VPN localizado na região us-east1 e forem enviados para um ponto de entrada da política de servidor de entrada na região us-west1, a região associada à consulta DNS será us-east1.
- Como prática recomendada, envie consultas DNS para o endereço IPv4 de um ponto de entrada da política de servidor de entrada na mesma região que o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou o dispositivo roteador.
- A região associada a uma consulta DNS é importante se você usa políticas de roteamento de geolocalização. Para mais informações, consulte Gerenciar políticas de roteamento de DNS e verificações de integridade.

Divulgação de rota do ponto de entrada da política do servidor de entrada

Como os endereços IP do ponto de entrada da política do servidor de entrada são retirados dos intervalos de endereços IPv4 principais das sub-redes, os Cloud Routers divulgam esses endereços IP quando a sessão do protocolo de gateway de borda (BGP) para um túnel do Cloud VPN, um anexo da VLAN do Cloud Interconnect ou um dispositivo roteador é configurado para usar o modo de divulgação padrão do Cloud Router. Também é possível configurar uma sessão do BGP para anunciar endereços IP de ponto de entrada da política do servidor de entrada se você usar o modo de divulgação personalizada do Cloud Router de uma das seguintes maneiras:

Você anuncia intervalos de endereços IP da sub-rede, além dos prefixos personalizados.
Inclua endereços IP de ponto de entrada da política do servidor de entrada nas suas anúncios de prefixo personalizado.

Políticas de servidor de saída

É possível modificar a ordem de resolução de nomes do Cloud DNS de uma rede VPC criando uma política de servidor de saída que especifique uma lista de servidores de nomes alternativos. Quando uma VM usa o servidor de metadados 169.254.169.254 como servidor de nomes e quando você especificou servidores de nomes alternativos para uma rede VPC, o Cloud DNS envia todas as consultas para os servidores de nomes alternativos a menos que as consultas sejam correspondidas por uma política de resposta com escopo de cluster do Google Kubernetes Engine ou uma zona privada com escopo de cluster do GKE.

Quando dois ou mais servidores de nomes alternativos existem em uma política de servidor de saída, o Cloud DNS classifica os servidores de nomes alternativos e os consulta conforme descrito na primeira etapa da ordem de resolução de nome da VPC. Importante: analise cuidadosamente a ordem de resolução de rede VPC. O uso de servidores de nomes alternativos desativa a resolução de muitos recursos do Cloud DNS e também pode afetar a resolução de consultas DNS públicas, dependendo da configuração dos servidores de nomes alternativos. Para mais informações sobre outras estratégias de encaminhamento de DNS de saída, consulte Métodos de encaminhamento de DNS na visão geral do Cloud DNS. Para informações sobre como criar políticas de servidor de saída, consulte Como criar uma política de servidor de saída.

Tipos de servidores de nomes alternativos, métodos de roteamento e endereços

O Cloud DNS é compatível com três tipos de servidores de nomes alternativos e oferece métodos de roteamento padrão ou particulares para conectividade.

Tipo de servidor de nomes alternativos Roteamento padrão compatível Compatibilidade com roteamento privado Consultar intervalo de endereços de origem

Tipo de servidor de nomes alternativos	Roteamento padrão compatível	Compatibilidade com roteamento privado	Consultar intervalo de endereços de origem
Servidor de nomes do tipo 1 Um endereço IP interno de uma VM do Google Cloud na mesma rede VPC em que a política do servidor de saída está definida.	Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada.	Qualquer endereço IP interno, como um endereço particular RFC 1918, um endereço IP particular não RFC 1918 ou um endereço IP externo reutilizado de maneira privada, exceto um endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada.	`35.199.192.0/19`
Servidor de nomes do tipo 2 Um endereço IP de um sistema local, conectado à rede VPC com a política do servidor de saída, usando a VPN do Cloud ou o Cloud Interconnect.	Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada.	Qualquer endereço IP interno, como um endereço particular RFC 1918, um endereço IP particular não RFC 1918 ou um endereço IP externo reutilizado de maneira privada, exceto um endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada.	`35.199.192.0/19`
Servidor de nome do tipo 3 Um endereço IP externo de um servidor de nomes de DNS acessível para a Internet ou o endereço IP externo de um recurso do Google Cloud. Por exemplo, o endereço IP externo de uma VM em outra rede VPC.	Somente endereços IP externos roteáveis pela Internet: o tráfego sempre é encaminhado para a Internet ou para o endereço IP externo de um recurso do Google Cloud.	O roteamento particular não é compatível.	Intervalos de origem do DNS público do Google

Servidor de nomes do tipo 1

Um endereço IP interno de uma VM do Google Cloud na mesma rede VPC em que a política do servidor de saída está definida.

Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada.

Qualquer endereço IP interno, como um endereço particular RFC 1918, um endereço IP particular não RFC 1918 ou um endereço IP externo reutilizado de maneira privada, exceto um endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada.

35.199.192.0/19

Servidor de nomes do tipo 2

Um endereço IP de um sistema local, conectado à rede VPC com a política do servidor de saída, usando a VPN do Cloud ou o Cloud Interconnect.

Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada.

35.199.192.0/19

Servidor de nome do tipo 3

Um endereço IP externo de um servidor de nomes de DNS acessível para a Internet ou o endereço IP externo de um recurso do Google Cloud. Por exemplo, o endereço IP externo de uma VM em outra rede VPC.

Somente endereços IP externos roteáveis pela Internet: o tráfego sempre é encaminhado para a Internet ou para o endereço IP externo de um recurso do Google Cloud.

O roteamento particular não é compatível.

Intervalos de origem do DNS público do Google

O Cloud DNS oferece dois métodos de roteamento para consultar servidores de nomes alternativos:

Roteamento padrão: o Cloud DNS determina o tipo do servidor de nomes alternativo usando o endereço IP e usa o roteamento particular ou público:
- Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS vai classificar o servidor de nomes como Tipo 1 ou Tipo 2 e encaminhará as consultas por uma rede VPC autorizada (roteamento privado).
- Se o servidor de nomes alternativo não for um endereço IP RFC 1918, o Cloud DNS vai classificar o servidor de nomes como Tipo 3 e esperar que o servidor de nomes alternativo seja acessível pela Internet. O Cloud DNS encaminha consultas pela Internet (roteamento público).
Roteamento particular: o Cloud DNS trata o servidor de nomes alternativo como Tipo 1 ou Tipo 2. O Cloud DNS sempre encaminha o tráfego por uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não).

Endereços IP do servidor de nomes alternativos proibidos

Não é possível usar os seguintes endereços IP para servidores de nomes alternativos do Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Requisitos de rede do servidor de nomes alternativo

Os requisitos de rede para servidores de nomes alternativos variam de acordo com o tipo do servidor de nomes alternativo. Para determinar o tipo de um servidor de nomes alternativo, consulte Tipos, métodos de roteamento e endereços de servidores de nomes alternativos. Em seguida, consulte uma das seções a seguir para ver os requisitos de rede.

Requisitos de rede para servidores de nomes alternativos do tipo 1

O Cloud DNS envia pacotes com origens do intervalo de endereços IP 35.199.192.0/19 para o endereço IP do servidor de nomes alternativo de tipo 1. O Google Cloud roteia pacotes para consultas usando rotas de sub-rede local na rede VPC. Verifique se você não criou rotas com base em políticas cujos destinos incluem endereços IP do servidor de nomes alternativo do Tipo 1.

Para permitir pacotes de entrada em VMs de servidor de nomes alternativo, é necessário criar regras de firewall VPC de permissão de entrada ou regras em políticas de firewall com as seguintes características:

Destinos: precisam incluir as VMs do servidor de nomes alternativo
Fontes: 35.199.192.0/19
Protocolos: TCP e UDP
Porta: 53

O Cloud DNS exige que cada servidor de nomes alternativo envie pacotes de resposta de volta ao endereço IP do Cloud DNS em 35.199.192.0/19 de onde a consulta foi originada. As origens dos pacotes de resposta precisam corresponder ao endereço IP do servidor de nomes alternativo para o qual o Cloud DNS envia a consulta original. O Cloud DNS ignora respostas se elas vêm de uma origem de endereço IP inesperada. Por exemplo, o endereço IP de outro servidor de nomes para o qual um servidor de nomes alternativo pode encaminhar uma consulta.

Quando um servidor de nomes alternativo do Tipo 1 envia pacotes de resposta para 35.199.192.0/19, ele usa um caminho de roteamento especial.

Requisitos de rede para servidores de nomes alternativos do tipo 2

O Cloud DNS envia pacotes com origens do intervalo de endereços IP 35.199.192.0/19 para servidores de nomes alternativos de tipo 2. O Cloud DNS depende dos seguintes tipos de rotas dentro da rede VPC a que a política de servidor de saída se aplica:

Rotas estáticas exceto aquelas que se aplicam apenas a VMs por tag de rede
Rotas dinâmicas

Para permitir pacotes de entrada em servidores de nomes alternativos do tipo 2, configure regras de firewall de permissão de entrada aplicáveis aos servidores de nomes alternativos e a qualquer equipamento de rede local relevante com recursos de firewall. A configuração efetiva do firewall precisa permitir os protocolos TCP e UDP com a porta de destino 53 e as origens 35.199.192.0/19.

Sua rede local precisa ter rotas para o destino 35.199.192.0/19, com os próximos saltos sendo túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou roteadores do Cloud localizados na mesma rede VPC e região de onde o Cloud DNS envia a consulta. Desde que os próximos hops atendam a esses requisitos de rede e região, o Google Cloud não exige um caminho de retorno simétrico. As respostas de servidores de nomes alternativos do tipo 2 não podem ser roteadas usando nenhum dos seguintes próximos saltos:

Próximos saltos na Internet
Próximos saltos em uma rede VPC diferente da rede VPC de origem das consultas
Próximos saltos na mesma rede VPC, mas em uma região diferente da origem das consultas

Para configurar as rotas 35.199.192.0/19 na rede local, use o modo de divulgação personalizada do Cloud Router e inclua 35.199.192.0/19 como um prefixo personalizado nas sessões do BGP dos túneis do Cloud VPN, dos anexos da VLAN do Cloud Interconnect ou dos Cloud Routers que conectam sua rede VPC à rede local que contém o servidor de nomes alternativo do tipo 2. Como alternativa, você pode configurar rotas estáticas equivalentes na sua rede local.

Requisitos de rede para servidores de nomes alternativos do tipo 3

O Cloud DNS envia pacotes com origens que correspondem aos intervalos de origem do Google Public DNS para servidores de nomes alternativos de tipo 3. O Cloud DNS usa o roteamento público. Ele não depende de nenhuma rota dentro da rede VPC à qual a política de servidor de saída se aplica.

Para permitir pacotes de entrada em servidores de nomes alternativos do Tipo 3, verifique se a configuração de firewall eficaz aplicável ao servidor de nomes alternativo permite pacotes dos intervalos de origem do DNS público do Google.

A seguir

Para configurar e aplicar políticas de servidor DNS, consulte Aplicar políticas de servidor DNS.