É possível configurar uma política de servidor DNS para cada rede VPC. A política pode especificar encaminhamento de DNS de entrada, encaminhamento de DNS de saída ou ambos. Nesta seção, a política de servidor de entrada se refere a uma política que permite o encaminhamento do DNS de entrada. Política do servidor de saída refere-se a um método possível para implementar o encaminhamento de DNS de saída. É possível que uma política seja de servidor de entrada e de servidor de saída se os recursos de ambas forem implementados.
Para mais informações, consulte Como aplicar políticas de servidor do Cloud DNS.
Políticas de servidor de entrada
Cada rede VPC fornece serviços de resolução de nomes do Cloud DNS para instâncias de máquina virtual (VM) que têm uma interface de rede (vNIC, na sigla em inglês) anexada à rede VPC. Quando uma VM usa o servidor de metadados 169.254.169.254 como servidor de nomes, o Google Cloud procura recursos do Cloud DNS de acordo com a ordem de resolução de nomes da rede VPC.
Para disponibilizar os serviços de resolução de nomes de uma rede VPC para redes locais conectadas a ela usando túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou dispositivos roteadores, use uma política de servidor de entrada.
Quando você cria uma política de servidor de entrada, o Cloud DNS cria pontos de entrada da política do servidor de entrada na rede VPC a que a política de servidor é aplicada. Os pontos de entrada da política do servidor de entrada são endereços IPv4 internos provenientes do intervalo de endereços IPv4 principal de todas as sub-redes da rede VPC aplicável, exceto sub-redes com dados --purpose específicos, como sub-redes somente proxy para determinados balanceadores de carga e sub-redes usadas pelo Cloud NAT para Private NAT.
Por exemplo, se você tiver uma rede VPC que contenha duas sub-redes na mesma região e uma terceira em uma região diferente, quando configurar uma política de servidor de entrada para a rede VPC, o Cloud DNS usará um total de três endereços IPv4 como pontos de entrada da política do servidor de entrada, um por sub-rede.
Para informações sobre como criar uma política de servidor de entrada para uma VPC, consulte Criar uma política de servidor de entrada.
Rede e região para consultas de entrada
Para processar consultas DNS enviadas para pontos de entrada da política do servidor de entrada, o Cloud DNS associa a consulta a uma rede VPC e uma região:
A rede VPC associada a uma consulta DNS é a rede que contém o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou a interface de rede do dispositivo roteador que recebe os pacotes da consulta DNS.
O Google recomenda criar uma política de servidor de entrada na rede VPC que se conecte à sua rede local. Dessa forma, os pontos de entrada da política do servidor de entrada ficam na mesma rede VPC que os túneis do Cloud VPN, os anexos da VLAN do Cloud Interconnect ou os dispositivos roteadores que se conectam à rede local.
É possível que uma rede local envie consultas para pontos de entrada da política do servidor de entrada em uma rede VPC diferente. Por exemplo, se a rede VPC que contém os túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou dispositivos roteadores que se conectam à rede local também estiver conectada a uma rede VPC diferente usando peering de rede VPC. No entanto, não recomendamos o uso dessa configuração porque a rede VPC associada para consultas DNS não corresponde à rede VPC que contém os pontos de entrada da política do servidor de entrada. Isso significa que as consultas DNS não são resolvidas usando zonas privadas do Cloud DNS e políticas de resposta na rede VPC que contém a política do servidor de entrada. Para evitar confusão, recomendamos as seguintes etapas de configuração:
- Crie uma política de servidor de entrada na rede VPC que se conecte à rede local usando túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou dispositivos roteadores.
- Configure sistemas locais para enviar consultas DNS aos pontos de entrada da política do servidor de entrada configurados na etapa anterior.
Configurar os recursos do Cloud DNS autorizados para a rede VPC que se conecta à rede local. Use um ou mais dos seguintes métodos:
- Adicione a rede VPC que se conecta à rede local à lista de redes autorizadas das zonas particulares do Cloud DNS autorizadas para a outra rede VPC: se uma zona particular do Cloud DNS e a rede VPC que se conecta à rede local estiverem em projetos diferentes da mesma organização, use o URL completo da rede ao autorizar a rede. Para mais informações, consulte Configurar a vinculação entre projetos.
- Zonas de peering do Cloud DNS autorizadas para a rede VPC que se conecta à rede local: defina a rede de destino da zona de peering como a outra rede VPC. Não importa se a rede VPC que se conecta à rede local está conectada à rede VPC de destino da zona de peering usando o peering de rede VPC, porque as zonas de peering do Cloud DNS não dependem desse peering para conectividade de rede.
A região associada a uma consulta DNS é sempre aquela que contém o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou a interface de rede do dispositivo roteador que recebe os pacotes para a consulta DNS, não a região da sub-rede que contém o ponto de entrada da política do servidor de entrada.
- Por exemplo, se os pacotes de uma consulta DNS entrarem em uma rede VPC usando um túnel do Cloud VPN localizado na região
us-east1e forem enviados para um ponto de entrada da política do servidor de entrada na regiãous-west1, a região associada à consulta DNS seráus-east1. - Como prática recomendada, envie consultas DNS para o endereço IPv4 de um ponto de entrada de política de servidor de entrada na mesma região que o túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou o dispositivo roteador.
- A região associada a uma consulta DNS é importante se você usa políticas de roteamento de geolocalização. Para mais informações, consulte Gerenciar políticas de roteamento de DNS e verificações de integridade.
- Por exemplo, se os pacotes de uma consulta DNS entrarem em uma rede VPC usando um túnel do Cloud VPN localizado na região
Divulgação de rota do ponto de entrada da política do servidor de entrada
Como os endereços IP do ponto de entrada da política do servidor de entrada são recebidos dos intervalos de endereços IPv4 principais de sub-redes, os Cloud Routers divulgam esses endereços IP quando a sessão do protocolo do gateway de borda (BGP, na sigla em inglês) de um túnel do Cloud VPN, o anexo da VLAN do Cloud Interconnect ou o dispositivo roteador é configurado para usar o modo de divulgação padrão do Cloud Router. Também é possível configurar uma sessão do BGP para divulgar endereços IP de ponto de entrada da política do servidor de entrada se você usar o modo de divulgação personalizado do Cloud Router de uma das seguintes maneiras:
- Você divulga intervalos de endereços IP de sub-redes, além dos prefixos personalizados.
- Inclua endereços IP do ponto de entrada da política do servidor de entrada nas divulgações de prefixo personalizado.
Políticas de servidor de saída
É possível modificar a ordem de resolução de nomes do Cloud DNS de uma
rede VPC criando uma política de servidor de saída que
especifique uma lista de servidores de nomes alternativos. Quando uma VM usa o próprio servidor de metadados 169.254.169.254 como servidor de nomes e você especifica servidores de nomes alternativos para uma rede VPC, o Cloud DNS envia todas as consultas para os servidores de nomes alternativos, a menos que as consultas sejam correspondidas por uma política de resposta com escopo de cluster do Google Kubernetes Engine ou uma zona particular com escopo de cluster do GKE.
Para informações sobre como criar políticas de servidor de saída, consulte Como criar uma política de servidor de saída.
Tipos alternativos de servidores de nomes, métodos de roteamento e endereços
O Cloud DNS aceita três tipos de servidores de nomes alternativos e oferece métodos de roteamento padrão ou particulares para conectividade.
| Tipo de servidor de nomes alternativos | Roteamento padrão compatível | Compatibilidade com roteamento privado | Intervalo de endereços de origem da consulta |
|---|---|---|---|
Servidor de nomes do tipo 1 Um endereço IP interno de uma VM do Google Cloud na mesma rede VPC em que a política do servidor de saída está definida. |
Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço RFC 1918 ou particular, ou um endereço IP privado não RFC 1918 ou um endereço IP público reutilizado de maneira privada, exceto endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada. | 35.199.192.0/19 |
Servidor de nomes do tipo 2 Um endereço IP de um sistema local, conectado à rede VPC com a política do servidor de saída, usando a VPN do Cloud ou o Cloud Interconnect. |
Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço RFC 1918 ou particular, ou um endereço IP privado não RFC 1918 ou um endereço IP público reutilizado de maneira privada, exceto endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada. | 35.199.192.0/19 |
Servidor de nome do tipo 3 Um endereço IP externo de um servidor de nomes DNS acessível pela Internet ou o endereço IP externo de um recurso do Google Cloud. Por exemplo, o endereço IP externo de uma VM em outra rede VPC. |
Somente endereços IP externos roteáveis pela Internet: o tráfego sempre é encaminhado para a Internet ou para o endereço IP externo de um recurso do Google Cloud. | O roteamento particular não é compatível. | Intervalos de origem do DNS público do Google |
O Cloud DNS oferece dois métodos de roteamento para consultar servidores de nomes alternativos:
Roteamento padrão: o Cloud DNS determina o tipo de servidor de nomes alternativo usando o endereço IP e, em seguida, usa o roteamento particular ou público:
Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS o classificará como Tipo 1 ou Tipo 2 e encaminhará as consultas por uma rede VPC autorizada (roteamento particular).
Se o servidor de nomes alternativo não for um endereço IP RFC 1918, o Cloud DNS o classificará como Tipo 3 e espera que ele esteja acessível pela Internet. O Cloud DNS encaminha consultas pela Internet (roteamento público).
Roteamento particular: o Cloud DNS trata o servidor de nomes alternativo como Tipo 1 ou Tipo 2. O Cloud DNS sempre encaminha o tráfego por meio de uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não).
Endereços IP do servidor de nomes alternativos proibidos
Não é possível usar os seguintes endereços IP para servidores de nomes alternativos do Cloud DNS:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Requisitos de rede do servidor de nomes alternativo
Os requisitos de rede para servidores de nomes alternativos variam com base no tipo deles. Para determinar o tipo de um servidor de nomes alternativo, consulte Tipos de servidor de nomes alternativo, métodos de roteamento e endereços. Em seguida, consulte uma das seções a seguir para ver os requisitos de rede.
Requisitos de rede para servidores de nomes alternativos tipo 1
O Cloud DNS envia pacotes com origens do intervalo de endereços IP
35.199.192.0/19 para o endereço IP do servidor de nomes alternativo Tipo 1.
O Google Cloud encaminha pacotes para consultas usando rotas de sub-rede local na rede VPC. Verifique se você não criou rotas
baseadas em políticas com destinos que incluam
endereços IP de servidor de nomes alternativo do Tipo 1.
Para permitir pacotes de entrada em VMs de servidores de nomes alternativos, é preciso criar regras de firewall de VPC ou regras de permissão de entrada em políticas de firewall com as seguintes características:
- Destinos: é necessário incluir as VMs do servidor de nomes alternativo
- Fontes:
35.199.192.0/19 - Protocolos:
TCPeUDP - Porta:
53
O Cloud DNS exige que cada servidor de nomes alternativo envie pacotes de resposta de volta ao endereço IP do Cloud DNS no 35.199.192.0/19 de origem da consulta. As origens dos pacotes de resposta precisam corresponder ao endereço IP do servidor de nomes alternativo para onde o Cloud DNS envia a consulta original. O Cloud DNS ignorará as respostas se elas vierem de uma origem inesperada de endereço IP. Por exemplo, o endereço IP de outro servidor de nomes para onde um servidor de nomes alternativo pode encaminhar uma consulta.
Quando um servidor de nomes alternativo do Tipo 1 envia pacotes de resposta para
35.199.192.0/19, ele usa um caminho de roteamento especial.
Requisitos de rede para servidores de nomes alternativos tipo 2
O Cloud DNS envia pacotes com origens do intervalo de endereços IP
35.199.192.0/19 para servidores de nomes alternativos do Tipo 2. O Cloud DNS depende dos seguintes tipos de rotas dentro da rede VPC a que a política de servidor de saída se aplica:
- Rotas estáticas, exceto rotas estáticas que só se aplicam a VMs por tag de rede
- Rotas dinâmicas
Para permitir pacotes de entrada nos servidores de nomes alternativos do Tipo 2, configure as regras de firewall de permissão de entrada aplicáveis aos servidores de nomes alternativos e a qualquer equipamento de rede local relevante com recursos de firewall. A configuração de firewall efetiva precisa permitir os protocolos TCP e UDP com origens da porta de destino 53 e 35.199.192.0/19.
O Cloud DNS exige que cada servidor de nomes alternativo envie pacotes de resposta de volta ao endereço IP do Cloud DNS no 35.199.192.0/19 de origem da consulta. As origens dos pacotes de resposta precisam corresponder ao endereço IP do servidor de nomes alternativo para onde o Cloud DNS envia a consulta original. O Cloud DNS ignorará as respostas se elas vierem de uma origem inesperada de endereço IP. Por exemplo, o endereço IP de outro servidor de nomes para onde um servidor de nomes alternativo pode encaminhar uma consulta.
Sua rede local precisa ter rotas para o destino 35.199.192.0/19
que tenham como próximos saltos túneis do Cloud VPN, anexos da VLAN
do Cloud Interconnect ou Cloud Routers localizados na mesma rede VPC
e região de onde o Cloud DNS envia a consulta. Desde que os próximos saltos atendam a esses requisitos de rede e região, o Google Cloud não exigirá um caminho de retorno simétrico. As respostas dos servidores de nomes alternativos do Tipo 2 não podem ser roteadas usando os próximos saltos a seguir:
- Próximos saltos na Internet
- Próximos saltos em uma rede VPC diferente da rede VPC em que as consultas se originaram
- Próximos saltos na mesma rede VPC, mas em uma região diferente da região de origem das consultas
Para configurar as rotas 35.199.192.0/19 na sua rede local, use o modo de divulgação personalizado do Cloud Router e inclua 35.199.192.0/19 como um prefixo personalizado nas sessões do BGP dos túneis relevantes do Cloud VPN, anexos da VLAN do Cloud Interconnect ou Cloud Routers que conectam sua rede VPC à rede local que contém o servidor de nomes alternativo do Tipo 2. Como alternativa, é possível configurar rotas estáticas equivalentes na sua rede local.
Requisitos de rede para servidores de nomes alternativos tipo 3
O Cloud DNS envia pacotes com origens que correspondem aos intervalos de origem do DNS público do Google para os servidores de nomes alternativos do Tipo 3. O Cloud DNS usa roteamento público. Ele não depende de rotas dentro da rede VPC a que a política de servidor de saída se aplica.
Para permitir pacotes de entrada em servidores de nomes alternativos Tipo 3, verifique se a configuração de firewall efetiva aplicável ao servidor alternativo permite pacotes de intervalos de origem de DNS público do Google.