Règles du serveur DNS

Vous pouvez configurer une règle de serveur DNS pour chaque réseau cloud privé virtuel (VPC). La règle peut spécifier le transfert DNS entrant, le transfert DNS sortant, ou les deux. Dans cette section, la règle de serveur entrant fait référence à une règle qui autorise le transfert DNS entrant. La règle de serveur sortant fait référence à une méthode possible de mise en œuvre du transfert DNS sortant. Une règle peut être à la fois une règle de serveur entrant et une règle de serveur sortant si elle met en œuvre les deux fonctionnalités.

Pour plus d'informations, consultez la page Appliquer des règles de serveur Cloud DNS.

Règles du serveur entrant

Chaque réseau VPC fournit une résolution de noms Cloud DNS aux instances de machines virtuelles (VM) disposant d'une interface réseau (vNIC) au réseau VPC. Lorsqu'une VM utilise son serveur de métadonnées 169.254.169.254 comme serveur de noms, Google Cloud recherche aux ressources Cloud DNS en fonction du nom du réseau VPC l'ordre de résolution.

Pour rendre les services de résolution de noms d'un réseau VPC disponibles de réseaux sur site qui sont connectés au réseau VPC via des tunnels Cloud VPN, des rattachements de VLAN Cloud Interconnect ou des dispositifs de routeur, vous pouvez utiliser une règle de serveur entrant.

Lorsque vous créez une règle de serveur entrant, Cloud DNS crée des adresses points d'entrée des règles de serveur du réseau VPC que la règle de serveur est appliquée. Les points d'entrée de la règle de serveur entrant sont des adresses IPv4 internes des adresses IP provenant de la plage d'adresses IPv4 principale de chaque sous-réseau du réseau VPC applicable, à l'exception des sous-réseaux avec des les données --purpose, telles que les sous-réseaux proxy réservés à certains équilibreurs de charge et utilisés par Cloud NAT pour le NAT privé.

Par exemple, si vous disposez d'un réseau VPC contenant deux sous-réseaux, dans la même région et un troisième sous-réseau dans une région différente, lorsque vous configurez une règle de serveur entrant pour le réseau VPC, utilise un total de trois adresses IPv4 comme points d'entrée pour la règle de serveur entrant : par sous-réseau.

Pour plus d'informations sur la création d'une règle de serveur entrant pour une VPC, consultez la section Créer un serveur règle.

Réseau et région pour les requêtes entrantes

Pour traiter les requêtes DNS envoyées à une entrée de règle de serveur entrant Cloud DNS associe la requête à un VPC réseau et d'une région:

• Le réseau VPC associé à une requête DNS est réseau VPC contenant le tunnel Cloud VPN, Rattachement de VLAN ou interface réseau Cloud Interconnect Appareil de routeur qui reçoit les paquets pour la requête DNS.

  • Google recommande de créer une règle de serveur entrant dans le VPC qui se connecte à votre réseau sur site. Ainsi, le trafic entrant les points d'entrée des règles de serveur sont situés dans le même VPC que les tunnels Cloud VPN, le VLAN des rattachements de routeur, ou des dispositifs de routeur qui se connectent à l'environnement sur site, réseau.

  • Un réseau sur site peut envoyer des requêtes au serveur entrant les points d'entrée d'une règle dans un réseau VPC différent, par exemple, si le réseau VPC contenant l'instance Cloud VPN des rattachements de VLAN Cloud Interconnect, Les dispositifs de routeur qui se connectent au réseau sur site sont également connecté à un autre réseau VPC via Appairage de réseaux VPC. Toutefois, nous vous déconseillons d'utiliser car le réseau VPC associé au service DNS ne correspondent pas au réseau VPC contenant points d'entrée des règles de serveur, ce qui signifie que les requêtes DNS ne sont pas résolues à l'aide des zones privées et des stratégies de réponse Cloud DNS Réseau VPC contenant la règle du serveur entrant. Pour éviter nous vous recommandons de suivre les étapes de configuration suivantes:

    1. Créez dans le réseau VPC une règle de serveur entrant se connecte au réseau sur site à l'aide de tunnels Cloud VPN, des rattachements de VLAN Cloud Interconnect ou des dispositifs de routeur.
    2. Configurer les systèmes sur site pour envoyer des requêtes DNS au serveur entrant les points d'entrée configurés à l'étape précédente.

    3. Configurez les ressources Cloud DNS autorisées pour le Réseau VPC qui se connecte au réseau sur site. Utilisez une ou plusieurs des méthodes suivantes:

       • Ajoutez le réseau VPC qui se connecte à l'environnement sur site réseau à la liste des réseaux autorisés Les zones privées Cloud DNS autorisées pour l'autre Réseau VPC: si un DNS privé Cloud DNS la zone et le réseau VPC qui se connecte dans des projets distincts du même réseau sur site organisation, utilisez l'URL complète du réseau lorsque vous autorisez le réseau. Pour en savoir plus, consultez la section Configurer plusieurs projets de liaison.
       • Zones d'appairage Cloud DNS autorisé pour le réseau VPC qui se connecte réseau sur site: définissez le réseau cible de la zone d'appairage sur l'autre réseau VPC. Peu importe que le Réseau VPC qui se connecte au réseau sur site est connecté au réseau VPC cible de la zone d'appairage à l'aide de l'appairage de réseaux VPC, car l'appairage Cloud DNS ne dépendent pas de l'appairage de réseaux VPC la connectivité.

• La région associée à une requête DNS est toujours la région qui contient le un tunnel Cloud VPN, un rattachement de VLAN Cloud Interconnect ou interface réseau de l'appareil de routeur qui reçoit les paquets la requête DNS, et non la région du sous-réseau contenant le serveur entrant point d'entrée de la stratégie.

  • Par exemple, si les paquets d'une requête DNS entrent dans un VPC à l'aide d'un tunnel Cloud VPN situé dans la région us-east1 et sont envoyées à un point d'entrée de règle de serveur entrant dans le us-west1 région, la région associée à la requête DNS est us-east1.
  • Il est recommandé d'envoyer des requêtes DNS à l'adresse IPv4 point d'entrée de la règle de serveur entrant dans la même région que le un tunnel Cloud VPN, un rattachement de VLAN Cloud Interconnect ou appareil de routeur.
  • La région associée à une requête DNS est importante si vous utilisez la géolocalisation. règles de routage. Pour en savoir plus, consultez la page Gérer Règles de routage DNS et état de suivi des conversions.

Annonce de routage du point d'entrée de la règle de serveur entrant

Comme les adresses IP des points d'entrée de la règle de serveur entrant sont extraites sur les plages d'adresses IPv4 principales des sous-réseaux, les routeurs cloud les annoncent lorsque la session BGP (Border Gateway Protocol) d'une un tunnel Cloud VPN, un rattachement de VLAN ou un appareil de routeur Cloud Interconnect configuré pour utiliser l'annonce par défaut du routeur Cloud Router mode. Vous pouvez également configurer une session BGP pour annoncer une entrée de règle de serveur entrant. si vous utilisez l'annonce personnalisée Cloud Router mode de l'une des manières suivantes:

• Vous annoncez des plages d'adresses IP de sous-réseau en plus de vos préfixes personnalisés.
• Vous incluez les adresses IP des points d'entrée de la règle de serveur entrant dans votre les annonces avec préfixe.

Règles du serveur sortant

Vous pouvez modifier l'ordre de résolution des noms Cloud DNS d'une réseau VPC en créant une règle de serveur sortant qui spécifie une liste de serveurs de noms alternatifs. Lorsqu'une VM utilise ses métadonnées serveur 169.254.169.254 comme serveur de noms, et si vous avez spécifié serveurs de noms alternatifs pour un réseau VPC, Cloud DNS envoie toutes les requêtes aux serveurs de noms alternatifs, sauf si les requêtes sont correspondre à une stratégie de réponse à l'échelle d'un cluster Google Kubernetes Engine ou à GKE à l'échelle d'un cluster.

Lorsqu'il existe deux serveurs de noms alternatifs ou plus dans une règle de serveur sortant, Cloud DNS classe le nom alternatif serveurs et les interroge comme décrit à la première étape l'ordre de résolution des noms VPC.

Pour plus d'informations sur la création de règles de serveur sortant, consultez la section Créer une règle de serveur sortant.

Types de serveurs de noms alternatifs, méthodes de routage et adresses

Cloud DNS est compatible avec trois types de serveurs de noms alternatifs et propose des méthodes standards ou privées pour leur acheminer le trafic.

Autre type de serveur de noms	Compatibilité avec le routage standard	Compatibilité avec le routage privé	Plage d'adresses source de la requête
Serveur de noms de type 1 L'adresse IP interne d'un VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie.	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP publique réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.	35.199.192.0/19
Serveur de noms de type 2 Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP publique réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.	35.199.192.0/19
Serveur de noms de type 3 Une adresse IP externe d'un nom DNS serveur accessible sur Internet ou via l'adresse IP externe d'un Ressource Google Cloud (par exemple, l'adresse IP externe d'une VM) dans un autre réseau VPC.	Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud.	Le routage privé n'est pas accepté.	Plages sources du DNS public de Google

Cloud DNS propose deux méthodes de routage pour interroger un nom alternatif serveurs:

• Routage standard: Cloud DNS détermine le type de DNS alternatif à l’aide de son adresse IP, puis utilise soit une adresse privée, routage public:

  • Si le serveur de noms alternatif est une adresse IP RFC 1918, Cloud DNS Il classe le serveur de noms en tant que serveur de noms de type 1 ou de type 2. achemine les requêtes via un réseau VPC autorisé le routage des e-mails).

  • Si le serveur de noms alternatif n'est pas une adresse IP RFC 1918, Cloud DNS classe le serveur de noms dans la catégorie Type 3 et s'attend à ce que le DNS alternatif afin qu’il soit accessible sur Internet. Routes Cloud DNS de requêtes sur Internet (routage public).

• Routage privé: Cloud DNS traite le routage privé serveur de noms alternatif de type 1 ou de type 2. Cloud DNS achemine toujours le trafic via un réseau VPC autorisé, quelle que soit l'adresse IP du serveur de noms alternatif (RFC 1918 ou non).

Adresses IP des serveurs de noms alternatifs interdites

Vous ne pouvez pas utiliser les adresses IP suivantes pour les serveurs de noms alternatifs de Cloud DNS :

• 169.254.0.0/16
• 192.0.0.0/24
• 192.0.2.0/24
• 192.88.99.0/24
• 198.51.100.0/24
• 203.0.113.0/24
• 224.0.0.0/4
• 240.0.0.0/4
• ::1/128
• ::/128
• 2001:db8::/32
• fe80::/10
• fec0::/10
• ff00::/8

Configuration réseau requise pour le serveur de noms alternatif

La configuration réseau requise pour les serveurs de noms alternatifs varie type du serveur de noms. Pour déterminer le type d'un serveur de noms alternatif, consultez Types de serveurs de noms alternatifs, méthodes de routage et adresses. Reportez-vous ensuite à l'une des sections suivantes pour connaître la configuration réseau requise.

Configuration réseau requise pour les serveurs de noms alternatifs de type 1

Cloud DNS envoie des paquets dont les sources proviennent de l'adresse IP 35.199.192.0/19 à l'adresse IP du serveur de noms alternatif de type 1. Google Cloud achemine les paquets pour les requêtes à l'aide de routes de sous-réseau locales dans le sur le réseau VPC du client. Assurez-vous que vous n'avez pas créé de règles basées sur des règles routes dont les destinations incluent le type 1 de serveurs DNS alternatifs.

Pour autoriser les paquets entrants sur des VM de serveurs de noms alternatifs, vous devez créer des règles de pare-feu VPC autorisant le trafic entrant des stratégies de pare-feu avec la les caractéristiques suivantes:

• Cibles: doit inclure les VM de serveurs de noms alternatifs
• Sources: 35.199.192.0/19
• Protocoles: TCP et UDP
• Port : 53

Cloud DNS exige que chaque serveur de noms alternatif envoie une réponse de paquets envoyés à l'adresse IP Cloud DNS dans 35.199.192.0/19 depuis à l'origine de la requête. Les sources des paquets de réponses doivent correspondre à l'adresse IP adresse du serveur de noms alternatif auquel Cloud DNS envoie le requête d'origine. Cloud DNS ignore les réponses si elles proviennent source d'adresse IP inattendue (par exemple, l'adresse IP d'un autre nom) vers lequel un serveur DNS alternatif pourrait transférer une requête.

Lorsqu'un serveur de noms alternatif de type 1 envoie des paquets de réponses à 35.199.192.0/19, il utilise un chemin de routage spécial.

Configuration réseau requise pour les serveurs de noms alternatifs de type 2

Cloud DNS envoie des paquets dont les sources proviennent de l'adresse IP 35.199.192.0/19 plage d'adresses vers des serveurs de noms alternatifs de type 2. Cloud DNS repose sur des types de routes suivants dans le réseau VPC vers lesquels la règle du serveur sortant s'applique:

• Routes statiques à l'exception des routes statiques qui ne s'appliquent qu'aux VM par tag réseau
• Routes dynamiques

Pour autoriser les paquets entrants sur des serveurs de noms alternatifs de type 2, assurez-vous que vous configurez des règles de pare-feu autorisant le trafic entrant les serveurs de noms alternatifs et tout équipement réseau sur site approprié avec des caractéristiques de pare-feu. La configuration effective du pare-feu doit autoriser à la fois les TCP et UDP avec les sources de port de destination 53 et 35.199.192.0/19.

Cloud DNS exige que chaque serveur de noms alternatif envoie une réponse de paquets envoyés à l'adresse IP Cloud DNS dans 35.199.192.0/19 depuis à l'origine de la requête. Les sources des paquets de réponses doivent correspondre à l'adresse IP adresse du serveur de noms alternatif auquel Cloud DNS envoie le requête d'origine. Cloud DNS ignore les réponses si elles proviennent source d'adresse IP inattendue (par exemple, l'adresse IP d'un autre nom) vers lequel un serveur DNS alternatif pourrait transférer une requête.

Votre réseau sur site doit comporter des routes pour la destination 35.199.192.0/19 dont les sauts suivants sont des tunnels Cloud VPN, le VLAN Cloud Interconnect de rattachements de VLAN ou de routeurs cloud situés sur le même VPC réseau et la région à partir desquels Cloud DNS envoie la requête. Tant que aux prochains sauts répondent à ces exigences de réseau et de région, Google Cloud nécessitent un chemin de retour symétrique. Réponses du nom alternatif de type 2 les serveurs ne peuvent pas être routés à l'aide des sauts suivants:

• Prochains sauts sur Internet
• Les prochains sauts dans un réseau VPC différent Réseau VPC d'où proviennent les requêtes
• Les prochains sauts dans le même réseau VPC, mais dans une région différente de celle d'origine des requêtes

Pour configurer les routes 35.199.192.0/19 dans votre réseau sur site, utilisez le Annonce personnalisée Cloud Router et inclure 35.199.192.0/19 comme préfixe personnalisé dans les sessions BGP du les tunnels Cloud VPN pertinents, le VLAN Cloud Interconnect des rattachements de VLAN, ou des routeurs cloud qui connectent votre VPC au réseau sur site qui contient le nom alternatif de type 2 Google Cloud. Vous pouvez également configurer des routes statiques équivalentes dans votre de votre réseau sur site.

Configuration réseau requise pour les serveurs de noms alternatifs de type 3

Cloud DNS envoie des paquets dont les sources correspondent au DNS public de Google des plages sources Serveurs de noms alternatifs de type 3. Cloud DNS utilise un routage public : il ne s'appuie pas sur les routes au sein du réseau VPC pour auquel la règle du serveur sortant s'applique.

Pour autoriser les paquets entrants sur des serveurs de noms alternatifs de type 3, assurez-vous que la configuration de pare-feu effective applicable au nom alternatif autorise les paquets provenant des plages sources du DNS public de Google.