本頁面由 Cloud Translation API 翻譯而成。

DNS 伺服器政策

您可以透過 DNS 伺服器政策，設定要使用哪些 DNS 伺服器解析 Google Cloud 資源的網域名稱。您可以使用 DNS 伺服器政策，控管特定虛擬私有雲 (VPC) 網路中的 DNS 解析。DNS 伺服器政策會指定傳入 DNS 轉送、傳出 DNS 轉送或兩者皆是。傳入 DNS 伺服器政策允許傳入 DNS 轉送，而傳出 DNS 伺服器政策則是實作傳出 DNS 轉送的方法之一。

您也可以設定 DNS64，讓僅支援 IPv6 的 VM 執行個體與僅支援 IPv4 的目的地通訊。

僅限 IPv6 的虛擬私有雲子網路不支援傳入 DNS 伺服器政策。不過，您可以為僅限 IPv6 的 VM 執行個體設定傳出 DNS 伺服器政策。

內送伺服器政策

對於網路介面 (vNIC) 連接至虛擬私有雲網路的虛擬機器 (VM) 執行個體，每個虛擬私有雲網路都會為執行個體提供 Cloud DNS 名稱解析服務。當 VM 使用其中繼資料伺服器 169.254.169.254 做為名稱伺服器時， Google Cloud 會根據虛擬私有雲網路名稱解析順序搜尋 Cloud DNS 資源。

如要透過 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備，將虛擬私有雲網路的名稱解析服務提供給連線至該虛擬私有雲網路的內部部署網路，可以使用傳入伺服器政策。

建立傳入伺服器政策時，Cloud DNS 會在套用伺服器政策的虛擬私有雲網路中，建立傳入伺服器政策進入點。傳入伺服器政策進入點是內部 IPv4 位址，來源是適用虛擬私有雲網路中每個子網路的主要 IPv4 位址範圍，但具有特定--purpose資料的子網路除外，例如特定負載平衡器的僅限 Proxy 子網路，以及 Cloud NAT 用於 Private NAT 的子網路。

舉例來說，如果您有一個虛擬私有雲網路，其中包含相同區域中的兩個子網路，以及不同區域中的第三個子網路，當您為虛擬私有雲網路設定傳入伺服器政策時，Cloud DNS 會使用總共三個 IPv4 位址做為傳入伺服器政策進入點，每個子網路各一個。

如要瞭解如何為 VPC 建立傳入伺服器政策，請參閱建立傳入伺服器政策。

傳入查詢的網路和區域

如要處理傳送至傳入伺服器政策進入點的 DNS 查詢，Cloud DNS 會將查詢與虛擬私有雲網路和區域建立關聯：

DNS 查詢的相關聯 VPC 網路，是包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結，或路由器設備網路介面的 VPC 網路，該設備會接收 DNS 查詢的封包。
- Google 建議在連線至內部部署網路的虛擬私有雲網路中，建立傳入伺服器政策。這樣一來，連線至內部部署網路的 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備，就會與伺服器政策的連入端點位於同一個 VPC 網路。
- 內部部署網路可以將查詢傳送至不同虛擬私有雲網路中的傳入伺服器政策進入點。舉例來說，如果包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結或 Router 裝置的虛擬私有雲網路連線至內部部署網路，同時也使用虛擬私有雲網路對等互連連線至其他虛擬私有雲網路，就會發生這種情況。不過，我們不建議使用這項設定，因為 DNS 查詢的相關聯 VPC 網路與包含連入伺服器政策進入點的 VPC 網路不符，這表示 DNS 查詢不會使用包含連入伺服器政策的 VPC 網路中的 Cloud DNS 私人區域和回應政策解析。為避免混淆，建議改用下列設定步驟：
  1. 在透過 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備連線至內部部署網路的虛擬私有雲網路中，建立傳入伺服器政策。
  2. 設定內部部署系統，將 DNS 查詢傳送至上一個步驟中設定的傳入伺服器政策進入點。
  3. 設定授權給 VPC 網路使用的 Cloud DNS 資源，該網路會連線至內部部署網路。你可以採取下列一或多種做法：
    - 將連線至內部部署網路的虛擬私有雲網路，新增至已授權網路清單，以授權其他虛擬私有雲網路使用 Cloud DNS 私人區域：如果 Cloud DNS 私人區域和連線至內部部署網路的虛擬私有雲網路位於同一機構的不同專案中，請在授權網路時使用完整網路網址。詳情請參閱「設定跨專案繫結」。
    - 授權給連線至內部部署網路的虛擬私有雲網路的 Cloud DNS 對等互連區域：將對等互連區域的目標網路設為其他虛擬私有雲網路。無論連線至內部部署網路的虛擬私有雲網路是否使用虛擬私有雲網路對等互連連線至對等互連區域的目標虛擬私有雲網路，都沒關係，因為 Cloud DNS 對等互連區域不依賴虛擬私有雲網路對等互連來建立網路連線。
- 如果內部部署網路使用 VPC 網路對等互連，將查詢傳送至傳入伺服器政策，則傳入伺服器政策所在的網路必須包含 VM、VLAN 連結或 Cloud VPN 通道，且這些資源與傳入查詢位於相同區域。
DNS 查詢的相關聯區域一律是包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結，或路由器設備網路介面的區域，該介面會接收 DNS 查詢的封包，而非包含傳入伺服器政策進入點的子網路區域。
- 舉例來說，如果 DNS 查詢的封包是透過位於 us-east1 地區的 Cloud VPN 通道進入虛擬私有雲網路，並傳送至 us-west1 地區的傳入伺服器政策進入點，則 DNS 查詢的相關聯地區為 us-east1。
- 最佳做法是將 DNS 查詢傳送至與 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備位於相同區域的傳入伺服器政策進入點 IPv4 位址。
- 如果您使用地理位置路由政策，DNS 查詢的相關聯區域就非常重要。詳情請參閱管理 DNS 轉送政策和健康狀態檢查。

傳入伺服器政策進入點路徑廣告

由於伺服器政策的連入 IP 位址是取自子網路的主要 IPv4 位址範圍，因此當 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備的邊界閘道通訊協定 (BGP) 工作階段，設定為使用 Cloud Router 預設通告模式時，Cloud Router 會通告這些 IP 位址。如果您使用 Cloud Router 自訂通告模式，也可以透過下列方式設定 BGP 工作階段，通告連入伺服器政策進入點 IP 位址：

除了自訂前置字串，您還會通告子網路 IP 位址範圍。
您在自訂前置字串廣告中加入內送伺服器政策進入點 IP 位址。

外寄伺服器政策

您可以建立傳出伺服器政策，指定替代名稱伺服器清單，藉此修改虛擬私有雲網路的 Cloud DNS 名稱解析順序。當 VM 使用中繼資料伺服器 169.254.169.254 做為名稱伺服器，且您已為虛擬私有雲網路指定替代名稱伺服器時，Cloud DNS 會將所有查詢傳送至替代名稱伺服器，除非查詢符合 Google Kubernetes Engine 叢集範圍回應政策或 GKE 叢集範圍不公開區域。

如果傳出伺服器政策中存在兩個以上的替代名稱伺服器，Cloud DNS 會為替代名稱伺服器排序，並按照虛擬私有雲名稱解析順序的第一個步驟查詢這些伺服器。重要事項：請仔細查看 VPC 網路解析順序。使用替代名稱伺服器會停用許多 Cloud DNS 功能的解析作業，也可能會影響公用 DNS 查詢的解析作業，具體情況取決於替代名稱伺服器的設定。如要進一步瞭解其他傳出 DNS 轉送策略，請參閱 Cloud DNS 總覽中的「DNS 轉送方法」。如要瞭解如何建立外送伺服器政策，請參閱建立外送伺服器政策。

替代名稱伺服器類型、路由方法和位址

Cloud DNS 支援下列替代名稱伺服器，並提供標準或私人轉送方法來建立連線。

替代名稱伺服器類型標準轉送支援支援私人路徑查詢來源位址範圍

替代名稱伺服器類型	標準轉送支援	支援私人路徑	查詢來源位址範圍
第 1 類名稱伺服器相同虛擬私有雲網路中 VM 的內部 IP 位址，其中定義了傳出伺服器政策。 Google Cloud	僅限 RFC 1918 IP 位址，流量一律透過授權的虛擬私有雲網路路由傳送。	任何內部 IP 位址，例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址，或私下重複使用的外部 IP 位址，但禁止使用的替代名稱伺服器 IP 位址除外。流量一律會透過授權的 VPC 網路轉送。	`35.199.192.0/19`
第 2 類名稱伺服器內部部署系統的 IP 位址，使用 Cloud VPN 或 Cloud Interconnect 連線至具有輸出伺服器政策的 VPC 網路。	僅限 RFC 1918 IP 位址，流量一律透過授權的虛擬私有雲網路路由傳送。	任何內部 IP 位址，例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址，或私人重複使用的外部 IP 位址，但禁止使用的替代名稱伺服器 IP 位址除外，流量一律會透過授權的 VPC 網路轉送。	`35.199.192.0/19`
第 3 類名稱伺服器可供網際網路存取的 DNS 名稱伺服器的外部 IP 位址或資源的外部 IP 位址，例如另一個虛擬私有雲網路中 VM 的外部 IP 位址。 Google Cloud	只有可透過網際網路路由傳輸的外部 IP 位址，流量一律會路由傳輸至網際網路或 Google Cloud 資源的外部 IP 位址。	不支援私人路徑。	Google 公用 DNS 來源範圍

第 1 類名稱伺服器

相同虛擬私有雲網路中 VM 的內部 IP 位址，其中定義了傳出伺服器政策。 Google Cloud

僅限 RFC 1918 IP 位址，流量一律透過授權的虛擬私有雲網路路由傳送。

任何內部 IP 位址，例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址，或私下重複使用的外部 IP 位址，但禁止使用的替代名稱伺服器 IP 位址除外。流量一律會透過授權的 VPC 網路轉送。

35.199.192.0/19

第 2 類名稱伺服器

內部部署系統的 IP 位址，使用 Cloud VPN 或 Cloud Interconnect 連線至具有輸出伺服器政策的 VPC 網路。

僅限 RFC 1918 IP 位址，流量一律透過授權的虛擬私有雲網路路由傳送。

任何內部 IP 位址，例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址，或私人重複使用的外部 IP 位址，但禁止使用的替代名稱伺服器 IP 位址除外，流量一律會透過授權的 VPC 網路轉送。

35.199.192.0/19

第 3 類名稱伺服器

可供網際網路存取的 DNS 名稱伺服器的外部 IP 位址或資源的外部 IP 位址，例如另一個虛擬私有雲網路中 VM 的外部 IP 位址。 Google Cloud

只有可透過網際網路路由傳輸的外部 IP 位址，流量一律會路由傳輸至網際網路或 Google Cloud 資源的外部 IP 位址。

不支援私人路徑。

Google 公用 DNS 來源範圍

Cloud DNS 提供兩種查詢替代名稱伺服器的轉送方法：

標準轉送。Cloud DNS 會根據替代名稱伺服器的 IP 位址判斷類型，然後使用私人或公開路由：
- 如果替代名稱伺服器是 RFC 1918 IP 位址，Cloud DNS 會將名稱伺服器分類為「類型 1」或「類型 2」名稱伺服器，並透過已授權的虛擬私有雲網路 (私人路由) 轉送查詢。
- 如果替代名稱伺服器不是 RFC 1918 IP 位址，Cloud DNS 會將該名稱伺服器歸類為類型 3，並預期替代名稱伺服器可透過網際網路存取。Cloud DNS 會透過網際網路 (公開路由) 傳送查詢。
私人路徑。Cloud DNS 會將替代名稱伺服器視為第 1 類或第 2 類。無論替代名稱伺服器的 IP 位址 (是否為 RFC 1918)，Cloud DNS 一律會透過授權的 VPC 網路轉送流量。

禁止使用的替代名稱伺服器 IP 位址

您無法將下列 IP 位址用於 Cloud DNS 替代名稱伺服器：

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

備用名稱伺服器的網路需求

替代名稱伺服器的網路需求會因替代名稱伺服器的類型而異。如要判斷替代名稱伺服器的類型，請參閱「替代名稱伺服器類型、轉送方法和位址」。然後參閱下列其中一個章節，瞭解網路需求。

第 1 類替代名稱伺服器的網路需求

Cloud DNS 會將來源來自 35.199.192.0/19 IP 位址範圍的封包傳送至第 1 類替代名稱伺服器 IP 位址。Google Cloud 使用虛擬私有雲端網路中的本機子網路路徑，轉送查詢的封包。確認您未建立任何以政策為依據的路由，且這些路由的目的地包含第 1 類替代名稱伺服器 IP 位址。

如要允許替代名稱伺服器 VM 接收封包，您必須建立允許輸入的 VPC 防火牆規則，或防火牆政策中的規則，並符合下列特徵：

目標：必須包含替代名稱伺服器 VM
來源：35.199.192.0/19
通訊協定：TCP 和 UDP
通訊埠：53

Cloud DNS 規定每個替代名稱伺服器都必須將回應封包傳回 35.199.192.0/19 中 Cloud DNS 的 IP 位址，查詢就是從該位址發出。回應封包的來源必須與 Cloud DNS 傳送原始查詢的替代名稱伺服器 IP 位址相符。如果回應來自非預期的 IP 位址來源 (例如，替代名稱伺服器可能會將查詢轉送至其他名稱伺服器的 IP 位址)，Cloud DNS 會忽略這些回應。

當類型 1 別名伺服器將回應封包傳送至 35.199.192.0/19 時，會使用特殊路徑。

第 2 類替代名稱伺服器的網路需求

Cloud DNS 會將來源位於 35.199.192.0/19 IP 位址範圍內的封包傳送至第 2 類替代名稱伺服器。Cloud DNS 依賴虛擬私有雲網路內的下列路徑類型，套用傳出伺服器政策：

靜態路徑，但僅適用於按照網路標記選取 VM 的靜態路徑除外
動態路徑

如要允許 Type 2 替代名稱伺服器接收封包，請務必設定適用於替代名稱伺服器和任何具備防火牆功能的相關內部部署網路設備的輸入允許防火牆規則。有效防火牆設定必須允許 TCP 和 UDP 通訊協定，且目的地通訊埠為 53，來源為 35.199.192.0/19。

您的內部部署網路必須具有 35.199.192.0/19 目的地的路徑，且下一個躍點是 Cloud VPN 通道、Cloud Interconnect VLAN 連結，或位於與 Cloud DNS 傳送查詢要求相同的虛擬私有雲網路和區域中的 Cloud Router。只要下一個躍點符合這些網路和區域需求， Google Cloud 就不需要對稱的回程路徑。類型 2 替代名稱伺服器的回應無法透過下列任一中繼站點路徑傳送：

網際網路上的下一個躍點
與查詢來源虛擬私有雲網路不同的虛擬私有雲網路中的下一個躍點
下一個躍點位於同一個虛擬私有雲網路，但所在區域與查詢來源區域不同

如要在內部部署網路中設定 35.199.192.0/19 路徑，請使用 Cloud Router 的自訂通告模式，並在相關 Cloud VPN 通道、Cloud Interconnect VLAN 連結或 Cloud Router 的 BGP 工作階段中，將 35.199.192.0/19 納入自訂前置字元，將虛擬私有雲端網路連線至包含 Type 2 替代名稱伺服器的內部部署網路。或者，您也可以在內部部署網路中設定對等的靜態路徑。

第 3 類替代名稱伺服器的網路需求

Cloud DNS 會將來源符合 Google Public DNS 來源範圍的封包傳送至第 3 類替代名稱伺服器。Cloud DNS 使用公開轉送，不會依賴套用傳出伺服器政策的虛擬私有雲網路內的任何路徑。

如要在第 3 類替代名稱伺服器上允許傳入封包，請確保適用於替代名稱伺服器的有效防火牆設定，允許來自 Google Public DNS 來源範圍的封包。

後續步驟

如要設定及套用 DNS 伺服器政策，請參閱「套用 DNS 伺服器政策」。