Se usó la API de Cloud Translation para traducir esta página.

Políticas de servidor DNS

Puedes configurar una política del servidor DNS para cada red de nube privada virtual (VPC). La política puede especificar el reenvío de DNS entrante, el reenvío de DNS saliente, o ambos. En esta sección, la política del servidor de entrada se refiere a una política que permite el reenvío de DNS entrante. La política de servidor de salida hace referencia a un método posible para implementar el reenvío de DNS saliente. Es posible que una política sea, simultáneamente, una política del servidor entrante y una política del servidor saliente, si se implementan en ella las funciones de ambas.

Para obtener más información, consulta Aplica políticas de servidor de Cloud DNS.

Políticas del servidor entrante

Cada red de VPC proporciona una resolución de nombres de Cloud DNS servicios a instancias de máquina virtual (VM) que tienen una interfaz de red (vNIC) conectadas a la red de VPC. Cuando una VM usa su servidor de metadatos 169.254.169.254 como su servidor de nombres, Google Cloud busca Recursos de Cloud DNS según el nombre de la red de VPC orden de resolución.

Hacer que los servicios de resolución de nombres de una red de VPC estén disponibles para redes locales que están conectadas a la red de VPC mediante con túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o de router, puedes usar una política del servidor entrante.

Cuando creas una política del servidor entrante, Cloud DNS crea instancias puntos de entrada de la política de servidor en la red de VPC a la que de que se aplique la política de servidor. Los puntos de entrada de la política del servidor entrante son IPv4 internas externas provenientes del rango de direcciones IPv4 principal de todas las subredes en la red de VPC correspondiente, excepto para las subredes con --purpose, como las subredes de solo proxy para ciertos balanceadores de cargas las subredes que usa Cloud NAT para NAT privada.

Por ejemplo, si tienes una red de VPC que contiene dos subredes en la misma región y una tercera subred en una región diferente, cuando configures una política del servidor entrante para la red de VPC, Cloud DNS usa un total de tres direcciones IPv4 como puntos de entrada de políticas del servidor entrante, uno por subred.

Para obtener información sobre cómo crear una política del servidor entrante para un VPC, consulta Crea un servidor de entrada política.

Red y región para consultas entrantes

Para procesar consultas de DNS que se envían a la entrada de la política del servidor entrante puntos, Cloud DNS asocia la consulta con una VPC y una región:

La red de VPC asociada para una consulta de DNS es la red de VPC que contiene el túnel de Cloud VPN, adjunto de VLAN de Cloud Interconnect o interfaz de red del Dispositivo de router que recibe los paquetes para la consulta de DNS.
- Google recomienda crear una política del servidor entrante en la VPC que se conecta a la red local. De esa manera, se crea automáticamente los puntos de entrada de la política de servidor se encuentran en la misma VPC red como los túneles de Cloud VPN, VLAN de Cloud Interconnect adjuntos o dispositivos de router que se conectan a la red local en cada red.
- Es posible que una red local envíe consultas al servidor entrante puntos de entrada de políticas en una red de VPC diferente, por por ejemplo, si la red de VPC que contiene la Cloud VPN adjuntos, adjuntos de VLAN de Cloud Interconnect o Los dispositivos de router que se conectan a la red local también conectada a una red de VPC diferente con Intercambio de tráfico entre redes de VPC. Sin embargo, no recomendamos usar configuración, ya que la red de VPC asociada para no coincide con la red de VPC que contiene el tráfico puntos de entrada de la política del servidor, lo que significa que las consultas de DNS no se resuelven con zonas privadas de Cloud DNS y políticas de respuesta en la Red de VPC que contiene la política del servidor entrante. Para evitar confusión, recomendamos los siguientes pasos de configuración en su lugar:
  1. Crea una política del servidor entrante en la red de VPC que se conecta a la red local con túneles de Cloud VPN adjuntos de VLAN de Cloud Interconnect o dispositivos de router.
  2. Configura sistemas locales para enviar consultas de DNS al servidor entrante los puntos de entrada de la política configurados en el paso anterior.
  3. Configura los recursos de Cloud DNS autorizados para el red de VPC que se conecta a la red local. Usa uno o más de los siguientes métodos:
    - Agrega la red de VPC que se conecta al entorno local red a la lista de redes autorizadas para el las zonas privadas de Cloud DNS que están autorizadas para el otro Red de VPC: si una red de Cloud DNS privada y la red de VPC que se conecta al redes locales están en proyectos diferentes de la misma organización, usa la URL de red completa cuando autorices la red. Para obtener más información, consulta Configura varios proyectos. vinculación.
    - Zonas de intercambio de tráfico de Cloud DNS autorizados para la red de VPC que se conecta a la red local: Configura la red de destino de la zona de intercambio de tráfico en la otra red de VPC. No importa si los Red de VPC que se conecta a la red local está conectada a la red de VPC de destino de la zona de intercambio de tráfico usar el intercambio de tráfico entre redes de VPC, ya que el intercambio de tráfico de Cloud DNS zonas no dependen del intercambio de tráfico entre redes de VPC conectividad.
La región asociada a una consulta de DNS es siempre la región que contiene el túnel de Cloud VPN, adjunto de VLAN de Cloud Interconnect o interfaz de red del dispositivo de router que recibe los paquetes para la consulta de DNS, no la región de la subred que contiene el servidor entrante punto de entrada de la política.
- Por ejemplo, si los paquetes para una consulta de DNS ingresan una red mediante un túnel de Cloud VPN ubicado en la región us-east1 y se envían a un punto de entrada de la política del servidor entrante en la us-west1 , la región asociada a la consulta de DNS es us-east1.
- Como práctica recomendada, envía consultas de DNS a la dirección IPv4 de un punto de entrada de la política del servidor entrante en la misma región que túnel de Cloud VPN, adjunto de VLAN de Cloud Interconnect o Dispositivo de router.
- La región asociada a una consulta de DNS es importante si usas la ubicación geográfica. y las políticas de enrutamiento. Para obtener más información, consulta Administra Políticas y estado de enrutamiento de DNS y verificaciones de control.

Anuncio de ruta de punto de entrada de la política del servidor entrante

Debido a que las direcciones IP del punto de entrada de la política del servidor entrante se toman los principales rangos de direcciones IPv4 de las subredes, los Cloud Routers los anuncian direcciones IP cuando la sesión del protocolo de puerta de enlace de frontera (BGP) de un túnel de Cloud VPN, El adjunto de VLAN de Cloud Interconnect o el dispositivo de router es para usar el anuncio predeterminado de Cloud Router automático. También puedes configurar una sesión de BGP para anunciar la entrada de la política del servidor entrante direcciones IP de un punto si usas el anuncio personalizado de Cloud Router modo de una de las siguientes maneras:

Anuncias los rangos de direcciones IP de las subredes además de los prefijos personalizados.
Debes incluir las direcciones IP de punto de entrada de la política del servidor entrante anuncios de prefijos.

Políticas del servidor de salida

Puedes modificar el orden de resolución de nombres de Cloud DNS de un red de VPC a través de la creación de una política del servidor saliente especifica una lista de servidores de nombres alternativos. Cuando una VM usa sus metadatos servidor 169.254.169.254 como su servidor de nombres, y cuando hayas especificado servidores de nombres alternativos para una red de VPC, Cloud DNS envía todas las consultas a los servidores de nombres alternativos, a menos que las consultas se coincida con una política de respuesta con permiso de clúster de Google Kubernetes Engine o GKE una zona privada con alcance de clúster.

Cuando existen dos o más servidores de nombres alternativos en una política del servidor saliente, Cloud DNS clasifica el nombre alternativo servidores y los consulta como se describe en el primer paso de la Orden de resolución de nombres de VPC.

Para obtener información sobre cómo crear políticas de servidor de salida, consulta Crea una política de servidor de salida.

Tipos de servidores de nombres alternativos, métodos de enrutamiento y direcciones

Cloud DNS admite tres tipos de servidores de nombres alternativos y ofrece métodos de enrutamiento estándar o privados para la conectividad.

Tipo de servidor de nombres alternativo Compatible con el enrutamiento estándar Compatible con el enrutamiento privado Rango de direcciones de origen de la consulta

Tipo de servidor de nombres alternativo	Compatible con el enrutamiento estándar	Compatible con el enrutamiento privado	Rango de direcciones de origen de la consulta
Servidor de nombres de tipo 1 Una dirección IP interna de un una VM de Google Cloud en la misma red de VPC, en la que se define la política del servidor saliente.	Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.	Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección que no sea RFC de 1918 o una dirección IP pública reutilizada de forma privada, excepto para una IP de servidor de nombres alternativa prohibida dirección: el tráfico siempre enrutado a través de una dirección de VPC de Google Cloud.	`35.199.192.0/19`
Servidor de nombres de tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect	Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.	Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección que no sea RFC de 1918 o una dirección IP pública reutilizada de forma privada, excepto para una IP de servidor de nombres alternativa prohibida dirección: el tráfico siempre enrutado a través de una dirección de VPC de Google Cloud.	`35.199.192.0/19`
Servidor de nombres de tipo 3 Una dirección IP externa de un nombre de DNS accesible a través de Internet o la dirección IP externa de una recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC.	Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud.	No se admite el enrutamiento privado	Rangos de origen de DNS público de Google

Servidor de nombres de tipo 1

Una dirección IP interna de un una VM de Google Cloud en la misma red de VPC, en la que se define la política del servidor saliente.

Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.

Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección que no sea RFC de 1918 o una dirección IP pública reutilizada de forma privada, excepto para una IP de servidor de nombres alternativa prohibida dirección: el tráfico siempre enrutado a través de una dirección de VPC de Google Cloud.

35.199.192.0/19

Servidor de nombres de tipo 2

Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect

Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.

35.199.192.0/19

Servidor de nombres de tipo 3

Una dirección IP externa de un nombre de DNS accesible a través de Internet o la dirección IP externa de una recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC.

Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud.

No se admite el enrutamiento privado

Rangos de origen de DNS público de Google

Cloud DNS ofrece dos métodos de enrutamiento para consultar nombres alternativos servidores:

Enrutamiento estándar: Cloud DNS determina el tipo de un servidor de nombres alternativo con su dirección IP y, luego, usa enrutamiento público:
- Si el servidor de nombres alternativo es una dirección IP RFC 1918, Cloud DNS Clasifica el servidor de nombres como servidor de nombres Tipo 1 o Tipo 2. enruta las consultas a través de una red de VPC autorizada (privada de alto rendimiento).
- Si el servidor de nombres alternativo no es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como Tipo 3 y espera la como un servidor de nombres alternativo para que se pueda acceder a través de Internet. Rutas de Cloud DNS las consultas a través de Internet (enrutamiento público).
Enrutamiento privado: Cloud DNS trata la un servidor de nombres alternativo como Tipo 1 o Tipo 2. Cloud DNS siempre enruta el tráfico a través de una red de VPC autorizada, independientemente de la dirección IP del servidor de nombres alternativo (RFC 1918 o no).

Direcciones IP alternativas prohibidas del servidor de nombres

No puedes usar las siguientes direcciones IP como alternativa de Cloud DNS servidores de nombres:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Requisitos de red del servidor de nombres alternativo

Los requisitos de red para los servidores de nombres alternativos varían según la alternativa type del servidor de nombres. Para determinar el tipo para un servidor de nombres alternativo, consulta Tipos de servidores de nombres alternativos, métodos de enrutamiento y direcciones. Luego, consulta una de las siguientes secciones para conocer los requisitos de red.

Requisitos de red para los servidores de nombres alternativos de tipo 1

Cloud DNS envía paquetes cuyas fuentes son de la IP 35.199.192.0/19. de direcciones IP a la dirección IP del servidor de nombres alternativo de tipo 1. Google Cloud enruta paquetes para consultas usando rutas de subred locales en la de VPC de Google Cloud. Asegúrate de no haber creado ninguna configuración basada en políticas cuyos destinos incluyan el Tipo 1 direcciones IP de servidor de nombres alternativas.

Para permitir paquetes entrantes en VMs de servidores de nombres alternativos, debes crear reglas de firewall de VPC de entrada permitida o de firewall en políticas de firewall con el las siguientes características:

Destinos: Deben incluir las VMs del servidor de nombres alternativo
Fuentes: 35.199.192.0/19
Protocolos: TCP y UDP
Puerto 53

Cloud DNS requiere que cada servidor de nombres alternativo envíe una respuesta paquetes a la dirección IP de Cloud DNS en 35.199.192.0/19 desde donde se originó la consulta. Las fuentes de paquetes de respuesta deben coincidir con la IP. del servidor de nombres alternativo al que Cloud DNS envía el consulta original. Cloud DNS ignora las respuestas si provienen de un una dirección IP inesperada, como la dirección IP de otro nombre al que un servidor de nombres alternativo reenvía una consulta.

Cuando un servidor de nombres alternativo Tipo 1 envía paquetes de respuesta a 35.199.192.0/19, usa una ruta de enrutamiento especial.

Requisitos de red para los servidores de nombres alternativos de tipo 2

Cloud DNS envía paquetes cuyas fuentes son de la IP 35.199.192.0/19. rango de direcciones a los servidores de nombres alternativos Tipo 2. Cloud DNS se basa en los siguientes tipos de rutas dentro de la red de VPC a la que se aplica la política del servidor saliente:

Rutas estáticas excepto que solo se aplican a las VMs por etiqueta de red.
Rutas dinámicas

Para permitir paquetes entrantes en los servidores de nombres alternativos tipo 2, asegúrate de que configurarás las reglas de firewall de entrada permitida servidores de nombres alternativos y cualquier equipo de red local relevante con funciones de firewall. La configuración efectiva del firewall debe permitir TCP y UDP con los orígenes del puerto de destino 53 y 35.199.192.0/19.

Tu red local debe tener rutas para el destino 35.199.192.0/19 cuyos próximos saltos son túneles de Cloud VPN, VLAN de Cloud Interconnect adjuntos o Cloud Routers ubicados en la misma VPC la red y la región desde la que Cloud DNS envía la consulta. Siempre que el próximos saltos cumplen con los requisitos de red y región, Google Cloud no requieren una ruta de retorno simétrica. Respuestas del nombre alternativo de Tipo 2 los servidores no se pueden enrutar mediante ninguno de los siguientes saltos:

Próximos saltos en Internet
Los siguientes saltos en una red de VPC que es diferente de la la red de VPC en la que se originaron las consultas
Los siguientes saltos en la misma red de VPC, pero en una región que es diferente de la región en la que se originaron las consultas

Para configurar las rutas 35.199.192.0/19 en tu red local, usa el Anuncio personalizado de Cloud Router modo e incluye 35.199.192.0/19 como prefijo personalizado en las sesiones de BGP del túneles de Cloud VPN relevantes, VLAN de Cloud Interconnect adjuntos o Cloud Routers que conectan tu VPC red a la red local que contiene el nombre alternativo de Tipo 2 servidor. Como alternativa, puedes configurar rutas estáticas equivalentes en tu en tu red local.

Requisitos de red para los servidores de nombres alternativos de tipo 3

Cloud DNS envía paquetes cuyas fuentes coinciden con el DNS público de Google los rangos de origen en Servidores de nombres alternativos Tipo 3. Cloud DNS usa enrutamiento público, no depende de ninguna ruta dentro de la red de VPC para a la que se aplica la política del servidor saliente.

Para permitir paquetes entrantes en los servidores de nombres alternativos tipo 3, asegúrate de que la configuración efectiva del firewall que se aplica al nombre alternativo permite paquetes de los rangos de origen del DNS público de Google.