Puedes configurar una política del servidor DNS para cada red de nube privada virtual (VPC). La política puede especificar el reenvío de DNS entrante, el reenvío de DNS saliente, o ambos. En esta sección, la política del servidor de entrada se refiere a una política que permite el reenvío de DNS entrante. La política de servidor de salida hace referencia a un método posible para implementar el reenvío de DNS saliente. Es posible que una política sea, simultáneamente, una política del servidor entrante y una política del servidor saliente, si se implementan en ella las funciones de ambas.
Para obtener más información, consulta Aplica políticas de servidor de Cloud DNS.
Políticas del servidor entrante
Cada red de VPC proporciona servicios de resolución de nombres de Cloud DNS a las instancias de máquina virtual (VM) que tienen una interfaz de red (vNIC) conectada a la red de VPC. Cuando en una VM se usa el servidor de metadatos 169.254.169.254
como el servidor de nombres, Google Cloud busca recursos de Cloud DNS según el orden de resolución de nombres de la red de VPC.
Para que los servicios de resolución de nombres de una red de VPC estén disponibles para las redes locales que se conectan a la red de VPC mediante túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router, puedes usar una política de servidor entrante.
Cuando creas una política de servidor entrante, Cloud DNS crea puntos de entrada de la política de servidor entrante en la red de VPC a la que se aplica la política de servidor. Los puntos de entrada de la política de servidor entrante son direcciones IPv4 internas que provienen del rango de direcciones IPv4 principal de cada subred en la red de VPC aplicable, excepto las subredes con datos --purpose
específicos, como subredes de solo proxy para ciertos equilibradores de cargas y subredes que usa Cloud NAT para NAT privado.
Por ejemplo, si tienes una red de VPC que contiene dos subredes en la misma región y una tercera subred en una región diferente, cuando configuras una política de servidor entrante para la red de VPC, Cloud DNS usa un total de tres direcciones IPv4 como puntos de entrada de la política de servidor entrante, una por subred.
Si deseas obtener información para crear una política de servidor entrante para una VPC, consulta Crea una política de servidor entrante.
Red y región para consultas entrantes
Para procesar las consultas de DNS que se envían a los puntos de entrada de la política del servidor entrante, Cloud DNS asocia la consulta con una red de VPC y una región:
La red de VPC asociada para una consulta de DNS es la red de VPC que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del dispositivo de router que recibe los paquetes para la consulta de DNS.
Google recomienda crear una política del servidor entrante en la red de VPC que se conecte a tu red local. De esta manera, los puntos de entrada de la política del servidor entrante se encuentran en la misma red de VPC que los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los dispositivos de router que se conectan a la red local.
Es posible que una red local envíe consultas a los puntos de entrada de la política de servidor entrante en una red de VPC diferente, por ejemplo, si la red de VPC que contiene los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los dispositivos de router que se conectan a la red local también se conecta a una red de VPC diferente mediante el intercambio de tráfico entre redes de VPC. Sin embargo, no recomendamos usar esta configuración porque la red de VPC asociada para las consultas de DNS no coincide con la red de VPC que contiene los puntos de entrada de la política del servidor entrante, lo que significa que las consultas de DNS no se resuelven con las zonas privadas de Cloud DNS ni las políticas de respuesta en la red de VPC que contiene la política del servidor entrante. Para evitar confusiones, te recomendamos que sigas los siguientes pasos de configuración:
- Crea una política del servidor entrante en la red de VPC que se conecte a la red local con túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router.
- Configura los sistemas locales para que envíen consultas de DNS a los puntos de entrada de la política del servidor entrante configurados en el paso anterior.
Configura los recursos de Cloud DNS autorizados para la red de VPC que se conecta a la red local. Usa uno o más de los siguientes métodos:
- Agrega la red de VPC que se conecta a la red local a la lista de redes autorizadas para las zonas privadas de Cloud DNS que están autorizadas para la otra red de VPC: Si una zona privada de Cloud DNS y la red de VPC que se conecta a la red local se encuentran en proyectos diferentes de la misma organización, usa la URL completa de la red cuando la autorices. Para obtener más información, consulta Configura la vinculación entre proyectos.
- Zonas de intercambio de tráfico de Cloud DNS autorizadas para la red de VPC que se conecta a la red local: Establece la red de destino de la zona de intercambio de tráfico en la otra red de VPC. No importa si la red de VPC que se conecta a la red local está conectada a la red de VPC de destino de la zona de intercambio de tráfico mediante el intercambio de tráfico entre redes de VPC, ya que las zonas de intercambio de tráfico de Cloud DNS no dependen del intercambio de tráfico entre redes de VPC para la conectividad de red.
La región asociada a una consulta de DNS siempre es la región que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del dispositivo Router que recibe los paquetes para la consulta de DNS, no la región de la subred que contiene el punto de entrada de la política del servidor entrante.
- Por ejemplo, si los paquetes de una consulta de DNS ingresan a una red de VPC a través de un túnel de Cloud VPN ubicado en la región
us-east1
y se envían a un punto de entrada de la política de servidor entrante en la regiónus-west1
, la región asociada para la consulta de DNS esus-east1
. - Como práctica recomendada, envía consultas de DNS a la dirección IPv4 de un punto de entrada de la política del servidor entrante en la misma región que el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o el dispositivo de router.
- La región asociada a una consulta de DNS es importante si usas políticas de enrutamiento de ubicación geográfica. Para obtener más información, consulta Administra las políticas de enrutamiento de DNS y las verificaciones de estado.
- Por ejemplo, si los paquetes de una consulta de DNS ingresan a una red de VPC a través de un túnel de Cloud VPN ubicado en la región
Anuncio de ruta del punto de entrada de la política del servidor entrante
Debido a que las direcciones IP del punto de entrada de la política del servidor entrante se toman de los rangos de direcciones IPv4 principales de las subredes, los Cloud Routers anuncian esas direcciones IP cuando la sesión del protocolo de puerta de enlace de frontera (BGP) para un túnel de Cloud VPN, un adjunto de VLAN de Cloud Interconnect o un dispositivo de router está configurado para usar el modo de anuncio predeterminado de Cloud Router. También puedes configurar una sesión de BGP para anunciar direcciones IP de puntos de entrada de la política del servidor entrante si usas el modo de anuncio personalizado de Cloud Router de una de las siguientes maneras:
- Anuncias rangos de direcciones IP de subred, además de tus prefijos personalizados.
- Incluyes las direcciones IP de los puntos de entrada de la política del servidor entrante en tus anuncios de prefijos personalizados.
Políticas del servidor saliente
Para modificar el orden de resolución de nombres de Cloud DNS de una red de VPC, crea una política de servidor saliente que especifique una lista de servidores de nombres alternativos. Cuando una VM usa su servidor de metadatos 169.254.169.254
como su servidor de nombres y cuando especificas servidores de nombres alternativos para una red de VPC, Cloud DNS envía todas las consultas a los servidores de nombres alternativos a menos que las consultas coincidan con una política de respuesta centrada en el clúster de Google Kubernetes Engine o una zona privada centrada en el clúster de GKE.
Tipos, métodos de enrutamiento y direcciones de servidores de nombres alternativos
Cloud DNS es compatible con tres tipos de servidores de nombres alternativos y ofrece métodos de enrutamiento estándar o privados para la conectividad.
Tipo de servidor de nombres alternativo | Compatible con el enrutamiento estándar | Compatible con el enrutamiento privado | Consulta el rango de direcciones de origen |
---|---|---|---|
Servidor de nombres de tipo 1 Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC en la que se define la política del servidor de salida. |
Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. | Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección IP privada que no sea RFC 1918 o una dirección IP externa reutilizada de forma privada, excepto una dirección IP de servidor de nombres alternativo prohibida: el tráfico siempre se enruta a través de una red de VPC autorizada. | 35.199.192.0/19 |
Servidor de nombres de tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect |
Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. | Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección IP privada que no sea RFC 1918 o una dirección IP externa reutilizada de forma privada, excepto una dirección IP de servidor de nombres alternativo prohibida: el tráfico siempre se enruta a través de una red de VPC autorizada. | 35.199.192.0/19 |
Servidor de nombres de tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC. |
Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud. | No se admite el enrutamiento privado | Rangos de origen de DNS público de Google |
Cloud DNS ofrece dos métodos de enrutamiento para consultar servidores de nombres alternativos:
Enrutamiento estándar: Cloud DNS determina el tipo del servidor de nombres alternativo con su dirección IP y, luego, usa el enrutamiento privado o público :
- Si el servidor de nombres alternativo es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como un servidor de nombres de Tipo 1 o Tipo 2, y enruta las consultas a través de una red de VPC autorizada (enrutamiento privado).
- Si el servidor de nombres alternativo no es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como de Tipo 3 y espera que el servidor de nombres alternativo sea accesible a través de Internet. Cloud DNS enruta las consultas a través de Internet (enrutamiento público).
Enrutamiento privado: Cloud DNS considera el servidor de nombres alternativo como Tipo 1 o Tipo 2. Cloud DNS siempre enruta el tráfico a través de una red de VPC autorizada, independientemente de la dirección IP (RFC 1918 o no) del servidor de nombres alternativo.
Direcciones IP de servidores de nombres alternativos prohibidas
No puedes usar las siguientes direcciones IP para los servidores de nombres alternativos de Cloud DNS:
169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8
Requisitos de red del servidor de nombres alternativo
Los requisitos de red para los servidores de nombres alternativos varían según el tipo de servidor de nombres alternativo. Para determinar el tipo de un servidor de nombres alternativo, consulta Tipos, métodos de enrutamiento y direcciones de servidores de nombres alternativos. Luego, consulta una de las siguientes secciones para conocer los requisitos de red.
Requisitos de red para servidores de nombres alternativos de tipo 1
Cloud DNS envía paquetes cuyas fuentes provienen del rango de direcciones IP 35.199.192.0/19
a la dirección IP del servidor de nombres alternativo de tipo 1.
Google Cloud enruta paquetes para consultas con rutas de subred locales en la red de VPC. Asegúrate de no haber creado ninguna ruta basada en políticas cuyos destinos incluyan direcciones IP de servidores de nombres alternativos de tipo 1.
Para permitir paquetes entrantes en VMs de servidores de nombres alternativos, debes crear reglas de firewall de VPC o reglas en políticas de firewall con las siguientes características:
- Destinos: Debe incluir las VMs del servidor de nombres alternativo.
- Fuentes:
35.199.192.0/19
- Protocolos:
TCP
yUDP
- Puerto
53
Cloud DNS requiere que cada servidor de nombres alternativo envíe paquetes de respuesta a la dirección IP de Cloud DNS en 35.199.192.0/19
desde la que se originó la consulta. Las fuentes de los paquetes de respuesta deben coincidir con la dirección IP del servidor de nombres alternativo al que Cloud DNS envía la consulta original. Cloud DNS ignora las respuestas si provienen de una fuente de dirección IP inesperada, por ejemplo, la dirección IP de otro servidor de nombres al que un servidor de nombres alternativo podría reenviar una consulta.
Cuando un servidor de nombres alternativo de Tipo 1 envía paquetes de respuesta a 35.199.192.0/19
, usa una ruta de enrutamiento especial.
Requisitos de red para servidores de nombres alternativos de tipo 2
Cloud DNS envía paquetes cuyas fuentes provienen del rango de direcciones IP 35.199.192.0/19
a los servidores de nombres alternativos de tipo 2. Cloud DNS se basa en los siguientes tipos de rutas dentro de la red de VPC a la que se aplica la política de servidor saliente:
- Rutas estáticas excepto las rutas estáticas que solo se aplican a las VMs por etiqueta de red
- Rutas dinámicas
Para permitir paquetes entrantes en los servidores de nombres alternativos de tipo 2, asegúrate de configurar reglas de firewall de entrada permitida que se apliquen a los servidores de nombres alternativos y a cualquier equipo de red local relevante con funciones de firewall. La configuración de firewall efectiva debe permitir los protocolos TCP
y UDP
con el puerto de destino 53
y las fuentes 35.199.192.0/19
.
Cloud DNS requiere que cada servidor de nombres alternativo envíe paquetes de respuesta a la dirección IP de Cloud DNS en 35.199.192.0/19
desde la que se originó la consulta. Las fuentes de los paquetes de respuesta deben coincidir con la dirección IP del servidor de nombres alternativo al que Cloud DNS envía la consulta original. Cloud DNS ignora las respuestas si provienen de una fuente de dirección IP inesperada, por ejemplo, la dirección IP de otro servidor de nombres al que un servidor de nombres alternativo podría reenviar una consulta.
Tu red local debe tener rutas para el destino 35.199.192.0/19
cuyos próximos saltos son túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o routers de Cloud ubicados en la misma red de VPC y región desde la que Cloud DNS envía la consulta. Siempre que los próximos saltos cumplan con esos requisitos de red y región, Google Cloud no requiere una ruta de retorno simétrica. Las respuestas de los servidores de nombres alternativos de Tipo 2 no se pueden enrutar con ninguno de los siguientes saltos siguientes:
- Próximos saltos en Internet
- Siguientes saltos en una red de VPC diferente a la red de VPC en la que se originaron las consultas
- Siguientes saltos en la misma red de VPC, pero en una región diferente de la región en la que se originaron las consultas
Para configurar las rutas 35.199.192.0/19
en tu red local, usa el modo de anuncio personalizado de Cloud Router y, luego, incluye 35.199.192.0/19
como prefijo personalizado en las sesiones de BGP de los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los Cloud Routers relevantes que conectan tu red de VPC a la red local que contiene el servidor de nombres alternativo de Tipo 2. Como alternativa, puedes configurar rutas estáticas equivalentes en tu red local.
Requisitos de red para servidores de nombres alternativos de tipo 3
Cloud DNS envía paquetes cuyas fuentes coinciden con los rangos de origen del DNS público de Google a los servidores de nombres alternativos de tipo 3. Cloud DNS usa el enrutamiento público, por lo que no depende de ninguna ruta dentro de la red de VPC a la que se aplica la política de servidor saliente.
Para permitir paquetes entrantes en servidores de nombres alternativos de Tipo 3, asegúrate de que la configuración efectiva del firewall que se aplica al servidor de nombres alternativo permita paquetes de los rangos de fuentes del DNS público de Google.
¿Qué sigue?
- Para configurar y aplicar políticas del servidor DNS, consulta Aplica políticas del servidor DNS.