Cette page a été traduite par l'API Cloud Translation.

Règles du serveur DNS

Vous pouvez configurer une règle de serveur DNS pour chaque réseau cloud privé virtuel (VPC). La règle peut spécifier le transfert DNS entrant, le transfert DNS sortant, ou les deux. Dans cette section, la règle de serveur entrant fait référence à une règle qui autorise le transfert DNS entrant. La règle de serveur sortant fait référence à une méthode possible de mise en œuvre du transfert DNS sortant. Une règle peut être à la fois une règle de serveur entrant et une règle de serveur sortant si elle met en œuvre les deux fonctionnalités.

Pour plus d'informations, consultez la page Appliquer des règles de serveur Cloud DNS.

Règles de serveur entrant

Chaque réseau VPC fournit une résolution de noms Cloud DNS aux instances de machines virtuelles (VM) disposant d'une interface réseau (vNIC) au réseau VPC. Lorsqu'une VM utilise son serveur de métadonnées 169.254.169.254 comme serveur de noms, Google Cloud recherche aux ressources Cloud DNS en fonction du nom du réseau VPC l'ordre de résolution.

Pour rendre les services de résolution de noms d'un réseau VPC disponibles de réseaux sur site qui sont connectés au réseau VPC à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou des dispositifs de routeur, vous pouvez utiliser une règle de serveur entrant.

Lorsque vous créez une règle de serveur entrant, Cloud DNS crée des adresses points d'entrée des règles de serveur du réseau VPC que la règle de serveur est appliquée. Les points d'entrée de la règle de serveur entrant sont des adresses IPv4 internes issues de la plage d'adresses IPv4 principale de chaque sous-réseau du réseau VPC applicable, à l'exception des sous-réseaux contenant des données --purpose spécifiques, tels que les sous-réseaux proxy uniquement pour certains équilibreurs de charge et les sous-réseaux utilisés par Cloud NAT pour le NAT privé.

Par exemple, si vous disposez d'un réseau VPC contenant deux sous-réseaux dans la même région et un troisième sous-réseau dans une région différente, lorsque vous configurez une règle de serveur entrante pour le réseau VPC, Cloud DNS utilise un total de trois adresses IPv4 comme points d'entrée de la règle de serveur entrante, une par sous-réseau.

Pour savoir comment créer une règle de serveur entrant pour un VPC, consultez Créer une règle de serveur entrant.

Réseau et région pour les requêtes entrantes

Pour traiter les requêtes DNS envoyées à des points d'entrée de règle de serveur entrant, Cloud DNS associe la requête à un réseau VPC et à une région :

Le réseau VPC associé à une requête DNS est le réseau VPC contenant le tunnel Cloud VPN, Rattachement de VLAN ou interface réseau Cloud Interconnect Appareil de routeur qui reçoit les paquets pour la requête DNS.
- Google recommande de créer une règle de serveur entrant dans le réseau VPC qui se connecte à votre réseau sur site. De cette façon, les points d'entrée de la stratégie de serveur entrante se trouvent dans le même réseau VPC que les tunnels Cloud VPN, les rattachements de VLAN Cloud Interconnect ou les appareils de routeur qui se connectent au réseau sur site.
- Un réseau sur site peut envoyer des requêtes à des points d'entrée de règles de serveur entrantes dans un autre réseau VPC. Par exemple, si le réseau VPC contenant les tunnels Cloud VPN, les rattachements de VLAN Cloud Interconnect ou les dispositifs de routeur qui se connectent au réseau sur site est également connecté à un autre réseau VPC à l'aide de l'appairage de réseaux VPC. Toutefois, nous vous déconseillons d'utiliser car le réseau VPC associé au service DNS ne correspondent pas au réseau VPC contenant points d'entrée des règles de serveur, ce qui signifie que les requêtes DNS ne sont pas résolues à l'aide des zones privées et des stratégies de réponse Cloud DNS Réseau VPC contenant la règle du serveur entrant. Pour éviter nous vous recommandons de suivre les étapes de configuration suivantes:
  1. Créez une règle de serveur entrante dans le réseau VPC qui se connecte au réseau sur site à l'aide de tunnels Cloud VPN, de rattachements VLAN Cloud Interconnect ou de dispositifs de routeur.
  2. Configurez les systèmes sur site pour qu'ils envoient des requêtes DNS aux points d'entrée de la règle du serveur entrant configurés à l'étape précédente.
  3. Configurez les ressources Cloud DNS autorisées pour le Réseau VPC qui se connecte au réseau sur site. Utilisez une ou plusieurs des méthodes suivantes :
    - Ajoutez le réseau VPC qui se connecte au réseau sur site à la liste des réseaux autorisés pour les zones privées Cloud DNS autorisées pour l'autre réseau VPC : si une zone privée Cloud DNS et le réseau VPC qui se connecte au réseau sur site se trouvent dans différents projets de la même organisation, utilisez l'URL complète du réseau lors de l'autorisation du réseau. Pour en savoir plus, consultez la section Configurer plusieurs projets de liaison.
    - Zones d'appairage Cloud DNS autorisé pour le réseau VPC qui se connecte réseau sur site: définissez le réseau cible de la zone d'appairage sur l'autre réseau VPC. Peu importe que le réseau VPC qui se connecte au réseau sur site soit connecté au réseau VPC cible de la zone d'appairage à l'aide de l'appairage de réseaux VPC, car les zones d'appairage DNS Cloud ne reposent pas sur l'appairage de réseaux VPC pour la connectivité réseau.
La région associée à une requête DNS est toujours la région contenant le tunnel Cloud VPN, le rattachement VLAN Cloud Interconnect ou l'interface réseau de l'appareil Router qui reçoit les paquets de la requête DNS, et non la région du sous-réseau contenant le point d'entrée d'une règle de serveur entrant.
- Par exemple, si les paquets d'une requête DNS entrent dans un VPC à l'aide d'un tunnel Cloud VPN situé dans la région us-east1 et sont envoyées à un point d'entrée de règle de serveur entrant dans le us-west1 région, la région associée à la requête DNS est us-east1.
- Il est recommandé d'envoyer des requêtes DNS à l'adresse IPv4 point d'entrée de la règle de serveur entrant dans la même région que le un tunnel Cloud VPN, un rattachement de VLAN Cloud Interconnect ou appareil de routeur.
- La région associée à une requête DNS est importante si vous utilisez des règles de routage de géolocalisation. Pour en savoir plus, consultez la page Gérer Règles de routage DNS et état de suivi des conversions.

Annonce de routage du point d'entrée de la règle de serveur entrant

Étant donné que les adresses IP du point d'entrée de la stratégie de serveur entrante sont extraites des plages d'adresses IPv4 principales des sous-réseaux, les routeurs Cloud annoncent ces adresses IP lorsque la session BGP (Border Gateway Protocol) d'un tunnel Cloud VPN, d'un rattachement de VLAN Cloud Interconnect ou d'un appareil de routeur est configurée pour utiliser le mode d'annonce par défaut de Cloud Router. Vous pouvez également configurer une session BGP pour annoncer une entrée de règle de serveur entrant. si vous utilisez l'annonce personnalisée Cloud Router mode de l'une des manières suivantes:

Vous annoncez des plages d'adresses IP de sous-réseau en plus de vos préfixes personnalisés.
Vous incluez les adresses IP des points d'entrée de la règle de serveur entrant dans votre les annonces avec préfixe.

Règles de serveur sortant

Vous pouvez modifier l'ordre de résolution des noms Cloud DNS d'une réseau VPC en créant une règle de serveur sortant qui spécifie une liste de serveurs de noms alternatifs. Lorsqu'une VM utilise son serveur de métadonnées 169.254.169.254 comme serveur de noms et que vous avez spécifié d'autres serveurs de noms pour un réseau VPC, Cloud DNS envoie toutes les requêtes aux autres serveurs de noms sauf si les requêtes sont mises en correspondance par une stratégie de réponse de portée de cluster Google Kubernetes Engine ou une zone privée de portée de cluster GKE.

Lorsqu'il existe deux serveurs de noms alternatifs ou plus dans une règle de serveur sortant, Cloud DNS classe le nom alternatif serveurs et les interroge comme décrit à la première étape l'ordre de résolution des noms VPC.

Pour plus d'informations sur la création de règles de serveur sortant, consultez la section Créer une règle de serveur sortant.

Types, méthodes de routage et adresses des serveurs de noms alternatifs

Cloud DNS est compatible avec trois types de serveurs de noms alternatifs et propose des méthodes standards ou privées pour leur acheminer le trafic.

Autre type de serveur de noms Compatibilité avec le routage standard Compatibilité avec le routage privé Plage d'adresses source de la requête

Autre type de serveur de noms	Compatibilité avec le routage standard	Compatibilité avec le routage privé	Plage d'adresses source de la requête
Serveur de noms de type 1 Une adresse IP interne d'une VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie.	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP externe réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.	`35.199.192.0/19`
Serveur de noms de type 2 Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse non-RFC ou une adresse IP externe réutilisée en mode privé, à l'exception pour une adresse IP de serveur de noms alternatif interdite adresse : le trafic est toujours acheminé via un réseau sur le réseau VPC du client.	`35.199.192.0/19`
Serveur de noms de type 3 Une adresse IP externe d'un nom DNS serveur accessible sur Internet ou via l'adresse IP externe d'un Ressource Google Cloud (par exemple, l'adresse IP externe d'une VM) dans un autre réseau VPC.	Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud.	Le routage privé n'est pas accepté.	Plages sources du DNS public de Google

Serveur de noms de type 1

Une adresse IP interne d'une VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie.

Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.

Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP externe réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.

35.199.192.0/19

Serveur de noms de type 2

Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect

Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.

Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse non-RFC ou une adresse IP externe réutilisée en mode privé, à l'exception pour une adresse IP de serveur de noms alternatif interdite adresse : le trafic est toujours acheminé via un réseau sur le réseau VPC du client.

35.199.192.0/19

Serveur de noms de type 3

Une adresse IP externe d'un nom DNS serveur accessible sur Internet ou via l'adresse IP externe d'un Ressource Google Cloud (par exemple, l'adresse IP externe d'une VM) dans un autre réseau VPC.

Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud.

Le routage privé n'est pas accepté.

Plages sources du DNS public de Google

Cloud DNS propose deux méthodes de routage pour interroger un nom alternatif serveurs:

Routage standard: Cloud DNS détermine le type de DNS alternatif à l’aide de son adresse IP, puis utilise soit une adresse privée, routage public:
- Si le serveur de noms alternatif est une adresse IP RFC 1918, Cloud DNS Il classe le serveur de noms en tant que serveur de noms de type 1 ou de type 2. achemine les requêtes via un réseau VPC autorisé le routage des e-mails).
- Si le serveur de noms alternatif n'est pas une adresse IP RFC 1918, Cloud DNS classe le serveur de noms en tant que Type 3 et requiert que le serveur de noms soit accessible à Internet. Cloud DNS achemine les requêtes via Internet (routage public).
Routage privé: Cloud DNS traite le routage privé serveur de noms alternatif de type 1 ou de type 2. Cloud DNS achemine toujours le trafic via un réseau VPC autorisé, quelle que soit l'adresse IP du serveur de noms alternatif (RFC 1918 ou non).

Adresses IP des serveurs de noms alternatifs interdites

Vous ne pouvez pas utiliser les adresses IP suivantes pour les serveurs de noms alternatifs de Cloud DNS :

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Configuration réseau requise pour le serveur de noms alternatif

Les exigences réseau pour les serveurs de noms alternatifs varient en fonction du type de serveur de noms alternatif. Pour déterminer le type d'un serveur de noms alternatif, consultez Types de serveurs de noms alternatifs, méthodes de routage et adresses. Consultez ensuite l'une des sections suivantes pour connaître les exigences réseau.

Configuration réseau requise pour les serveurs de noms alternatifs de type 1

Cloud DNS envoie des paquets dont les sources proviennent de l'adresse IP 35.199.192.0/19 à l'adresse IP du serveur de noms alternatif de type 1. Google Cloud achemine les paquets pour les requêtes à l'aide de routes de sous-réseau locales dans le sur le réseau VPC du client. Assurez-vous que vous n'avez pas créé de règles basées sur des règles routes dont les destinations incluent le type 1 de serveurs DNS alternatifs.

Pour autoriser les paquets entrants sur les VM de serveurs de noms alternatifs, vous devez créer des règles de pare-feu VPC ou des règles dans des stratégies de pare-feu autorisant les entrées avec les caractéristiques suivantes :

Cibles : doivent inclure les VM de serveurs de noms alternatifs
Sources : 35.199.192.0/19
Protocoles: TCP et UDP
Port : 53

Cloud DNS exige que chaque serveur de noms alternatif envoie une réponse de paquets envoyés à l'adresse IP Cloud DNS dans 35.199.192.0/19 depuis à l'origine de la requête. Les sources des paquets de réponses doivent correspondre à l'adresse IP adresse du serveur de noms alternatif auquel Cloud DNS envoie le requête d'origine. Cloud DNS ignore les réponses si elles proviennent d'une source d'adresse IP inattendue (par exemple, l'adresse IP d'un autre serveur de noms auquel un serveur de noms alternatif peut transférer une requête).

Lorsqu'un serveur de noms alternatif de type 1 envoie des paquets de réponse à 35.199.192.0/19, il utilise un chemin de routage spécial.

Configuration réseau requise pour les serveurs de noms alternatifs de type 2

Cloud DNS envoie des paquets dont les sources proviennent de l'adresse IP 35.199.192.0/19 plage d'adresses vers des serveurs de noms alternatifs de type 2. Cloud DNS s'appuie sur les types de routes suivants dans le réseau VPC auquel la règle de serveur sortante s'applique :

Routes statiques, à l'exception des routes statiques qui ne s'appliquent qu'aux VM par tag réseau
Routes dynamiques

Pour autoriser les paquets entrants sur des serveurs de noms alternatifs de type 2, assurez-vous que vous configurez des règles de pare-feu autorisant le trafic entrant les serveurs de noms alternatifs et tout équipement réseau sur site approprié avec des caractéristiques de pare-feu. La configuration effective du pare-feu doit autoriser à la fois les TCP et UDP avec les sources de port de destination 53 et 35.199.192.0/19.

Votre réseau sur site doit disposer de routes pour la destination 35.199.192.0/19, dont les sauts suivants sont des tunnels Cloud VPN, des rattachements VLAN Cloud Interconnect ou des routeurs Cloud situés dans le même réseau VPC et la même région d'où Cloud DNS envoie la requête. Tant que aux prochains sauts répondent à ces exigences de réseau et de région, Google Cloud nécessitent un chemin de retour symétrique. Réponses du nom alternatif de type 2 les serveurs ne peuvent pas être routés à l'aide des sauts suivants:

Prochains sauts sur Internet
Sauts suivants dans un réseau VPC différent du réseau VPC d'origine des requêtes
Les prochains sauts dans le même réseau VPC, mais dans une région différente de celle d'origine des requêtes

Pour configurer les routes 35.199.192.0/19 dans votre réseau sur site, utilisez le Annonce personnalisée Cloud Router et inclure 35.199.192.0/19 comme préfixe personnalisé dans les sessions BGP du les tunnels Cloud VPN pertinents, le VLAN Cloud Interconnect des rattachements de VLAN, ou des routeurs cloud qui connectent votre VPC au réseau sur site qui contient le nom alternatif de type 2 Google Cloud. Vous pouvez également configurer des routes statiques équivalentes dans votre de votre réseau sur site.

Configuration réseau requise pour les serveurs de noms alternatifs de type 3

Cloud DNS envoie des paquets dont les sources correspondent au DNS public de Google des plages sources Serveurs de noms alternatifs de type 3. Cloud DNS utilise un routage public : il ne s'appuie pas sur les routes au sein du réseau VPC pour auquel la règle du serveur sortant s'applique.

Pour autoriser les paquets entrants sur les serveurs de noms alternatifs de type 3, assurez-vous que la configuration effective du pare-feu applicable au serveur de noms alternatif autorise les paquets provenant des plages de sources du DNS public Google.

Étape suivante

Pour configurer et appliquer des règles de serveur DNS, consultez la section Appliquer des règles de serveur DNS règles.