Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan server DNS

Anda dapat mengonfigurasi satu kebijakan server DNS untuk setiap jaringan Virtual Private Cloud (VPC). Kebijakan ini dapat menentukan penerusan DNS masuk, penerusan DNS keluar, atau keduanya. Di bagian ini, kebijakan server masuk mengacu pada kebijakan yang mengizinkan penerusan DNS masuk. Kebijakan server keluar mengacu pada salah satu metode yang mungkin untuk menerapkan penerusan DNS keluar. Kebijakan dapat berupa kebijakan server masuk dan kebijakan server keluar jika menerapkan fitur keduanya.

Untuk mengetahui informasi selengkapnya, lihat Menerapkan kebijakan server Cloud DNS.

Kebijakan server masuk

Setiap jaringan VPC menyediakan layanan resolusi nama Cloud DNS ke instance virtual machine (VM) yang memiliki antarmuka jaringan (vNIC) yang terpasang ke jaringan VPC. Saat VM menggunakan server metadatanya, yaitu 169.254.169.254, sebagai server namanya, Google Cloud akan menelusuri resource Cloud DNS sesuai dengan urutan resolusi nama jaringan VPC.

Agar layanan resolusi nama jaringan VPC tersedia untuk jaringan lokal yang terhubung ke jaringan VPC dengan menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance, Anda dapat menggunakan kebijakan server masuk.

Saat Anda membuat kebijakan server masuk, Cloud DNS akan membuat titik entri kebijakan server masuk di jaringan VPC tempat kebijakan server diterapkan. Titik entri kebijakan server masuk adalah alamat IPv4 internal yang bersumber dari rentang alamat IPv4 utama dari setiap subnet di jaringan VPC yang berlaku, kecuali untuk subnet dengan data --purpose tertentu, seperti subnet khusus proxy untuk load balancer tertentu dan subnet yang digunakan oleh Cloud NAT untuk NAT Pribadi.

Misalnya, jika Anda memiliki jaringan VPC yang berisi dua subnet di region yang sama dan subnet ketiga di region yang berbeda, saat Anda mengonfigurasi kebijakan server masuk untuk jaringan VPC, Cloud DNS menggunakan total tiga alamat IPv4 sebagai titik entri kebijakan server masuk, satu per subnet.

Untuk mengetahui informasi tentang cara membuat kebijakan server masuk untuk VPC, lihat Membuat kebijakan server masuk.

Jaringan dan region untuk kueri masuk

Untuk memproses kueri DNS yang dikirim ke titik entri kebijakan server masuk, Cloud DNS mengaitkan kueri dengan jaringan VPC dan region:

Jaringan VPC terkait untuk kueri DNS adalah jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS.
- Google merekomendasikan pembuatan kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal Anda. Dengan demikian, titik entri kebijakan server masuk berada di jaringan VPC yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router yang terhubung ke jaringan lokal.
- Jaringan lokal dapat mengirim kueri ke titik entri kebijakan server masuk di jaringan VPC yang berbeda—misalnya, jika jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router yang terhubung ke jaringan lokal juga terhubung ke jaringan VPC yang berbeda menggunakan Peering Jaringan VPC. Namun, sebaiknya jangan gunakan konfigurasi ini karena jaringan VPC terkait untuk kueri DNS tidak cocok dengan jaringan VPC yang berisi titik entri kebijakan server masuk, yang berarti kueri DNS tidak di-resolve menggunakan zona pribadi Cloud DNS dan kebijakan respons di jaringan VPC yang berisi kebijakan server masuk. Untuk menghindari kebingungan, sebaiknya lakukan langkah-langkah konfigurasi berikut:
  1. Buat kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance.
  2. Konfigurasikan sistem lokal untuk mengirim kueri DNS ke titik entri kebijakan server masuk yang dikonfigurasi pada langkah sebelumnya.
  3. Konfigurasikan resource Cloud DNS yang diotorisasi untuk jaringan VPC yang terhubung ke jaringan lokal. Gunakan satu atau beberapa metode berikut:
    - Tambahkan jaringan VPC yang terhubung ke jaringan lokal ke daftar jaringan yang diotorisasi untuk zona pribadi Cloud DNS yang diotorisasi untuk jaringan VPC lainnya: Jika zona pribadi Cloud DNS dan jaringan VPC yang terhubung ke jaringan lokal berada di project yang berbeda dari organisasi yang sama, gunakan URL jaringan lengkap saat memberikan otorisasi ke jaringan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan binding lintas project.
    - Zona peering Cloud DNS yang diotorisasi untuk jaringan VPC yang terhubung ke jaringan lokal: Tetapkan jaringan target zona peering ke jaringan VPC lainnya. Tidak masalah apakah jaringan VPC yang terhubung ke jaringan lokal terhubung ke jaringan VPC target zona peering menggunakan Peering Jaringan VPC karena zona peering Cloud DNS tidak mengandalkan Peering Jaringan VPC untuk konektivitas jaringan.
Region terkait untuk kueri DNS selalu adalah region yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS, bukan region subnet yang berisi titik entri kebijakan server masuk.
- Misalnya, jika paket untuk kueri DNS memasuki jaringan VPC menggunakan tunnel Cloud VPN yang terletak di region us-east1 dan dikirim ke titik entri kebijakan server masuk di region us-west1, region terkait untuk kueri DNS adalah us-east1.
- Sebagai praktik terbaik, kirim kueri DNS ke alamat IPv4 titik entri kebijakan server masuk di region yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router.
- Region terkait untuk kueri DNS penting jika Anda menggunakan kebijakan perutean geolokasi. Untuk mengetahui informasi selengkapnya, lihat Mengelola kebijakan pemilihan rute DNS dan pemeriksaan kesehatan.

Iklan rute titik entri kebijakan server masuk

Karena alamat IP titik entri kebijakan server masuk diambil dari rentang alamat IPv4 utama subnet, Cloud Router akan mengiklankan alamat IP tersebut saat sesi Border Gateway Protocol (BGP) untuk tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance dikonfigurasi untuk menggunakan mode iklan default Cloud Router. Anda juga dapat mengonfigurasi sesi BGP untuk mengiklankan alamat IP titik entri kebijakan server masuk jika menggunakan mode iklan kustom Cloud Router dengan salah satu cara berikut:

Anda mengiklankan rentang alamat IP subnet selain awalan kustom.
Anda menyertakan alamat IP titik entri kebijakan server masuk dalam iklan awalan kustom.

Kebijakan server keluar

Anda dapat mengubah urutan resolusi nama Cloud DNS jaringan VPC dengan membuat kebijakan server keluar yang menentukan daftar server nama alternatif. Saat VM menggunakan server metadatanya 169.254.169.254 sebagai server namanya, dan saat Anda telah menentukan server nama alternatif untuk jaringan VPC, Cloud DNS akan mengirim semua kueri ke server nama alternatif kecuali kueri tersebut cocok dengan kebijakan respons cakupan cluster Google Kubernetes Engine atau zona pribadi cakupan cluster GKE.

Jika ada dua server nama alternatif atau lebih dalam kebijakan server keluar, Cloud DNS akan memberi peringkat pada server nama alternatif dan membuat kueri seperti yang dijelaskan pada langkah pertama urutan resolusi nama VPC. Penting: Tinjau urutan resolusi jaringan VPC dengan cermat. Penggunaan server nama alternatif akan menonaktifkan resolusi banyak fitur Cloud DNS, dan juga dapat memengaruhi resolusi kueri DNS publik, bergantung pada konfigurasi server nama alternatif. Untuk informasi selengkapnya tentang strategi lain untuk penerusan DNS keluar, lihat Metode penerusan DNS di ringkasan Cloud DNS. Untuk informasi tentang cara membuat kebijakan server keluar, lihat Membuat kebijakan server keluar.

Jenis server nama alternatif, metode pemilihan rute, dan alamat

Cloud DNS mendukung tiga jenis server nama alternatif dan menawarkan metode pemilihan rute standar atau pribadi untuk konektivitas.

Jenis server nama alternatif Dukungan pemilihan rute standar Dukungan perutean pribadi Rentang alamat sumber kueri

Jenis server nama alternatif	Dukungan pemilihan rute standar	Dukungan perutean pribadi	Rentang alamat sumber kueri
Server nama jenis 1 Alamat IP internal VM Google Cloud di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC resmi.	Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC resmi.	`35.199.192.0/19`
Server nama jenis 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC resmi.	Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC resmi.	`35.199.192.0/19`
Server nama jenis 3 Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud—misalnya, alamat IP eksternal VM di jaringan VPC lain.	Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud.	Pemilihan rute pribadi tidak didukung.	Rentang sumber Google Public DNS

Server nama jenis 1

Alamat IP internal VM Google Cloud di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC resmi.

Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC resmi.

35.199.192.0/19

Server nama jenis 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC resmi.

35.199.192.0/19

Server nama jenis 3

Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud—misalnya, alamat IP eksternal VM di jaringan VPC lain.

Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud.

Pemilihan rute pribadi tidak didukung.

Rentang sumber Google Public DNS

Cloud DNS menawarkan dua metode pemilihan rute untuk membuat kueri server nama alternatif:

Pemilihan rute standar: Cloud DNS menentukan jenis server nama alternatif menggunakan alamat IP-nya, lalu menggunakan pemilihan rute pribadi atau publik :
- Jika server nama alternatif adalah alamat IP RFC 1918, Cloud DNS akan mengklasifikasikan server nama sebagai server nama Jenis 1 atau Jenis 2, dan me-rutekan kueri melalui jaringan VPC resmi (pemilihan rute pribadi).
- Jika server nama alternatif bukan alamat IP RFC 1918, Cloud DNS akan mengklasifikasikan server nama sebagai Jenis 3, dan mengharapkan server nama alternatif dapat diakses internet. Cloud DNS merutekan kueri melalui internet (rute publik).
Pemilihan rute pribadi: Cloud DNS memperlakukan server nama alternatif sebagai Jenis 1 atau Jenis 2. Cloud DNS selalu merutekan traffic melalui jaringan VPC resmi, terlepas dari alamat IP server nama alternatif (RFC 1918 atau bukan).

Alamat IP server nama alternatif yang dilarang

Anda tidak dapat menggunakan alamat IP berikut untuk server nama alternatif Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Persyaratan jaringan server nama alternatif

Persyaratan jaringan untuk server nama alternatif bervariasi berdasarkan jenis server nama alternatif. Untuk menentukan jenis server nama alternatif, lihat Jenis server nama alternatif, metode pemilihan rute, dan alamat. Kemudian, lihat salah satu bagian berikut untuk mengetahui persyaratan jaringan.

Persyaratan jaringan untuk server nama alternatif Jenis 1

Cloud DNS mengirim paket yang sumbernya berasal dari rentang alamat IP 35.199.192.0/19 ke alamat IP server nama alternatif Jenis 1. Google Cloud merutekan paket untuk kueri menggunakan rute subnet lokal di jaringan VPC. Pastikan Anda belum membuat rute berbasis kebijakan yang tujuannya mencakup alamat IP server nama alternatif Jenis 1.

Untuk mengizinkan paket masuk di VM server nama alternatif, Anda harus membuat aturan firewall VPC atau aturan izinkan traffic masuk di kebijakan firewall dengan karakteristik berikut:

Target: harus menyertakan VM server nama alternatif
Sumber: 35.199.192.0/19
Protokol: TCP dan UDP
Port: 53

Cloud DNS mewajibkan setiap server nama alternatif mengirim paket respons kembali ke alamat IP Cloud DNS di 35.199.192.0/19 tempat kueri berasal. Sumber untuk paket respons harus cocok dengan alamat IP server nama alternatif tempat Cloud DNS mengirim kueri asli. Cloud DNS mengabaikan respons jika berasal dari sumber alamat IP yang tidak terduga—misalnya, alamat IP server nama lain yang mungkin meneruskan kueri ke server nama alternatif.

Saat server nama alternatif Jenis 1 mengirimkan paket respons ke 35.199.192.0/19, server tersebut menggunakan jalur pemilihan rute khusus.

Persyaratan jaringan untuk server nama alternatif Jenis 2

Cloud DNS mengirim paket yang sumbernya berasal dari rentang alamat IP 35.199.192.0/19 ke server nama alternatif Jenis 2. Cloud DNS mengandalkan jenis rute berikut dalam jaringan VPC tempat kebijakan server keluar diterapkan:

Rute statis kecuali rute statis yang hanya berlaku untuk VM berdasarkan tag jaringan
Rute dinamis

Untuk mengizinkan paket masuk di server nama alternatif Jenis 2, pastikan Anda mengonfigurasi aturan firewall izin masuk yang berlaku untuk server nama alternatif dan peralatan jaringan on-premise yang relevan dengan fitur firewall. Konfigurasi firewall yang efektif harus mengizinkan protokol TCP dan UDP dengan sumber port tujuan 53 dan 35.199.192.0/19.

Jaringan lokal Anda harus memiliki rute untuk tujuan 35.199.192.0/19 yang next hop-nya adalah tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Cloud Router yang terletak di jaringan dan region VPC yang sama tempat Cloud DNS mengirim kueri. Selama hop berikutnya memenuhi persyaratan jaringan dan region tersebut, Google Cloud tidak memerlukan jalur return simetris. Respons dari server nama alternatif Jenis 2 tidak dapat dirutekan menggunakan salah satu next hop berikut:

Next hop di internet
Next hop di jaringan VPC yang berbeda dengan jaringan VPC tempat kueri berasal
Next hop di jaringan VPC yang sama, tetapi di region yang berbeda dengan region tempat kueri berasal

Untuk mengonfigurasi rute 35.199.192.0/19 di jaringan lokal, gunakan mode iklan kustom Cloud Router dan sertakan 35.199.192.0/19 sebagai awalan kustom dalam sesi BGP dari tunnel Cloud VPN yang relevan, lampiran VLAN Cloud Interconnect, atau Cloud Router yang menghubungkan jaringan VPC Anda ke jaringan lokal yang berisi server nama alternatif Jenis 2. Atau, Anda dapat mengonfigurasi rute statis yang setara di jaringan lokal Anda.

Persyaratan jaringan untuk server nama alternatif Jenis 3

Cloud DNS mengirim paket yang sumbernya cocok dengan rentang sumber Google Public DNS ke server nama alternatif Jenis 3. Cloud DNS menggunakan pemilihan rute publik— tidak bergantung pada rute apa pun dalam jaringan VPC tempat kebijakan server keluar berlaku.

Untuk mengizinkan paket masuk di server nama alternatif Jenis 3, pastikan konfigurasi firewall yang efektif dan berlaku untuk server nama alternatif mengizinkan paket dari rentang sumber Google Public DNS.

Langkah selanjutnya

Untuk mengonfigurasi dan menerapkan kebijakan server DNS, lihat Menerapkan kebijakan server DNS.