É possível configurar uma política de servidor DNS para cada rede VPC. A política pode especificar encaminhamento de DNS de entrada, encaminhamento de DNS de saída ou ambos. Nesta seção, a política de servidor de entrada se refere a uma política que permite o encaminhamento do DNS de entrada. Política do servidor de saída refere-se a um método possível para implementar o encaminhamento de DNS de saída. É possível que uma política seja de servidor de entrada e de servidor de saída se os recursos de ambas forem implementados.
Para mais informações, consulte Como aplicar políticas de servidor do Cloud DNS.
Políticas de servidor de entrada
Cada rede VPC fornece resolução de nomes do Cloud DNS
para instâncias de máquina virtual (VM) que têm uma interface de rede (vNIC)
anexada à rede VPC. Quando uma VM usa o próprio servidor de metadados
169.254.169.254 como servidor de nomes, o Google Cloud pesquisa
Recursos do Cloud DNS de acordo com o nome da rede VPC
ordem de resolução.
Para disponibilizar os serviços de resolução de nomes de uma rede VPC para redes no local que estão conectadas à rede VPC usando túneis do Cloud VPN, anexos da VLAN no Cloud Interconnect, ou roteadores, use uma política de servidor de entrada.
Quando você cria uma política de servidor de entrada, o Cloud DNS cria valores de entrada
os pontos de entrada da política do servidor na rede VPC a que o
é aplicada. Os pontos de entrada da política do servidor de entrada são IPv4 internos
do intervalo de endereços IPv4 principal de todas as sub-redes da
rede VPC aplicável, exceto para sub-redes com valores
--purpose, como sub-redes somente proxy para determinados balanceadores de carga e
sub-redes usadas pelo Cloud NAT para o Private NAT.
Por exemplo, se você tiver uma rede VPC que contenha duas sub-redes na mesma região e uma terceira sub-rede em outra região, ao configurar uma política de servidor de entrada para a rede VPC, o Cloud DNS usa um total de três endereços IPv4 como pontos de entrada da política do servidor de entrada, um por sub-rede.
Para informações sobre como criar uma política de servidor de entrada para um VPC, consulte Criar um servidor de entrada política.
Rede e região para consultas de entrada
Para processar consultas DNS que são enviadas para a entrada da política do servidor de entrada pontos, o Cloud DNS associa a consulta a uma VPC rede e uma região:
A rede VPC associada a uma consulta DNS é a rede VPC que contém o túnel do Cloud VPN, anexo da VLAN do Cloud Interconnect ou interface de rede do Dispositivo roteador que recebe os pacotes para a consulta DNS.
O Google recomenda criar uma política de servidor de entrada na VPC que se conecta à sua rede no local. Dessa forma, o tráfego de entrada os pontos de entrada das políticas do servidor ficam na mesma VPC que os túneis do Cloud VPN, a VLAN do Cloud Interconnect de rede ou dispositivos roteador que se conectam à em uma rede VPC.
É possível que uma rede local envie consultas ao servidor de entrada de política em uma rede VPC diferente, por exemplo, exemplo, se a rede VPC que contém o Cloud VPN túneis, anexos da VLAN do Cloud Interconnect ou Os dispositivos roteadores que se conectam à rede no local também conectadas a outra rede VPC usando Peering de rede VPC. No entanto, não recomendamos o uso porque a rede VPC associada para DNS as consultas não corresponder à rede VPC que contém de política do servidor, ou seja, as consultas DNS não são resolvidas zonas particulares do Cloud DNS e políticas de resposta Rede VPC que contém a política de servidor de entrada. Para evitar use as seguintes etapas de configuração:
- Crie uma política de servidor de entrada na rede VPC que se conecta à rede no local usando túneis do Cloud VPN, Anexos da VLAN do Cloud Interconnect ou dispositivos roteadores.
- Configurar sistemas locais para enviar consultas DNS ao servidor de entrada os pontos de entrada de políticas configurados na etapa anterior.
Configurar os recursos do Cloud DNS autorizados para Rede VPC que se conecta à rede local. Use um ou mais dos seguintes métodos:
- Adicione a rede VPC que se conecta à rede local para a lista de redes autorizadas do zonas particulares do Cloud DNS autorizadas para Rede VPC: se uma rede particular do Cloud DNS zona e a rede VPC que se conecta à de rede no local estão em projetos diferentes do mesmo organização, use o URL completo da rede ao autorizar a rede. Para mais informações, consulte Configurar vários projetos vinculação.
- Zonas de peering do Cloud DNS autorizadas para a rede VPC que se conecta à rede local: defina a rede de destino da zona de peering como a outra rede VPC. Não importa se o Rede VPC que se conecta à rede local está conectado à rede VPC de destino da zona de peering. usando peering de rede VPC porque o peering do Cloud DNS as zonas não dependem do peering de rede VPC conectividade.
A região associada a uma consulta DNS é sempre aquela que contém o túnel do Cloud VPN, anexo da VLAN do Cloud Interconnect do dispositivo roteador que recebe os pacotes a consulta DNS, não a região da sub-rede que contém o servidor de entrada um ponto de entrada da política de segurança.
- Por exemplo, se os pacotes de uma consulta DNS entrarem em uma
rede usando um túnel do Cloud VPN localizado na região
us-east1e são enviadas para um ponto de entrada da política do servidor de entrada na classeus-west1região, a região associada à consulta DNS seráus-east1. - Como prática recomendada, envie consultas DNS para o endereço IPv4 de uma um ponto de entrada da política de servidor de entrada na mesma região túnel do Cloud VPN, anexo da VLAN do Cloud Interconnect ou dispositivo roteador.
- A região associada a uma consulta DNS é importante se você usa geolocalização e políticas de roteamento. Para mais informações, consulte Gerenciar Políticas de roteamento de DNS e integridade de controle de acesso.
- Por exemplo, se os pacotes de uma consulta DNS entrarem em uma
rede usando um túnel do Cloud VPN localizado na região
Divulgação de rota do ponto de entrada da política do servidor de entrada
Como os endereços IP do ponto de entrada da política do servidor de entrada são recebidos da os intervalos de endereços IPv4 principais de sub-redes, os Cloud Routers as divulgam quando a sessão do protocolo de gateway de borda (BGP, na sigla em inglês) de um túnel do Cloud VPN, O anexo da VLAN do Cloud Interconnect ou o dispositivo roteador configurado para usar a divulgação padrão do Cloud Router . Também é possível configurar uma sessão do BGP para anunciar a entrada da política do servidor de entrada se você usar a divulgação personalizada do Cloud Router modo de uma das seguintes maneiras:
- Você divulga intervalos de endereços IP de sub-redes, além dos prefixos personalizados.
- Inclua endereços IP do ponto de entrada da política do servidor de entrada na sua de prefixos de cookies.
Políticas de servidor de saída
É possível modificar a ordem da resolução de nomes do Cloud DNS
rede VPC criando uma política de servidor de saída que
especifica uma lista de servidores de nomes alternativos. Quando uma VM usa os próprios metadados
169.254.169.254 como servidor de nomes e quando você especificar
servidores de nomes alternativos para uma rede VPC, o Cloud DNS
envia todas as consultas para os servidores de nomes alternativos, a menos que as consultas sejam
correspondidos por uma política de resposta com escopo de cluster do Google Kubernetes Engine, ou GKE
zona particular com escopo de cluster.
Para informações sobre como criar políticas de servidor de saída, consulte Como criar uma política de servidor de saída.
Tipos alternativos de servidores de nomes, métodos de roteamento e endereços
O Cloud DNS oferece suporte a três tipos de servidores de nomes alternativos métodos de roteamento padrão ou particular para conectividade.
| Tipo de servidor de nomes alternativos | Roteamento padrão compatível | Compatibilidade com roteamento privado | Intervalo de endereços de origem da consulta |
|---|---|---|---|
Servidor de nomes do tipo 1 Um endereço IP interno de uma a VM do Google Cloud na mesma rede VPC em que a política do servidor de saída for definida. |
Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço RFC 1918 ou particular, ou um endereço IP privado não RFC 1918 ou um endereço IP público reutilizado de maneira privada, exceto endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada. | 35.199.192.0/19 |
Servidor de nomes do tipo 2 Um endereço IP de um sistema local, conectado à rede VPC com a política do servidor de saída, usando a VPN do Cloud ou o Cloud Interconnect. |
Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço RFC 1918 ou particular, ou um endereço IP privado não RFC 1918 ou um endereço IP público reutilizado de maneira privada, exceto endereço IP do servidor de nomes alternativo proibido - tráfego sempre roteado por uma rede VPC autorizada. | 35.199.192.0/19 |
Servidor de nome do tipo 3 Um endereço IP externo de um nome DNS de rede acessível pela Internet ou o endereço IP externo de um Recurso do Google Cloud, por exemplo, o endereço IP externo de uma VM em outra rede VPC. |
Somente endereços IP externos roteáveis pela Internet: o tráfego sempre é encaminhado para a Internet ou para o endereço IP externo de um recurso do Google Cloud. | O roteamento particular não é compatível. | Intervalos de origem do DNS público do Google |
O Cloud DNS oferece dois métodos de roteamento para consultar nomes alternativos servidores:
Roteamento padrão: o Cloud DNS determina o tipo da um servidor de nomes alternativo usando seu endereço IP e depois usa um servidor particular ou roteamento público:
Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS classifica o servidor de nomes como do Tipo 1 ou Tipo 2 e roteia consultas por uma rede VPC autorizada (privada e roteamento de alto desempenho).
Se o servidor de nomes alternativo não for um endereço IP RFC 1918, O Cloud DNS classifica o servidor de nomes como Tipo 3 e espera que a para que o servidor de nomes alternativo seja acessível pela Internet. Rotas do Cloud DNS consultas pela Internet (roteamento público).
Roteamento particular: o Cloud DNS trata servidor de nomes alternativo como Tipo 1 ou Tipo 2. Cloud DNS sempre roteia o tráfego por uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não).
Endereços IP do servidor de nomes alternativos proibidos
Não é possível usar os endereços IP a seguir na alternativa do Cloud DNS servidores de nomes:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Requisitos de rede do servidor de nomes alternativo
Os requisitos de rede para servidores de nomes alternativos variam de acordo com type do servidor de nomes. Para determinar o tipo de um servidor de nomes alternativo, consulte Tipos alternativos de servidores de nomes, métodos de roteamento e endereços. Em seguida, consulte uma das seções a seguir para ver os requisitos de rede.
Requisitos de rede para servidores de nomes alternativos tipo 1
O Cloud DNS envia pacotes com origens do IP 35.199.192.0/19
ao endereço IP do servidor de nomes alternativo Tipo 1.
O Google Cloud encaminha pacotes para consultas usando rotas de sub-rede local na
rede VPC do produtor de serviços. Verifique se você não criounenhuma
trajetos que têm destinos como Tipo 1
endereços IP do servidor de nomes alternativo.
Para permitir pacotes de entrada em VMs de servidores de nomes alternativos, é preciso criar as regras de firewall de VPC ou as regras nas políticas de firewall as seguintes características:
- Destinos: é necessário incluir as VMs do servidor de nomes alternativo
- Fontes:
35.199.192.0/19 - Protocolos:
TCPeUDP - Porta:
53
O Cloud DNS exige que cada servidor de nomes alternativo envie uma resposta
de volta para o endereço IP do Cloud DNS em 35.199.192.0/19 do
que originou a consulta. As origens dos pacotes de resposta precisam corresponder ao IP
endereço do servidor de nomes alternativo para o qual o Cloud DNS envia
consulta original. O Cloud DNS ignora as respostas que vêm de um
origem inesperada do endereço IP, por exemplo, o endereço IP de outro nome
para o qual um servidor de nomes alternativo pode encaminhar uma consulta.
Quando um servidor de nomes alternativo do Tipo 1 envia pacotes de resposta para
35.199.192.0/19, ela usa um caminho de roteamento especial.
Requisitos de rede para servidores de nomes alternativos tipo 2
O Cloud DNS envia pacotes com origens do IP 35.199.192.0/19
aos servidores de nomes alternativos do Tipo 2. O Cloud DNS depende
os seguintes tipos de rotas dentro da rede VPC às quais
a política de servidor de saída será aplicada:
- Rotas estáticas, exceto rotas estáticas que só se aplicam a VMs por tag de rede
- Rotas dinâmicas
Para permitir pacotes de entrada em servidores de nomes alternativos do Tipo 2, verifique se
você configura regras de firewall de permissão de entrada aplicáveis ao
servidores de nomes alternativos e equipamentos de rede locais relevantes com
de firewall hierárquicas. A configuração efetiva do firewall precisa permitir TCP
e UDP com as origens da porta de destino 53 e 35.199.192.0/19.
O Cloud DNS exige que cada servidor de nomes alternativo envie uma resposta
de volta para o endereço IP do Cloud DNS em 35.199.192.0/19 do
que originou a consulta. As origens dos pacotes de resposta precisam corresponder ao IP
endereço do servidor de nomes alternativo para o qual o Cloud DNS envia
consulta original. O Cloud DNS ignora as respostas que vêm de um
origem inesperada do endereço IP, por exemplo, o endereço IP de outro nome
para o qual um servidor de nomes alternativo pode encaminhar uma consulta.
Sua rede local precisa ter rotas para o destino 35.199.192.0/19
com próximos saltos que são túneis do Cloud VPN, VLAN do Cloud Interconnect
ou Cloud Routers localizados na mesma VPC
rede e região de onde o Cloud DNS envia a consulta. Enquanto o
próximos saltos atender a esses requisitos de rede e região, o Google Cloud
exigem um caminho de retorno simétrico. Respostas do nome alternativo do Tipo 2
servidores não podem ser roteados usando os seguintes saltos:
- Próximos saltos na Internet
- Próximos saltos em uma rede VPC diferente da Rede VPC em que as consultas se originaram
- Os próximos saltos estão na mesma rede VPC, mas em uma região diferente da região de origem das consultas
Para configurar as rotas 35.199.192.0/19 na sua rede local, use o
Divulgação personalizada do Cloud Router
modo
e inclua 35.199.192.0/19 como um prefixo personalizado nas sessões do BGP da
túneis relevantes do Cloud VPN, a VLAN do Cloud Interconnect
Cloud Routers que conectam sua VPC
rede para a rede no local que contém o nome alternativo do Tipo 2
servidor. Como alternativa, é possível configurar rotas estáticas equivalentes no
em uma rede no local.
Requisitos de rede para servidores de nomes alternativos tipo 3
O Cloud DNS envia pacotes com origens que correspondem ao DNS público do Google intervalos de origem para Servidores de nomes alternativos do Tipo 3. O Cloud DNS usa roteamento público. ele não depende de rotas dentro da rede VPC para qual a política de servidor de saída se aplica.
Para permitir pacotes de entrada em servidores de nomes alternativos do Tipo 3, verifique se a configuração efetiva de firewall que se aplica ao nome alternativo de rede permite pacotes dos intervalos de origem do DNS público do Google.