Sie können genau eine DNS-Serverrichtlinie für jedes VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Die Richtlinie kann die eingehende DNS-Weiterleitung, die ausgehende DNS-Weiterleitung oder beides angeben. In diesem Abschnitt bezieht sich Richtlinie für Eingangsserver auf eine Richtlinie, die die eingehende DNS-Weiterleitung zulässt. Die Richtlinie für ausgehende Server bezieht sich auf eine mögliche Methode zur Implementierung der ausgehenden DNS-Weiterleitung. Eine Richtlinie kann sowohl eine Serverrichtlinie für eingehenden Traffic als auch eine Serverrichtlinie für ausgehenden Traffic sein, wenn sie die Features beider Richtlinien implementiert.
Weitere Informationen finden Sie unter Cloud DNS-Serverrichtlinien anwenden.
Serverrichtlinie für eingehenden Traffic
Jedes VPC-Netzwerk stellt für die VMs, die das Netzwerk verwenden, DNS-Namensauflösungsdienste bereit. Wenn eine VM ihren Metadatenserver 169.254.169.254 als Nameserver verwendet, sucht Google Cloud nach DNS-Datensätzen gemäß der Reihenfolge der Namensauflösung.
Standardmäßig sind die Namensauflösungsdienste eines VPC-Netzwerks über seine Reihenfolge der Namensauflösung nur für dieses VPC-Netzwerk selbst verfügbar. Sie können in Ihrem VPC-Netzwerk eine eingehende Serverrichtlinie erstellen, um diese Namensauflösungsdienste für ein lokales Netzwerk zur Verfügung zu stellen, das über Cloud VPN oder Cloud Interconnect verbunden ist.
Wenn Sie eine Richtlinie für eingehenden Server erstellen, verwendet Cloud DNS eine interne IP-Adresse aus dem primären IP-Adressbereich jedes Subnetzes, das Ihr VPC-Netzwerk verwendet. Wenn Sie zum Beispiel ein VPC-Netzwerk haben, das zwei Subnetze in derselben Region und ein drittes Subnetz in einer anderen Region enthält, sind insgesamt drei IP-Adressen für die eingehende Weiterleitung reserviert. Cloud DNS verwendet diese internen IP-Adressen als Einstiegspunkt für eingehende DNS-Anfragen.
Einstiegspunkte für Richtlinien für eingehende Server
Die regionalen internen IP-Adressen, die von Cloud DNS für die Serverrichtlinie für eingehenden Traffic verwendet werden, dienen als Einstiegspunkte in die Namensauflösungsdienste des VPC-Netzwerks. Als Best Practice sollte das Routing an einen Einstiegspunkt für Serverrichtlinien für eingehenden Traffic in einer Region von Cloud VPN-Tunneln oder Cloud Interconnect-Anhängen in derselben Region durchgeführt werden. Für Cloud VPN-Tunnel mit dynamischem Routing und für alle Cloud Interconnect-Anhänge verwaltet Cloud Router eine BGP-Sitzung, einschließlich des Advertisings von IP-Adressen für Einstiegspunkte für eingehenden Traffic. Standard-Route-Advertisements von Cloud Router enthalten Einstiegspunkt-IP-Adressen für eingehenden Traffic, da ihre IP-Adressen aus den Subnetzen des VPC-Netzwerks stammen. Weitere Informationen zu den Advertisement-Optionen für Cloud Router finden Sie in der Cloud Router-Dokumentation unter Route-Advertisement-Modi.
Unabhängig von der Region des Einstiegspunkts verwendet Cloud DNS die Region des VPN-Tunnels oder Cloud Interconnect-Anhangs (VLAN) als kanonische Quelle für die Anfrage. Weitere Informationen finden Sie unter DNS-Routingrichtlinien verwalten.
Informationen zum Erstellen von Richtlinien für eingehende Server finden Sie unter Richtlinie für eingehende Server erstellen.
Serverrichtlinie für ausgehenden Traffic
Sie können die Reihenfolge der Namensauflösung ändern. Dazu erstellen Sie eine Richtlinie für ausgehenden Server, die eine Liste alternativer Nameserver angibt. Bei Angabe von alternativen Nameservern für ein VPC-Netzwerk fragt Google Cloud nur diese Nameserver ab, um DNS-Anfragen von VMs in Ihrem VPC-Netzwerk zu verarbeiten, die zur Verwendung ihrer Metadatenserver konfiguriert sind (169.254.169.254).
Informationen zum Erstellen von Richtlinien für ausgehende Server finden Sie unter Richtlinien für ausgehende Server erstellen.
Alternative Nameserver und Routingmethoden
Cloud DNS unterstützt drei Arten von alternativen Nameservern und bietet Standard- oder private Routingmethoden für die Verbindung.
| Alternativer Nameserver | Beschreibung | Standardrouting wird unterstützt | Privates Routing unterstützt | Quelle der Anfragen |
|---|---|---|---|---|
| Typ 1 | Eine interne IP-Adresse einer Google Cloud-VM in demselben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist. | Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | Interne IP-Adressen, z. B. private RFC 1918-Adressen, private IP-Adressen außerhalb RFC 1918 oder privat wiederverwendete öffentliche IP-Adressen, mit Ausnahme einer verbotenen alternativen Nameserver-IP-Adresse. Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | 35.199.192.0/19 |
| Typ 2 | Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist | Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | Interne IP-Adressen, z. B. private RFC 1918-Adressen, private IP-Adressen außerhalb RFC 1918 oder privat wiederverwendete öffentliche IP-Adressen, außer verbotene alternative Nameserver-IP-Adressen – Traffic, der immer über ein autorisiertes VPC-Netzwerk weitergeleitet wird. | 35.199.192.0/19 |
| Typ 3 | Eine externe IP-Adresse eines DNS-Nameservers, auf die über das Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk. | Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet. | Privates Routing wird nicht unterstützt | Google Public DNS-Quellbereiche |
Sie können eine der folgenden Routingmethoden auswählen, wenn Sie den alternativen Nameserver einer Richtlinie für ausgehende Server angeben:
Standardrouting: Leitet Traffic über ein autorisiertes VPC-Netzwerk oder das Internet weiter, je nachdem, ob der alternative Nameserver eine RFC-1918-Adresse ist. Wenn der alternative Nameserver eine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver entweder als Nameserver vom Typ 1 oder Typ 2 und leitet Anfragen über ein autorisiertes VPC-Netzwerk. Wenn der alternative Nameserver keine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver als Typ 3 und erwartet, dass der Nameserver über das Internet zugänglich ist.
Privates Routing: Leitet den Traffic immer über ein autorisiertes VPC-Netzwerk weiter, unabhängig von der IP-Adresse des alternativen Nameservers (RFC 1918 oder nicht). Daher werden nur Nameserver vom Typ 1 und Typ 2 unterstützt.
Für den Zugriff auf einen alternativen Nameserver vom Typ 1 oder Typ 2 verwendet Cloud DNS Routen im autorisierten VPC-Netzwerk, in dem sich der DNS-Client befindet. Diese Routen definieren einen sicheren Pfad zum Nameserver:
Cloud DNS verwendet automatisch erstellte Subnetzrouten, um Traffic an die alternativen Nameserver vom Typ 1 zu senden. Typ-1-Nameserver verwenden eine spezielle Rückgaberoute für Cloud DNS-Antworten, um zu antworten.
Cloud DNS kann entweder benutzerdefinierte dynamische Routen oder benutzerdefinierte statische Routen verwenden, mit Ausnahme von benutzerdefinierten statischen Routen mit Netzwerktags, um Traffic an alternative Nameserver vom Typ 2 senden. Typ-2-Nameserver verwenden Routen in Ihrem lokalen Netzwerk, um zu antworten.
Weitere Anleitungen zu den Netzwerkanforderungen für Nameserver vom Typ 1 und Typ 2 finden Sie unter Netzwerkanforderungen für alternative Nameserver.
Unzulässige alternative Nameserver-IP-Adressen
Sie können die folgenden IP-Adressen nicht für alternative Cloud DNS-Nameserver verwenden:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Alternative Auswahlreihenfolge für Nameserver
Mit Cloud DNS können Sie eine Liste alternativer Nameserver für eine Serverrichtlinie für ausgehenden Traffic konfigurieren.
Wenn Sie zwei oder mehr alternative Nameserver konfigurieren, verwendet Cloud DNS einen internen Algorithmus, um einen alternativen Nameserver auszuwählen. Dieser Algorithmus sortiert jedes alternative Nameserver.
Zur Verarbeitung einer Anfrage versucht Cloud DNS zuerst eine DNS-Abfrage. Dazu wird der alternative Nameserver mit dem höchsten Rang kontaktiert. Wenn dieser Server nicht antwortet, wiederholt Cloud DNS die Anfrage beim nächsthöheren alternativen Nameserver. Wenn keine alternativen Nameserver antworten, synthetisiert Cloud DNS eine SERVFAIL-Antwort.
Der Rankingalgorithmus ist automatisch und die folgenden Faktoren erhöhen das Ranking eines alternativen Nameservers:
- Je höher die Anzahl der erfolgreichen DNS-Antworten, die vom alternativen Namenserver verarbeitet wurden. Erfolgreiche DNS-Antworten enthalten NXDOMAIN-Antworten.
- Je niedriger die Latenz (Umlaufzeit) für die Kommunikation mit dem alternativen Nameserver.