DNS-Serverrichtlinien

Sie können genau eine DNS-Serverrichtlinie für jedes VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Die Richtlinie kann die eingehende DNS-Weiterleitung, die ausgehende DNS-Weiterleitung oder beides angeben. In diesem Abschnitt bezieht sich Richtlinie für Eingangsserver auf eine Richtlinie, die die eingehende DNS-Weiterleitung zulässt. Die Richtlinie für ausgehende Server bezieht sich auf eine mögliche Methode zur Implementierung der ausgehenden DNS-Weiterleitung. Eine Richtlinie kann sowohl eine Serverrichtlinie für eingehenden Traffic als auch eine Serverrichtlinie für ausgehenden Traffic sein, wenn sie die Features beider Richtlinien implementiert.

Weitere Informationen finden Sie unter Cloud DNS-Serverrichtlinien anwenden.

Serverrichtlinie für eingehenden Traffic

Jedes VPC-Netzwerk stellt für die VMs, die das Netzwerk verwenden, DNS-Namensauflösungsdienste bereit. Wenn eine VM ihren Metadatenserver 169.254.169.254 als Nameserver verwendet, sucht Google Cloud nach DNS-Datensätzen gemäß der Reihenfolge der Namensauflösung.

Standardmäßig sind die Namensauflösungsdienste eines VPC-Netzwerks über seine Reihenfolge der Namensauflösung nur für dieses VPC-Netzwerk selbst verfügbar. Sie können in Ihrem VPC-Netzwerk eine eingehende Serverrichtlinie erstellen, um diese Namensauflösungsdienste für ein lokales Netzwerk zur Verfügung zu stellen, das über Cloud VPN oder Cloud Interconnect verbunden ist.

Wenn Sie eine Richtlinie für eingehenden Server erstellen, verwendet Cloud DNS eine interne IP-Adresse aus dem primären IP-Adressbereich jedes Subnetzes, das Ihr VPC-Netzwerk verwendet. Wenn Sie zum Beispiel ein VPC-Netzwerk haben, das zwei Subnetze in derselben Region und ein drittes Subnetz in einer anderen Region enthält, sind insgesamt drei IP-Adressen für die eingehende Weiterleitung reserviert. Cloud DNS verwendet diese internen IP-Adressen als Einstiegspunkt für eingehende DNS-Anfragen.

Einstiegspunkte für Richtlinien für eingehende Server

Die regionalen internen IP-Adressen, die von Cloud DNS für die Server-Richtlinie für eingehenden Traffic verwendet werden, dienen als Einstiegspunkte in die Namensauflösungsdienste des VPC-Netzwerks. Um die eingehende Server-Richtlinie zu verwenden, müssen Sie Ihre lokalen Systeme oder Nameserver so konfigurieren, dass DNS-Abfragen an die Proxy-IP-Adresse weitergeleitet werden, die sich in derselben Region befinden wie der Cloud VPN-Tunnel oder VLAN-Anhang, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.

Informationen zum Erstellen von Richtlinien für eingehende Server finden Sie unter Richtlinie für eingehende Server erstellen.

Serverrichtlinie für ausgehenden Traffic

Sie können die Reihenfolge der Namensauflösung ändern. Dazu erstellen Sie eine Richtlinie für ausgehenden Server, die eine Liste alternativer Nameserver angibt. Bei Angabe von alternativen Nameservern für ein VPC-Netzwerk fragt Google Cloud nur diese Nameserver ab, um DNS-Anfragen von VMs in Ihrem VPC-Netzwerk zu verarbeiten, die zur Verwendung ihrer Metadatenserver konfiguriert sind (169.254.169.254).

Informationen zum Erstellen von Richtlinien für ausgehende Server finden Sie unter Richtlinien für ausgehende Server erstellen.

Alternative Nameserver und Routingmethoden

Cloud DNS unterstützt drei Typen von alternativen Nameservern und bietet Standard- und private Routingmethoden für das Routing von Traffic an diese Server.

Alternative Nameserver werden in der folgenden Tabelle definiert.

Alternativer Nameserver Beschreibung Standardrouting wird unterstützt Privates Routing unterstützt Quelle der Anfragen
Typ 1 Eine interne IP-Adresse einer Google Cloud-VM in demselben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist. Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. Jede interne IP-Adresse, einschließlich privater IP-Adressen außerhalb RFC 1918 und privat wiederverwendete öffentliche IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. 35.199.192.0/19
Typ 2 Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. Jede interne IP-Adresse, einschließlich privater IP-Adressen außerhalb RFC 1918 und privat wiederverwendete öffentliche IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. 35.199.192.0/19
Typ 3 Eine externe IP-Adresse eines DNS-Nameservers, auf die über das Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk. Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet. Privates Routing wird nicht unterstützt Google Public DNS-Quellbereiche

Sie können eine der folgenden Routingmethoden auswählen, wenn Sie den alternativen Nameserver einer Richtlinie für ausgehende Server angeben:

  • Standardrouting: Leitet Traffic über ein autorisiertes VPC-Netzwerk oder das Internet weiter, je nachdem, ob der alternative Nameserver eine RFC-1918-Adresse ist. Wenn der alternative Nameserver eine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver entweder als Nameserver vom Typ 1 oder Typ 2 und leitet Anfragen über ein autorisiertes VPC-Netzwerk. Wenn der alternative Nameserver keine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver als Typ 3 und erwartet, dass der Nameserver über das Internet zugänglich ist.

  • Privates Routing: Leitet den Traffic immer über ein autorisiertes VPC-Netzwerk weiter, unabhängig von der IP-Adresse des alternativen Nameservers (RFC 1918 oder nicht). Daher werden nur Nameserver vom Typ 1 und Typ 2 unterstützt.

Für den Zugriff auf einen alternativen Nameserver vom Typ 1 oder Typ 2 verwendet Cloud DNS Routen im autorisierten VPC-Netzwerk, in dem sich der DNS-Client befindet. Diese Routen definieren einen sicheren Pfad zum Nameserver:

Weitere Anleitungen zu den Netzwerkanforderungen für Nameserver vom Typ 1 und Typ 2 finden Sie unter Netzwerkanforderungen für alternative Nameserver.

Alternative Auswahlreihenfolge für Nameserver

Mit Cloud DNS können Sie eine Liste alternativer Nameserver für eine Serverrichtlinie für ausgehenden Traffic und eine Liste von Weiterleitungszielen für eine Weiterleitungszone konfigurieren.

Bei mehreren alternativen Nameservern verwendet Cloud DNS einen internen Algorithmus, um einen alternativen Nameserver auszuwählen. Dieser Algorithmus bestimmt den Rang jedes alternativen Nameservers.

Zur Verarbeitung einer Anfrage versucht Cloud DNS zuerst eine DNS-Abfrage, indem der alternative Nameserver mit dem höchsten Rang kontaktiert wird. Wenn dieser Server nicht antwortet, wiederholt Cloud DNS die Anfrage an den nächsthöheren alternativen Namenserver. Wenn keine alternativen Nameserver antworten, synthetisiert Cloud DNS eine SERVFAIL-Antwort.

Der Rankingalgorithmus ist automatisch und die folgenden Faktoren erhöhen den Rang eines alternativen Nameservers:

  • Je höher die Anzahl der erfolgreichen DNS-Antworten, die vom alternativen Namenserver verarbeitet wurden. Erfolgreiche DNS-Antworten enthalten NXDOMAIN-Antworten.
  • Die geringere Latenz (Umlaufzeit) für die Kommunikation mit dem alternativen Nameserver.