DNS-Serverrichtlinien

Sie können genau eine DNS-Serverrichtlinie für jedes VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Die Richtlinie kann die eingehende DNS-Weiterleitung, die ausgehende DNS-Weiterleitung oder beides angeben. In diesem Abschnitt bezieht sich Richtlinie für Eingangsserver auf eine Richtlinie, die die eingehende DNS-Weiterleitung zulässt. Die Richtlinie für ausgehende Server bezieht sich auf eine mögliche Methode zur Implementierung der ausgehenden DNS-Weiterleitung. Eine Richtlinie kann sowohl eine Serverrichtlinie für eingehenden Traffic als auch eine Serverrichtlinie für ausgehenden Traffic sein, wenn sie die Features beider Richtlinien implementiert.

Weitere Informationen finden Sie unter Cloud DNS-Serverrichtlinien anwenden.

Serverrichtlinien für eingehenden Traffic

Jedes VPC-Netzwerk stellt Cloud DNS-Namensauflösungsdienste für VM-Instanzen bereit, an die eine Netzwerkschnittstelle (vNIC) angehängt ist. Wenn eine VM ihren Metadatenserver 169.254.169.254 als Nameserver verwendet, sucht Google Cloud gemäß der Reihenfolge der Auflösung von VPC-Netzwerknamen nach Cloud DNS-Ressourcen.

Mit einer Serverrichtlinie für eingehenden Traffic können Sie die Namensauflösungsdienste eines VPC-Netzwerks über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances lokalen Netzwerken verfügbar machen, die mit dem VPC-Netzwerk verbunden sind.

Wenn Sie eine Serverrichtlinie für eingehenden Traffic erstellen, erstellt Cloud DNS Einstiegspunkte für Serverrichtlinien für eingehenden Traffic in dem VPC-Netzwerk, auf das die Serverrichtlinie angewendet wird. Einstiegspunkte für Serverrichtlinien für eingehenden Traffic sind interne IPv4-Adressen, die aus dem primären IPv4-Adressbereich aller Subnetze im jeweiligen VPC-Netzwerk stammen, mit Ausnahme von Subnetzen mit bestimmten --purpose-Daten wie Nur-Proxy-Subnetzen für bestimmte Load-Balancer und Subnetze, die von Cloud NAT für private NAT verwendet werden.

Wenn Sie beispielsweise ein VPC-Netzwerk haben, das zwei Subnetze in derselben Region und ein drittes Subnetz in einer anderen Region enthält, verwendet Cloud DNS beim Konfigurieren einer Serverrichtlinie für eingehenden Traffic für das VPC-Netzwerk insgesamt drei IPv4-Adressen als Einstiegspunkte für Serverrichtlinien für eingehenden Traffic, eine pro Subnetz.

Informationen zum Erstellen einer Serverrichtlinie für eingehenden Traffic für eine VPC finden Sie unter Serverrichtlinie für eingehenden Traffic erstellen.

Netzwerk und Region für eingehende Abfragen

Zur Verarbeitung von DNS-Abfragen, die an Einstiegspunkte der Serverrichtlinie für eingehenden Traffic gesendet werden, verknüpft Cloud DNS die Abfrage mit einem VPC-Netzwerk und einer Region:

Das zugehörige VPC-Netzwerk für eine DNS-Abfrage ist das VPC-Netzwerk, das den Cloud VPN-Tunnel, den Cloud Interconnect-VLAN-Anhang oder die Netzwerkschnittstelle der Router-Appliance enthält, die die Pakete für die DNS-Abfrage empfängt.
- Google empfiehlt, in dem VPC-Netzwerk, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, eine Serverrichtlinie für eingehenden Traffic zu erstellen. Auf diese Weise befinden sich die Richtlinien-Einstiegspunkte des eingehenden Servers im selben VPC-Netzwerk wie die Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances, die eine Verbindung zum lokalen Netzwerk herstellen.
- Ein lokales Netzwerk kann Abfragen an Eingangsserverrichtlinien-Einstiegspunkte in einem anderen VPC-Netzwerk senden, z. B. wenn das VPC-Netzwerk mit den Cloud VPN-Tunneln, VLAN-Anhängen von Cloud Interconnect oder Router-Appliances, die eine Verbindung zum lokalen Netzwerk herstellen, auch über VPC-Netzwerk-Peering mit einem anderen VPC-Netzwerk verbunden ist. Wir raten jedoch von der Verwendung dieser Konfiguration ab, da das zugehörige VPC-Netzwerk für DNS-Abfragen nicht mit dem VPC-Netzwerk übereinstimmt, das die Einstiegspunkte der Serverrichtlinie für eingehenden Traffic enthält. Das bedeutet, dass DNS-Abfragen nicht mit privaten Cloud DNS-Zonen und -Antwortrichtlinien in dem VPC-Netzwerk aufgelöst werden, das die Serverrichtlinie für eingehenden Traffic enthält. Um Verwirrung zu vermeiden, empfehlen wir stattdessen die folgenden Konfigurationsschritte:
  1. Erstellen Sie im VPC-Netzwerk eine Serverrichtlinie für eingehenden Traffic, die über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances eine Verbindung zum lokalen Netzwerk herstellt.
  2. Konfigurieren Sie lokale Systeme so, dass DNS-Abfragen an die im vorherigen Schritt konfigurierten Serverrichtlinien-Einstiegspunkte für eingehenden Traffic gesendet werden.
  3. Konfigurieren Sie Cloud DNS-Ressourcen, die für das VPC-Netzwerk autorisiert sind, das eine Verbindung zum lokalen Netzwerk herstellt. Wenden Sie eines oder mehrere der folgenden Methoden an:
    - Fügen Sie das VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt, der Liste der autorisierten Netzwerke für die privaten Cloud DNS-Zonen hinzu, die für das andere VPC-Netzwerk autorisiert sind: Wenn sich eine private Cloud DNS-Zone und das VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt, in verschiedenen Projekten derselben Organisation befinden, verwenden Sie beim Autorisieren des Netzwerks die vollständige Netzwerk-URL. Weitere Informationen finden Sie unter Projektübergreifende Bindung einrichten.
    - Cloud DNS-Peering-Zonen, die für das VPC-Netzwerk autorisiert sind, das eine Verbindung zum lokalen Netzwerk herstellt: Legen Sie das Zielnetzwerk der Peering-Zone auf das andere VPC-Netzwerk fest. Es spielt keine Rolle, ob das VPC-Netzwerk, das eine Verbindung zum lokalen Netzwerk herstellt, über VPC-Netzwerk-Peering mit dem Ziel-VPC-Netzwerk der Peering-Zone verbunden ist, da Cloud DNS-Peering-Zonen für die Netzwerkverbindung kein VPC-Netzwerk-Peering verwenden.
Die einer DNS-Abfrage zugeordnete Region ist immer die Region, die den Cloud VPN-Tunnel, den Cloud Interconnect-VLAN-Anhang oder die Netzwerkschnittstelle der Router-Appliance enthält, die die Pakete für die DNS-Abfrage empfängt, nicht die Region des Subnetzes, das den Einstiegspunkt der Serverrichtlinie für eingehenden Traffic enthält.
- Wenn die Pakete für eine DNS-Abfrage beispielsweise über einen Cloud VPN-Tunnel in der Region us-east1 in ein VPC-Netzwerk gelangen und an einen Einstiegspunkt für Serverrichtlinien für eingehenden Traffic in der Region us-west1 gesendet werden, lautet die zugehörige Region für die DNS-Abfrage us-east1.
- Senden Sie als Best Practice DNS-Abfragen an die IPv4-Adresse eines Serverrichtlinien-Einstiegspunkts für eingehenden Traffic in derselben Region, in der sich auch der Cloud VPN-Tunnel, der Cloud Interconnect-VLAN-Anhang oder die Router-Appliance befindet.
- Die mit einer DNS-Abfrage verknüpfte Region ist wichtig, wenn Sie Routingrichtlinien zur Standortbestimmung verwenden. Weitere Informationen finden Sie unter DNS-Routingrichtlinien und -Systemdiagnosen verwalten.

Route Advertisement für den Einstiegspunkt der Serverrichtlinie für eingehenden Traffic

Da IP-Adressen der Einstiegspunkte der Richtlinien für eingehenden Traffic aus den primären IPv4-Adressbereichen der Subnetze stammen, bieten Cloud Router diese IP-Adressen an, wenn die BGP-Sitzung (Border Gateway Protocol) für einen Cloud VPN-Tunnel, einen Cloud Interconnect-VLAN-Anhang oder eine Router-Appliance für die Verwendung des Standard-Advertising-Modus von Cloud Router konfiguriert ist. Sie können eine BGP-Sitzung auch so konfigurieren, dass IP-Adressen von Einstiegspunkten der Serverrichtlinie für eingehenden Traffic beworben werden, wenn Sie den benutzerdefinierten Advertising-Modus von Cloud Router auf eine der folgenden Arten verwenden:

Zusätzlich zu Ihren benutzerdefinierten Präfixen bieten Sie Subnetz-IP-Adressbereiche an.
Sie binden IP-Adressen für eingehende Serverrichtlinien-Einstiegspunkte in Ihr benutzerdefiniertes Präfix-Advertising ein.

Serverrichtlinien für ausgehenden Traffic

Sie können die Reihenfolge der Cloud DNS-Namensauflösung eines VPC-Netzwerk ändern. Dazu erstellen Sie eine Serverrichtlinie für ausgehenden Traffic, die eine Liste mit alternativen Nameservern angibt. Wenn eine VM ihren Metadatenserver 169.254.169.254 als Nameserver verwendet und Sie alternative Nameserver für ein VPC-Netzwerk angegeben haben, sendet Cloud DNS alle Abfragen an die alternativen Nameserver, es sei denn, die Abfragen werden durch eine clusterbezogene Antwortrichtlinie von Google Kubernetes Engine oder eine private Zone auf GKE-Clusterebene abgeglichen.

Wenn zwei oder mehr alternative Nameserver in einer Serverrichtlinie für ausgehenden Traffic vorhanden sind, rangiert Cloud DNS die alternativen Nameserver und fragt sie wie im ersten Schritt der Reihenfolge der VPC-Namensauflösung beschrieben ab.

Informationen zum Erstellen von Richtlinien für ausgehende Server finden Sie unter Richtlinien für ausgehende Server erstellen.

Alternative Nameserver-Typen, Routingmethoden und Adressen

Cloud DNS unterstützt drei Arten von alternativen Nameservern und bietet standardmäßige oder private Routingmethoden für die Verbindung.

Alternativer Nameserver-Typ Standardrouting wird unterstützt Privates Routing unterstützt Quelladressbereich der Abfrage

Alternativer Nameserver-Typ	Standardrouting wird unterstützt	Privates Routing unterstützt	Quelladressbereich der Abfrage
Nameserver 1 Eine interne IP-Adresse einer Google Cloud-VM in demselben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb von RFC 1918 oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme einer verbotenen alternativen Nameserver-IP-Adresse. Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	`35.199.192.0/19`
Nameserver 2 Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist	Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb von RFC 1918 oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme einer verbotenen alternativen Nameserver-IP-Adresse. Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.	`35.199.192.0/19`
Nameserver 3 Eine externe IP-Adresse eines DNS-Nameservers, auf den im Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.	Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.	Privates Routing wird nicht unterstützt	Google Public DNS-Quellbereiche

Nameserver 1

Eine interne IP-Adresse einer Google Cloud-VM in demselben VPC-Netzwerk, in dem die Serverrichtlinie für ausgehenden Traffic definiert ist.

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb von RFC 1918 oder eine privat wiederverwendete öffentliche IP-Adresse, mit Ausnahme einer verbotenen alternativen Nameserver-IP-Adresse. Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

35.199.192.0/19

Nameserver 2

Eine IP-Adresse eines lokalen Systems, das mit dem VPC-Netzwerk mit der Serverrichtlinie für ausgehenden Traffic über Cloud VPN oder Cloud Interconnect verbunden ist

Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet.

35.199.192.0/19

Nameserver 3

Eine externe IP-Adresse eines DNS-Nameservers, auf den im Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.

Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet.

Privates Routing wird nicht unterstützt

Google Public DNS-Quellbereiche

Cloud DNS bietet zwei Routingmethoden zum Abfragen alternativer Nameserver:

Standardrouting: Cloud DNS ermittelt den Typ des alternativen Nameservers anhand seiner IP-Adresse und verwendet dann entweder privates oder öffentliches Routing:
- Wenn der alternative Nameserver eine RFC 1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver entweder als Nameserver vom Typ Typ 1 oder Typ 2 und leitet Abfragen über ein autorisiertes VPC-Netzwerk (privates Routing).
- Wenn der alternative Nameserver keine RFC 1918-IP-Adresse ist, klassifiziert Cloud DNS den Nameserver als Typ 3 und erwartet, dass der alternative Nameserver über das Internet zugänglich ist. Cloud DNS leitet Abfragen über das Internet weiter (öffentliches Routing).
Privates Routing: Cloud DNS behandelt den alternativen Nameserver entweder als Typ 1 oder als Typ 2. Cloud DNS leitet den Traffic immer über ein autorisiertes VPC-Netzwerk weiter, unabhängig von der IP-Adresse des alternativen Nameservers (RFC 1918 oder nicht).

Unzulässige IP-Adressen für alternative Nameserver

Die folgenden IP-Adressen können nicht für alternative Cloud DNS-Nameserver verwendet werden:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Netzwerkanforderungen an alternative Nameserver

Die Netzwerkanforderungen für alternative Nameserver variieren je nach Typ des alternativen Nameservers. Informationen zum Ermitteln des Typs eines alternativen Nameservers finden Sie unter Alternative Nameserver, Routingmethoden und Adressen. Lesen Sie dann einen der folgenden Abschnitte, um mehr über die Netzwerkanforderungen zu erfahren.

Netzwerkanforderungen für alternative Nameserver vom Typ 1

Cloud DNS sendet Pakete, deren Quellen aus dem IP-Adressbereich 35.199.192.0/19 stammen, an die IP-Adresse eines alternativen Nameservers vom Typ 1. Google Cloud leitet Pakete für Abfragen über lokale Subnetzrouten im VPC-Netzwerk weiter. Achten Sie darauf, dass Sie keine richtlinienbasierten Routen erstellt haben, deren Ziele alternative Nameserver-IP-Adressen des Typs 1 enthalten.

Wenn Sie eingehende Pakete auf alternativen Nameserver-VMs zulassen möchten, müssen Sie VPC-Firewallregeln für eingehenden Traffic oder Regeln in Firewallrichtlinien mit den folgenden Merkmalen erstellen:

Ziele: müssen die alternativen Nameserver-VMs enthalten
Quellen: 35.199.192.0/19
Protokolle: TCP und UDP
Port: 53

Für Cloud DNS ist es erforderlich, dass jeder alternative Nameserver Antwortpakete an die Cloud DNS-IP-Adresse in 35.199.192.0/19 zurücksendet, von der die Abfrage stammt. Die Quellen für Antwortpakete müssen mit der IP-Adresse des alternativen Nameservers übereinstimmen, an den Cloud DNS die ursprüngliche Abfrage sendet. Cloud DNS ignoriert Antworten, wenn sie aus einer unerwarteten IP-Adressquelle stammen, z. B. die IP-Adresse eines anderen Nameservers, an die ein alternativer Nameserver eine Abfrage weiterleiten könnte.

Wenn ein alternativer Typ 1-Nameserver Antwortpakete an 35.199.192.0/19 sendet, sind spezielle Rückgaberouten erforderlich, die Google Cloud jedem VPC-Netzwerk hinzufügt.

Netzwerkanforderungen für alternative Nameserver vom Typ 2

Cloud DNS sendet Pakete, deren Quellen aus dem IP-Adressbereich 35.199.192.0/19 stammen, an alternative Nameserver vom Typ 2. Cloud DNS stützt sich auf die folgenden Routentypen innerhalb des VPC-Netzwerk, auf das die Serverrichtlinie für ausgehenden Traffic angewendet wird:

Statische Routen mit Ausnahme von statischen Routen, die nur nach Netzwerktag für VMs gelten
Dynamische Routen

Wenn Sie eingehende Pakete auf alternativen Nameservern des Typs 2 zulassen möchten, müssen Sie Firewallregeln zum Zulassen von eingehendem Traffic konfigurieren, die für die alternativen Nameserver und alle relevanten lokalen Netzwerkgeräte mit Firewallfunktionen gelten. Die aktive Firewallkonfiguration muss sowohl die Protokolle TCP als auch UDP mit den Quellen des Zielports 53 und 35.199.192.0/19 zulassen.

Ihr lokales Netzwerk muss Routen für das Ziel 35.199.192.0/19 haben, dessen nächste Hops Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Cloud Router sind, die sich im selben VPC-Netzwerk und in derselben Region befinden, von der Cloud DNS die Abfrage sendet. Solange die nächsten Hops diese Netzwerk- und Regionsanforderungen erfüllen, benötigt Google Cloud keinen symmetrischen Rückgabepfad. Antworten von alternativen Nameservern des Typs 2 können nicht mit einem der folgenden nächsten Hops weitergeleitet werden:

Nächste Hops ins Internet
Nächste Hops in einem VPC-Netzwerk, das sich von dem VPC-Netzwerk unterscheidet, aus dem die Abfragen stammen
Nächste Hops im selben VPC-Netzwerk, aber in einer Region, die sich von der Region unterscheidet, aus der die Abfragen stammen

Verwenden Sie zum Konfigurieren der 35.199.192.0/19-Routen in Ihrem lokalen Netzwerk den benutzerdefinierten Advertising-Modus von Cloud Router und fügen Sie 35.199.192.0/19 als benutzerdefiniertes Präfix in die BGP-Sitzungen der entsprechenden Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Cloud Router ein, die Ihr VPC-Netzwerk mit dem lokalen Netzwerk verbinden, das den alternativen Nameserver Typ 2 enthält. Alternativ können Sie entsprechende statische Routen in Ihrem lokalen Netzwerk konfigurieren.

Netzwerkanforderungen für alternative Nameserver vom Typ 3

Cloud DNS sendet Pakete, deren Quellen mit den Google Public DNS-Quellbereichen übereinstimmen, an alternative Nameserver vom Typ 3. Cloud DNS verwendet öffentliches Routing und nutzt dafür keine Routen innerhalb des VPC-Netzwerk, auf das die Serverrichtlinie für ausgehenden Traffic angewendet wird.

Damit eingehende Pakete auf alternativen Nameservern vom Typ 3 zugelassen werden, muss die effektive Firewallkonfiguration, die für den alternativen Nameserver gilt, Pakete aus den Quellbereichen von Google Public DNS zulassen.