Políticas de servidor DNS

Puedes configurar una política del servidor DNS para cada red de nube privada virtual (VPC). La política puede especificar el reenvío de DNS entrante, el reenvío de DNS saliente, o ambos. En esta sección, la política del servidor de entrada se refiere a una política que permite el reenvío de DNS entrante. La política de servidor de salida hace referencia a un método posible para implementar el reenvío de DNS saliente. Es posible que una política sea, simultáneamente, una política del servidor entrante y una política del servidor saliente, si se implementan en ella las funciones de ambas.

Para obtener más información, consulta Aplica políticas de servidor de Cloud DNS.

Políticas del servidor entrante

Cada red de VPC proporciona servicios de resolución de nombres de Cloud DNS a instancias de máquina virtual (VM) que tienen una interfaz de red (vNIC) conectada a la red de VPC. Cuando una VM usa el servidor de metadatos 169.254.169.254 como servidor de nombres, Google Cloud busca recursos de Cloud DNS de acuerdo con el orden de resolución de nombres de la red de VPC.

Si quieres que los servicios de resolución de nombres de una red de VPC estén disponibles para las redes locales que están conectadas a la red de VPC mediante túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router, puedes usar una política de servidor entrante.

Cuando creas una política del servidor entrante, Cloud DNS crea puntos de entrada de la política del servidor entrante en la red de VPC a la que se aplica la política del servidor. Los puntos de entrada de la política del servidor entrante son direcciones IPv4 internas que provienen del rango de direcciones IPv4 principal de todas las subredes de la red de VPC aplicable, excepto las subredes con datos de --purpose específicos, como subredes de solo proxy para ciertos balanceadores de cargas y subredes que Cloud NAT usa para la NAT privada.

Por ejemplo, si tienes una red de VPC que contiene dos subredes en la misma región y una tercera en una región diferente, cuando configuras una política del servidor entrante para la red de VPC, Cloud DNS usa un total de tres direcciones IPv4 como puntos de entrada de la política del servidor entrante, una por subred.

Si deseas obtener información sobre cómo crear una política del servidor entrante para una VPC, consulta Crea una política del servidor entrante.

Red y región para las consultas entrantes

Para procesar las consultas de DNS que se envían a los puntos de entrada de la política del servidor entrante, Cloud DNS asocia la consulta con una red de VPC y una región:

La red de VPC asociada para una consulta de DNS es la red de VPC que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del dispositivo de router que recibe los paquetes para la consulta de DNS.
- Google recomienda crear una política del servidor entrante en la red de VPC que se conecte a tu red local. De esa manera, los puntos de entrada de la política del servidor entrante se encuentran en la misma red de VPC que los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los dispositivos de router que se conectan a la red local.
- Es posible que una red local envíe consultas a los puntos de entrada de políticas del servidor entrante en una red de VPC diferente, por ejemplo, si la red de VPC que contiene los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los dispositivos de router que se conectan a la red local también están conectados a una red de VPC diferente mediante el intercambio de tráfico entre redes de VPC. Sin embargo, no recomendamos usar esta configuración, ya que la red de VPC asociada para las consultas de DNS no coincide con la red de VPC que contiene los puntos de entrada de la política del servidor entrante, lo que significa que las consultas de DNS no se resuelven mediante zonas privadas de Cloud DNS ni políticas de respuesta en la red de VPC que contiene la política del servidor entrante. Para evitar confusiones, recomendamos los siguientes pasos de configuración:
  1. Crea una política del servidor entrante en la red de VPC que se conecte a la red local mediante túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router.
  2. Configura los sistemas locales para enviar consultas de DNS a los puntos de entrada de la política del servidor entrante que se configuraron en el paso anterior.
  3. Configura los recursos de Cloud DNS autorizados para la red de VPC que se conecta a la red local. Usa uno o más de los siguientes métodos:
    - Agrega la red de VPC que se conecta a la red local a la lista de redes autorizadas de las zonas privadas de Cloud DNS que están autorizadas para la otra red de VPC: Si una zona privada de Cloud DNS y la red de VPC que se conecta a la red local se encuentran en proyectos diferentes de la misma organización, usa la URL de red completa cuando autorices la red. Para obtener más información, consulta Configura la vinculación entre proyectos.
    - Zonas de intercambio de tráfico de Cloud DNS autorizadas para la red de VPC que se conecta a la red local: Configura la red de destino de la zona de intercambio de tráfico con la otra red de VPC. No importa si la red de VPC que se conecta a la red local está conectada a la red de VPC de destino de la zona de intercambio de tráfico mediante el intercambio de tráfico entre redes de VPC, ya que las zonas de intercambio de tráfico de Cloud DNS no dependen del intercambio de tráfico entre redes de VPC para la conectividad de red.
La región asociada para una consulta de DNS siempre es la región que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del dispositivo de router que recibe los paquetes para la consulta de DNS, no la región de la subred que contiene el punto de entrada de la política del servidor entrante.
- Por ejemplo, si los paquetes para una consulta de DNS ingresan a una red de VPC mediante un túnel de Cloud VPN ubicado en la región us-east1 y se envían a un punto de entrada de la política del servidor entrante en la región us-west1, la región asociada para la consulta de DNS es us-east1.
- Como práctica recomendada, envía consultas de DNS a la dirección IPv4 de un punto de entrada de la política del servidor entrante en la misma región que el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o el dispositivo de router.
- La región asociada para una consulta de DNS es importante si usas políticas de enrutamiento de ubicación geográfica. Para obtener más información, consulta Administra las políticas de enrutamiento de DNS y las verificaciones de estado.

Anuncio de ruta de punto de entrada de la política del servidor entrante

Debido a que las direcciones IP del punto de entrada de la política del servidor entrante se toman de los rangos de direcciones IPv4 principales de las subredes, los Cloud Routers anuncian esas direcciones IP cuando la sesión del protocolo de puerta de enlace fronteriza (BGP) para un túnel de Cloud VPN, un adjunto de VLAN de Cloud Interconnect o un dispositivo de router se configuran para usar el modo de anuncio predeterminado de Cloud Router. También puedes configurar una sesión de BGP para anunciar las direcciones IP del punto de entrada de la política del servidor entrante si usas el modo de anuncios personalizados de Cloud Router de una de las siguientes maneras:

Anuncias rangos de direcciones IP de subredes además de tus prefijos personalizados.
Incluye las direcciones IP de punto de entrada de la política del servidor entrante en tus anuncios con prefijo personalizados.

Políticas del servidor saliente

Puedes modificar el orden de resolución de nombres de Cloud DNS de una red de VPC mediante la creación de una política del servidor saliente que especifique una lista de servidores de nombres alternativos. Cuando una VM usa su servidor de metadatos 169.254.169.254 como su servidor de nombres y cuando especificaste servidores de nombres alternativos para una red de VPC, Cloud DNS envía todas las consultas a los servidores de nombres alternativos a menos que las consultas coincidan con una política de respuesta con alcance de clúster de Google Kubernetes Engine o una zona privada con alcance de clúster de GKE.

Cuando existen dos o más servidores de nombres alternativos en una política del servidor saliente, Cloud DNS clasifica los servidores de nombres alternativos y los consulta como se describe en el primer paso del orden de resolución de nombres de VPC.

Para obtener información sobre cómo crear políticas de servidor de salida, consulta Crea una política de servidor de salida.

Tipos de servidores de nombres alternativos, métodos de enrutamiento y direcciones

Cloud DNS admite tres tipos de servidores de nombres alternativos y ofrece métodos de enrutamiento estándar o privado para la conectividad.

Tipo de servidor de nombres alternativo Compatible con el enrutamiento estándar Compatible con el enrutamiento privado Consultar rango de direcciones de origen

Tipo de servidor de nombres alternativo	Compatible con el enrutamiento estándar	Compatible con el enrutamiento privado	Consultar rango de direcciones de origen
Servidor de nombres de tipo 1 Una dirección IP interna de una VM de Google Cloud en la misma red de VPC en la que se define la política del servidor saliente.	Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.	Cualquier dirección IP interna, como una dirección IP privada RFC 1918, una dirección IP privada que no es RFC 1918 o una dirección IP pública reutilizada de forma privada, excepto una dirección IP prohibida de servidor de nombres alternativo (tráfico siempre enrutado a través de una red de VPC autorizada).	`35.199.192.0/19`
Servidor de nombres de tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect	Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.	Cualquier dirección IP interna, como una dirección IP privada RFC 1918, una dirección IP privada que no es RFC 1918 o una dirección IP pública reutilizada de forma privada, excepto las direcciones IP prohibidas del servidor de nombres alternativo (tráfico siempre enrutado a través de una red de VPC autorizada)	`35.199.192.0/19`
Servidor de nombres de tipo 3 Una dirección IP externa de un servidor de nombres de DNS al que se puede acceder desde Internet o la dirección IP externa de un recurso de Google Cloud; por ejemplo, la dirección IP externa de una VM en otra red de VPC.	Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud.	No se admite el enrutamiento privado	Rangos de origen de DNS público de Google

Servidor de nombres de tipo 1

Una dirección IP interna de una VM de Google Cloud en la misma red de VPC en la que se define la política del servidor saliente.

Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.

Cualquier dirección IP interna, como una dirección IP privada RFC 1918, una dirección IP privada que no es RFC 1918 o una dirección IP pública reutilizada de forma privada, excepto una dirección IP prohibida de servidor de nombres alternativo (tráfico siempre enrutado a través de una red de VPC autorizada).

35.199.192.0/19

Servidor de nombres de tipo 2

Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect

Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada.

Cualquier dirección IP interna, como una dirección IP privada RFC 1918, una dirección IP privada que no es RFC 1918 o una dirección IP pública reutilizada de forma privada, excepto las direcciones IP prohibidas del servidor de nombres alternativo (tráfico siempre enrutado a través de una red de VPC autorizada)

35.199.192.0/19

Servidor de nombres de tipo 3

Una dirección IP externa de un servidor de nombres de DNS al que se puede acceder desde Internet o la dirección IP externa de un recurso de Google Cloud; por ejemplo, la dirección IP externa de una VM en otra red de VPC.

Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud.

No se admite el enrutamiento privado

Rangos de origen de DNS público de Google

Cloud DNS ofrece dos métodos de enrutamiento para consultar servidores de nombres alternativos:

Enrutamiento estándar: Cloud DNS determina el tipo de servidor de nombres alternativo mediante su dirección IP y, luego, usa el enrutamiento privado o público:
- Si el servidor de nombres alternativo es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como un servidor de nombres de Tipo 1 o Tipo 2 y enruta las consultas a través de una red de VPC autorizada (enrutamiento privado).
- Si el servidor de nombres alternativo no es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como Tipo 3 y espera que el servidor de nombres alternativo sea accesible a través de Internet. Cloud DNS enruta las consultas por Internet (enrutamiento público).
Enrutamiento privado: Cloud DNS trata el servidor de nombres alternativo como Tipo 1 o Tipo 2. Cloud DNS siempre enruta el tráfico a través de una red de VPC autorizada, sin importar la dirección IP del servidor de nombres alternativo (RFC 1918 o no).

Direcciones IP prohibidas del servidor de nombres alternativo

No puedes usar las siguientes direcciones IP para los servidores de nombres alternativos de Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Requisitos de red del servidor de nombres alternativo

Los requisitos de red para los servidores de nombres alternativos varían según el tipo de servidor de nombres alternativo. Para determinar el tipo de un servidor de nombres alternativo, consulta Tipos de servidores de nombres alternativos, métodos de enrutamiento y direcciones. Luego, consulta una de las siguientes secciones para conocer los requisitos de red.

Requisitos de red para los servidores de nombres alternativos de Tipo 1

Cloud DNS envía paquetes cuyas fuentes sean del rango de direcciones IP 35.199.192.0/19 a la dirección IP del servidor de nombres alternativo de tipo 1. Google Cloud enruta paquetes para consultas mediante rutas de subredes locales en la red de VPC. Asegúrate de no haber creado ninguna ruta basada en políticas cuyos destinos incluyan direcciones IP del servidor de nombres alternativo de tipo 1.

Para permitir paquetes entrantes en VM del servidor de nombres alternativas, debes crear reglas de firewall de VPC de entrada permitida o reglas en las políticas de firewall con las siguientes características:

Destinos: Deben incluir las VMs del servidor de nombres alternativo
Fuentes: 35.199.192.0/19
Protocolos: TCP y UDP
Puerto 53

Cloud DNS requiere que cada servidor de nombres alternativo envíe paquetes de respuesta a la dirección IP de Cloud DNS en 35.199.192.0/19 desde la que se originó la consulta. Las fuentes de los paquetes de respuesta deben coincidir con la dirección IP del servidor de nombres alternativo al que Cloud DNS envía la consulta original. Cloud DNS ignora las respuestas si provienen de una fuente de dirección IP inesperada; por ejemplo, la dirección IP de otro servidor de nombres al que un servidor de nombres alternativo podría reenviar una consulta.

Cuando un servidor de nombres alternativo de Tipo 1 envía paquetes de respuesta a 35.199.192.0/19, se basa en rutas de retorno especiales que Google Cloud agrega a cada red de VPC.

Requisitos de red para los servidores de nombres alternativos de Tipo 2

Cloud DNS envía paquetes cuyas fuentes sean del rango de direcciones IP 35.199.192.0/19 a los servidores de nombres alternativos Tipo 2. Cloud DNS se basa en los siguientes tipos de rutas dentro de la red de VPC a la que se aplica la política del servidor saliente:

Rutas estáticas, excepto las rutas estáticas que solo se aplican a las VM por etiqueta de red
Rutas dinámicas

Para permitir paquetes entrantes en servidores de nombres alternativos de Tipo 2, asegúrate de configurar las reglas de firewall de entrada permitida que sean aplicables a los servidores de nombres alternativos y a cualquier equipo de red local relevante con funciones de firewall. La configuración de firewall vigente debe permitir los protocolos TCP y UDP con las fuentes de puerto de destino 53 y 35.199.192.0/19.

Tu red local debe tener rutas para el destino 35.199.192.0/19 cuyos siguientes saltos sean túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o Cloud Routers ubicados en la misma red de VPC y región desde la que Cloud DNS envía la consulta. Siempre que los siguientes saltos cumplan con esos requisitos de red y región, Google Cloud no requiere una ruta de retorno simétrica. Las respuestas de los servidores de nombres alternativos de Tipo 2 no se pueden enrutar mediante ninguno de los siguientes saltos:

Próximos saltos en Internet
Los próximos saltos en una red de VPC que es diferente de la red de VPC en la que se originaron las consultas
Los siguientes saltos en la misma red de VPC, pero en una región diferente de la región en la que se originaron las consultas

Para configurar las rutas 35.199.192.0/19 en tu red local, usa el modo de anuncio personalizado de Cloud Router y, luego, incluye 35.199.192.0/19 como prefijo personalizado en las sesiones de BGP de los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los Cloud Routers relevantes que conectan tu red de VPC a la red local que contiene el servidor de nombres alternativo de Tipo 2. Como alternativa, puedes configurar rutas estáticas equivalentes en tu red local.

Requisitos de red para los servidores de nombres alternativos de Tipo 3

Cloud DNS envía los paquetes cuyas fuentes coincidan con los rangos de origen del DNS público de Google a los servidores de nombres alternativos de Tipo 3. En Cloud DNS, se usa enrutamiento público: no se basa en ninguna ruta dentro de la red de VPC a la que se aplica la política del servidor saliente.

Para permitir paquetes entrantes en servidores de nombres alternativos de Tipo 3, asegúrate de que la configuración de firewall eficaz aplicable al servidor de nombres alternativo permita paquetes de los rangos de origen del DNS público de Google.