Políticas de servidor DNS

Puedes configurar una política de servidor DNS para cada red de nube privada virtual (VPC). La política puede especificar el reenvío de DNS entrante, el reenvío de DNS saliente, o ambos. En esta sección, la política del servidor de entrada se refiere a una política que permite el reenvío de DNS entrante. La política de servidor de salida hace referencia a un método posible para implementar el reenvío de DNS saliente. Es posible que una política sea, simultáneamente, una política del servidor entrante y una política del servidor saliente, si se implementan en ella las funciones de ambas.

Para obtener más información, consulta Aplica políticas de servidor de Cloud DNS.

Política del servidor entrante

En cada red de VPC, se proporcionan servicios de resolución de nombres de DNS a las VM en las que se usan. Cuando en una VM se usa el servidor de metadatos 169.254.169.254 como el servidor de nombres, se buscan registros DNS según el orden de resolución de nombres de VPC en Google Cloud.

De forma predeterminada, los servicios de resolución de nombres de una red de VPC, a través de su orden de resolución de nombres, solo están disponibles para esa red de VPC. Puedes crear una política de servidor entrante en tu red de VPC para que estos servicios de resolución de nombres estén disponibles para una red local conectada con Cloud VPN o Cloud Interconnect.

Cuando creas una política de servidor entrante, Cloud DNS toma una dirección IP interna del rango de direcciones IP principal de cada subred que usa tu red de VPC. Por ejemplo, si tienes una red de VPC que contiene dos subredes en la misma región y una tercera subred en una región diferente, un total de tres direcciones IP están reservadas para el reenvío entrante. Cloud DNS usa estas direcciones IP internas como puntos de entrada para las solicitudes DNS entrantes.

Puntos de entrada de la política del servidor entrante

Las direcciones IP internas regionales que se usan en Cloud DNS para la política de servidor entrante sirven como puntos de entrada a los servicios de resolución de nombres de la red de VPC. Para usar la política de servidor entrante, debes configurar tus sistemas locales o servidores de nombres a fin de reenviar las consultas de DNS a la dirección IP del proxy ubicada en la misma región como el túnel de Cloud VPN o el adjunto de Cloud Interconnect (VLAN) que conecta tu red local a la red de VPC.

Si deseas obtener información para crear políticas de servidor de entrada, consulta Crea una política de servidor entrante.

Política del servidor saliente

Para cambiar el orden de resolución de nombres de VPC, crea una política de servidor saliente que especifique una lista de servidores de nombres alternativos. Cuando especificas servidores de nombres alternativos para una red de VPC, esos servidores son los únicos servidores de nombres que se consultan en Google Cloud cuando se manejan las solicitudes DNS de las VM de tu red de VPC que están configuradas para usar sus servidores de metadatos (169.254.169.254).

Para obtener información sobre cómo crear políticas de servidor de salida, consulta Crea una política de servidor de salida.

Servidores de nombres alternativos y métodos de enrutamiento

Cloud DNS es compatible con tres tipos de servidores de nombres alternativos y ofrece métodos de enrutamiento estándar y privados para enrutar el tráfico hacia ellos.

Los servidores de nombres alternativos se definen en la siguiente tabla:

Servidor de nombres alternativo Descripción Compatible con el enrutamiento estándar Compatible con el enrutamiento privado Fuente de las solicitudes
Tipo 1 Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC en la que se define la política del servidor de salida Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. Cualquier dirección IP interna, incluidas las direcciones IP privadas que no sean RFC 1918 y las direcciones IP públicas reutilizadas de forma privada: el tráfico siempre se enruta a través de una red de VPC autorizada. 35.199.192.0/19
Tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC con la política del servidor saliente, mediante Cloud VPN o Cloud Interconnect Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. Cualquier dirección IP interna, incluidas las direcciones IP privadas que no sean RFC 1918 y las direcciones IP públicas reutilizadas de forma privada: el tráfico siempre se enruta a través de una red de VPC autorizada. 35.199.192.0/19
Tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC. Solo direcciones IP externas enrutables de Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud. No se admite el enrutamiento privado Rangos de origen de DNS público de Google

Puedes elegir uno de los siguientes métodos de enrutamiento cuando especificas el servidor de nombres alternativo de una política de servidor saliente:

  • Enrutamiento estándar: Enruta el tráfico a través de una red de VPC autorizada o a través de Internet, según si el servidor de nombres alternativo es una dirección IP RFC 1918 o no. Si el servidor de nombres alternativo es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como un servidor de nombres de Tipo 1 o Tipo 2., y enruta las solicitudes a través de una red de VPC autorizada. Si el servidor de nombres alternativo no es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como de Tipo 3 y espera que el servidor de nombres sea accesible a través de Internet.

  • Enrutamiento privado: Siempre se enruta el tráfico a través de una red de VPC autorizada, independientemente de la dirección IP (RFC 1918 o no) del servidor de nombres alternativo. En consecuencia, solo se admiten los servidores de nombres de Tipo 1 y de Tipo 2.

Para acceder a un servidor de nombres alternativo de Tipo 1 o Tipo 2, Cloud DNS usa rutas en la red de VPC autorizada, en la que se encuentra el cliente de DNS. En estas rutas, se define una ruta segura al servidor de nombres:

Si quieres obtener orientación adicional sobre los requisitos de red para los servidores de nombres de Tipo 1 y Tipo 2, consulta los requisitos de red para servidores de nombres alternativos.

Orden de selección de servidor de nombres alternativo

Cloud DNS te permite configurar una lista de servidores de nombres alternativos para una política de servidor saliente y una lista de destinos de reenvío para una zona de reenvío.

En el caso de varios servidores de nombres alternativos, Cloud DNS usa un algoritmo interno para seleccionar un servidor de nombres alternativo. Este algoritmo clasifica cada servidor de nombres alternativo.

Para procesar una solicitud, Cloud DNS primero intenta realizar una consulta de DNS comunicándose con el servidor de nombres alternativo con la clasificación más alta. Si ese servidor no responde, Cloud DNS repite la solicitud al siguiente servidor de nombres alternativo que tenga la mejor clasificación. Si ningún servidor de nombres alternativo responde, Cloud DNS sintetiza una respuesta SERVFAIL.

El algoritmo de clasificación es automático y los siguientes factores aumentan la clasificación de un servidor de nombres alternativo:

  • Cuanto mayor sea la cantidad de respuestas DNS correctas que procesa el servidor de nombres alternativo. Entre las respuestas DNS exitosas, se incluyen las respuestas NXDOMAIN.
  • Cuanto menor sea la latencia (tiempo de ida y vuelta) para comunicarse con el servidor de nombres alternativo.