Règles du serveur DNS

Vous pouvez configurer une règle de serveur DNS pour chaque réseau cloud privé virtuel (VPC). La règle peut spécifier le transfert DNS entrant, le transfert DNS sortant, ou les deux. Dans cette section, la règle de serveur entrant fait référence à une règle qui autorise le transfert DNS entrant. La règle de serveur sortant fait référence à une méthode possible de mise en œuvre du transfert DNS sortant. Une règle peut être à la fois une règle de serveur entrant et une règle de serveur sortant si elle met en œuvre les deux fonctionnalités.

Pour plus d'informations, consultez la page Appliquer des règles de serveur Cloud DNS.

Règles du serveur entrant

Chaque réseau VPC fournit des services de résolution de noms Cloud DNS aux instances de machine virtuelle (VM) dont une interface réseau (vNIC) est associée au réseau VPC. Lorsqu'une VM utilise son serveur de métadonnées 169.254.169.254 comme serveur de noms, Google Cloud recherche les ressources Cloud DNS conformément à l'ordre de résolution des noms de réseau VPC.

Pour rendre les services de résolution de noms d'un réseau VPC disponibles pour les réseaux sur site connectés au réseau VPC à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou de dispositifs de routeur, vous pouvez utiliser une règle de serveur entrant.

Lorsque vous créez une règle de serveur entrant, Cloud DNS crée des points d'entrée de règle de serveur entrant dans le réseau VPC auquel la règle de serveur est appliquée. Les points d'entrée des règles de serveur entrant sont des adresses IPv4 internes provenant de la plage d'adresses IPv4 principale de chaque sous-réseau du réseau VPC applicable, à l'exception des sous-réseaux contenant des données --purpose spécifiques, tels que les sous-réseaux proxy réservés de certains équilibreurs de charge et sous-réseaux utilisés par Cloud NAT pour le NAT privé.

Par exemple, si vous disposez d'un réseau VPC contenant deux sous-réseaux dans la même région et un troisième sous-réseau dans une région différente, lorsque vous configurez une règle de serveur entrant pour le réseau VPC, Cloud DNS utilise un total de trois adresses IPv4 comme points d'entrée de la règle de serveur entrant, une par sous-réseau.

Pour en savoir plus sur la création d'une règle de serveur entrant pour un VPC, consultez la section Créer une règle de serveur entrant.

Réseau et région pour les requêtes entrantes

Pour traiter les requêtes DNS envoyées aux points d'entrée des règles de serveur entrants, Cloud DNS associe la requête à un réseau VPC et à une région:

Le réseau VPC associé à une requête DNS est le réseau VPC qui contient le tunnel Cloud VPN, le rattachement de VLAN Cloud Interconnect ou l'interface réseau du dispositif de routeur qui reçoit les paquets pour la requête DNS.
- Google recommande de créer une règle de serveur entrant dans le réseau VPC qui se connecte à votre réseau sur site. De cette façon, les points d'entrée des règles de serveur entrant sont situés sur le même réseau VPC que les tunnels Cloud VPN, les rattachements de VLAN Cloud Interconnect ou les dispositifs de routeur qui se connectent au réseau sur site.
- Un réseau sur site peut envoyer des requêtes aux points d'entrée de règle de serveur entrant d'un autre réseau VPC (par exemple, si le réseau VPC contenant les tunnels Cloud VPN, les rattachements de VLAN Cloud Interconnect ou les dispositifs de routeur qui se connectent au réseau sur site est également connecté à un autre réseau VPC à l'aide de l'appairage de réseaux VPC). Toutefois, nous vous déconseillons d'utiliser cette configuration, car le réseau VPC associé pour les requêtes DNS ne correspond pas au réseau VPC contenant les points d'entrée de la règle de serveur entrant. Les requêtes DNS ne sont donc pas résolues à l'aide des zones privées Cloud DNS et des stratégies de réponse dans le réseau VPC contenant la règle de serveur entrant. Pour éviter toute confusion, nous vous recommandons plutôt de suivre les étapes de configuration suivantes:
  1. Créez dans le réseau VPC une règle de serveur entrant qui se connecte au réseau sur site à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou de dispositifs de routeur.
  2. Configurez des systèmes sur site pour envoyer des requêtes DNS aux points d'entrée de la règle de serveur entrant configurés à l'étape précédente.
  3. Configurez les ressources Cloud DNS autorisées pour le réseau VPC qui se connecte au réseau sur site. Utilisez une ou plusieurs des méthodes suivantes:
    - Ajoutez le réseau VPC qui se connecte au réseau sur site à la liste des réseaux autorisés pour les zones privées Cloud DNS qui sont autorisées pour l'autre réseau VPC: si une zone privée Cloud DNS et le réseau VPC qui se connecte au réseau sur site se trouvent dans des projets différents de la même organisation, utilisez l'URL complète du réseau pour autoriser le réseau. Pour en savoir plus, consultez la section Configurer une liaison inter-projets.
    - Zones d'appairage Cloud DNS autorisées pour le réseau VPC qui se connecte au réseau sur site: définissez le réseau cible de la zone d'appairage sur l'autre réseau VPC. Peu importe si le réseau VPC qui se connecte au réseau sur site est connecté au réseau VPC cible de la zone d'appairage à l'aide de l'appairage de réseaux VPC, car les zones d'appairage Cloud DNS ne reposent pas sur l'appairage de réseaux VPC pour la connectivité réseau.
La région associée à une requête DNS est toujours la région qui contient le tunnel Cloud VPN, le rattachement de VLAN Cloud Interconnect ou l'interface réseau de l'appareil de routeur qui reçoit les paquets pour la requête DNS, et non la région du sous-réseau contenant le point d'entrée de la règle de serveur entrant.
- Par exemple, si les paquets d'une requête DNS entrent dans un réseau VPC à l'aide d'un tunnel Cloud VPN situé dans la région us-east1 et sont envoyés à un point d'entrée de règle de serveur entrant dans la région us-west1, la région associée à la requête DNS est us-east1.
- Il est recommandé d'envoyer des requêtes DNS à l'adresse IPv4 d'un point d'entrée de règle de serveur entrant situé dans la même région que le tunnel Cloud VPN, le rattachement de VLAN Cloud Interconnect ou le dispositif de routeur.
- La région associée à une requête DNS est importante si vous utilisez des règles de routage avec géolocalisation. Pour en savoir plus, consultez la page Gérer les règles de routage DNS et les vérifications de l'état.

Annonce de routage du point d'entrée de la règle de serveur entrant

Étant donné que les adresses IP de point d'entrée de la règle de serveur entrant sont extraites des plages d'adresses IPv4 principales des sous-réseaux, les routeurs cloud annoncent ces adresses IP lorsque la session BGP (Border Gateway Protocol) d'un tunnel Cloud VPN, d'un rattachement de VLAN Cloud Interconnect ou d'un dispositif de routeur est configuré pour utiliser le mode d'annonce par défaut de Cloud Router. Vous pouvez également configurer une session BGP pour annoncer les adresses IP de point d'entrée de la règle de serveur entrant si vous utilisez le mode d'annonce personnalisé de Cloud Router de l'une des manières suivantes:

Vous annoncez des plages d'adresses IP de sous-réseau en plus de vos préfixes personnalisés.
Vous incluez les adresses IP des points d'entrée de la règle de serveur entrant dans vos annonces de préfixes personnalisés.

Règles du serveur sortant

Vous pouvez modifier l'ordre de résolution des noms Cloud DNS d'un réseau VPC en créant une règle de serveur sortant qui spécifie une liste de serveurs de noms alternatifs. Lorsqu'une VM utilise son serveur de métadonnées 169.254.169.254 comme serveur de noms et que vous avez spécifié des serveurs de noms alternatifs pour un réseau VPC, Cloud DNS envoie toutes les requêtes aux serveurs de noms alternatifs, sauf si elles correspondent à une stratégie de réponse à l'échelle d'un cluster Google Kubernetes Engine ou à une zone privée à l'échelle d'un cluster GKE.

Lorsqu'au moins deux serveurs de noms alternatifs existent dans une règle de serveur sortant, Cloud DNS classe les serveurs de noms alternatifs et les interroge comme décrit dans la première étape de l'ordre de résolution des noms VPC.

Pour plus d'informations sur la création de règles de serveur sortant, consultez la section Créer une règle de serveur sortant.

Types de serveurs de noms alternatifs, méthodes de routage et adresses

Cloud DNS est compatible avec trois types de serveurs de noms alternatifs et propose des méthodes standards ou privées pour leur acheminer le trafic.

Type de serveur de noms alternatif Compatibilité avec le routage standard Compatibilité avec le routage privé Plage d'adresses source de la requête

Type de serveur de noms alternatif	Compatibilité avec le routage standard	Compatibilité avec le routage privé	Plage d'adresses source de la requête
Serveur de noms de type 1 Adresse IP interne d'une VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie.	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP publique réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.	`35.199.192.0/19`
Serveur de noms de type 2 Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect.	Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.	Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP publique réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.	`35.199.192.0/19`
Serveur de noms de type 3 Une adresse IP externe d'un serveur de noms DNS accessible sur Internet ou l'adresse IP externe d'une ressource Google Cloud (par exemple, l'adresse IP externe d'une VM située dans un autre réseau VPC).	Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud.	Le routage privé n'est pas accepté.	Plages d'adresses sources du DNS public de Google

Serveur de noms de type 1

Adresse IP interne d'une VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie.

Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.

Toute adresse IP interne, telle qu'une adresse privée RFC 1918, une adresse IP privée non RFC 1918, ou une adresse IP publique réutilisée de manière privée, à l'exception d'une adresse IP de serveur de noms alternatif interdite. Le trafic est toujours acheminé via un réseau VPC autorisé.

35.199.192.0/19

Serveur de noms de type 2

Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect.

Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé.

35.199.192.0/19

Serveur de noms de type 3

Une adresse IP externe d'un serveur de noms DNS accessible sur Internet ou l'adresse IP externe d'une ressource Google Cloud (par exemple, l'adresse IP externe d'une VM située dans un autre réseau VPC).

Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud.

Le routage privé n'est pas accepté.

Plages d'adresses sources du DNS public de Google

Cloud DNS propose deux méthodes de routage pour interroger des serveurs de noms alternatifs:

Routage standard: Cloud DNS détermine le type du serveur de noms alternatif à partir de son adresse IP, puis utilise un routage privé ou public:
- Si le serveur de noms alternatif est une adresse IP RFC 1918, Cloud DNS classe le serveur de noms en tant que serveur de noms de type 1 ou de type 2, et achemine les requêtes via un réseau VPC autorisé (routage privé).
- Si le serveur de noms alternatif n'est pas une adresse IP RFC 1918, Cloud DNS classe le serveur de noms dans le type 3 et s'attend à ce qu'il soit accessible via Internet. Cloud DNS achemine les requêtes sur Internet (routage public).
Routage privé: Cloud DNS traite le serveur de noms alternatif comme étant du type 1 ou du type 2. Cloud DNS achemine toujours le trafic via un réseau VPC autorisé, quelle que soit l'adresse IP du serveur de noms alternatif (RFC 1918 ou non).

Adresses IP des serveurs de noms alternatifs interdites

Vous ne pouvez pas utiliser les adresses IP suivantes pour les serveurs de noms alternatifs de Cloud DNS :

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Configuration réseau requise pour le serveur de noms alternatif

La configuration réseau requise pour les serveurs de noms alternatifs varie en fonction du type du serveur de noms alternatif. Pour déterminer le type d'un autre serveur de noms, consultez la page Types de serveurs de noms alternatifs, méthodes de routage et adresses. Reportez-vous ensuite à l'une des sections suivantes pour connaître les exigences en termes de réseau.

Configuration réseau requise pour les serveurs de noms alternatifs de type 1

Cloud DNS envoie les paquets dont les sources proviennent de la plage d'adresses IP 35.199.192.0/19 vers l'adresse IP du serveur de noms alternatif de type 1. Google Cloud achemine les paquets pour les requêtes à l'aide de routes de sous-réseau locales dans le réseau VPC. Assurez-vous de n'avoir créé aucune route basée sur des règles dont les destinations incluent des adresses IP de serveurs de noms alternatifs de type 1.

Pour autoriser les paquets entrants sur les VM d'un serveur de noms alternatif, vous devez créer des règles de pare-feu VPC autorisant le trafic entrant ou des règles dans les stratégies de pare-feu présentant les caractéristiques suivantes:

Cibles: doivent inclure les VM du serveur de noms alternatif
Sources: 35.199.192.0/19
Protocoles: TCP et UDP
Port : 53

Cloud DNS exige que chaque serveur de noms alternatif renvoie des paquets de réponses à l'adresse IP Cloud DNS dans 35.199.192.0/19 à l'origine de la requête. Les sources des paquets de réponses doivent correspondre à l'adresse IP du serveur de noms alternatif auquel Cloud DNS envoie la requête d'origine. Cloud DNS ignore les réponses si elles proviennent d'une source d'adresse IP inattendue (par exemple, l'adresse IP d'un autre serveur de noms vers lequel un serveur de noms alternatif peut transmettre une requête).

Lorsqu'un serveur de noms alternatif de type 1 envoie des paquets de réponses à 35.199.192.0/19, il s'appuie sur des routes de retour spéciales que Google Cloud ajoute à chaque réseau VPC.

Configuration réseau requise pour les serveurs de noms alternatifs de type 2

Cloud DNS envoie les paquets dont les sources proviennent de la plage d'adresses IP 35.199.192.0/19 à des serveurs de noms alternatifs de type 2. Cloud DNS s'appuie sur les types de routes suivants au sein du réseau VPC auquel s'applique la règle de serveur sortant:

Routes statiques, sauf les routes statiques qui ne s'appliquent aux VM que par tag réseau
Routes dynamiques

Pour autoriser les paquets entrants sur des serveurs de noms alternatifs de type 2, veillez à configurer des règles de pare-feu autorisant les entrées applicables aux serveurs de noms alternatifs et à tout équipement réseau sur site approprié doté de fonctionnalités de pare-feu. La configuration de pare-feu effective doit autoriser les protocoles TCP et UDP avec les sources du port de destination 53 et 35.199.192.0/19.

Votre réseau sur site doit disposer de routes pour la destination 35.199.192.0/19 dont les sauts suivants sont des tunnels Cloud VPN, des rattachements de VLAN Cloud Interconnect ou des routeurs Cloud situés dans le même réseau VPC et la même région que Cloud DNS envoie la requête. Tant que les sauts suivants répondent à ces exigences en termes de réseau et de région, Google Cloud n'a pas besoin d'un chemin de retour symétrique. Les réponses des serveurs de noms alternatifs de type 2 ne peuvent pas être acheminées à l'aide des sauts suivants:

Prochains sauts sur Internet
Sauts suivants dans un réseau VPC différent du réseau VPC d'où proviennent les requêtes
Sauts suivants dans le même réseau VPC, mais dans une région différente de celle d'origine des requêtes

Pour configurer les routes 35.199.192.0/19 sur votre réseau sur site, utilisez le mode d'annonce personnalisée Cloud Router et incluez 35.199.192.0/19 en tant que préfixe personnalisé dans les sessions BGP des tunnels Cloud VPN, des rattachements de VLAN Cloud Interconnect ou des routeurs Cloud pertinents qui connectent votre réseau VPC au réseau sur site contenant le serveur de noms alternatif de type 2. Vous pouvez également configurer des routes statiques équivalentes dans votre réseau sur site.

Configuration réseau requise pour les serveurs de noms alternatifs de type 3

Cloud DNS envoie les paquets dont les sources correspondent aux plages sources du DNS public de Google à des serveurs de noms alternatifs de type 3. Cloud DNS utilise le routage public et ne s'appuie pas sur les routes au sein du réseau VPC auquel s'applique la règle du serveur sortant.

Pour autoriser les paquets entrants sur les autres serveurs de noms de type 3, assurez-vous que la configuration de pare-feu effective applicable au serveur de noms alternatif autorise les paquets provenant des plages de sources du DNS public de Google.