Règles du serveur DNS

Vous pouvez configurer une règle de serveur DNS pour chaque réseau cloud privé virtuel (VPC). La règle peut spécifier le transfert DNS entrant, le transfert DNS sortant, ou les deux. Dans cette section, la règle de serveur entrant fait référence à une règle qui autorise le transfert DNS entrant. La règle de serveur sortant fait référence à une méthode possible de mise en œuvre du transfert DNS sortant. Une règle peut être à la fois une règle de serveur entrant et une règle de serveur sortant si elle met en œuvre les deux fonctionnalités.

Pour plus d'informations, consultez la page Appliquer des règles de serveur Cloud DNS.

Règle du serveur entrant

Chaque réseau VPC fournit des services de résolution de noms DNS aux VM qui les utilisent. Lorsqu'une VM utilise son serveur de métadonnées, 169.254.169.254, comme serveur de noms, Google Cloud recherche des enregistrements DNS en fonction de l'ordre de résolution des noms.

Par défaut, les services de résolution de noms d'un réseau VPC (à l'aide de l'ordre de résolution de noms) ne sont disponibles que pour ce réseau VPC. Si vous souhaitez que ces services soient disponibles sur un réseau sur site connecté à l'aide de Cloud VPN ou de Cloud Interconnect, vous devez créer une règle de serveur entrant dans votre réseau VPC.

Lorsque vous créez une règle de serveur entrant, Cloud DNS choisit une adresse IP interne dans la plage d'adresses IP principale de chaque sous-réseau utilisé par votre réseau VPC. Par exemple, si vous disposez d'un réseau VPC contenant deux sous-réseaux dans la même région et un troisième sous-réseau dans une région différente, trois adresses IP au total sont réservées au transfert entrant. Cloud DNS utilise ces adresses IP internes comme points d'entrée pour les requêtes DNS entrantes.

Points d'entrée des règles de serveur entrant

Les adresses IP internes régionales utilisées par Cloud DNS pour la règle de serveur entrant servent de points d'entrée dans les services de résolution de noms du réseau VPC. Pour utiliser la règle de serveur entrant, vous devez configurer vos systèmes sur site ou vos serveurs de noms afin de transférer les requêtes DNS à l'adresse IP du proxy située dans la même région que le tunnel Cloud VPN ou le rattachement de VLAN qui connecte votre réseau sur site à votre réseau VPC.

Pour plus d'informations sur la création de règles de serveur entrant, consultez la section Créer une règle de serveur entrant.

Règle du serveur sortant

Vous pouvez modifier l'ordre de résolution des noms en créant une règle de serveur sortant spécifiant une liste de serveurs de noms alternatifs. Lorsque vous spécifiez des serveurs de noms secondaires pour un réseau VPC, ces serveurs sont les seuls que Google Cloud interroge lors du traitement de requêtes DNS des VM de votre réseau VPC qui sont configurées pour utiliser leurs serveurs de métadonnées (169.254.169.254).

Pour plus d'informations sur la création de règles de serveur sortant, consultez la section Créer une règle de serveur sortant.

Serveurs de noms alternatifs et méthodes de routage

Cloud DNS est compatible avec trois types de serveurs de noms alternatifs et propose des méthodes de routage standard et privé pour acheminer le trafic vers ces serveurs.

Les serveurs de noms alternatifs sont définis dans le tableau suivant :

Serveurs de noms alternatifs Description Compatibilité avec le routage standard Compatibilité avec le routage privé Source des requêtes
Type 1 Une adresse IP interne d'une VM Google Cloud dans le même réseau VPC où la règle du serveur sortant est définie Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé. Toute adresse IP interne, y compris les adresses IP privées non-RFC 1918 et les adresses IP publiques réutilisées : le trafic est toujours acheminé via un réseau VPC autorisé. 35.199.192.0/19
Type 2 Une adresse IP d'un système sur site, connecté au réseau VPC avec la règle de serveur sortant, à l'aide de Cloud VPN ou Cloud Interconnect Uniquement les adresses IP RFC 1918 : le trafic est toujours acheminé via un réseau VPC autorisé. Toute adresse IP interne, y compris les adresses IP privées non-RFC 1918 et les adresses IP publiques réutilisées : le trafic est toujours acheminé via un réseau VPC autorisé. 35.199.192.0/19
Type 3 Une adresse IP externe d'un serveur de noms DNS accessible à Internet ou l'adresse IP externe d'une ressource Google Cloud par exemple, l'adresse IP externe d'une VM située dans un autre réseau VPC. Uniquement les adresses IP externes routables sur Internet : le trafic est toujours acheminé vers Internet ou vers l'adresse IP externe d'une ressource Google Cloud. Le routage privé n'est pas accepté. Plages sources du DNS public de Google

Vous pouvez choisir l'une des méthodes de routage suivantes lorsque vous spécifiez le serveur de noms secondaire d'une règle de serveur sortant :

  • Routage standard : achemine le trafic via un réseau VPC autorisé ou sur Internet, selon que le serveur de noms alternatif utilise ou non une adresse IP RFC 1918. Si le serveur de noms secondaire est une adresse IP RFC 1918, Cloud DNS classe le serveur de noms en tant que serveur de noms de type 1 ou de type 2 et achemine les requêtes via un réseau VPC autorisé. Si le serveur de noms secondaire n'est pas une adresse IP RFC 1918, Cloud DNS classe le serveur de noms en tant que Type 3 et requiert que le serveur de noms soit accessible à Internet.

  • Routage privé : achemine toujours le trafic via un réseau VPC autorisé, quelle que soit l'adresse IP du serveur de noms alternatif (RFC 1918 ou non). Par conséquent, seuls les serveurs de noms de type 1 et de type 2 sont acceptés.

Pour accéder à un serveur de noms secondaire de type 1 ou de type 2, Cloud DNS utilise les routes du réseau VPC autorisé, où se trouve le client DNS. Ces routes définissent un chemin sécurisé vers le serveur de noms :

Pour plus d'informations sur la configuration réseau requise pour les serveurs de noms de type 1 et de type 2, consultez la section Exigences réseau requises pour le serveur de noms.

Ordre de sélection des serveurs de noms alternatifs

Cloud DNS vous permet de configurer une liste de serveurs de noms alternatifs pour une règle de serveur sortant, ainsi qu'une liste de cibles de transfert pour une zone de transfert.

Dans le cas de plusieurs serveurs de noms alternatifs, Cloud DNS utilise un algorithme interne pour sélectionner un serveur de noms alternatif. Cet algorithme classe chaque serveur de noms alternatif.

Pour traiter une requête, Cloud DNS essaie d'abord une requête DNS en contactant le serveur de noms alternatif ayant le classement le plus élevé. Si ce serveur ne répond pas, Cloud DNS répète la requête vers le serveur de noms alternatif qui suit dans le classement. Si aucun serveur de noms alternatif ne répond, Cloud DNS synthétise une réponse SERVFAIL.

L'algorithme de classement est automatique et les facteurs suivants augmentent le classement d'un serveur de noms alternatif :

  • Le nombre le plus élevé possible de réponses DNS réussies traitées par le serveur de noms alternatif. Les réponses DNS réussies incluent les réponses NXDOMAIN.
  • La latence (délai aller-retour) la plus faible possible pour la communication avec le serveur de noms alternatif.