Kebijakan server DNS

Anda dapat mengonfigurasi satu kebijakan server DNS untuk setiap jaringan Virtual Private Cloud (VPC). Kebijakan ini dapat menentukan penerusan DNS masuk, penerusan DNS keluar, atau keduanya. Di bagian ini, kebijakan server masuk mengacu pada kebijakan yang mengizinkan penerusan DNS masuk. Kebijakan server keluar mengacu pada satu metode yang memungkinkan untuk menerapkan penerusan DNS keluar. Kebijakan dapat berupa kebijakan server masuk dan kebijakan server keluar jika menerapkan fitur keduanya.

Untuk mengetahui informasi selengkapnya, lihat Menerapkan kebijakan server Cloud DNS.

Kebijakan server masuk

Setiap jaringan VPC menyediakan layanan resolusi nama Cloud DNS ke instance virtual machine (VM) yang memiliki antarmuka jaringan (vNIC) yang terhubung ke jaringan VPC. Saat VM menggunakan server metadata 169.254.169.254 sebagai server namanya, Google Cloud akan menelusuri resource Cloud DNS sesuai dengan urutan resolusi nama jaringan VPC.

Agar layanan resolusi nama jaringan VPC tersedia untuk jaringan lokal yang terhubung ke jaringan VPC menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau peralatan Router, Anda dapat menggunakan kebijakan server masuk.

Saat Anda membuat kebijakan server masuk, Cloud DNS membuat titik entri kebijakan server masuk di jaringan VPC tempat kebijakan server diterapkan. Titik entri kebijakan server masuk adalah alamat IPv4 internal yang bersumber dari rentang alamat IPv4 utama setiap subnet dalam jaringan VPC yang berlaku, kecuali untuk subnet dengan data --purpose spesifik, seperti subnet khusus proxy untuk load balancer dan subnet tertentu yang digunakan oleh Cloud NAT untuk Private NAT.

Misalnya, jika Anda memiliki jaringan VPC yang berisi dua subnet di region yang sama dan subnet ketiga di region berbeda, saat Anda mengonfigurasi kebijakan server masuk untuk jaringan VPC, Cloud DNS menggunakan total tiga alamat IPv4 sebagai titik entri kebijakan server masuk, satu per subnet.

Untuk informasi tentang cara membuat kebijakan server masuk untuk VPC, lihat Membuat kebijakan server masuk.

Jaringan dan region untuk kueri masuk

Untuk memproses kueri DNS yang dikirim ke titik entri kebijakan server masuk, Cloud DNS mengaitkan kueri tersebut dengan jaringan VPC dan region:

Jaringan VPC yang terkait untuk kueri DNS adalah jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS.
- Google merekomendasikan untuk membuat kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal Anda. Dengan demikian, titik entri kebijakan server masuk terletak di jaringan VPC yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau peralatan Router yang terhubung ke jaringan lokal.
- Jaringan lokal dapat mengirim kueri ke titik entri kebijakan server masuk di jaringan VPC yang berbeda. Misalnya, jika jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau peralatan Router yang terhubung ke jaringan lokal juga terhubung ke jaringan VPC yang berbeda menggunakan Peering Jaringan VPC. Namun, sebaiknya jangan gunakan konfigurasi ini karena jaringan VPC yang terkait untuk kueri DNS tidak cocok dengan jaringan VPC yang berisi titik entri kebijakan server masuk, yang berarti bahwa kueri DNS tidak di-resolve menggunakan zona pribadi Cloud DNS dan kebijakan respons di jaringan VPC yang berisi kebijakan server masuk. Agar tidak bingung, sebaiknya lakukan langkah-langkah konfigurasi berikut:
  1. Buat kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau peralatan Router.
  2. Konfigurasikan sistem lokal untuk mengirim kueri DNS ke titik entri kebijakan server masuk yang dikonfigurasi pada langkah sebelumnya.
  3. Mengonfigurasi resource Cloud DNS yang diizinkan untuk jaringan VPC yang terhubung ke jaringan lokal. Gunakan satu atau beberapa metode berikut:
    - Tambahkan jaringan VPC yang terhubung ke jaringan lokal ke daftar jaringan yang diizinkan untuk zona pribadi Cloud DNS yang diizinkan untuk jaringan VPC lainnya: Jika zona pribadi Cloud DNS dan jaringan VPC yang terhubung ke jaringan lokal berada dalam project yang berbeda dari organisasi yang sama, gunakan URL jaringan lengkap saat memberikan otorisasi untuk jaringan tersebut. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan binding lintas project.
    - Zona peering Cloud DNS yang diberi otorisasi untuk jaringan VPC yang terhubung ke jaringan lokal: Menetapkan jaringan target zona peering ke jaringan VPC lainnya. Tidak masalah apakah jaringan VPC yang terhubung ke jaringan lokal terhubung ke jaringan VPC target zona peering menggunakan Peering Jaringan VPC karena zona peering Cloud DNS tidak mengandalkan Peering Jaringan VPC untuk konektivitas jaringan.
Region yang terkait untuk kueri DNS selalu berisi region yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS, bukan region subnet yang berisi titik entri kebijakan server masuk.
- Misalnya, jika paket untuk kueri DNS memasuki jaringan VPC menggunakan tunnel Cloud VPN yang terletak di region us-east1 dan dikirim ke titik entri kebijakan server masuk di region us-west1, region terkait untuk kueri DNS adalah us-east1.
- Sebagai praktik terbaik, kirim kueri DNS ke alamat IPv4 titik entri kebijakan server masuk di region yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router.
- Region terkait untuk kueri DNS penting jika Anda menggunakan kebijakan perutean geolokasi. Untuk mengetahui informasi selengkapnya, lihat Mengelola kebijakan pemilihan rute dan health check DNS.

Iklan rute titik entri kebijakan server masuk

Karena alamat IP titik entri kebijakan server masuk diambil dari rentang alamat IPv4 utama subnet, Cloud Router memberitahukan alamat IP tersebut saat sesi Border Gateway Protocol (BGP) untuk tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau peralatan Router dikonfigurasi untuk menggunakan mode iklan default Cloud Router. Anda juga dapat mengonfigurasi sesi BGP untuk mengiklankan alamat IP titik entri kebijakan server masuk jika menggunakan mode iklan kustom Cloud Router dengan salah satu cara berikut:

Anda mengiklankan rentang alamat IP subnet selain awalan kustom Anda.
Anda menyertakan alamat IP titik entri kebijakan server masuk dalam iklan awalan kustom.

Kebijakan server keluar

Anda dapat mengubah urutan resolusi nama Cloud DNS dari jaringan VPC dengan membuat kebijakan server keluar yang menentukan daftar server nama alternatif. Saat VM menggunakan server metadata 169.254.169.254 sebagai server namanya, dan jika Anda telah menentukan server nama alternatif untuk jaringan VPC, Cloud DNS akan mengirimkan semua kueri ke server nama alternatif, kecuali jika kueri cocok dengan kebijakan respons cakupan cluster Google Kubernetes Engine atau zona pribadi cakupan cluster GKE.

Ketika terdapat dua atau beberapa server nama alternatif dalam kebijakan server keluar, Cloud DNS akan menentukan peringkat server nama alternatif tersebut dan mengkuerinya seperti yang dijelaskan pada langkah pertama urutan resolusi nama VPC.

Untuk informasi tentang cara membuat kebijakan server keluar, lihat Membuat kebijakan server keluar.

Jenis server nama alternatif, metode pemilihan rute, dan alamat

Cloud DNS mendukung tiga jenis server nama alternatif dan menawarkan metode pemilihan rute standar atau pribadi untuk konektivitas.

Jenis server nama alternatif Dukungan perutean standar Dukungan perutean pribadi Rentang alamat sumber kueri

Jenis server nama alternatif	Dukungan perutean standar	Dukungan perutean pribadi	Rentang alamat sumber kueri
Jenis 1 server nama Alamat IP internal VM Google Cloud di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang diberi otorisasi.	Semua alamat IP internal, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP publik yang digunakan kembali secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang—traffic selalu diarahkan melalui jaringan VPC yang diizinkan.	`35.199.192.0/19`
Server nama jenis 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang diberi otorisasi.	Semua alamat IP internal, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP publik yang digunakan ulang secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang— traffic selalu dirutekan melalui jaringan VPC yang diizinkan.	`35.199.192.0/19`
Server nama jenis 3 Alamat IP eksternal dari server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud—misalnya, alamat IP eksternal VM di jaringan VPC lain.	Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud.	Perutean pribadi tidak didukung.	Rentang sumber Google Public DNS

Jenis 1 server nama

Alamat IP internal VM Google Cloud di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang diberi otorisasi.

Semua alamat IP internal, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP publik yang digunakan kembali secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang—traffic selalu diarahkan melalui jaringan VPC yang diizinkan.

35.199.192.0/19

Server nama jenis 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang diberi otorisasi.

Semua alamat IP internal, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP publik yang digunakan ulang secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang— traffic selalu dirutekan melalui jaringan VPC yang diizinkan.

35.199.192.0/19

Server nama jenis 3

Alamat IP eksternal dari server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud—misalnya, alamat IP eksternal VM di jaringan VPC lain.

Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud.

Perutean pribadi tidak didukung.

Rentang sumber Google Public DNS

Cloud DNS menawarkan dua metode perutean untuk membuat kueri server nama alternatif:

Pemilihan rute standar: Cloud DNS menentukan jenis server nama alternatif menggunakan alamat IP-nya, lalu menggunakan pemilihan rute pribadi atau publik:
- Jika server nama alternatif adalah alamat IP RFC 1918, Cloud DNS akan mengklasifikasikan server nama sebagai server nama Jenis 1 atau Jenis 2, dan merutekan kueri melalui jaringan VPC yang diizinkan (perutean pribadi).
- Jika server nama alternatif bukan alamat IP RFC 1918, Cloud DNS akan mengklasifikasikan server nama sebagai Jenis 3, dan mengharapkan server nama alternatif dapat diakses dari internet. Cloud DNS merutekan kueri melalui internet (perutean publik).
Pemilihan rute pribadi: Cloud DNS memperlakukan server nama alternatif sebagai Jenis 1 atau Jenis 2. Cloud DNS selalu mengarahkan traffic melalui jaringan VPC yang diotorisasi, terlepas dari alamat IP server nama alternatifnya (RFC 1918 atau tidak).

Alamat IP server nama alternatif yang dilarang

Anda tidak dapat menggunakan alamat IP berikut untuk server nama alternatif Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Persyaratan jaringan server nama alternatif

Persyaratan jaringan untuk server nama alternatif bervariasi berdasarkan jenis server nama alternatif. Untuk menentukan jenis server nama alternatif, lihat Jenis server nama alternatif, metode pemilihan rute, dan alamat. Kemudian, lihat salah satu bagian berikut untuk mengetahui persyaratan jaringan.

Persyaratan jaringan untuk server nama alternatif Jenis 1

Cloud DNS mengirimkan paket yang sumbernya berasal dari rentang alamat IP 35.199.192.0/19 ke alamat IP server nama alternatif Tipe 1. Google Cloud merutekan paket untuk kueri menggunakan rute subnet lokal di jaringan VPC. Pastikan Anda belum membuat rute berbasis kebijakan yang tujuannya menyertakan alamat IP server nama alternatif Jenis 1.

Untuk mengizinkan paket masuk pada VM server nama alternatif, Anda harus membuat izin masuk yang mengizinkan aturan firewall VPC atau aturan dalam kebijakan firewall dengan karakteristik berikut:

Target: harus menyertakan VM server nama alternatif
Sumber: 35.199.192.0/19
Protokol: TCP dan UDP
Port: 53

Cloud DNS mengharuskan setiap server nama alternatif mengirim paket respons kembali ke alamat IP Cloud DNS di 35.199.192.0/19 tempat kueri berasal. Sumber untuk paket respons harus cocok dengan alamat IP server nama alternatif yang menjadi tujuan pengiriman kueri asli Cloud DNS. Cloud DNS mengabaikan respons jika berasal dari sumber alamat IP yang tidak diharapkan—misalnya, alamat IP server nama lain yang mungkin menjadi tujuan server nama alternatif meneruskan kueri.

Saat server nama alternatif Jenis 1 mengirim paket respons ke 35.199.192.0/19, server tersebut bergantung pada rute pengembalian khusus yang ditambahkan Google Cloud ke setiap jaringan VPC.

Persyaratan jaringan untuk server nama alternatif Jenis 2

Cloud DNS mengirimkan paket yang sumbernya berasal dari rentang alamat IP 35.199.192.0/19 ke server nama alternatif Jenis 2. Cloud DNS bergantung pada jenis rute berikut dalam jaringan VPC tempat kebijakan server keluar diterapkan:

Rute statis kecuali untuk rute statis yang hanya berlaku untuk VM dengan tag jaringan
Rute dinamis

Untuk mengizinkan paket masuk pada server nama alternatif Jenis 2, pastikan Anda mengonfigurasi ingress dan mengizinkan aturan firewall yang berlaku untuk server nama alternatif dan peralatan jaringan lokal yang relevan dengan fitur firewall. Konfigurasi firewall yang efektif harus mengizinkan protokol TCP dan UDP dengan sumber port tujuan 53 dan 35.199.192.0/19.

Jaringan lokal Anda harus memiliki rute untuk tujuan 35.199.192.0/19 yang hop berikutnya adalah tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Cloud Router yang berada di jaringan dan region VPC yang sama tempat Cloud DNS mengirimkan kueri. Selama hop berikutnya memenuhi persyaratan jaringan dan region tersebut, Google Cloud tidak memerlukan jalur pengembalian simetris. Respons dari server nama alternatif Jenis 2 tidak dapat dirutekan menggunakan salah satu hop berikutnya berikut:

Hop berikutnya di internet
Hop berikutnya di jaringan VPC yang berbeda dengan jaringan VPC tempat asal kueri
Hop berikutnya di jaringan VPC yang sama tetapi di region yang berbeda dengan region asal kueri

Untuk mengonfigurasi rute 35.199.192.0/19 di jaringan lokal Anda, gunakan mode iklan kustom Cloud Router dan sertakan 35.199.192.0/19 sebagai awalan kustom dalam sesi BGP dari tunnel Cloud VPN yang relevan, lampiran VLAN Cloud Interconnect, atau Cloud Router yang menghubungkan jaringan VPC Anda ke jaringan lokal yang berisi server nama alternatif Jenis 2. Atau, Anda dapat mengonfigurasi rute statis yang setara di jaringan lokal.

Persyaratan jaringan untuk server nama alternatif Jenis 3

Cloud DNS mengirimkan paket yang sumbernya cocok dengan rentang sumber Google Public DNS ke server nama alternatif Jenis 3. Cloud DNS menggunakan perutean publik. Cloud DNS tidak bergantung pada rute apa pun dalam jaringan VPC yang memberlakukan kebijakan server keluar.

Untuk mengizinkan paket masuk pada server nama alternatif Jenis 3, pastikan konfigurasi firewall yang efektif yang berlaku untuk server nama alternatif mengizinkan paket dari rentang sumber Google Public DNS.