Puoi configurare un criterio del server DNS per ogni rete Virtual Private Cloud (VPC). Il criterio può specificare l'inoltro DNS in entrata, l'inoltro DNS in uscita o entrambi. In questa sezione, un criterio del server in entrata si riferisce a un criterio che consente l'inoltro DNS in entrata. Criterio del server in uscita si riferisce a un possibile metodo per l'implementazione dell'inoltro DNS in uscita. È possibile che un criterio sia sia un criterio del server in entrata che un criterio del server in uscita se implementi le funzionalità di entrambi.
Per ulteriori informazioni, consulta Applicazione dei criteri server di Cloud DNS.
Criterio del server in entrata
Ogni rete VPC fornisce servizi di risoluzione dei nomi DNS alle VM che lo utilizzano. Quando una VM utilizza il suo server di metadati 169.254.169.254 come server dei nomi, Google Cloud cerca i record DNS in base all'ordine di risoluzione dei nomi.
Per impostazione predefinita, i servizi di risoluzione dei nomi di una rete VPC, tramite il suo ordine di risoluzione dei nomi, sono disponibili solo per quella rete VPC stessa. Puoi creare un criterio del server in entrata nella rete VPC per rendere disponibili questi servizi di risoluzione dei nomi su una rete on-premise connessa tramite Cloud VPN o Cloud Interconnect.
Quando crei un criterio del server in entrata, Cloud DNS acquisisce un indirizzo IP interno dall'intervallo di indirizzi IP principali di ogni subnet utilizzata dalla rete VPC. Ad esempio, se hai una rete VPC che contiene due subnet nella stessa area geografica e una terza subnet in un'altra area geografica, un totale di tre indirizzi IP è riservato per l'inoltro in entrata. Cloud DNS utilizza questi indirizzi IP interni come punti di contatto per le richieste DNS in entrata.
Punti di ingresso per i criteri del server in entrata
Gli indirizzi IP interni a livello di area geografica utilizzati da Cloud DNS per il criterio del server in entrata fungono da punti di accesso ai servizi di risoluzione dei nomi della rete VPC. Come best practice, il routing a un punto di ingresso del criterio del server in entrata in una regione deve essere gestito dai tunnel Cloud VPN o dai collegamenti di Cloud Interconnect nella stessa regione. Per i tunnel Cloud VPN che utilizzano il routing dinamico e per tutti i collegamenti di Cloud Interconnect, il router Cloud gestisce una sessione BGP, inclusa la pubblicità degli indirizzi IP del punto di ingresso in entrata. Gli annunci di route predefiniti del router Cloud includono indirizzi IP con punti di ingresso in entrata perché i rispettivi indirizzi IP provengono dalle subnet della rete VPC. Per informazioni dettagliate sulle opzioni pubblicitarie del router Cloud, consulta Modalità di routing del routing nella documentazione del router Cloud.
Indipendentemente dalla regione del punto di ingresso, Cloud DNS utilizza la regione del tunnel VPN o del collegamento Cloud Interconnect (VLAN) come origine canonica per la richiesta. Per ulteriori informazioni, consulta la pagina Gestire i criteri di routing DNS.
Per informazioni su come creare i criteri del server in entrata, consulta la pagina Creare un criterio server in entrata.
Criterio del server in uscita
Puoi modificare l'ordine di risoluzione dei nomi creando un criterio del server in uscita che specifichi un elenco di server dei nomi alternativi. Quando specifichi server dei nomi alternativi per una rete VPC, questi sono gli unici server dei nomi su cui Google Cloud esegue query quando gestisce le richieste DNS delle VM nella tua rete VPC configurate per l'utilizzo dei propri server di metadati (169.254.169.254).
Per informazioni su come creare i criteri del server in uscita, consulta Creazione di un criterio del server in uscita.
Server dei nomi e metodi di routing alternativi
Cloud DNS supporta tre tipi di server dei nomi alternativi e offre metodi di routing standard o privati per la connettività.
| Server dei nomi alternativo | Descrizione | Supporto del routing standard | Supporto del routing privato | Origine delle richieste |
|---|---|---|---|---|
| Tipo 1 | Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definito il criterio del server in uscita. | Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP pubblico privato riutilizzato, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico sempre instradato tramite una rete VPC autorizzata. | 35.199.192.0/19 |
| Tipo 2 | Un indirizzo IP di un sistema on-premise, connesso alla rete VPC con il criterio del server in uscita, utilizzando Cloud VPN o Cloud Interconnect. | Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP pubblico privato riutilizzato, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico sempre instradato tramite una rete VPC autorizzata. | 35.199.192.0/19 |
| Tipo 3 | Un indirizzo IP esterno di un server dei nomi DNS accessibile su Internet oppure l'indirizzo IP esterno di una risorsa Google Cloud, ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC. | Solo indirizzi IP esterni instradabili a Internet: traffico sempre instradato a Internet o all'indirizzo IP esterno di una risorsa Google Cloud. | Il routing privato non è supportato. | Intervalli di origine di Google Public DNS |
Puoi scegliere uno dei seguenti metodi di routing quando specifichi il server dei nomi alternativo di un criterio del server in uscita:
Routing standard: instrada il traffico attraverso una rete VPC autorizzata o su Internet, a seconda che il server dei nomi alternativo sia un indirizzo IP RFC 1918. Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come server dei nomi Tipo 1 o Tipo 2 e instrada le richieste tramite una rete VPC autorizzata. Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come Tipo 3 e si aspetta che il server dei nomi sia accessibile a Internet.
Routing privato: indirizza sempre il traffico attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno). Di conseguenza, sono supportati solo i server dei nomi Tipo 1 e Tipo 2.
Per accedere a un server dei nomi alternativo Tipo 1 o Tipo 2, Cloud DNS utilizza route nella rete VPC autorizzata, dove si trova il client DNS. Queste route definiscono un percorso sicuro al server dei nomi:
Cloud DNS utilizza route subnet create automaticamente per inviare traffico ai server dei nomi alternativi Type 1. I server dei nomi Tipo 1 utilizzano una speciale route di ritorno per le risposte Cloud DNS per rispondere .
Cloud DNS può utilizzare route dinamiche dinamiche o route statiche personalizzate, ad eccezione di route statiche personalizzate con tag di rete, per inviare il traffico ai server dei nomi alternativi Tipo 2. I server dei nomi di tipo 2 utilizzano route nella tua rete on-premise per rispondere.
Per ulteriori indicazioni sui requisiti di rete per i server dei nomi Tipo 1 e Tipo 2, consulta i requisiti di rete dei server dei nomi alternativi.
Indirizzi IP server dei nomi alternativi vietati
Non puoi utilizzare i seguenti indirizzi IP per i server dei nomi alternativi di Cloud DNS:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Ordine di selezione del server dei nomi alternativo
Cloud DNS consente di configurare un elenco di server dei nomi alternativi per un criterio del server in uscita.
Quando configuri due o più server dei nomi alternativi, Cloud DNS utilizza un algoritmo interno per selezionare un server dei nomi alternativo. Questo algoritmo classifica ogni server dei nomi alternativo.
Per elaborare una richiesta, Cloud DNS prova innanzitutto a eseguire una query DNS contattando il server dei nomi alternativo con il ranking più alto. Se questo server non risponde, Cloud DNS ripete la richiesta al successivo server dei nomi alternativo con il ranking più alto. Se nessun server dei nomi alternativo risponde, Cloud DNS sintetizza una risposta SERVFAIL.
L'algoritmo di ranking è automatico e i seguenti fattori aumentano il ranking di un server dei nomi alternativo:
- Maggiore è il numero di risposte DNS riuscite elaborate dal server dei nomi alternativo. Le risposte DNS riuscite includono le risposte NXDOMAIN.
- Riduci la latenza (tempo di round trip) per la comunicazione con il server dei nomi alternativo.