Un criterio del server DNS consente di configurare i server DNS da utilizzare per la risoluzione dei nomi di dominio per le tue risorse Google Cloud . Puoi utilizzare i criteri del server DNS per controllare la risoluzione DNS all'interno di una rete Virtual Private Cloud (VPC) specifica. Un criterio del server DNS specifica l'inoltro DNS in entrata, l'inoltro DNS in uscita o entrambi. Un criterio del server DNS in entrata consente l'inoltro DNS in entrata, mentre un criterio del server DNS in uscita è un modo per implementare l'inoltro DNS in uscita.
Puoi anche configurare DNS64 per consentire alle istanze VM solo IPv6 di comunicare con destinazioni solo IPv4.
Le subnet VPC solo IPv6 non supportano i criteri del server DNS in entrata. Tuttavia, puoi configurare criteri del server DNS in uscita per le istanze VM solo IPv6.
Criteri server in entrata
Ogni rete VPC fornisce servizi di risoluzione dei nomi Cloud DNS alle istanze di macchine virtuali (VM) a cui è collegata un'interfaccia di rete (vNIC). Quando una VM utilizza il server dei metadati
169.254.169.254
come server dei nomi, Google Cloud cerca le risorse
Cloud DNS in base all'ordine di risoluzione dei nomi della rete VPC.
Per rendere disponibili i servizi di risoluzione dei nomi di una rete VPC alle reti on-premise connesse alla rete VPC utilizzando tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o appliance router, puoi utilizzare un criterio del server in entrata.
Quando crei una policy del server in entrata, Cloud DNS crea punti di ingresso della policy del server in entrata nella rete VPC a cui viene applicata la policy del server. I punti di ingresso dei criteri del server in entrata sono indirizzi IPv4 interni provenienti dall'intervallo di indirizzi IPv4 principale di ogni subnet nella rete VPC applicabile, ad eccezione delle subnet con dati --purpose
specifici, come le subnet solo proxy per determinati bilanciatori del carico e le subnet utilizzate da Cloud NAT per NAT privato.
Ad esempio, se hai una rete VPC che contiene due subnet nella stessa regione e una terza subnet in una regione diversa, quando configuri una policy del server in entrata per la rete VPC, Cloud DNS utilizza un totale di tre indirizzi IPv4 come punti di ingresso della policy del server in entrata, uno per subnet.
Per informazioni su come creare una policy del server in entrata per un VPC, consulta Creare una policy del server in entrata.
Rete e regione per le query in entrata
Per elaborare le query DNS inviate ai punti di ingresso dei criteri del server in entrata, Cloud DNS associa la query a una rete VPC e a una regione:
La rete VPC associata a una query DNS è la rete VPC che contiene il tunnel Cloud VPN, il collegamento VLAN Cloud Interconnect o l'interfaccia di rete dell'appliance router che riceve i pacchetti per la query DNS.
Google consiglia di creare un criterio del server in entrata nella rete VPC che si connette alla rete on-premise. In questo modo, i punti di ingresso della policy del server in entrata si trovano nella stessa rete VPC dei tunnel Cloud VPN, dei collegamenti VLAN di Cloud Interconnect o delle appliance router che si connettono alla rete on-premise.
È possibile che una rete on-premise invii query ai punti di ingresso dei criteri del server in entrata in una rete VPC diversa, ad esempio se la rete VPC contenente i tunnel Cloud VPN, i collegamenti VLAN di Cloud Interconnect o le appliance router che si connettono alla rete on-premise è connessa anche a una rete VPC diversa tramite il peering di rete VPC. Tuttavia, non consigliamo di utilizzare questa configurazione perché la rete VPC associata per le query DNS non corrisponde alla rete VPC contenente i punti di ingresso dei criteri del server in entrata, il che significa che le query DNS non vengono risolte utilizzando le zone private e i criteri di risposta Cloud DNS nella rete VPC contenente i criteri del server in entrata. Per evitare confusione, ti consigliamo invece di seguire questi passaggi di configurazione:
- Crea un criterio del server in entrata nella rete VPC che si connette alla rete on-premise utilizzando tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o appliance router.
- Configura i sistemi on-premise per inviare query DNS ai punti di ingresso dei criteri del server in entrata configurati nel passaggio precedente.
Configura le risorse Cloud DNS autorizzate per la rete VPC che si connette alla rete on-premise. Utilizza uno o più dei seguenti metodi:
- Aggiungi la rete VPC che si connette alla rete on-premise all'elenco delle reti autorizzate per le zone private Cloud DNS autorizzate per l'altra rete VPC: se una zona privata Cloud DNS e la rete VPC che si connette alla rete on-premise si trovano in progetti diversi della stessa organizzazione, utilizza l'URL di rete completo quando autorizzi la rete. Per saperne di più, vedi Configurare il binding tra progetti.
- Zone di peering Cloud DNS autorizzate per la rete VPC che si connette alla rete on-premise: imposta la rete di destinazione della zona di peering sull'altra rete VPC. Non importa se la rete VPC che si connette alla rete on-premise è connessa alla rete VPC di destinazione della zona di peering utilizzando il peering di rete VPC, perché le zone di peering Cloud DNS non si basano sul peering di rete VPC per la connettività di rete.
Se una rete on-premise invia query a un criterio del server in entrata utilizzando il peering di rete VPC, la rete con il criterio del server in entrata deve contenere una VM, un collegamento VLAN o un tunnel Cloud VPN che si trova nella stessa regione delle query in entrata.
La regione associata a una query DNS è sempre la regione che contiene il tunnel Cloud VPN, il collegamento VLAN Cloud Interconnect o l'interfaccia di rete dell'appliance router che riceve i pacchetti per la query DNS, non la regione della subnet contenente il punto di ingresso del criterio del server in entrata.
- Ad esempio, se i pacchetti per una query DNS entrano in una rete VPC utilizzando un tunnel Cloud VPN che si trova nella regione
us-east1
e vengono inviati a un punto di ingresso della policy del server in entrata nella regioneus-west1
, la regione associata alla query DNS èus-east1
. - Come best practice, invia le query DNS all'indirizzo IPv4 di un punto di ingresso della policy del server in entrata nella stessa regione del tunnel Cloud VPN, del collegamento VLAN Cloud Interconnect o dell'appliance router.
- La regione associata a una query DNS è importante se utilizzi criteri di routing di geolocalizzazione. Per ulteriori informazioni, consulta Gestire le policy di routing DNS e i controlli di integrità.
- Ad esempio, se i pacchetti per una query DNS entrano in una rete VPC utilizzando un tunnel Cloud VPN che si trova nella regione
Annuncio di route del punto di accesso dei criteri del server in entrata
Poiché gli indirizzi IP del punto di ingresso dei criteri del server in entrata vengono presi dagli intervalli di indirizzi IPv4 principali delle subnet, i router Cloud pubblicizzano questi indirizzi IP quando la sessione BGP (Border Gateway Protocol) per un tunnel Cloud VPN, un collegamento VLAN Cloud Interconnect o un'appliance router è configurata per utilizzare la modalità di pubblicità predefinita del router Cloud. Puoi anche configurare una sessione BGP per annunciare gli indirizzi IP del punto di ingresso dei criteri del server in entrata se utilizzi la modalità di annuncio personalizzato del router Cloud in uno dei seguenti modi:
- Pubblichi gli intervalli di indirizzi IP della subnet oltre ai prefissi personalizzati.
- Includi gli indirizzi IP del punto di ingresso delle norme del server in entrata nelle tue pubblicità di prefisso personalizzate.
Criteri server in uscita
Puoi modificare l'ordine di risoluzione dei nomi Cloud DNS di una rete VPC creando una policy del server in uscita che specifica un elenco di server dei nomi alternativi. Quando una VM utilizza il server di metadati 169.254.169.254
come server dei nomi e quando hai specificato server dei nomi alternativi per una rete VPC, Cloud DNS invia tutte le query ai server dei nomi alternativi a meno che le query non corrispondano a una policy di risposta con ambito cluster Google Kubernetes Engine o a una zona privata con ambito cluster GKE.
Tipi, metodi di routing e indirizzi di server dei nomi alternativi
Cloud DNS supporta i seguenti server dei nomi alternativi e offre metodi di routing standard o privati per la connettività.
Tipo di server dei nomi alternativo | Supporto del routing standard | Il routing privato supporta | Intervallo di indirizzi di origine della query |
---|---|---|---|
Server dei nomi di tipo 1 Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definita la policy del server in uscita. |
Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata. | 35.199.192.0/19 |
Server dei nomi di tipo 2 Un indirizzo IP di un sistema on-premise, connesso alla rete VPC con il criterio del server in uscita, utilizzando Cloud VPN o Cloud Interconnect. |
Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata. | 35.199.192.0/19 |
Server dei nomi di tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile a internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC. |
Solo indirizzi IP esterni instradabili su internet: il traffico viene sempre instradato a internet o all'indirizzo IP esterno di una risorsa Google Cloud . | Il routing privato non è supportato. | Intervalli di origine di Google Public DNS |
Cloud DNS offre due metodi di routing per l'interrogazione di server dei nomi alternativi:
Routing standard. Cloud DNS determina il tipo di serverdei nomi alternativo utilizzando il relativo indirizzo IP, quindi utilizza il routing privato o pubblico:
- Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS lo classifica come server dei nomi di tipo 1 o tipo 2 e instrada le query tramite una rete VPC autorizzata (routing privato).
- Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS lo classifica come Tipo 3 e prevede che il server dei nomi alternativo sia accessibile a internet. Cloud DNS instrada le query su internet (routing pubblico).
Routing privato. Cloud DNS considera il server dei nomi alternativo di Tipo 1 o Tipo 2. Cloud DNS instrada sempre il traffico attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno).
Indirizzi IP dei server dei nomi alternativi vietati
Non puoi utilizzare i seguenti indirizzi IP per i server dei nomi alternativi di Cloud DNS:
169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8
Requisiti di rete per i server dei nomi alternativi
I requisiti di rete per i nameserver alternativi variano in base al tipo di nameserver alternativo. Per determinare il tipo di un server dei nomi alternativo, vedi Tipi, metodi di routing e indirizzi di server dei nomi alternativi. Per i requisiti di rete, consulta una delle sezioni seguenti.
Requisiti di rete per i server dei nomi alternativi di tipo 1
Cloud DNS invia pacchetti le cui origini provengono dall'intervallo di indirizzi IP 35.199.192.0/19
all'indirizzo IP del server dei nomi alternativo di tipo 1.Google Cloud instrada i pacchetti per le query utilizzando le route di subnet locali nella rete VPC. Assicurati di non aver creato route basate su policy le cui destinazioni includono indirizzi IP del server dei nomi alternativi di tipo 1.
Per consentire i pacchetti in entrata sulle VM del server dei nomi alternativo, devi creare regole firewall VPC in entrata consentite o regole nelle policy firewall con le seguenti caratteristiche:
- Target: devono includere le VM del server dei nomi alternativo
- Fonti:
35.199.192.0/19
- Protocolli:
TCP
eUDP
- Porta:
53
Cloud DNS richiede che ogni server dei nomi alternativo invii pacchetti di risposta all'indirizzo IP di Cloud DNS in 35.199.192.0/19
da cui ha avuto origine la query. Le origini dei pacchetti di risposta devono corrispondere all'indirizzo IP del server dei nomi alternativo a cui Cloud DNS invia la query originale. Cloud DNS ignora le risposte se provengono da un'origine
di indirizzi IP imprevista, ad esempio l'indirizzo IP di un altro server dei nomi a cui un server dei nomi alternativo potrebbe inoltrare una query.
Quando un server dei nomi alternativo di tipo 1 invia pacchetti di risposta a
35.199.192.0/19
, utilizza un percorso di routing speciale.
Requisiti di rete per i server dei nomi alternativi di tipo 2
Cloud DNS invia pacchetti le cui origini provengono dall'intervallo di indirizzi IP 35.199.192.0/19
ai server dei nomi alternativi di tipo 2. Cloud DNS si basa sui seguenti tipi di route all'interno della rete VPC a cui si applica il criterio del server in uscita:
- Route statiche ad eccezione di quelle che si applicano solo alle VM in base al tag di rete
- Route dinamiche
Per consentire i pacchetti in entrata sui server dei nomi alternativi di tipo 2, assicurati di configurare le regole firewall di autorizzazione in entrata applicabili ai server dei nomi alternativi e a qualsiasi apparecchiatura di rete on-premise pertinente con funzionalità firewall. La configurazione firewall effettiva deve consentire i protocolli TCP
e UDP
con porta di destinazione 53
e origini 35.199.192.0/19
.
Cloud DNS richiede che ogni server dei nomi alternativo invii pacchetti di risposta all'indirizzo IP di Cloud DNS in 35.199.192.0/19
da cui ha avuto origine la query. Le origini dei pacchetti di risposta devono corrispondere all'indirizzo IP del server dei nomi alternativo a cui Cloud DNS invia la query originale. Cloud DNS ignora le risposte se provengono da un'origine
di indirizzi IP imprevista, ad esempio l'indirizzo IP di un altro server dei nomi a cui un server dei nomi alternativo potrebbe inoltrare una query.
La tua rete on-premise deve avere route per la destinazione 35.199.192.0/19
i cui hop successivi sono tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o Cloud Router situati nella stessa rete VPC e nella stessa regione da cui Cloud DNS invia la query. Finché gli
hop successivi soddisfano i requisiti di rete e regione, Google Cloud non
richiede un percorso di ritorno simmetrico. Le risposte dei server dei nomi alternativi di tipo 2 non possono essere instradate utilizzando uno dei seguenti hop successivi:
- Hop successivi su internet
- Hop successivi in una rete VPC diversa da quella in cui sono state originate le query
- Hop successivi nella stessa rete VPC, ma in una regione diversa da quella in cui sono state originate le query
Per configurare le route 35.199.192.0/19
nella tua rete on-premise, utilizza la
modalità annuncio personalizzato di Cloud Router
e includi 35.199.192.0/19
come prefisso personalizzato nelle sessioni BGP dei
tunnel Cloud VPN, dei collegamenti VLAN Cloud Interconnect o dei router Cloud che connettono la tua rete VPC
alla rete on-premise che contiene il server dei nomi alternativo Tipo 2. In alternativa, puoi configurare route statiche equivalenti nella tua rete on-premise.
Requisiti di rete per i server dei nomi alternativi di tipo 3
Cloud DNS invia pacchetti le cui origini corrispondono agli intervalli di origine di Google Public DNS ai server dei nomi alternativi di tipo 3. Cloud DNS utilizza il routing pubblico, ovvero non si basa su route all'interno della rete VPC a cui si applicano i criteri del server in uscita.
Per consentire i pacchetti in entrata sui server dei nomi alternativi di tipo 3, assicurati che la configurazione firewall effettiva applicabile al server dei nomi alternativo consenta i pacchetti dagli intervalli di origine di Google Public DNS.
Passaggi successivi
- Per configurare e applicare le policy del server DNS, consulta Applica le policy del server DNS.