Criteri server DNS

Puoi configurare un criterio server DNS per ogni rete VPC (Virtual Private Cloud). Il criterio può specificare l'inoltro DNS in entrata, l'inoltro DNS in uscita o entrambi. In questa sezione, il criterio del server in entrata si riferisce a un criterio che consente l'inoltro DNS in entrata. Il criterio del server in uscita fa riferimento a un possibile metodo per implementare l'inoltro DNS in uscita. Un criterio può essere sia un criterio del server in entrata sia un criterio del server in uscita che implementa le funzionalità di entrambi.

Per ulteriori informazioni, consulta la sezione Applicare i criteri del server Cloud DNS.

Criterio server in entrata

Ogni rete VPC fornisce servizi di risoluzione dei nomi DNS alle VM che la utilizzano. Quando una VM utilizza il suo server di metadati 169.254.169.254 come server dei nomi, Google Cloud cerca i record DNS in base all'ordine di risoluzione dei nomi.

Per impostazione predefinita, i servizi di risoluzione dei nomi di una rete VPC tramite l'ordine di risoluzione dei nomi sono disponibili solo per la rete VPC stessa. Puoi creare un criterio del server in entrata nella tua rete VPC per rendere disponibili questi servizi di risoluzione dei nomi a una rete on-premise connessa tramite Cloud VPN o Cloud Interconnect.

Quando crei un criterio del server in entrata, Cloud DNS utilizza un indirizzo IP interno dall'intervallo di indirizzi IP principali di ciascuna subnet utilizzata dalla rete VPC. Ad esempio, se hai una rete VPC contenente due subnet nella stessa area geografica e una terza subnet in un'area geografica diversa, un totale di tre indirizzi IP è riservato all'inoltro in entrata. Cloud DNS utilizza questi indirizzi IP interni come punti di ingresso per le richieste DNS in entrata.

Punti di ingresso dei criteri del server in entrata

Gli indirizzi IP interni a livello di area geografica utilizzati da Cloud DNS per il criterio del server in entrata fungono da punti di accesso nei servizi di risoluzione dei nomi della rete VPC. Come best practice, il routing a un punto di ingresso al criterio del server in entrata in un'area geografica deve essere gestito da tunnel Cloud VPN o collegamenti di Cloud Interconnect nella stessa area geografica. Per i tunnel Cloud VPN che utilizzano il routing dinamico e per tutti i collegamenti di Cloud Interconnect, il router Cloud gestisce una sessione BGP, inclusa la pubblicità di indirizzi IP dei punti di ingresso in entrata. Gli annunci di route predefiniti del router Cloud includono indirizzi IP dei punti di ingresso in entrata perché i rispettivi indirizzi IP provengono dalle subnet della rete VPC. Per informazioni dettagliate sulle opzioni di pubblicità del router Cloud, consulta la sezione Modalità di pubblicità route nella documentazione del router Cloud.

Indipendentemente dall'area geografica del punto di ingresso, Cloud DNS utilizza l'area geografica del tunnel VPN o del collegamento di Cloud Interconnect (VLAN) come origine canonica della richiesta. Per ulteriori informazioni, consulta la pagina Gestire i criteri di routing DNS.

Per informazioni su come creare criteri per i server in entrata, vedi Creazione di criteri per i server in entrata.

Criteri per i server in uscita

Puoi modificare l'ordine di risoluzione dei nomi creando un criterio server in uscita che specifichi un elenco di server dei nomi alternativi. Se specifichi server dei nomi alternativi per una rete VPC, tali server sono solo i server dei nomi su cui Google Cloud esegue le query durante la gestione delle richieste DNS dalle VM nella rete VPC configurate per l'utilizzo dei server di metadati (169.254.169.254).

Per informazioni su come creare criteri per i server in uscita, consulta la pagina relativa alla creazione di un criterio per i server in uscita.

Server dei nomi e metodi di routing alternativi

Cloud DNS supporta tre tipi di server dei nomi alternativi e offre metodi di routing standard e privato per instradarli al traffico.

I server dei nomi alternativi sono definiti nella tabella seguente.

Server dei nomi alternativi Descrizione Supporta routing standard Supporta routing privato Origine delle richieste
Tipo 1 Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definito il criterio del server in uscita. Solo indirizzi IP RFC 1918. Il traffico viene sempre instradato attraverso una rete VPC autorizzata. Qualsiasi indirizzo IP interno, inclusi gli indirizzi IP privati non RFC 1918 e indirizzi IP pubblici riutilizzati privatamente: il traffico viene sempre instradato attraverso una rete VPC autorizzata. 35.199.192.0/19
Tipo 2 Un indirizzo IP di un sistema on-premise, connesso alla rete VPC con il criterio del server in uscita, utilizzando Cloud VPN o Cloud Interconnect. Solo indirizzi IP RFC 1918. Il traffico viene sempre instradato attraverso una rete VPC autorizzata. Qualsiasi indirizzo IP interno, inclusi gli indirizzi IP privati non RFC 1918 e indirizzi IP pubblici riutilizzati privatamente: il traffico viene sempre instradato attraverso una rete VPC autorizzata. 35.199.192.0/19
Tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile a Internet o l'indirizzo IP esterno di una risorsa Google Cloud; ad esempio, l'indirizzo IP esterno di una VM in un'altra rete VPC. Solo indirizzi IP esterni instradabili da Internet: traffico sempre indirizzato a Internet o all'indirizzo IP esterno di una risorsa Google Cloud. Il routing privato non è supportato. Intervalli di origine di Google Public DNS

Puoi scegliere uno dei seguenti metodi di routing quando specifichi il server dei nomi alternativi di un criterio del server in uscita:

  • Routing standard: instrada il traffico attraverso una rete VPC autorizzata o tramite Internet a seconda che il server dei nomi alternativo sia un indirizzo IP RFC 1918. Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come server dei nomi Tipo 1 o Tipo 2 e instrada le richieste tramite una rete VPC autorizzata. Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come Tipo 3 e prevede che il server dei nomi sia accessibile a Internet.

  • Routing privato: instrada sempre il traffico attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno). Di conseguenza, sono supportati solo i server dei nomi di tipo 1 e tipo 2.

Per accedere a un server dei nomi alternativo di tipo 1 o tipo 2, Cloud DNS utilizza route nella rete VPC autorizzata, in cui si trova il client DNS. Questi percorsi definiscono un percorso sicuro per il server dei nomi:

Per ulteriori linee guida sui requisiti di rete per i server dei nomi di tipo 1 e tipo 2, consulta i requisiti di rete del server dei nomi alternativi.

Ordine di selezione server dei nomi alternativo

Cloud DNS consente di configurare un elenco di server dei nomi alternativi per un criterio del server in uscita e un elenco di destinazioni di forwarding per una zona di forwarding.

Nel caso di più server dei nomi alternativi, Cloud DNS utilizza un algoritmo interno per selezionare un server dei nomi alternativo. Questo algoritmo classifica ogni server dei nomi alternativo.

Per elaborare una richiesta, Cloud DNS tenta innanzitutto di eseguire una query DNS contattando il server dei nomi alternativo con il ranking più elevato. Se tale server non risponde, Cloud DNS ripete la richiesta al successivo server dei nomi alternativo con il ranking più alto. Se il server dei nomi alternativo non risponde, Cloud DNS sintetizza una risposta SERVFAIL.

L'algoritmo di ranking è automatico e i seguenti fattori aumentano il ranking di un server dei nomi alternativo:

  • Maggiore è il numero di risposte DNS riuscite elaborate dal server dei nomi alternativi. Le risposte DNS corrette includono le risposte NXDOMAIN.
  • Abbassa la latenza (tempo di round trip) per comunicare con il server dei nomi alternativo.