Criteri server DNS

Puoi configurare un criterio del server DNS per ogni rete Virtual Private Cloud (VPC). Il criterio può specificare l'inoltro DNS in entrata, l'inoltro DNS in uscita o entrambe. In questa sezione, il criterio del server in entrata si riferisce a un criterio che consente l'inoltro DNS in entrata. Il criterio del server in uscita si riferisce a un possibile metodo per l'implementazione dell'inoltro DNS in uscita. È possibile che un criterio sia sia un criterio del server in entrata che un server in uscita se implementi le funzionalità di entrambi.

Per ulteriori informazioni, consulta Applicazione dei criteri del server Cloud DNS.

Criterio server in entrata

Ogni rete VPC fornisce servizi di risoluzione dei nomi DNS alle VM che lo utilizzano. Quando una VM utilizza il suo server di metadati 169.254.169.254 come server dei nomi, Google Cloud cerca i record DNS in base all'ordine di risoluzione dei nomi.

Per impostazione predefinita, i servizi di risoluzione dei nomi di una rete VPC, tramite il suo ordine di risoluzione dei nomi, sono disponibili solo per quella rete VPC. Puoi creare un criterio del server in entrata nella rete VPC per rendere disponibili questi servizi di risoluzione dei nomi a una rete on-premise connessa tramite Cloud VPN o Cloud Interconnect.

Quando crei un criterio del server in entrata, Cloud DNS prende un indirizzo IP interno dall'intervallo di indirizzi IP principali di ogni subnet utilizzata dalla rete VPC. Ad esempio, se hai una rete VPC che contiene due subnet nella stessa area geografica e una terza in un'altra area geografica, per l'inoltro in entrata viene riservato un totale di tre indirizzi IP. Cloud DNS utilizza questi indirizzi IP interni come punti di contatto per le richieste DNS in entrata.

Punti di contatto per i criteri del server in entrata

Gli indirizzi IP interni a livello di area geografica utilizzati da Cloud DNS per il criterio del server in entrata fungono da punti di ingresso nei servizi di risoluzione dei nomi della rete VPC. Come best practice, il routing a un punto di ingresso del criterio del server in entrata in una regione deve essere gestito dai tunnel Cloud VPN o dai collegamenti di Cloud Interconnect nella stessa regione. Per i tunnel Cloud VPN che utilizzano il routing dinamico e per tutti i collegamenti di Cloud Interconnect, il router Cloud gestisce una sessione BGP, inclusa la pubblicità di indirizzi IP dei punti di ingresso in entrata. Le pubblicità di route predefinite del router Cloud includono gli indirizzi IP dei punti di ingresso in entrata perché i relativi indirizzi IP provengono dalle subnet della rete VPC. Per informazioni dettagliate sulle opzioni per la pubblicità del router Cloud, vedi Modalità di routing dei dati pubblicitari nella documentazione del router Cloud.

Indipendentemente dalla regione del punto di ingresso, Cloud DNS utilizza la regione del tunnel VPN o del collegamento Cloud Interconnect (VLAN) come origine canonica della richiesta. Per ulteriori informazioni, consulta Gestire i criteri di routing DNS.

Per informazioni su come creare i criteri del server della posta in entrata, consulta Creazione di un criterio del server in entrata.

Criterio server in uscita

Puoi modificare l'ordine di risoluzione dei nomi creando un criterio server in uscita che specifichi un elenco di server dei nomi alternativi. Quando specifichi server dei nomi alternativi per una rete VPC, tali server sono gli unici server delle query di Google Cloud quando gestiscono le richieste DNS dalle VM nella tua rete VPC configurate per l'utilizzo dei propri server di metadati (169.254.169.254).

Per informazioni su come creare i criteri server in uscita, consulta Creazione di un criterio server in uscita.

Server dei nomi e metodi di routing alternativi

Cloud DNS supporta tre tipi di server dei nomi alternativi e offre metodi di routing standard o privati per la connettività.

Server dei nomi alternativo Descrizione Routing standard supportato Supporta il routing privato Origine delle richieste
Tipo 1 Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definito il criterio del server in uscita. Solo indirizzi IP RFC 1918: traffico sempre instradato tramite una rete VPC autorizzata. Qualsiasi indirizzo IP interno, ad esempio indirizzo privato RFC 1918, indirizzi IP privati 1918 non RFC o indirizzo IP pubblico riutilizzato privatamente, eccetto un indirizzo IP del server dei nomi alternativo non consentito, sempre instradato tramite una rete VPC autorizzata. 35.199.192.0/19
Tipo 2 Indirizzo IP di un sistema on-premise, collegato alla rete VPC con il criterio del server in uscita, utilizzando Cloud VPN o Cloud Interconnect. Solo indirizzi IP RFC 1918: traffico sempre instradato tramite una rete VPC autorizzata. Qualsiasi indirizzo IP interno, ad esempio indirizzo privato RFC 1918, indirizzi IP privati 1918 non RFC o indirizzo IP pubblico riutilizzato privatamente, eccetto un indirizzo IP del server dei nomi alternativo non consentito, sempre instradato tramite una rete VPC autorizzata. 35.199.192.0/19
Tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile a Internet oppure l'indirizzo IP esterno di una risorsa Google Cloud, ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC. Solo indirizzi IP esterni instradabili da Internet: il traffico viene sempre instradato verso Internet o verso l'indirizzo IP esterno di una risorsa Google Cloud. Il routing privato non è supportato. Intervalli di origine di Google Public DNS

Puoi scegliere uno dei seguenti metodi di routing quando specifichi il server dei nomi alternativo di un criterio del server in uscita:

  • Routing standard: instrada il traffico attraverso una rete VPC autorizzata o su Internet, a seconda che il server dei nomi alternativo sia un indirizzo IP RFC 1918. Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come server dei nomi di Tipo 1 o Tipo 2 e instrada le richieste tramite una rete VPC autorizzata. Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come Tipo 3 e prevede che il server dei nomi sia accessibile a Internet.

  • Routing privato: instrada sempre il traffico attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno). Di conseguenza, sono supportati solo i server dei nomi Type 1 e Type 2.

Per accedere a un server dei nomi alternativo di Tipo 1 o Tipo 2, Cloud DNS utilizza route nella rete VPC autorizzata, dove si trova il client DNS. Queste route definiscono un percorso sicuro al server dei nomi:

Per ulteriori indicazioni sui requisiti di rete per i server dei nomi Type 1 e Type 2, consulta i requisiti di rete dei server dei nomi alternativi.

Indirizzi IP server dei nomi alternativi vietati

Non puoi utilizzare i seguenti indirizzi IP per i server dei nomi alternativi Cloud DNS:

  • 169.254.0.0/16
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 192.88.99.0/24
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 224.0.0.0/4
  • 240.0.0.0/4
  • ::1/128
  • ::/128
  • 2001:db8::/32
  • fe80::/10
  • fec0::/10
  • ff00::/8

Ordine alternativo per la selezione del server dei nomi

Cloud DNS consente di configurare un elenco di server dei nomi alternativi per un criterio del server in uscita.

Quando configuri due o più server dei nomi alternativi, Cloud DNS utilizza un algoritmo interno per selezionare un server dei nomi alternativo. Questo algoritmo classifica ogni server dei nomi alternativo.

Per elaborare una richiesta, Cloud DNS prova innanzitutto una query DNS contattando il server dei nomi alternativo con il ranking più alto. Se questo server non risponde, Cloud DNS ripete la richiesta al successivo server dei nomi alternativo con il ranking più alto. Se nessun server dei nomi alternativo risponde, Cloud DNS sintetizza una risposta SERVFAIL.

L'algoritmo di ranking è automatico e i seguenti fattori aumentano il ranking di un server dei nomi alternativo:

  • Maggiore è il numero di risposte DNS riuscite elaborate dal server dei nomi alternativo. Le risposte DNS riuscite includono le risposte NXDOMAIN.
  • Riduci la latenza (tempo di round trip) per la comunicazione con il server dei nomi alternativo.