Puoi configurare un criterio del server DNS per ogni rete Virtual Private Cloud (VPC). Il criterio può specificare l'inoltro DNS in entrata, l'inoltro DNS in uscita o entrambi. In questa sezione, il criterio del server in entrata si riferisce a un criterio che consente il traffico in entrata Inoltro DNS. I criteri del server in uscita fanno riferimento a un possibile metodo per implementare l'inoltro DNS in uscita. Un criterio può essere sia un criterio del server in entrata e uno del server in uscita, se implementa le caratteristiche di entrambi.
Per ulteriori informazioni, vedi Applicazione dei criteri dei server Cloud DNS.
Criteri del server in entrata
Ogni rete VPC fornisce una risoluzione dei nomi Cloud DNS
alle istanze di macchine virtuali (VM) con un'interfaccia di rete (vNIC)
collegate alla rete VPC. Quando una VM utilizza il proprio server di metadati
169.254.169.254 come server dei nomi, Google Cloud cerca
Risorse Cloud DNS in base al nome della rete VPC
ordine di risoluzione.
Per rendere disponibili i servizi di risoluzione dei nomi di una rete VPC da reti on-premise connesse alla rete VPC utilizzando tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o un'appliance router, puoi utilizzare un criterio del server in entrata.
Quando crei un criterio del server in entrata, Cloud DNS crea i valori in entrata
i punti di ingresso dei criteri del server nella rete VPC a cui
viene applicato il criterio del server. I punti di ingresso dei criteri del server in entrata sono IPv4 interni
provenienti dall'intervallo di indirizzi IPv4 principale di ogni subnet nella
rete VPC applicabile, fatta eccezione per le subnet con specifiche
--purpose, ad esempio subnet solo proxy per determinati bilanciatori del carico e
utilizzate da Cloud NAT per Private NAT.
Ad esempio, se hai una rete VPC che contiene due subnet nella stessa regione e una terza subnet in una regione diversa, un criterio del server in entrata per la rete VPC, Cloud DNS utilizza un totale di tre indirizzi IPv4 come punti di ingresso dei criteri del server in entrata, uno per subnet.
Per informazioni su come creare un criterio del server in entrata per un VPC, consulta Creazione di un server in entrata .
Rete e regione per le query in entrata
Per elaborare le query DNS inviate alla voce del criterio del server in entrata punti, Cloud DNS associa la query a un VPC rete locale e una regione:
La rete VPC associata a una query DNS è che contiene il tunnel Cloud VPN, Collegamento VLAN di Cloud Interconnect o interfaccia di rete dell' L'appliance router che riceve i pacchetti per la query DNS.
Google consiglia di creare un criterio del server in entrata nel VPC che si connette alla rete on-premise. In questo modo, i punti di ingresso dei criteri del server si trovano nello stesso VPC come i tunnel Cloud VPN, VLAN Cloud Interconnect o appliance router che si connettono all'ambiente on-premise in ogni rete.
Una rete on-premise può inviare query al server in entrata ai punti di ingresso dei criteri in una rete VPC diversa, Ad esempio, se la rete VPC contiene tunnel, collegamenti VLAN di Cloud Interconnect Anche le appliance router che si connettono alla rete on-premise a un'altra rete VPC peering di rete VPC. Tuttavia, ti sconsigliamo di utilizzare questo perché la rete VPC associata a DNS query non corrisponde alla rete VPC contenente i dati punti di ingresso ai criteri del server, il che significa che le query DNS non vengono risolte utilizzando le zone private e i criteri di risposta di Cloud DNS Rete VPC contenente il criterio del server in entrata. Da evitare ti consigliamo di seguire questi passaggi di configurazione:
- Creare un criterio del server in entrata nella rete VPC che si connette alla rete on-premise utilizzando i tunnel Cloud VPN, Collegamenti VLAN Cloud Interconnect o appliance router.
- Configura sistemi on-premise per inviare query DNS al server in entrata i punti di accesso ai criteri configurati nel passaggio precedente.
Configura le risorse Cloud DNS autorizzate per una rete VPC che si connette alla rete on-premise. Utilizza uno o più dei seguenti metodi:
- Aggiungi la rete VPC che si connette agli ambienti on-premise rete all'elenco di reti autorizzate per Le zone private di Cloud DNS autorizzate per l'altro Rete VPC: se una rete Cloud DNS privata e alla rete VPC che si connette on-premise si trovano in progetti diversi dello stesso dell'organizzazione, utilizzare l'URL di rete completo quando si autorizza la rete. Per ulteriori informazioni, consulta Configurare più progetti associazione.
- Zone di peering Cloud DNS autorizzata per la rete VPC che si connette rete on-premise. Imposta la rete di destinazione della zona di peering su l'altra rete VPC. Non è importante se le Rete VPC che si connette alla rete on-premise è connesso alla rete VPC di destinazione della zona di peering utilizzando il peering di rete VPC, poiché il peering Cloud DNS non si basano sul peering di rete VPC per la rete e la connettività privata.
La regione associata a una query DNS è sempre quella che contiene Tunnel Cloud VPN, collegamento VLAN di Cloud Interconnect o di rete dell'appliance router che riceve i pacchetti la query DNS, non la regione della subnet contenente il server in entrata il punto di accesso alle norme.
- Ad esempio, se i pacchetti per una query DNS inseriscono un VPC
tramite un tunnel Cloud VPN situato nella regione
us-east1e vengono inviati a un punto di ingresso dei criteri del server in entrata inus-west1regione, la regione associata per la query DNS èus-east1. - Come best practice, invia delle query DNS all'indirizzo IPv4 di un il punto di ingresso dei criteri del server in entrata nella stessa regione Tunnel Cloud VPN, collegamento VLAN di Cloud Interconnect o Appliance router.
- La regione associata a una query DNS è importante se utilizzi la geolocalizzazione i criteri di routing. Per ulteriori informazioni, consulta Gestire Criteri di routing del DNS e integrità controlli.
- Ad esempio, se i pacchetti per una query DNS inseriscono un VPC
tramite un tunnel Cloud VPN situato nella regione
Annuncio di route del punto di ingresso del criterio del server in entrata
Poiché gli indirizzi IP del punto di ingresso dei criteri del server in entrata vengono recuperati di indirizzi IPv4 principali delle subnet, i router Cloud li pubblicizzano Gli indirizzi IP quando la sessione BGP (Border Gateway Protocol) per un tunnel Cloud VPN, Il collegamento VLAN di Cloud Interconnect o l'appliance router è configurato per utilizzare la pubblicità predefinita del router Cloud . Puoi anche configurare una sessione BGP per pubblicizzare la voce del criterio del server in entrata indirizzi IP punti se utilizzi la pubblicità personalizzata del router Cloud in uno dei seguenti modi:
- Pubblichi intervalli di indirizzi IP di subnet oltre ai tuoi prefissi personalizzati.
- Includi gli indirizzi IP del punto di ingresso dei criteri del server in entrata nella annunci con prefisso.
Criteri del server in uscita
Puoi modificare l'ordine di risoluzione dei nomi di Cloud DNS di un
rete VPC creando un criterio del server in uscita che
specifica un elenco di server dei nomi alternativi. Quando una VM utilizza i propri metadati
server 169.254.169.254 come server dei nomi e quando hai specificato
server dei nomi alternativi per una rete VPC, Cloud DNS
invia tutte le query ai server dei nomi alternativi a meno che non vengano
corrisponde a un criterio di risposta con ambito cluster di Google Kubernetes Engine o a GKE
in una zona privata con ambito cluster.
Per informazioni su come creare i criteri del server in uscita, vedi Creazione di un criterio del server in uscita.
Tipi di server dei nomi, metodi di routing e indirizzi alternativi
Cloud DNS supporta tre tipi di server dei nomi alternativi e offre metodi di routing standard o privati per la connettività.
| Tipo di server dei nomi alternativo | Il routing standard supporta | Il routing privato supporta | Intervallo di indirizzi di origine della query |
|---|---|---|---|
Server dei nomi Type 1 Un indirizzo IP interno di un VM Google Cloud nella stessa rete VPC in cui sia definito il criterio del server in uscita. |
Solo indirizzi IP RFC 1918: traffico sempre instradato una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo non RFC 1918 indirizzi IP privati o un indirizzo IP pubblico riutilizzato privatamente, ad eccezione di per un IP alternativo del server dei nomi vietato : il traffico viene sempre indirizzato attraverso un indirizzo rete VPC. | 35.199.192.0/19 |
Server dei nomi Type 2 un indirizzo IP di un sistema on-premise, connesso la rete VPC con il criterio del server in uscita, utilizzando Cloud VPN o Cloud Interconnect. |
Solo indirizzi IP RFC 1918: traffico sempre instradato una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo non RFC 1918 indirizzi IP privati o un indirizzo IP pubblico riutilizzato privatamente, ad eccezione di per un IP alternativo del server dei nomi vietato : il traffico viene sempre indirizzato attraverso un indirizzo rete VPC. | 35.199.192.0/19 |
Server dei nomi Type 3 Un indirizzo IP esterno di un nome DNS accessibile a internet o all'indirizzo IP esterno di un Risorsa Google Cloud, ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC. |
Solo indirizzi IP esterni con routing a internet; traffico sempre instradato a verso internet o all'indirizzo IP esterno di una risorsa Google Cloud. | Il routing privato non è supportato. | Intervalli di origine DNS pubblico di Google |
Cloud DNS offre due metodi di routing per eseguire query su nomi alternativi Server:
Routing standard: Cloud DNS determina il tipo di server dei nomi alternativo utilizzando il proprio indirizzo IP, quindi utilizza routing pubblico:
Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come server dei nomi di Tipo 1 o Tipo 2, e instrada le query attraverso una rete VPC autorizzata (privata routing).
Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS classifica il server dei nomi come Type 3 e si aspetta un server dei nomi alternativo per essere accessibile a internet. Route di Cloud DNS su internet (routing pubblico).
Routing privato: Cloud DNS tratta le un server dei nomi alternativo come Type 1 o Type 2. Cloud DNS instrada sempre il traffico attraverso una rete VPC autorizzata, a prescindere dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno).
Indirizzi IP del server dei nomi alternativi vietati
Non puoi utilizzare i seguenti indirizzi IP per un'alternativa Cloud DNS server dei nomi:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Requisiti di rete dei server dei nomi alternativi
I requisiti di rete per i server dei nomi alternativi variano in base all'alternativa il tipo del server dei nomi. Per determinare il tipo di server dei nomi alternativo, consulta Tipi di server dei nomi, metodi di routing e indirizzi alternativi. Quindi, fai riferimento a una delle seguenti sezioni per i requisiti di rete.
Requisiti di rete per i server dei nomi alternativi di Tipo 1
Cloud DNS invia pacchetti le cui origini provengono dall'IP 35.199.192.0/19
di indirizzi all'indirizzo IP alternativo del server dei nomi di tipo 1.
Google Cloud instrada i pacchetti per le query utilizzando route di subnet locali
rete VPC. Assicurati di non aver creato contenuti basati su criteri
route le cui destinazioni includono il Tipo 1
indirizzi IP alternativi dei server dei nomi.
Per consentire i pacchetti in entrata su VM alternative del server dei nomi, devi creare di autorizzazione in entrata per le regole firewall VPC nei criteri firewall con le seguenti caratteristiche:
- Destinazioni: devono includere le VM alternative del server dei nomi
- Fonti:
35.199.192.0/19 - Protocolli:
TCPeUDP - Porta:
53
Cloud DNS richiede che ogni server dei nomi alternativo invii una risposta
di pacchetti all'indirizzo IP di Cloud DNS in 35.199.192.0/19 da
da cui ha avuto origine la query. L'origine dei pacchetti di risposta deve corrispondere all'IP
indirizzo del server dei nomi alternativo a cui Cloud DNS invia
alla query originale. Cloud DNS ignora le risposte se provengono da un
origine indirizzo IP imprevista, ad esempio l'indirizzo IP di un altro nome
server a cui un server dei nomi alternativo può inoltrare una query.
Quando un server dei nomi alternativo di Tipo 1 invia pacchetti di risposta a
35.199.192.0/19, utilizza un percorso di routing speciale.
Requisiti di rete per i server dei nomi alternativi di Tipo 2
Cloud DNS invia pacchetti le cui origini provengono dall'IP 35.199.192.0/19
di indirizzi ai server dei nomi alternativi di tipo Tipo 2. Cloud DNS si basa su
i seguenti tipi di route all'interno della rete VPC a cui
si applica il criterio del server in uscita:
- Route statiche tranne di route statiche applicabili solo alle VM per tag di rete
- Route dinamiche
Per consentire i pacchetti in entrata sui server dei nomi alternativi di Tipo 2, assicurati che:
configuri le regole firewall di autorizzazione in entrata applicabili
server dei nomi alternativi e qualsiasi apparecchiatura di rete in loco con
funzionalità firewall. La configurazione del firewall effettiva deve consentire sia TCP
e UDP con la porta di destinazione 53 e 35.199.192.0/19.
Cloud DNS richiede che ogni server dei nomi alternativo invii una risposta
di pacchetti all'indirizzo IP di Cloud DNS in 35.199.192.0/19 da
da cui ha avuto origine la query. L'origine dei pacchetti di risposta deve corrispondere all'IP
indirizzo del server dei nomi alternativo a cui Cloud DNS invia
alla query originale. Cloud DNS ignora le risposte se provengono da un
origine indirizzo IP imprevista, ad esempio l'indirizzo IP di un altro nome
server a cui un server dei nomi alternativo può inoltrare una query.
La rete on-premise deve avere route per la destinazione 35.199.192.0/19
i cui hop successivi sono tunnel Cloud VPN e VLAN Cloud Interconnect
o router Cloud situati nello stesso VPC
la rete e la regione da cui
Cloud DNS invia la query. Purché
hop successivi soddisfano questi requisiti di rete e regione, Google Cloud
richiedono un percorso di ritorno simmetrico. Risposte dal nome alternativo di tipo 2
i server non possono essere instradati utilizzando uno dei seguenti hop successivi:
- Passaggi successivi su internet
- Hop successivi in una rete VPC diversa dalla Rete VPC da cui hanno avuto origine le query
- Hop successivi nella stessa rete VPC ma in una regione diversa dalla regione in cui hanno avuto origine le query
Per configurare le route 35.199.192.0/19 nella tua rete on-premise, utilizza il
Annuncio personalizzato di router Cloud
e includi 35.199.192.0/19 come prefisso personalizzato nelle sessioni BGP del
tunnel Cloud VPN pertinenti, VLAN Cloud Interconnect
o router Cloud che connettono il tuo VPC
alla rete on-premise che contiene il nome alternativo di Tipo 2.
o server web. In alternativa, puoi configurare route statiche equivalenti nel
on-premise.
Requisiti di rete per i server dei nomi alternativi di Tipo 3
Cloud DNS invia pacchetti le cui origini corrispondono a Google Public DNS intervalli di origine Server dei nomi alternativi Digita 3. Cloud DNS utilizza il routing pubblico: Non si basa su alcuna route all'interno della rete VPC per a cui si applica il criterio del server in uscita.
Per consentire i pacchetti in entrata sui server dei nomi alternativi di Tipo 3, assicurati che: la configurazione firewall effettiva applicabile al nome alternativo Il server consente i pacchetti dagli intervalli di origine del DNS pubblico di Google.