Políticas do servidor DNS

É possível configurar uma política de servidor DNS para cada rede de nuvem privada virtual (VPC). A política pode especificar encaminhamento de DNS de entrada, encaminhamento de DNS de saída ou ambos. Nesta seção, a política de servidor de entrada se refere a uma política que permite o encaminhamento do DNS de entrada. Política do servidor de saída refere-se a um método possível para implementar o encaminhamento de DNS de saída. É possível que uma política seja de servidor de entrada e de servidor de saída se os recursos de ambas forem implementados.

Para mais informações, consulte Como aplicar políticas de servidor do Cloud DNS.

Política do servidor de entrada

Cada rede VPC fornece serviços de resolução de nome DNS para as VMs que a utilizam. Quando uma VM usa o servidor de metadados, 169.254.169.254, como servidor de nomes, o Google Cloud procura registros DNS de acordo com a ordem de resolução de nome.

Por padrão, os serviços de resolução de nome de uma rede VPC, feitos por meio da ordem de resolução de nome, estão disponíveis apenas para essa rede VPC. É possível criar uma política de servidor de entrada na sua rede VPC para disponibilizar esses serviços de resolução de nomes para uma rede local conectada usando o Cloud VPN ou o Cloud Interconnect.

Quando você cria uma política de servidor de entrada, o Cloud DNS pega um endereço IP interno do intervalo principal de endereços IP de cada sub-rede usada pela rede VPC. Por exemplo, se você tiver uma rede VPC que contém duas sub-redes na mesma região e uma terceira sub-rede em uma região diferente, três endereços IP são reservado para encaminhamento de entrada. O Cloud DNS usa esses endereços IP internos como pontos de acesso para solicitações de DNS de entrada.

Pontos de entrada da política do servidor de entrada

Os endereços IP internos regionais usados pelo Cloud DNS para a política de servidor de entrada funcionam como pontos de entrada para os serviços de resolução de nomes da rede VPC. Para usar a política de servidor de entrada, configure seus sistemas locais ou servidores de nomes para encaminhar consultas DNS ao endereço IP do proxy localizado na mesma região que o túnel do Cloud VPN ou o anexo da VLAN que conecta sua rede local à rede VPC.

Para informações sobre como criar políticas de servidor de entrada, consulte Como criar uma política de servidor de entrada.

Política de servidor de saída

É possível alterar a ordem de resolução de nomes criando uma política de servidor de saída que especifique uma lista de servidores de nomes alternativos. Quando você especifica servidores de nomes alternativos para uma rede VPC, esses servidores são os únicos que o Google Cloud consulta ao lidar com solicitações DNS de VMs na rede VPC configuradas para usar os servidores de metadados (169.254.169.254).

Para informações sobre como criar políticas de servidor de saída, consulte Como criar uma política de servidor de saída.

Servidores de nomes alternativos e métodos de roteamento

O Cloud DNS é compatível com três tipos de servidores de nomes alternativos e oferece métodos de roteamento padrão e particular para rotear o tráfego para eles.

Servidores de nomes alternativos são definidos na tabela a seguir:

Servidor de nomes alternativo Descrição Roteamento padrão compatível Compatibilidade com roteamento privado Origem das solicitações
Tipo 1 Um endereço IP interno de uma VM do Google Cloud na mesma rede VPC em que a política do servidor de saída está definida Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. Qualquer endereço IP interno, incluindo endereços IP privados não RFC 1918 e endereços IP públicos reutilizados de forma privada, o tráfego sempre é roteado por uma rede VPC autorizada. 35.199.192.0/19
Tipo 2 Um endereço IP de um sistema local, conectado à rede VPC com a política do servidor de saída, usando a VPN do Cloud ou o Cloud Interconnect. Somente endereços IP RFC 1918: o tráfego sempre é roteado por uma rede VPC autorizada. Qualquer endereço IP interno, incluindo endereços IP privados não RFC 1918 e endereços IP públicos reutilizados de forma privada, o tráfego sempre é roteado por uma rede VPC autorizada. 35.199.192.0/19
Tipo 3 Um endereço IP externo de um servidor de nomes de DNS acessível para a Internet ou o endereço IP externo de um recurso do Google Cloud; por exemplo, o endereço IP externo de uma VM em outra rede VPC. Somente endereços IP externos roteáveis pela Internet: o tráfego sempre é encaminhado para a Internet ou para o endereço IP externo de um recurso do Google Cloud. O roteamento particular não é compatível. Intervalos de origem do DNS público do Google

Escolha um dos seguintes métodos de roteamento ao especificar o servidor de nomes alternativo de uma política de servidor de saída:

  • Roteamento padrão: encaminha o tráfego por meio de uma rede VPC autorizada ou pela Internet, com base no fato de o servidor de nomes alternativo ser ou não um endereço IP RFC 1918. Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS o classificará como um servidor de nomes do Tipo 1 ou Tipo 2 e encaminhará as solicitações por meio de uma rede VPC autorizada. Se o servidor de nomes alternativo não for um endereço IP RFC 1918, o Cloud DNS o classificará como Tipo 3 na expectativa de que o servidor de nomes fique acessível pela Internet.

  • Roteamento particular: sempre encaminha o tráfego por meio de uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não). Consequentemente, somente os servidores de nomes do Tipo 1 e Tipo 2 são compatíveis.

Para acessar um servidor de nomes alternativo do Tipo 1 ou Tipo 2, o Cloud DNS usa rotas na rede VPC autorizada, em que o cliente DNS está localizado. Essas rotas definem um caminho seguro para o servidor de nomes:

Veja mais orientações sobre os requisitos de rede para servidores de nomes do Tipo 1 e Tipo 2 nos requisitos de rede do servidor de nomes alternativo.

Ordem de seleção do servidor de nomes alternativo

O Cloud DNS permite configurar uma lista de servidores de nomes alternativos para uma política de servidor de saída e uma lista de destinos de encaminhamento para uma zona de encaminhamento.

No caso de vários servidores de nomes alternativos, o Cloud DNS usa um algoritmo interno para selecionar um servidor de nomes alternativo. Esse algoritmo classifica cada servidor de nomes alternativo.

Para processar uma solicitação, primeiro o Cloud DNS testa uma consulta DNS contatando o servidor de nomes alternativo com a classificação mais alta. Se esse servidor não responder, o Cloud DNS repetirá a solicitação para o próximo servidor de nomes alternativo. Se nenhum servidor de nomes alternativo responder, o Cloud DNS sintetizará uma resposta SERVFAIL.

O algoritmo de classificação é automático, e os seguintes fatores aumentam a classificação de um servidor de nomes alternativo:

  • O maior número de respostas DNS bem-sucedidas processadas pelo um servidor de nomes alternativo. As respostas DNS bem-sucedidas incluem respostas NXDOMAIN.
  • A menor latência (tempo de retorno) para se comunicar com o servidor de nomes alternativo.