DNS 服务器政策

您可以为每个虚拟私有云 (VPC) 网络配置一项 DNS 服务器政策。该政策可以指定入站 DNS 转发和/或出站 DNS 转发。在本部分中,入站服务器政策是指允许入站 DNS 转发的政策。出站服务器政策是指一种可以实现出站 DNS 转发的方法。一项政策可以既是入站服务器政策,又是出站服务器政策(如果同时实现这两者的功能)。

如需了解详情,请参阅应用 Cloud DNS 服务器政策

入站服务器政策

每个 VPC 网络会为使用该网络的虚拟机提供 DNS 名称解析服务。如果虚拟机使用其元数据服务器 169.254.169.254 作为域名服务器,则 Google Cloud 会按照名称解析顺序搜索 DNS 记录。

默认情况下,VPC 网络的名称解析服务(通过其名称解析顺序)仅适用于该 VPC 网络本身。您可以在 VPC 网络中创建入站服务器政策,以允许使用 Cloud VPN 或 Cloud Interconnect 连接的本地网络使用这些名称解析服务。

创建入站服务器政策时,Cloud DNS 会从您的 VPC 网络使用的每个子网的主要 IP 地址范围中获取内部 IP 地址。例如,如果您的 VPC 网络包含同一区域中的两个子网,而另一个区域中的第三个子网,则总共预留三个 IP 地址以用于入站转发。Cloud DNS 使用这些内部 IP 地址作为入站 DNS 请求的入口点。

入站服务器政策入口点

Cloud DNS 用于入站服务器政策的区域内部 IP 地址作为 VPC 网络名称解析服务的入口点。为了使用入站服务器政策,您必须将本地系统或域名服务器配置为将 DNS 查询转发到代理 IP 地址,该代理 IP 地址需要与将您的本地网络连接到您的 VPC 网络所用的 Cloud VPN 隧道或 Cloud Interconnect 连接 (VLAN) 位于同一区域

如需了解如何创建入站服务器政策,请参阅创建入站服务器政策

出站服务器政策

您可以创建指定一系列备用域名服务器的出站 DNS 政策,从而更改名称解析顺序。当您为 VPC 网络指定备用域名服务器后,在处理 VPC 网络中配置为使用元数据服务器 (169.254.169.254) 的虚拟机提交的 DNS 请求时,Google Cloud 仅查询这些备用域名服务器。

如需了解如何创建出站服务器政策,请参阅创建出站服务器政策

备用域名服务器和路由方法

Cloud DNS 支持三种类型的备用域名服务器,并提供标准和专用路由方法,用于将流量路由到这些域名服务器。

下表对备用域名服务器进行了定义:

备用域名服务器 说明 标准路由支持 专用路由支持 请求来源
类型 1 定义出站服务器政策的同一 VPC 网络中的 Google Cloud 虚拟机的内部 IP 地址 仅限 RFC 1918 IP 地址 - 流量始终通过获得授权的 VPC 网络进行路由。 任何内部 IP 地址(包括非 RFC 1918 专用 IP 地址和非公开重复使用的公共 IP 地址)- 流量始终通过获得授权的 VPC 网络进行路由。 35.199.192.0/19
类型 2 本地系统的 IP 地址,该系统使用 Cloud VPN 或 Cloud Interconnect 连接到具有出站服务器政策的 VPC 网络。 仅限 RFC 1918 IP 地址 - 流量始终通过获得授权的 VPC 网络进行路由。 任何内部 IP 地址(包括非 RFC 1918 专用 IP 地址和非公开重复使用的公共 IP 地址)- 流量始终通过获得授权的 VPC 网络进行路由。 35.199.192.0/19
类型 3 可供互联网或 Google Cloud 资源的外部 IP 地址访问的 DNS 域名服务器的外部 IP 地址例如,另一个 VPC 网络中虚拟机的外部 IP 地址。 仅限通过互联网路由的外部 IP 地址 - 流量始终路由到互联网或 Google Cloud 资源的外部 IP 地址。 专用路由不受支持。 Google 公共 DNS 来源范围

指定出站服务器政策的备用域名服务器时,您可以选择以下路由方法之一:

  • 标准路由:根据备用域名服务器是否是 RFC 1918 IP 地址,通过获得授权的 VPC 网络或通过互联网路由流量。如果备用域名服务器是 RFC 1918 IP 地址,则 Cloud DNS 会将该域名服务器分类为类型 1类型 2 域名服务器,并通过获得授权的 VPC 网络路由请求。如果备用域名服务器不是 RFC 1918 IP 地址,则 Cloud DNS 会将该域名服务器分类为类型 3,并要求域名服务器可从互联网访问。

  • 专用路由:始终通过获得授权的 VPC 网络路由流量,无论备用域名服务器的 IP 地址是什么(无论是否是 RFC 1918)。因此,仅支持类型 1 和类型 2 域名服务器。

要访问类型 1类型 2 备用域名服务器,Cloud DNS 会使用 DNS 客户端所在的获得授权的 DNS VPC 中的路由。这些路由定义指向域名服务器的安全路径:

如需类型 1类型 2 域名服务器网络要求的更多指导,请参阅备用域名服务器网络要求

备用域名服务器选择顺序

借助 Cloud DNS,您可以为出站服务器政策和转发可用区的转发目标列表配置备用域名服务器列表。

对于多个备用域名服务器,Cloud DNS 使用内部算法选择备用域名服务器。此算法会将每个备用域名服务器排名。

如需处理请求,Cloud DNS 首先通过联系排名最高的备用域名服务器来尝试 DNS 查询。如果该服务器没有响应,则 Cloud DNS 会重复对排名次高的备用域名服务器的请求。如果没有备用域名服务器回复,则 Cloud DNS 会合成 SERVFAIL 响应。

排名算法是自动的,以下因素可提高备用域名服务器的排名:

  • 备用域名服务器处理成功 DNS 响应的次数较多。成功的 DNS 响应包括 NXDOMAIN 响应。
  • 与备用域名服务器通信的延迟时间(往返时间)较短。