이름 변환 순서

Cloud DNS는 다음 절차를 수행하여 Compute Engine 가상 머신(VM) 인스턴스와 Google Kubernetes Engine(GKE) 노드의 쿼리에 답변합니다.

GKE 노드 이외의 Compute Engine VM의 경우 Cloud DNS는 VPC 네트워크 변환 순서에 따라 수신하는 쿼리를 처리합니다. 각 VM은 메타데이터 서버 IP 주소(169.254.169.254)를 네임서버로 사용하도록 구성되어야 합니다.

GKE 노드의 경우:

1. Cloud DNS는 먼저 클러스터 범위 응답 정책 및 비공개 영역을 사용하여 쿼리 일치를 시도합니다.

2. Cloud DNS는 VPC 네트워크 변환 순서에 따라 계속 진행합니다.

클러스터 범위 응답 정책 및 비공개 영역

1. GKE 클러스터 범위 응답 정책의 규칙을 사용하여 일치시킵니다. Cloud DNS는 DNS 이름 속성이 최대한 많은 쿼리와 일치하는 규칙에 대해 적용 가능한 모든 GKE 클러스터 범위 응답 정책을 스캔합니다. Cloud DNS는 최장 서픽스 일치를 사용하여 클러스터 범위 응답 정책을 스캔합니다.

   1. Cloud DNS가 일치하는 응답 정책 규칙을 찾고 규칙이 로컬 데이터를 제공하는 경우 Cloud DNS는 로컬 데이터를 응답으로 반환하고 이름 변환 프로세스를 완료합니다.

   2. Cloud DNS가 일치하는 응답 정책 규칙을 찾고 규칙의 동작이 응답 정책을 우회하는 경우 Cloud DNS는 다음 단계로 진행합니다.

   3. Cloud DNS가 일치하는 응답 정책을 찾지 못하거나 노드에 적용 가능한 클러스터 범위 응답 정책이 없으면 Cloud DNS는 다음 단계로 진행합니다.

2. 클러스터 범위 비공개 영역에서 레코드를 일치시킵니다. Cloud DNS는 가능한 한 많은 쿼리와 일치하는 레코드에 대해 모든 클러스터 범위의 관리형 비공개 영역을 스캔합니다. Cloud DNS는 최장 서픽스 일치를 사용하여 클러스터 범위 비공개 영역에서 레코드를 찾습니다.

   1. 쿼리의 가장 구체적인 일치 항목이 클러스터 범위 비공개 영역의 영역 이름이면 Cloud DNS는 해당 영역의 레코드 데이터를 사용하여 요청을 확인합니다.

      • 영역에 쿼리와 정확하게 일치하는 레코드가 있는 경우 Cloud DNS는 해당 레코드의 데이터를 반환합니다.
      • 영역에 일치하는 레코드가 없으면 Cloud DNS는 NXDOMAIN을 반환합니다.

   2. 쿼리의 가장 구체적인 일치 항목이 클러스터 범위 전달 영역의 영역 이름인 경우 Cloud DNS는 이름 변환 프로세스를 완료하기 위해 쿼리를 전달 영역의 전달 대상 중 하나로 전달합니다. Cloud DNS는 다음 응답 중 하나를 반환합니다.

      • 전달 대상에서 수신된 응답
      • 전달 대상이 Cloud DNS에 응답하지 않는 경우 SERVFAIL 응답

   3. 쿼리가 클러스터 범위 비공개 영역과 일치하지 않으면 Cloud DNS는 VPC 네트워크 변환 순서로 이동합니다.

VPC 네트워크 변환 순서

1. VPC 네트워크 대체 네임서버를 사용하여 일치시킵니다. VPC 네트워크에 아웃바운드 서버 정책이 있는 경우Google Cloud 는 해당 정책에 정의된 대체 네임서버 하나로 쿼리를 전달하여 이름 변환 프로세스를 완료합니다.

   아웃바운드 서버 정책에 대체 네임서버가 두 개 이상 있으면 Cloud DNS는 내부 알고리즘을 사용하여 대체 네임서버 순위를 지정합니다. 동등한 순위부터 대체 네임서버는 성공한 응답 비율(NXDOMAIN 응답 포함)과 최단 왕복 시간(응답 지연 시간이 가장 짧음)을 기준으로 순위를 높입니다.

   Cloud DNS는 다음 프로세스를 사용하여 쿼리를 대체 네임서버로 전송하고 응답을 반환합니다.

   • 아웃바운드 서버 정책에 두 개 이상의 대체 네임서버가 있는 경우, Cloud DNS는 먼저 순위가 가장 높은 대체 네임서버로 쿼리를 보낸 후, Cloud DNS가 우선순위가 가장 높은 대체 네임서버로부터 어떤 응답도 받지 않은 경우 다음 순위로 지정된 대체 네임서버로 쿼리를 보냅니다. Cloud DNS가 다음으로 순위가 지정된 대체 네임서버에서 응답을 받지 못하면 Cloud DNS는 대체 네임서버 목록이 소진될 때까지 순위 내림차순으로 대체 네임서버를 쿼리합니다.

   • Cloud DNS가 대체 네임서버에서 응답을 수신하면 Cloud DNS가 해당 응답을 반환합니다. 응답에는 NXDOMAIN 응답이 포함됩니다.

   • Cloud DNS가 아웃바운드 서버 정책의 모든 대체 네임서버로부터 응답을 받지 않으면 Cloud DNS는 SERVFAIL 응답을 합성합니다. 대체 네임서버 연결 문제를 해결하려면 대체 네임서버 네트워크 요구사항을 참조하세요.

   VPC 네트워크에 아웃바운드 서버 정책이 없는 경우 Cloud DNS는 다음 단계로 진행합니다.

2. VPC 네트워크 범위 응답 정책의 규칙을 사용하여 일치시킵니다. Cloud DNS는 DNS 이름 속성이 최대한 많은 쿼리와 일치하는 규칙에 대해 적용 가능한 모든 VPC 네트워크 응답 정책을 스캔합니다. Cloud DNS는 최장 서픽스 일치를 사용하여 VPC 네트워크 범위 응답 정책을 스캔합니다.

   1. Cloud DNS가 일치하는 응답 정책 규칙을 찾고 규칙이 로컬 데이터를 제공하는 경우 Cloud DNS는 로컬 데이터를 응답으로 반환하고 이름 변환 프로세스를 완료합니다.

   2. Cloud DNS가 일치하는 응답 정책 규칙을 찾고 규칙의 동작이 응답 정책을 우회하는 경우 Cloud DNS는 다음 단계로 진행합니다.

   3. Cloud DNS가 일치하는 응답 정책을 찾지 못하거나 VM 또는 노드에 적용 가능한 VPC 네트워크 범위 응답 정책이 없으면 Cloud DNS는 다음 단계로 진행합니다.

3. VPC 네트워크 범위 관리형 비공개 영역의 레코드를 일치시킵니다. Cloud DNS는 가능한 한 많은 쿼리와 일치하는 레코드의 VPC 네트워크에 승인된 모든 관리형 비공개 영역을 스캔합니다. Cloud DNS는 최장 서픽스 일치를 사용하여 레코드를 찾습니다.

   1. 쿼리의 가장 구체적인 일치 항목이 VPC 네트워크 범위 비공개 영역의 영역 이름이면 Cloud DNS는 해당 영역의 레코드 데이터를 사용하여 요청을 확인합니다.

      • 영역에 쿼리와 정확하게 일치하는 레코드가 있는 경우 Cloud DNS는 해당 레코드의 데이터를 반환합니다.
      • 영역에 일치하는 레코드가 없으면 Cloud DNS는 NXDOMAIN을 반환합니다.

   2. 쿼리의 가장 구체적인 일치 항목이 VPC 네트워크 범위 전달 영역의 영역 이름인 경우, Cloud DNS는 이름 변환 프로세스를 완료하기 위해 쿼리를 전달 영역의 전달 대상 중 하나로 전달합니다. Cloud DNS는 다음 응답 중 하나를 반환합니다.

      • 전달 대상에서 수신된 응답
      • 전달 대상이 Cloud DNS에 응답하지 않는 경우 SERVFAIL 응답

   3. 쿼리의 가장 구체적인 일치 항목이 VPC 네트워크 범위 피어링 영역의 이름인 경우 Cloud DNS는 현재 이름 변환 프로세스를 중지하고 피어링 영역의 대상 VPC 네트워크 관점에서 새로운 이름 변환 프로세스를 시작합니다.

   쿼리가 비공개 영역, 전달 영역 또는 피어링 영역과 일치하지 않으면 Cloud DNS는 다음 단계로 진행합니다.

4. Compute Engine 내부 영역에서 레코드를 일치시킵니다. Cloud DNS는 최대한 많은 쿼리와 일치하는 레코드에 대해 적용 가능한 모든 Compute Engine 내부 DNS 영역을 스캔합니다. Cloud DNS는 최장 서픽스 일치를 사용하여 레코드를 찾습니다.

   1. 쿼리의 가장 구체적인 일치 항목이 Compute Engine 내부 DNS 이름이면 Cloud DNS는 VM 네트워크 인터페이스의 내부 IP 주소 또는 역방향 조회 포인터를 응답으로 반환하고 이름 변환 프로세스를 완료합니다.

5. 공개 DNS 쿼리를 사용하여 레코드를 일치시킵니다.. Google Cloud 는 권한 개시 정보(SOA) 레코드에 따라 Cloud DNS 공개 영역를 포함한 공개적으로 사용 가능한 영역를 쿼리합니다. Cloud DNS는 다음 응답 중 하나를 반환합니다.

   • 권한 네임서버에서 받은 응답
   • 레코드가 없는 경우 NXDOMAIN 응답

예시

다음 범위의 리소스와 함께 VPC 네트워크 두 개(vpc-a 및 vpc-b)와 GKE 클러스터 cluster-a가 있다고 가정합니다.

1. vpc-a은 다음 비공개 영역을 쿼리하도록 승인됩니다. 각 항목의 후행 점을 확인합니다.

   • static.example.com.
   • 10.internal.

2. peer.com.은 vpc-b의 VPC 이름 변환 순서를 쿼리할 수 있는 피어링 영역입니다.

3. vpc-a는 아웃바운드 서버나 응답 정책과 연결되지 않습니다.

4. cluster-a는 example.com이라는 비공개 영역을 쿼리하도록 승인됩니다. cluster-a도 아웃바운드 서버나 응답 정책과 연결되지 않습니다.

5. cluster-a의 VM은 다음을 쿼리할 수 있습니다.

   • cluster-a에 승인된 비공개 영역(example.com)에서 응답하는 example.com 및 하위 요소(static.example.com 포함)
   • vpc-a에서 10.internal
   • 피어링 영역을 사용하는 peer.com

6. cluster-a에 없는 VM은 다음을 쿼리할 수 있습니다.

   • vpc-a에 승인된 비공개 영역(static.example.com)에서 응답하는 static.example.com 및 하위 요소. example.com 쿼리는 인터넷 응답을 반환합니다.
   • vpc-a에서 10.internal
   • 피어링 영역을 사용하는 peer.com

다음 단계

• Cloud DNS를 사용할 때 발생할 수 있는 일반적인 문제에 대한 해결책을 찾으려면 문제 해결 참조하기
• Cloud DNS 개요는 Cloud DNS 개요를 참조하세요.
• 응답 정책을 구성하는 방법은 응답 정책 및 규칙 관리를 참조하세요.