Ordem de resolução de nomes

O Cloud DNS usa o procedimento a seguir para responder a consultas de instâncias de máquina virtual (VM) do Compute Engine e de nós do Google Kubernetes Engine (GKE).

Para VMs do Compute Engine que não sejam os nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas recebidas. Cada VM precisa ser configurada de modo que use o endereço IP do servidor de metadados (169.254.169.254) como servidor de nomes.

Para nós do GKE:

  1. Primeiro, o Cloud DNS tenta fazer a correspondência de uma consulta usando políticas de resposta e zonas particulares no escopo de cluster.

  2. O Cloud DNS continua seguindo a ordem de resolução da rede VPC.

Políticas de resposta e zonas particulares no escopo de cluster

  1. Fazer correspondência usando regras na resposta com escopo de cluster do GKE .. O Cloud DNS verifica todas as políticas de resposta no escopo de cluster do GKE aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de cluster.

    1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.

    2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.

    3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de cluster aplicável ao nó, o Cloud DNS seguirá para a próxima etapa.

  2. Corresponde registros em zonas particulares com escopo de cluster. O Cloud DNS verifica todas as zonas particulares gerenciadas no escopo de cluster em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros em zonas particulares no escopo de cluster.

    1. Se a correspondência mais específica para a consulta for o nome da zona de um zona particular com escopo de cluster, o Cloud DNS vai usar o registro para resolver a solicitação.

      • Se a zona tiver um registro que corresponda exatamente à consulta, o Cloud DNS retorna os dados desse registro.
      • Se a zona não tiver um registro correspondente, o Cloud DNS vai retornar NXDOMAIN.
    2. Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de cluster, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das opções de resposta.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
    3. Se a consulta não corresponder a nenhuma zona particular no escopo de cluster, o Cloud DNS continuará com a ordem de resolução de rede VPC.

Ordem de resolução de rede VPC

  1. Faça a correspondência usando o servidor de nomes alternativo da rede VPC. Se o rede VPC tem um servidor de saída política, O Google Cloud encaminha a consulta para um dos nomes alternativos de rede definidos na política para concluir o processo de resolução de nomes.

    Se dois ou mais servidores de nomes alternativos existirem na política de servidor de saída, o Cloud DNS vai classificar os servidores de nomes alternativos usando um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos aumento na classificação com base em taxas mais altas de respostas bem-sucedidas (incluindo NXDOMAIN) e com base no menor tempo de ida e volta (o menor latência de resposta).

    O Cloud DNS envia consultas para servidores de nomes alternativos e retorna respostas usando o processo a seguir.

    • Se houver dois ou mais servidores de nomes alternativos no servidor de saída política, o Cloud DNS primeiro envia a consulta para o servidor de nomes alternativo, e o próximo nome alternativo classificado servidor se o Cloud DNS não receber nenhuma resposta do o servidor de nomes alternativo com melhor classificação. Se o Cloud DNS não receber qualquer resposta do próximo servidor de nomes alternativo classificado O Cloud DNS continua consultando servidores de nomes alternativos classificação decrescente até esgotar a lista de servidores de nomes alternativos.

    • Se o Cloud DNS receber uma resposta de um nome alternativo servidor, o Cloud DNS retornará essa resposta. As respostas incluem NXDOMAIN de respostas.

    • Se o Cloud DNS não receber uma resposta de todos os servidores de nomes alternativos na política de servidor de saída, ele sintetizará uma resposta SERVFAIL. Para resolver problemas conectividade alternativa de servidor de nomes, consulte Servidor de nomes alternativo requisitos de rede.

    Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS seguirá para a próxima etapa.

  2. Correspondência usando regras em políticas de resposta no escopo de rede VPC. O Cloud DNS verifica todas as políticas de resposta de rede VPC aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponde ao máximo possível da consulta. O Cloud DNS usa o sufixo mais longo para verificar políticas de resposta com escopo de rede VPC.

    1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.

    2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.

    3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma resposta aplicável no escopo da rede VPC para a VM ou o nó, o Cloud DNS vai para a próxima etapa.

  3. Correspondência de registros em zonas particulares gerenciadas no escopo de rede VPC. O Cloud DNS verifica todas as zonas particulares gerenciadas autorizadas para a rede VPC em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros.

    1. Se a correspondência mais específica para a consulta for o nome da zona de um zona particular com escopo de rede VPC, o Cloud DNS usa essa os dados de registro da zona para resolver a solicitação.

      • Se a zona contiver um registro que corresponda exatamente à consulta, o Cloud DNS vai retornar os dados do registro.
      • Se a zona não tiver um registro correspondente, o Cloud DNS retornará NXDOMAIN:
    2. Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de rede VPC, o Cloud DNS vai encaminhar a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
    3. Se a correspondência mais específica para a consulta for o nome de uma VPC zona de peering com escopo de rede, o Cloud DNS vai interromper o nome atual de resolução de problemas e inicia um novo processo de resolução de nome da perspectiva da rede VPC de destino da zona de peering.

    Se a consulta não corresponder a uma zona particular, zona de encaminhamento ou zona de peering, O Cloud DNS segue para a próxima etapa.

  4. Corresponde a registros nas zonas internas do Compute Engine. O Cloud DNS verifica todos os requisitos do Compute Engine zonas DNS internas por um registro correspondente o máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros.

    1. Se a correspondência mais específica para a consulta for uma nome do DNS interno, o Cloud DNS retorna o endereço IP interno do a interface de rede da VM ou o ponteiro de pesquisa reversa como resposta, o processo de resolução de nome.
  5. Correspondência de registro usando uma consulta DNS pública. O Google Cloud segue o registro de início de autoridade (SOA, na sigla em inglês) para consultar zonas disponíveis publicamente, incluindo zonas públicas do Cloud DNS. O Cloud DNS retorna um dos as respostas a seguir.

    • A resposta recebida de um servidor de nomes autoritativo.
    • Uma resposta NXDOMAIN, se o registro não existir.

Exemplo

Suponha que você tenha duas redes VPC, vpc-a e vpc-b, e um cluster do GKE, cluster-a, com os seguintes recursos com escopo:

  1. vpc-a está autorizado a consultar as seguintes zonas particulares. Observe o ponto final em cada entrada:

    • static.example.com.
    • 10.internal.
  2. peer.com. é uma zona de peering que pode consultar a ordem de resolução de nome de VPC de vpc-b.

  3. vpc-a não está associado a nenhum servidor de saída ou políticas de resposta.

  4. cluster-a está autorizado a consultar uma zona particular chamada example.com. cluster-a também não está associado a nenhuma política de resposta ou servidor de saída.

  5. Uma VM em cluster-a pode consultar:

    • example.com e filhos (incluindo static.example.com), respondidos pela zona particular chamada example.com, autorizada a cluster-a.
    • 10.internal em vpc-a.
    • peer.com usando a zona de peering.
  6. Uma VM que não está em cluster-a pode consultar:

    • static.example.com e filhos, respondidos pela zona particular chamada static.example.com autorizada a vpc-a. As consultas para example.com retornam respostas da Internet.
    • 10.internal em vpc-a.
    • peer.com usando a zona de peering.

A seguir