Reihenfolge der Namensauflösung

Cloud DNS verwendet das folgende Verfahren, um Abfragen von Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten (GKE) zu beantworten.

Bei anderen Compute Engine-VMs als GKE-Knoten folgt Cloud DNS der Reihenfolge der VPC-Netzwerkauflösung, um empfangene Abfragen zu verarbeiten. Jede VM muss so konfiguriert sein, dass die IP-Adresse des Metadatenservers (169.254.169.254) als Nameserver verwendet wird.

Für GKE-Knoten:

1. Cloud DNS versucht zuerst, eine Abfrage mithilfe von clusterbezogenen Antwortrichtlinien und privaten Zonen abzugleichen.

2. Fortsetzung von Cloud DNS ist die Auflösungsreihenfolge des VPC-Netzwerks.

Clusterbezogene Antwortrichtlinien und private Zonen

1. Sie können Regeln in GKE-clusterbezogenen Antwortrichtlinien anhand von Regeln abgleichen. Cloud DNS scannt alle anwendbaren Antwortrichtlinien auf GKE-Clusterebene nach einer Regel, bei der das DNS-Namensattribut so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet den Abgleich mit dem längsten Suffix, um clusterbezogene Antwortrichtlinien zu scannen:

   1. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Prozess zur Namensauflösung ab.

   2. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und das Verhalten der Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

   3. Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder keine gültige clusterbezogene Antwortrichtlinie für den Knoten vorhanden ist, fährt Cloud DNS mit dem nächsten Schritt fort.

2. Datensätze in clusterbezogenen privaten Zonen abgleichen. Cloud DNS scannt alle clusterbezogenen verwalteten privaten Zonen nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet den Abgleich mit dem längsten Suffix, um Einträge in clusterbezogenen privaten Zonen zu finden:

   1. Wenn die genaueste Übereinstimmung für die Abfrage ein Eintrag in einer clusterbezogenen verwalteten privaten Zone ist, gibt Cloud DNS die Eintragsdaten als Antwort zurück und schließt die Namensauflösung ab.

   2. Wenn die genaueste Übereinstimmung für die Abfrage der Zonenname einer clusterbezogenen Weiterleitungszone ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück:

      • Die vom Weiterleitungsziel empfangene Antwort.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS antwortet.

   3. Wenn die Abfrage mit keiner privaten Zone auf Clusterebene übereinstimmt, fährt Cloud DNS in der VPC-Netzwerkauflösungsreihenfolge fort.

Auflösungsreihenfolge des VPC-Netzwerk

1. Alternativer VPC-Netzwerk-Nameserver: Wenn das VPC-Netzwerk eine Serverrichtlinie für ausgehenden Traffic hat, leitet Google Cloud die Abfrage an einen der alternativen Nameserver weiter, die in dieser Richtlinie definiert sind, um die Namensauflösung abzuschließen.

   Wenn zwei oder mehr alternative Nameserver in der Serverrichtlinie für ausgehenden Traffic vorhanden sind, ordnet Cloud DNS die alternativen Nameserver mithilfe eines internen Algorithmus. Beginnend mit gleichen Rängen erhöhen alternative Nameserver den Rang basierend auf höheren Rate erfolgreicher Antworten (einschließlich NXDOMAIN-Antworten) und basierend auf der kürzesten Umlaufzeit (niedrigste Antwortlatenz).

   Cloud DNS sendet Abfragen an alternative Nameserver und gibt Antworten mit dem folgenden Prozess zurück:

   • Wenn in der Serverrichtlinie für ausgehenden Traffic zwei oder mehr alternative Nameserver vorhanden sind, sendet Cloud DNS die Abfrage zuerst an den alternativen Nameserver mit dem höchsten Rang und dann an den nächsthöheren alternativen Nameserver, sofern Cloud DNS keineAntwort mit dem höchstenrang mit dem höchsten Wert des Nameservers empfängt. Wenn Cloud DNS keine Antwort vom nächsten alternativen Nameserver empfängt, fragt Cloud DNS so lange alternative Nameserver in absteigender Reihenfolge ab, bis die Liste der alternativen Nameserver erschöpft ist.

   • Wenn Cloud DNS eine Antwort von einem alternativen Nameserver empfängt, gibt Cloud DNS diese Antwort zurück. Die Antworten enthalten NXDOMAIN-Antworten.

   • Wenn Cloud DNS in der Serverrichtlinie für ausgehenden Traffic keine Antwort von allen alternativen Nameservern erhält, synthetisiert Cloud DNS eine SERVFAIL-Antwort. Informationen zur Fehlerbehebung bei der Verbindung mit alternativen Nameservern finden Sie unter Netzwerkanforderungen für alternative Nameserver.

   Wenn das VPC-Netzwerk keine Serverrichtlinie für ausgehenden Traffic hat, fährt Cloud DNS mit dem nächsten Schritt fort.

2. Abgleich mithilfe von Regeln in Antwortrichtlinien des VPC-Netzwerk-Netzwerks. Cloud DNS scannt alle anwendbaren VPC-Netzwerkantwortrichtlinien auf eine Regel, bei der das DNS-Namensattribut mit so viel der Abfrage wie möglich übereinstimmt. Cloud DNS verwendet das längste Suffix, um netzwerkbezogene Antwortrichtlinien zu scannen:

   1. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Prozess der Namensauflösung ab.

   2. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und das Verhalten der Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

   3. Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder keine gültige netzwerkbezogene Antwortrichtlinie für die VM oder den Knoten vorhanden ist, fährt Cloud DNS mit dem nächsten Schritt fort.

3. Gleichen Sie Einträge in verwalteten privaten Zonen des VPC-Netzwerk und Compute Engine-.internal-Zonen ab. Cloud DNS scannt alle anwendbaren internen DNS-Zonen der Compute Engine und alle verwalteten privaten Zonen, die für das VPC-Netzwerk autorisiert sind, nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS sucht anhand des längsten Suffixes nach Einträgen:

   1. Wenn die genaueste Übereinstimmung für die Abfrage ein interner Compute Engine-DNS-Name ist, gibt Cloud DNS die interne IPv4-Adresse der Netzwerkschnittstelle der VM als Antwort zurück und schließt die Namensauflösung ab. Ein Eintrag aus einer verwalteten privaten Zone hat ausschließlich Vorrang vor einem automatisch erstellten internen DNS-Namen in Compute Engine, wenn der Eintrag in der privaten Zone eine genauere Übereinstimmung ist.

   2. Wenn die genaueste Übereinstimmung für die Abfrage ein Eintrag in einer verwalteten privaten Zone auf Netzwerkebene ist, gibt Cloud DNS die Eintragsdaten als Antwort zurück und schließt die Namensauflösung ab.

   3. Wenn die genaueste Übereinstimmung für die Abfrage der Zonenname einer netzwerkbezogenen Weiterleitungszone ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück:

      • Die vom Weiterleitungsziel empfangene Antwort.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS antwortet.

   4. Wenn die genaueste Übereinstimmung für die Abfrage der Name einer netzwerkbezogenen Peering-Zone ist, stoppt Cloud DNS die aktuelle Namensauflösung und startet einen neuen Prozess zur Namensauflösung aus der Perspektive des Ziel-VPC-Netzwerk der Peering-Zone.

   Wenn die Abfrage mit keinem internen Compute Engine-DNS-Namen oder keiner privaten Zone, Weiterleitungszone oder Peering-Zone übereinstimmt, fährt Cloud DNS mit dem nächsten Schritt fort.

4. Eintrag mit öffentlicher DNS-Abfrage abgleichen: Google Cloud folgt dem SOA-Eintrag (Start of Authority), um öffentlich verfügbare Zonen, einschließlich öffentlicher Cloud DNS-Zonen, abzufragen. Cloud DNS gibt eine der folgenden Antworten zurück:

   • Die von einem autoritativen Nameserver empfangene Antwort.
   • Eine NXDOMAIN-Antwort, wenn der Eintrag nicht vorhanden ist.

Beispiel

Angenommen, Sie haben die zwei VPC-Netzwerke vpc-a und vpc-b sowie den GKE-Cluster cluster-a und die folgenden bereichsbezogenen Ressourcen:

1. vpc-a ist berechtigt, die folgenden privaten Zonen abzufragen. Achten Sie auf den abschließenden Punkt in jedem Eintrag:

   • static.example.com.
   • 10.internal.

2. peer.com. ist eine Peering-Zone, die die Auflösungsreihenfolge von VPC-Namen von vpc-b abfragen kann.

3. vpc-a ist mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.

4. cluster-a ist berechtigt, eine private Zone mit dem Namen example.com abzufragen. cluster-a ist auch mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.

5. Eine VM in cluster-a kann Folgendes abfragen:

   • example.com und untergeordnete Elemente (einschließlich static.example.com), beantwortet von der privaten Zone example.com, die für cluster-a autorisiert ist.
   • 10.internal auf vpc-a.
   • peer.com durch Verwenden der Peering-Zone.

6. Eine VM, die sich nicht in cluster-a befindet, kann Folgendes abfragen:

   • static.example.com und untergeordnete Elemente, beantwortet von der privaten Zone static.example.com, die für vpc-a autorisiert ist. Abfragen für example.com geben Internetantworten zurück.
   • 10.internal auf vpc-a.
   • peer.com durch Verwenden der Peering-Zone.

Nächste Schritte

• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.
• Informationen zum Konfigurieren von Antwortrichtlinien finden Sie unter Antwortrichtlinien und Regeln verwalten.