Orden de resolución de nombres

Cloud DNS usa el siguiente procedimiento para responder consultas de instancias de máquinas virtuales (VM) de Compute Engine y nodos de Google Kubernetes Engine (GKE).

Para las VMs de Compute Engine que no sean nodos de GKE, Cloud DNS sigue la resolución de red de VPC orden para procesar las consultas que recibe. Cada VM debe configurarse para usa la dirección IP del servidor de metadatos (169.254.169.254) como su servidor de nombres.

Para nodos de GKE:

  1. Cloud DNS primero intenta hacer coincidir una consulta con un alcance de clúster políticas de respuesta ante incidentes y zonas privadas.

  2. Cloud DNS continúa siguiendo el orden de resolución de la red de VPC.

Políticas de respuesta y zonas privadas con alcance de clúster

  1. Establece coincidencias con reglas en la respuesta con permiso de clúster de GKE políticas. Cloud DNS analiza todas las políticas de respuesta aplicables centradas en el clúster de GKE en busca de una regla en la que el atributo de nombre de DNS coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para analizar las políticas de respuesta centradas en el clúster.

    1. Si Cloud DNS encuentra una regla de política de respuesta que coincida y la regla entrega datos locales, Cloud DNS muestra los datos locales como su respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta que coincide y el comportamiento de la regla anula la política de respuesta, Cloud DNS continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable centrada en el clúster para el nodo, Cloud DNS continúa con el siguiente paso.

  2. Haz coincidir los registros en zonas privadas con permiso de clúster. Análisis de Cloud DNS todas las zonas privadas administradas con alcance de clúster para un registro que coincida con la mayor la consulta como sea posible. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros en zonas privadas centradas en el clúster.

    1. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona privada con alcance de clúster, Cloud DNS usa el registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS muestra los datos de ese registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS muestra NXDOMAIN.

    2. Si la coincidencia más específica para la consulta es el nombre de la zona de una con alcance de clúster y, luego, Cloud DNS reenvía a uno de los destinos de reenvío de la zona de reenvío para completar de resolución de nombres. Cloud DNS devuelve uno de los siguientes de respuestas ante incidentes.

      • Es la respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL, si el destino de reenvío no responde Cloud DNS:

    3. Si la consulta no coincide con ninguna zona privada con permiso de clúster, Cloud DNS continúa a la red de VPC orden de resolución.

Orden de resolución de la red de VPC

  1. Hacer coincidir con el servidor de nombres alternativo de la red de VPC Si el botón de VPC tiene un servidor de salida política, Google Cloud reenvía la consulta a uno de los nombres alternativos. de servidores definidos en ese para completar el proceso de resolución de nombres.

    Si existen dos o más servidores de nombres alternativos en el servidor saliente , Cloud DNS clasifica los servidores de nombres alternativos con un algoritmo interno. A partir de clasificaciones iguales, los servidores de nombres alternativos aumentan en clasificación en función de tasas más altas de respuestas correctas (incluidas las respuestas NXDOMAIN) y en función del tiempo de ida y vuelta más corto (la latencia de respuesta más baja).

    Cloud DNS envía consultas a servidores de nombres alternativos y muestra respuestas con el siguiente proceso.

    • Si existen dos o más servidores de nombres alternativos en la política de servidor saliente, Cloud DNS primero envía la consulta al servidor de nombres alternativo con la clasificación más alta y, luego, al servidor de nombres alternativo con la clasificación siguiente si no recibe ninguna respuesta del servidor de nombres alternativo con la clasificación más alta. Si Cloud DNS no tiene cualquier respuesta del servidor de nombres alternativo clasificado Cloud DNS continúa consultando servidores de nombres alternativos descender hasta agotar la lista de servidores de nombres alternativos.

    • Si Cloud DNS recibe una respuesta de un servidor de nombres alternativo, muestra esa respuesta. Las respuestas incluyen NXDOMAIN respuestas.

    • Si Cloud DNS no recibe una respuesta de todos los servidores de nombres alternativos en la política de servidor saliente, sintetiza una respuesta SERVFAIL. Para solucionar problemas conectividad de servidor de nombres alternativa, consulta Servidor de nombres alternativo requisitos de red.

    Si la red de VPC no tiene una política del servidor saliente, Cloud DNS continúa con el siguiente paso.

  2. Hacer coincidir con reglas en las políticas de respuesta centradas en la red de VPC Cloud DNS analiza todas las instancias de VPC políticas de respuesta de red para una regla en la que coincide el atributo del nombre de DNS la mayor cantidad posible de la consulta. Cloud DNS usa el sufijo más largo para analizar políticas de respuesta con alcance de red de VPC.

    1. Si Cloud DNS encuentra una regla de política de respuesta que coincida y la regla entrega datos locales, Cloud DNS muestra los datos locales como su respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta que coincida y el el comportamiento de la regla omite la política de respuesta, continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable centrada en la red de VPC para la VM o el nodo, Cloud DNS continúa con el siguiente paso.

  3. Haz coincidir los registros en zonas privadas administradas y con alcance de red de VPC. Cloud DNS analiza todas las zonas privadas administradas autorizadas para el red de VPC para un registro que coincida con la mayor cantidad de consultas posible como sea posible. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica para la consulta es el nombre de la zona de una Zona privada con alcance de red de VPC, Cloud DNS usa esa los datos de los registros de la zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS muestra los datos del registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS muestra NXDOMAIN.

    2. Si la coincidencia más específica de la consulta es el nombre de zona de una zona de reenvío centrada en la red de VPC, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona de reenvío para completar el proceso de resolución de nombres. Cloud DNS devuelve uno de las siguientes respuestas.

      • Es la respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS

    3. Si la coincidencia más específica de la consulta es el nombre de una zona de intercambio de tráfico centrada en la red de VPC, Cloud DNS detiene el proceso de resolución de nombres actual y comienza un nuevo proceso de resolución de nombres desde la perspectiva de la red de VPC de destino de la zona de intercambio de tráfico.

    Si la consulta no coincide con una zona privada, una zona de reenvío o una zona de intercambio, Cloud DNS continúa con el siguiente paso.

  4. Registros de coincidencia en las zonas internas de Compute Engine Cloud DNS analiza todas las zonas de DNS internas de Compute Engine aplicables en busca de un registro que coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica de la consulta es un nombre de DNS interno de Compute Engine, Cloud DNS muestra la dirección IP interna de la interfaz de red de la VM o su puntero de búsqueda inversa como respuesta, lo que completa el proceso de resolución de nombres.

  5. Hacer coincidir el registro con una consulta de DNS pública Google Cloud sigue los inicio de autoridad (SOA) para consultar zonas disponibles públicamente, como Zonas públicas de Cloud DNS. Cloud DNS devuelve uno de los las siguientes respuestas.

    • Es la respuesta recibida de un servidor de nombres autorizado.
    • Una respuesta NXDOMAIN, si el registro no existe

Ejemplo

Supongamos que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con permiso:

  1. vpc-a está autorizado para consultar las siguientes zonas privadas. Observa el final en cada entrada:

    • static.example.com.
    • 10.internal.

  2. peer.com. es una zona de intercambio de tráfico que puede consultar la VPC orden de resolución de nombres de vpc-b.

  3. vpc-a no está asociado con ningún servidor saliente ni política de respuesta.

  4. cluster-a está autorizado para consultar una zona privada llamada example.com. cluster-a tampoco está asociado con ningún servidor saliente ni política de respuesta.

  5. Una VM en cluster-a puede consultar lo siguiente:

    • example.com y sus elementos secundarios (incluido static.example.com), que reciben respuesta de la zona privada llamada example.com, están autorizados para cluster-a
    • 10.internal en vpc-a.
    • peer.com mediante la zona de intercambio de tráfico.

  6. Una VM que no está en cluster-a puede consultar lo siguiente:

    • static.example.com y los elementos secundarios, que reciben respuesta de la zona privada llamada static.example.com, están autorizados para vpc-a Las consultas para example.com muestran respuestas de Internet.
    • 10.internal en vpc-a.
    • peer.com mediante la zona de intercambio de tráfico.

¿Qué sigue?