Orden de resolución de nombres

Los recursos privados de Cloud DNS, como zonas, políticas del servidor y políticas de respuesta, pueden alcanzar redes de nube privada virtual (VPC) o clústeres de Google Kubernetes Engine (GKE). Para obtener más información sobre los permisos, consulta Permisos y jerarquías. Los recursos de DNS se pueden vincular a varios permisos de forma simultánea. Los permisos más específicos, como los clústeres de GKE, se seleccionan sobre los permisos menos específicos, como las redes de VPC.

Cada red de VPC (o clúster de GKE configurado para usar Cloud DNS) proporciona servicios de resolución de nombres de DNS a las instancias de máquina virtual (VM) que la usan. Cuando las VM usan su servidor de metadatos, 169.254.169.254, como su servidor de nombres, Google Cloud busca registros DNS en el siguiente orden (comienza con recursos de permiso de clúster en el caso de un clúster de GKE):

  • Si el permiso tiene una política del servidor saliente, Google Cloud reenvía todas las consultas de DNS a esos servidores alternativos. Este es el único paso del orden de resolución de nombres.

  • Si tu permiso no tiene una política del servidor saliente, sucede lo siguiente:

    1. Google Cloud busca una política de respuesta que coincida lo más posible con el registro solicitado (coincidencia con el sufijo más largo). Las políticas de respuesta dan como resultado la entrega de registros de recursos modificados o el comportamiento de passthru. Si la acción de la política de respuesta es passthru, Google Cloud continúa con el siguiente paso como si la política no existiera. Esto es cierto incluso si hay un registro comodín en la política que generaría la entrega de datos locales.

    2. En Google Cloud, se intenta encontrar una zona privada que coincida lo más posible con el registro solicitado (coincidencia con el sufijo más largo). Estos son algunos de ellos:

      • Buscar registros que creaste en zonas privadas
      • Consultar los destinos de reenvío de las zonas de reenvío
      • Consultar el orden de resolución de nombres de otra red de VPC mediante zonas de intercambio de tráfico.
    3. Google Cloud busca los registros DNS internos de Compute Engine creados automáticamente para el proyecto. Ten en cuenta que las zonas privadas se seleccionan en las zonas DNS internas de Compute Engine creadas de forma automática solo si esas zonas privadas son más específicas que las zonas de Compute Engine.

    4. Google Cloud realiza consultas a las zonas disponibles públicamente, de acuerdo con la SOA configurada de forma adecuada. Esto incluye las zonas públicas de Cloud DNS.

Ejemplos

Supongamos que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con permiso:

  1. vpc-a está autorizado para consultar las siguientes zonas privadas. Ten en cuenta el punto final en cada entrada:
    1. static.example.com.
    2. 10.internal.
  2. vpc-a no está asociado con ningún servidor saliente ni política de respuesta.
  3. cluster-a está autorizado para consultar una zona privada llamada example.com. cluster-a tampoco está asociado con ningún servidor saliente ni política de respuesta.
  4. Una VM en cluster-a puede consultar:
    1. example.com y sus elementos secundarios (incluido static.example.com), que reciben respuesta de la zona privada llamada example.com, están autorizados para cluster-a
    2. 10.internal en vpc-a.
    3. peer.com mediante la zona de intercambio de tráfico.
  5. Una VM que no está en cluster-a puede consultar lo siguiente:
    1. static.example.com y los elementos secundarios, que reciben respuesta de la zona privada llamada static.example.com, están autorizados para vpc-a Las consultas para example.com muestran respuestas de Internet.
    2. 10.internal en vpc-a.
    3. peer.com mediante la zona de intercambio de tráfico.

¿Qué sigue?