Se usó la API de Cloud Translation para traducir esta página.

Orden de resolución de nombres

En Cloud DNS, se usa el siguiente procedimiento para responder consultas desde instancias de máquina virtual (VM) de Compute Engine y nodos de Google Kubernetes Engine (GKE).

En el caso de las VM de Compute Engine que no sean nodos de GKE, Cloud DNS sigue el orden de resolución de red de VPC para procesar las consultas que recibe. Cada VM debe configurarse para usar la dirección IP del servidor de metadatos (169.254.169.254) como su servidor de nombres.

Para nodos de GKE:

Cloud DNS primero intenta hacer coincidir una consulta mediante políticas de respuesta con alcance de clúster y zonas privadas.
Cloud DNS continúa siguiendo el orden de resolución de la red de VPC.

Políticas de respuesta con permiso de clúster y zonas privadas

Haz coincidir el uso de reglas en las políticas de respuesta con alcance de clúster de GKE. Cloud DNS analiza todas las políticas de respuesta con alcance de clúster de GKE aplicables en busca de una regla en la que el atributo de nombre de DNS coincida tanto como sea posible con la consulta. En Cloud DNS, se usa la coincidencia con el sufijo más largo para analizar las políticas de respuesta con alcance de clúster:
1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla entrega datos locales, Cloud DNS muestra los datos locales como respuesta y completa el proceso de resolución de nombres.
2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y su comportamiento omite la política de respuesta, Cloud DNS continúa con el siguiente paso.
3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta con permiso de clúster aplicable para el nodo, entonces Cloud DNS continúa con el siguiente paso.
Haz coincidir registros en zonas privadas con permiso de clúster. Cloud DNS analiza todas las zonas privadas administradas con permiso de clúster en busca de un registro que coincida con la mayor cantidad posible de la consulta. En Cloud DNS, se usa la coincidencia con el sufijo más largo para encontrar registros en zonas privadas con permiso de clúster:
1. Si la coincidencia más específica para la consulta es un registro en una zona privada administrada con alcance de clúster, Cloud DNS muestra los datos del registro como respuesta y completa el proceso de resolución de nombres.
2. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona de reenvío con alcance de clúster, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona de reenvío para completar el proceso de resolución de nombres. Cloud DNS muestra una de las siguientes respuestas:
  - La respuesta recibida del destino de reenvío.
  - Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS
3. Si la consulta no coincide con ninguna zona privada con permiso de clúster, Cloud DNS continúa con el orden de resolución de la red de VPC.

Orden de resolución de red de VPC

Servidor de nombres alternativo de la red de VPC: Si la red de VPC tiene una política del servidor saliente, Google Cloud reenvía la consulta a uno de los servidores de nombres alternativos definidos en esa política para completar el proceso de resolución de nombres.

Si existen dos o más servidores de nombres alternativos en la política del servidor saliente, Cloud DNS clasifica los servidores de nombres alternativos con un algoritmo interno. A partir de rangos iguales, los servidores de nombres alternativos aumentan en la clasificación según las tasas más altas de respuestas exitosas (incluidas las respuestas NXDOMAIN) y según el tiempo de ida y vuelta más corto (la latencia de respuesta más baja).

Cloud DNS envía consultas a servidores de nombres alternativos y muestra respuestas mediante el siguiente proceso:
- Si existen dos o más servidores de nombres alternativos en la política del servidor saliente, Cloud DNS primero envía la consulta al servidor de nombres alternativo con la clasificación más alta y, luego, al servidor de nombres alternativo con la clasificación siguiente si Cloud DNS no recibe ninguna respuesta del servidor de nombres alternativo con la clasificación más alta. Si Cloud DNS no recibe ninguna respuesta del servidor de nombres alternativo de clasificación siguiente, Cloud DNS continúa consultando servidores de nombres alternativos con una clasificación descendente hasta que se agote la lista de servidores de nombres alternativos.
- Si Cloud DNS recibe una respuesta de un servidor de nombres alternativo, Cloud DNS muestra esa respuesta. Las respuestas incluyen respuestas NXDOMAIN.
- Si Cloud DNS no recibe una respuesta de todos los servidores de nombres alternativos en la política del servidor saliente, Cloud DNS sintetiza una respuesta SERVFAIL. Para solucionar problemas relacionados con la conectividad del servidor de nombres alternativo, consulta Requisitos de red del servidor de nombres alternativo.
Si la red de VPC no tiene una política de servidor saliente, Cloud DNS continúa con el siguiente paso.
Haz coincidir el uso de reglas en las políticas de respuesta con alcance de red de VPC. Cloud DNS analiza todas las políticas de respuesta de la red de VPC aplicables en busca de una regla en la que el atributo del nombre de DNS coincida con la mayor parte posible de la consulta. En Cloud DNS, se usa la coincidencia con el sufijo más largo para analizar las políticas de respuesta con alcance de red:
1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla entrega datos locales, Cloud DNS muestra los datos locales como respuesta y completa el proceso de resolución de nombres.
2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y su comportamiento omite la política de respuesta, Cloud DNS continúa con el siguiente paso.
3. Si Cloud DNS no encuentra una política de respuesta que coincida o si no hay una política de respuesta con alcance de red aplicable para la VM o el nodo, entonces Cloud DNS continúa con el siguiente paso.
Haz coincidir los registros en las zonas privadas administradas con permiso de red de VPC y las zonas .internal de Compute Engine. Cloud DNS analiza todas las zonas del DNS interno de Compute Engine aplicables y todas las zonas privadas administradas autorizadas para la red de VPC en busca de un registro que coincida con la mayor cantidad posible de la consulta. En Cloud DNS, se usa la coincidencia con el sufijo más largo para encontrar registros:
1. Si la coincidencia más específica para la consulta es un nombre de DNS interno de Compute Engine, Cloud DNS muestra la dirección IPv4 interna de la interfaz de red de la VM como respuesta, lo que completa el proceso de resolución de nombres. Un registro de una zona privada administrada solo tiene prioridad sobre un nombre de DNS interno de Compute Engine creado automáticamente cuando el registro en la zona privada es una coincidencia más específica.
2. Si la coincidencia más específica para la consulta es un registro en una zona privada administrada con alcance de red, Cloud DNS muestra los datos del registro como respuesta y completa el proceso de resolución de nombres.
3. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona de reenvío con alcance de red, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona de reenvío para completar el proceso de resolución de nombres. Cloud DNS muestra una de las siguientes respuestas:
  - La respuesta recibida del destino de reenvío.
  - Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS
4. Si la coincidencia más específica para la consulta es el nombre de una zona de intercambio de tráfico con alcance de red, Cloud DNS detiene el proceso actual de resolución de nombres y comienza un nuevo proceso de resolución de nombres desde la perspectiva de la red de VPC de destino de la zona de intercambio de tráfico.
Si la consulta no coincide con ningún nombre de DNS interno de Compute Engine, o si no coincide con una zona privada, una zona de reenvío o una zona de intercambio de tráfico, Cloud DNS continúa con el siguiente paso.
Registro de coincidencia mediante una consulta de DNS pública: Google Cloud sigue el registro de inicio de autoridad (SOA) para consultar zonas disponibles públicamente, incluidas las zonas públicas de Cloud DNS. Cloud DNS muestra una de las siguientes respuestas:
- La respuesta recibida de un servidor de nombres autorizado.
- Una respuesta NXDOMAIN, si el registro no existe.

Ejemplo

Supongamos que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con permiso:

vpc-a está autorizado para consultar las siguientes zonas privadas. Observa el punto final en cada entrada:
- static.example.com.
- 10.internal.
peer.com. es una zona de intercambio de tráfico que puede consultar el orden de resolución de nombres de VPC de vpc-b.
vpc-a no está asociado con ningún servidor saliente ni política de respuesta.
cluster-a está autorizado para consultar una zona privada llamada example.com. cluster-a tampoco está asociado con ningún servidor saliente ni política de respuesta.
Una VM en cluster-a puede consultar lo siguiente:
- example.com y sus elementos secundarios (incluido static.example.com), que reciben respuesta de la zona privada llamada example.com, están autorizados para cluster-a
- 10.internal en vpc-a.
- peer.com mediante la zona de intercambio de tráfico.
Una VM que no está en cluster-a puede consultar lo siguiente:
- static.example.com y los elementos secundarios, que reciben respuesta de la zona privada llamada static.example.com, están autorizados para vpc-a Las consultas para example.com muestran respuestas de Internet.
- 10.internal en vpc-a.
- peer.com mediante la zona de intercambio de tráfico.

¿Qué sigue?

Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.
Para obtener información sobre cómo configurar políticas de respuesta, consulta Administra políticas y reglas de respuesta.