이름 확인 순서

영역, 서버 정책, 응답 정책과 같은 Private Cloud DNS 리소스의 범위를 Virtual Private Cloud(VPC) 네트워크 또는 Google Kubernetes Engine(GKE) 클러스터로 지정할 수 있습니다. 범위에 대한 자세한 내용은 범위 및 계층 구조를 참조하세요. DNS 리소스를 여러 범위에 동시에 바인딩할 수 있습니다. VPC 네트워크와 같은 보다 덜 구체적인 범위가 아닌 GKE 클러스터와 같은 더욱 구체적인 범위가 선택됩니다.

각 VPC 네트워크(또는 Cloud DNS를 사용하도록 구성된 GKE 클러스터)는 이름을 사용하는 가상 머신(VM) 인스턴스에 DNS 이름 확인 서비스를 제공합니다. VM이 메타데이터 서버 169.254.169.254를 네임서버로 사용하면 Google Cloud는 다음 순서에 따라 DNS 레코드를 검색합니다(GKE 클러스터의 경우 클러스터 범위 리소스부터 시작).

  • 범위에 아웃바운드 서버 정책이 있으면 Google Cloud는 모든 DNS 쿼리를 대체 서버로 전달합니다. 이름 확인 순서는 이 단계로만 구성됩니다.

  • 범위에 아웃바운드 서버 정책이 없으면 다음이 수행됩니다.

    1. Google Cloud는 요청된 레코드와 최대한 많이 일치하는 응답 정책을 찾습니다(최장 서픽스 일치). 응답 정책에 따라 수정된 리소스 레코드가 제공되거나 통과 동작이 수행됩니다. 응답 정책 작업이 통과되면 Google Cloud는 정책이 없는 것처럼 다음 단계를 진행합니다. 로컬 데이터를 제공할 수 있는 정책에 와일드 카드 레코드가 있더라도 마찬가지입니다.

    2. Google Cloud는 요청된 레코드와 최대한 일치하는(최장 서픽스 일치) 비공개 영역을 찾습니다. 여기에는 다음이 포함됩니다.

      • 비공개 영역에서 만든 레코드 검색
      • 전달 영역의 전달 대상 쿼리
      • 피어링 영역을 사용하여 다른 VPC 네트워크의 이름 확인 순서 쿼리
    3. Google Cloud는 자동으로 생성된 Compute Engine 내부 DNS 레코드에서 프로젝트를 검색합니다. 비공개 영역이 Compute Engine 영역보다 더 구체적인 경우에만 자동 생성된 Compute Engine 내부 DNS 영역에서 선택됩니다.

    4. Google Cloud는 적절하게 구성된 SOA에 따라 공개적으로 사용 가능한 영역을 쿼리합니다. 여기에는 Cloud DNS 공개 영역이 포함됩니다.

예시

다음 범위의 리소스와 함께 VPC 네트워크 두 개(vpc-avpc-b)와 GKE 클러스터 cluster-a가 있다고 가정합니다.

  1. vpc-a은 다음 비공개 영역을 쿼리하도록 승인됩니다. 각 항목의 후행 점을 확인합니다.
    1. static.example.com.
    2. 10.internal.
  2. vpc-a는 아웃바운드 서버나 응답 정책과 연결되지 않습니다.
  3. cluster-aexample.com이라는 비공개 영역을 쿼리하도록 승인됩니다. cluster-a도 아웃바운드 서버나 응답 정책과 연결되지 않습니다.
  4. cluster-a의 VM은 다음을 쿼리할 수 있습니다.
    1. cluster-a에 승인된 비공개 영역(example.com)에서 응답하는 example.com 및 하위 요소(static.example.com 포함)
    2. vpc-a에서 10.internal
    3. 피어링 영역을 사용하는 peer.com
  5. cluster-a없는 VM은 다음을 쿼리할 수 있습니다.
    1. vpc-a에 승인된 비공개 영역(static.example.com)에서 응답하는 static.example.com 및 하위 요소. example.com 쿼리는 인터넷 응답을 반환합니다.
    2. vpc-a에서 10.internal
    3. 피어링 영역을 사용하는 peer.com

다음 단계