O Cloud DNS usa o procedimento a seguir para responder a consultas de instâncias de máquina virtual (VM) do Compute Engine e de nós do Google Kubernetes Engine (GKE).
Para VMs do Compute Engine que não sejam os nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas recebidas. Cada VM precisa ser configurada de modo que use o endereço IP do servidor de metadados (169.254.169.254
) como servidor de nomes.
Para nós do GKE:
Primeiro, o Cloud DNS tenta fazer a correspondência de uma consulta usando políticas de resposta e zonas particulares no escopo de cluster.
O Cloud DNS continua seguindo a ordem de resolução da rede VPC.
Políticas de resposta e zonas particulares no escopo de cluster
Correspondência usando regras em políticas de resposta no escopo de cluster do GKE. O Cloud DNS verifica todas as políticas de resposta no escopo de cluster do GKE aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de cluster:
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de cluster aplicável ao nó, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registros em zonas particulares no escopo de cluster. O Cloud DNS verifica todas as zonas particulares gerenciadas no escopo de cluster em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros em zonas particulares no escopo de cluster:
Se a correspondência mais específica à consulta for um registro em uma zona particular gerenciada no escopo de cluster, o Cloud DNS retornará os dados de registro como resposta, concluindo o processo de resolução de nome.
Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de cluster, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir:
- A resposta recebida do destino de encaminhamento.
- Uma resposta
SERVFAIL
, se o destino de encaminhamento não responder ao Cloud DNS.
Se a consulta não corresponder a nenhuma zona particular no escopo de cluster, o Cloud DNS continuará com a ordem de resolução de rede VPC.
Ordem de resolução de rede VPC
Servidor de nomes alternativo da rede VPC: se a rede VPC tiver uma política de servidor de saída, o Google Cloud encaminhará a consulta para um dos servidores de nomes alternativos definidos nessa política para concluir o processo de resolução de nomes.
Se houver dois ou mais servidores de nomes alternativos na política do servidor de saída, o Cloud DNS classificará os servidores de nomes alternativos usando um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos aumentam a classificação com base em taxas mais altas de respostas bem-sucedidas (incluindo respostas
NXDOMAIN
) e com base no menor tempo de retorno (a menor latência de resposta).O Cloud DNS envia consultas para servidores de nomes alternativos e retorna respostas usando o seguinte processo:
Se houver dois ou mais servidores de nomes alternativos na política de servidor de saída, o Cloud DNS primeiro enviará a consulta para o servidor de nomes alternativo de melhor classificação e, em seguida, para o próximo servidor de nomes alternativo melhor classificado, se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo de melhor classificação. Se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo da próxima classificação, ele continuará consultando servidores de nomes alternativos, diminuindo a classificação até esgotar a lista de servidores de nomes alternativos.
Se o Cloud DNS receber uma resposta de um servidor de nomes alternativo, ele a retornará. As respostas incluem respostas
NXDOMAIN
.Se o Cloud DNS não receber uma resposta de todos os servidores de nomes alternativos na política de servidor de saída, o Cloud DNS sintetizará uma resposta
SERVFAIL
. Para resolver problemas de conectividade do servidor de nomes alternativo, consulte Requisitos de rede do servidor de nomes alternativo.
Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS seguirá para a próxima etapa.
Correspondência usando regras em políticas de resposta no escopo de rede VPC. O Cloud DNS verifica todas as políticas de resposta de rede VPC aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponde ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de rede:
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de rede aplicável à VM ou ao nó, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registros em zonas particulares gerenciadas no escopo de rede VPC e zonas
.internal
do Compute Engine. O Cloud DNS verifica todas as zonas de DNS interno do Compute Engine aplicáveis e todas as zonas particulares gerenciadas autorizadas para a rede VPC em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros:Se a correspondência mais específica à consulta for um nome de DNS interno do Compute Engine, o Cloud DNS retornará o endereço IPv4 interno da interface de rede da VM como resposta, concluindo o processo de resolução de nome. Um registro em uma zona particular gerenciada só tem precedência sobre um nome de DNS interno do Compute Engine criado automaticamente quando o registro na zona particular é uma correspondência mais específica.
Se a correspondência mais específica à consulta for um registro em uma zona particular gerenciada no escopo de rede, o Cloud DNS retornará os dados de registro como resposta, concluindo o processo de resolução de nome.
Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de rede, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir:
- A resposta recebida do destino de encaminhamento.
- Uma resposta
SERVFAIL
, se o destino de encaminhamento não responder ao Cloud DNS.
Se a correspondência mais específica à consulta for o nome de uma zona de peering no escopo de rede, o Cloud DNS interromperá o processo de resolução de nome atual e iniciará um novo processo com base na perspectiva da rede VPC de destino da zona de peering.
Se a consulta não corresponder a nenhum nome de DNS interno do Compute Engine ou se não corresponder a uma zona particular, zona de encaminhamento ou zona de peering, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registro usando uma consulta DNS pública: o Google Cloud segue o registro de início de autoridade (SOA, na sigla em inglês) para consultar zonas disponíveis publicamente, incluindo as zonas públicas do Cloud DNS. O Cloud DNS retorna uma das respostas a seguir:
- A resposta recebida de um servidor de nomes autoritativo.
- Uma resposta
NXDOMAIN
, se o registro não existir.
Exemplo
Suponha que você tenha duas redes VPC, vpc-a
e vpc-b
, e
um cluster do GKE, cluster-a
, com os seguintes recursos com
escopo:
vpc-a
está autorizado a consultar as seguintes zonas particulares. Observe o ponto final em cada entrada:static.example.com.
10.internal.
peer.com.
é uma zona de peering que pode consultar a ordem de resolução de nome de VPC devpc-b
.vpc-a
não está associado a nenhum servidor de saída ou políticas de resposta.cluster-a
está autorizado a consultar uma zona particular chamadaexample.com
.cluster-a
também não está associado a nenhuma política de resposta ou servidor de saída.Uma VM em
cluster-a
pode consultar:example.com
e filhos (incluindostatic.example.com
), respondidos pela zona particular chamadaexample.com
, autorizada acluster-a
.10.internal
emvpc-a
.peer.com
usando a zona de peering.
Uma VM que não está em
cluster-a
pode consultar:static.example.com
e filhos, respondidos pela zona particular chamadastatic.example.com
autorizada avpc-a
. As consultas paraexample.com
retornam respostas da Internet.10.internal
emvpc-a
.peer.com
usando a zona de peering.
A seguir
- Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
- Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.
- Para saber como configurar políticas de resposta, consulte Gerenciar políticas e regras de resposta.