Ordem de resolução de nomes

O Cloud DNS usa o procedimento a seguir para responder a consultas de instâncias de máquina virtual (VM) do Compute Engine e de nós do Google Kubernetes Engine (GKE).

Para VMs do Compute Engine que não sejam os nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas recebidas. Cada VM precisa ser configurada de modo que use o endereço IP do servidor de metadados (169.254.169.254) como servidor de nomes.

Para nós do GKE:

Primeiro, o Cloud DNS tenta fazer a correspondência de uma consulta usando políticas de resposta e zonas particulares no escopo de cluster.
O Cloud DNS continua seguindo a ordem de resolução da rede VPC.

Políticas de resposta e zonas particulares no escopo de cluster

Correspondência usando regras em políticas de resposta no escopo de cluster do GKE. O Cloud DNS verifica todas as políticas de resposta no escopo de cluster do GKE aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de cluster:
1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de cluster aplicável ao nó, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registros em zonas particulares no escopo de cluster. O Cloud DNS verifica todas as zonas particulares gerenciadas no escopo de cluster em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros em zonas particulares no escopo de cluster:
1. Se a correspondência mais específica à consulta for um registro em uma zona particular gerenciada no escopo de cluster, o Cloud DNS retornará os dados de registro como resposta, concluindo o processo de resolução de nome.
2. Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de cluster, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir:
  - A resposta recebida do destino de encaminhamento.
  - Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
3. Se a consulta não corresponder a nenhuma zona particular no escopo de cluster, o Cloud DNS continuará com a ordem de resolução de rede VPC.

Ordem de resolução de rede VPC

Servidor de nomes alternativo da rede VPC: se a rede VPC tiver uma política de servidor de saída, o Google Cloud encaminhará a consulta para um dos servidores de nomes alternativos definidos nessa política para concluir o processo de resolução de nomes.

Se houver dois ou mais servidores de nomes alternativos na política do servidor de saída, o Cloud DNS classificará os servidores de nomes alternativos usando um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos aumentam a classificação com base em taxas mais altas de respostas bem-sucedidas (incluindo respostas NXDOMAIN) e com base no menor tempo de retorno (a menor latência de resposta).

O Cloud DNS envia consultas para servidores de nomes alternativos e retorna respostas usando o seguinte processo:
- Se houver dois ou mais servidores de nomes alternativos na política de servidor de saída, o Cloud DNS primeiro enviará a consulta para o servidor de nomes alternativo de melhor classificação e, em seguida, para o próximo servidor de nomes alternativo melhor classificado, se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo de melhor classificação. Se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo da próxima classificação, ele continuará consultando servidores de nomes alternativos, diminuindo a classificação até esgotar a lista de servidores de nomes alternativos.
- Se o Cloud DNS receber uma resposta de um servidor de nomes alternativo, ele a retornará. As respostas incluem respostas NXDOMAIN.
- Se o Cloud DNS não receber uma resposta de todos os servidores de nomes alternativos na política de servidor de saída, o Cloud DNS sintetizará uma resposta SERVFAIL. Para resolver problemas de conectividade do servidor de nomes alternativo, consulte Requisitos de rede do servidor de nomes alternativo.
Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS seguirá para a próxima etapa.
Correspondência usando regras em políticas de resposta no escopo de rede VPC. O Cloud DNS verifica todas as políticas de resposta de rede VPC aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponde ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de rede:
1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de rede aplicável à VM ou ao nó, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registros em zonas particulares gerenciadas no escopo de rede VPC e zonas .internal do Compute Engine. O Cloud DNS verifica todas as zonas de DNS interno do Compute Engine aplicáveis e todas as zonas particulares gerenciadas autorizadas para a rede VPC em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros:
1. Se a correspondência mais específica à consulta for um nome de DNS interno do Compute Engine, o Cloud DNS retornará o endereço IPv4 interno da interface de rede da VM como resposta, concluindo o processo de resolução de nome. Um registro em uma zona particular gerenciada só tem precedência sobre um nome de DNS interno do Compute Engine criado automaticamente quando o registro na zona particular é uma correspondência mais específica.
2. Se a correspondência mais específica à consulta for um registro em uma zona particular gerenciada no escopo de rede, o Cloud DNS retornará os dados de registro como resposta, concluindo o processo de resolução de nome.
3. Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de rede, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir:
  - A resposta recebida do destino de encaminhamento.
  - Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
4. Se a correspondência mais específica à consulta for o nome de uma zona de peering no escopo de rede, o Cloud DNS interromperá o processo de resolução de nome atual e iniciará um novo processo com base na perspectiva da rede VPC de destino da zona de peering.
Se a consulta não corresponder a nenhum nome de DNS interno do Compute Engine ou se não corresponder a uma zona particular, zona de encaminhamento ou zona de peering, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registro usando uma consulta DNS pública: o Google Cloud segue o registro de início de autoridade (SOA, na sigla em inglês) para consultar zonas disponíveis publicamente, incluindo as zonas públicas do Cloud DNS. O Cloud DNS retorna uma das respostas a seguir:
- A resposta recebida de um servidor de nomes autoritativo.
- Uma resposta NXDOMAIN, se o registro não existir.

Exemplo

Suponha que você tenha duas redes VPC, vpc-a e vpc-b, e um cluster do GKE, cluster-a, com os seguintes recursos com escopo:

vpc-a está autorizado a consultar as seguintes zonas particulares. Observe o ponto final em cada entrada:
- static.example.com.
- 10.internal.
peer.com. é uma zona de peering que pode consultar a ordem de resolução de nome de VPC de vpc-b.
vpc-a não está associado a nenhum servidor de saída ou políticas de resposta.
cluster-a está autorizado a consultar uma zona particular chamada example.com. cluster-a também não está associado a nenhuma política de resposta ou servidor de saída.
Uma VM em cluster-a pode consultar:
- example.com e filhos (incluindo static.example.com), respondidos pela zona particular chamada example.com, autorizada a cluster-a.
- 10.internal em vpc-a.
- peer.com usando a zona de peering.
Uma VM que não está em cluster-a pode consultar:
- static.example.com e filhos, respondidos pela zona particular chamada static.example.com autorizada a vpc-a. As consultas para example.com retornam respostas da Internet.
- 10.internal em vpc-a.
- peer.com usando a zona de peering.

A seguir

Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.
Para saber como configurar políticas de resposta, consulte Gerenciar políticas e regras de resposta.