Membuat zona penerusan

Halaman ini memberikan petunjuk tentang cara membuat zona penerusan. Untuk mengetahui informasi latar belakang selengkapnya, lihat Zona penerusan.

Sebelum memulai, pastikan Anda memahami hal-hal berikut:

Untuk membuat zona penerusan pribadi terkelola baru, selesaikan langkah-langkah berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Membuat zona DNS

  2. Untuk Jenis zona, pilih Pribadi.

  3. Masukkan Nama zona seperti my-new-zone.

  4. Masukkan akhiran nama DNS untuk zona pribadi. Semua data dalam zona menggunakan akhiran ini. Contoh, example.private.

  5. Opsional: Tambahkan deskripsi.

  6. Di bagian Opsi, pilih Teruskan kueri ke server lain.

  7. Pilih jaringan yang dapat melihat zona pribadi.

  8. Untuk menambahkan alamat IPv4 target penerusan, klik Tambahkan item. Anda dapat menambahkan beberapa alamat IP.

  9. Untuk memaksa pemilihan rute pribadi ke target penerusan, di bagian Private forwarding, centang kotak Enable.

  10. Klik Create.

gcloud

Jalankan perintah dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Ganti kode berikut:

  • NAME: nama untuk zona Anda
  • DESCRIPTION: deskripsi untuk zona Anda
  • DNS_SUFFIX: suffix DNS untuk zona Anda, seperti example.private
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang diberi otorisasi untuk membuat kueri zona
  • FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma tempat kueri dikirim. Alamat IP RFC 1918 yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma, tempat kueri dikirim. Setiap alamat IP yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Kirim permintaan POST menggunakan metode managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat zona dikelola dibuat
  • NAME: nama untuk zona Anda
  • DESCRIPTION: deskripsi untuk zona Anda
  • DNS_NAME: suffix DNS untuk zona Anda, seperti example.private
  • VPC_NETWORK_1 dan VPC_NETWORK_2: URL untuk jaringan VPC dalam project yang sama yang dapat membuat kueri data di zona ini. Anda dapat menambahkan beberapa jaringan VPC seperti yang ditunjukkan. Untuk menentukan URL jaringan VPC, jelaskan jaringan dengan perintah gcloud berikut, yang mengganti VPC_NETWORK_NAME dengan nama jaringan:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 dan FORWARDING_TARGET_2: Alamat IP server nama target penerusan. Anda dapat menambahkan beberapa target penerusan seperti yang ditunjukkan. Alamat IP RFC 1918 yang ditentukan di sini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses internet.

Persyaratan jaringan target penerusan

Saat mengirim permintaan ke target penerusan, Cloud DNS akan mengirim paket dengan rentang sumber yang tercantum dalam tabel berikut.

Jenis target penerusan Rentang sumber

Target jenis 1

Alamat IP internal VM Google Cloud atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diberi otorisasi untuk menggunakan zona penerusan.

Target jenis 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect.

Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, lihat Meneruskan target dan metode pemilihan rute.

35.199.192.0/19

Cloud DNS menggunakan rentang sumber 35.199.192.0/19 untuk semua pelanggan. Rentang ini hanya dapat diakses dari jaringan VPC Google Cloud atau dari jaringan lokal yang terhubung ke jaringan VPC.

Target jenis 3

Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud; misalnya, alamat IP eksternal VM di jaringan VPC lain.

Rentang sumber Google Public DNS

Target Jenis 1 dan Jenis 2

Cloud DNS memerlukan hal berikut untuk mengakses target Jenis 1 atau Jenis 2. Persyaratan ini sama, baik targetnya adalah alamat IP RFC 1918 dan Anda menggunakan perutean standar maupun jika Anda memilih perutean pribadi:

  • Konfigurasi firewall untuk 35.199.192.0/19

    Untuk target Jenis 1, buat aturan firewall izin masuk untuk traffic 53 port TCP dan UDP, yang berlaku untuk target penerusan Anda di setiap jaringan VPC yang diotorisasi. Untuk target Jenis 2, konfigurasikan firewall jaringan lokal dan peralatan serupa untuk mengizinkan port TCP dan UDP 53.

  • Merutekan ke target penerusan

    Untuk target Jenis 1, Cloud DNS menggunakan rute subnet untuk mengakses target di jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan. Untuk target nama Jenis 2, Cloud DNS menggunakan rute statis kustom atau rute statis kustom, kecuali untuk rute statis berlabel, untuk mengakses target penerusan.

  • Kembali ke rute 35.199.192.0/19 melalui jaringan VPC yang sama

    Untuk target Jenis 1, Google Cloud menggunakan jalur pemilihan rute khusus untuk tujuan 35.199.192.0/19. Untuk target Jenis 2, jaringan lokal Anda harus memiliki rute untuk tujuan 35.199.192.0/19, yang next hop-nya berada di jaringan VPC yang sama dengan tempat permintaan berasal, melalui tunnel Cloud VPN atau lampiran VLAN untuk Cloud Interconnect. Untuk mengetahui informasi tentang cara memenuhi persyaratan ini, lihat strategi rute return untuk target Jenis 2.

  • Respons langsung dari target

    Cloud DNS mewajibkan target penerusan yang menerima paket adalah yang mengirim balasan ke 35.199.192.0/19. Jika target penerusan Anda mengirim permintaan ke server nama yang berbeda, dan server nama lain tersebut merespons 35.199.192.0/19, Cloud DNS akan mengabaikan respons tersebut. Untuk alasan keamanan, Google Cloud mengharapkan alamat sumber dari setiap balasan DNS server nama target cocok dengan alamat IP target penerusan.

Strategi rute pengembalian untuk target Jenis 2

Cloud DNS tidak dapat mengirim respons dari target penerusan Jenis 2 melalui internet atau melalui jaringan VPC yang berbeda. Respons harus kembali ke jaringan VPC yang sama, meskipun respons tersebut dapat menggunakan tunnel Cloud VPN atau lampiran VLAN di jaringan yang sama.

  • Untuk tunnel Cloud VPN yang menggunakan perutean statis, buat rute di jaringan lokal Anda secara manual dengan tujuan 35.199.192.0/19 dan next hop-nya adalah tunnel Cloud VPN. Untuk tunnel Cloud VPN yang menggunakan pemilihan rute berbasis kebijakan, konfigurasi pemilih traffic lokal Cloud VPN dan pemilih traffic jarak jauh gateway VPN lokal untuk menyertakan 35.199.192.0/19.
  • Untuk tunnel Cloud VPN yang menggunakan perutean dinamis atau untuk Cloud Interconnect, konfigurasi pemberitahuan rute kustom untuk 35.199.192.0/19 di sesi BGP Cloud Router yang mengelola tunnel atau lampiran VLAN.

Target jenis 3

Saat menggunakan perutean standar untuk mengakses alamat IP eksternal, Cloud DNS mengharapkan target penerusan berupa sistem di internet, yang dapat diakses secara publik, atau alamat IP eksternal dari resource Google Cloud.

Misalnya, target Jenis 3 menyertakan alamat IP eksternal VM di jaringan VPC yang berbeda.

Pemilihan rute pribadi ke target Jenis 3 tidak didukung.

Langkah selanjutnya