Halaman ini memberikan petunjuk tentang cara membuat zona penerusan. Untuk mengetahui informasi latar belakang selengkapnya, lihat Zona penerusan.
Sebelum memulai, pastikan Anda memahami hal-hal berikut:
- Perbedaan antara pemilihan rute standar dan pribadi seperti yang ditunjukkan dalam Metode pemilihan rute dan target penerusan
- Metode penerusan DNS keluar
- Persyaratan jaringan untuk meneruskan target
- Praktik terbaik untuk zona penerusan Cloud DNS
Untuk membuat zona penerusan pribadi terkelola baru, selesaikan langkah-langkah berikut.
Konsol
Di konsol Google Cloud, buka halaman Create a DNS zone.
Untuk Jenis zona, pilih Pribadi.
Masukkan Nama zona seperti
my-new-zone
.Masukkan akhiran nama DNS untuk zona pribadi. Semua data dalam zona menggunakan akhiran ini. Contoh,
example.private
.Opsional: Tambahkan deskripsi.
Di bagian Opsi, pilih Teruskan kueri ke server lain.
Pilih jaringan yang dapat melihat zona pribadi.
Untuk menambahkan alamat IPv4 target penerusan, klik Tambahkan item. Anda dapat menambahkan beberapa alamat IP.
Untuk memaksa pemilihan rute pribadi ke target penerusan, di bagian Private forwarding, centang kotak Enable.
Klik Create.
gcloud
Jalankan perintah
dns managed-zones create
:
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --forwarding-targets=FORWARDING_TARGETS_LIST \ --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \ --visibility=private
Ganti kode berikut:
NAME
: nama untuk zona AndaDESCRIPTION
: deskripsi untuk zona AndaDNS_SUFFIX
: suffix DNS untuk zona Anda, sepertiexample.private
VPC_NETWORK_LIST
: daftar jaringan VPC yang dipisahkan koma yang diberi otorisasi untuk membuat kueri zonaFORWARDING_TARGETS_LIST
: daftar alamat IP yang dipisahkan koma tempat kueri dikirim. Alamat IP RFC 1918 yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses internet.PRIVATE_FORWARDING_TARGETS_LIST
: daftar alamat IP yang dipisahkan koma, tempat kueri dikirim. Setiap alamat IP yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect.
Terraform
API
Kirim permintaan POST
menggunakan
metode managedZones.create
:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones { "name": "NAME", "description": "DESCRIPTION", "dnsName": "DNS_NAME", "visibility": "private" "privateVisibilityConfig": { "kind": "dns#managedZonePrivateVisibilityConfig", "networks": [{ "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_1 }, { "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_2 }, .... ] }, "forwardingConfig": { "kind": "dns#managedZoneForwardingConfig", "targetNameServers": [{ "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_1 }, { "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_2 }, .... ] }, }
Ganti kode berikut:
PROJECT_ID
: ID project tempat zona dikelola dibuatNAME
: nama untuk zona AndaDESCRIPTION
: deskripsi untuk zona AndaDNS_NAME
: suffix DNS untuk zona Anda, sepertiexample.private
VPC_NETWORK_1
danVPC_NETWORK_2
: URL untuk jaringan VPC dalam project yang sama yang dapat membuat kueri data di zona ini. Anda dapat menambahkan beberapa jaringan VPC seperti yang ditunjukkan. Untuk menentukan URL jaringan VPC, jelaskan jaringan dengan perintahgcloud
berikut, yang menggantiVPC_NETWORK_NAME
dengan nama jaringan:gcloud compute networks describe VPC_NETWORK_NAME
--format="get(selfLink)"FORWARDING_TARGET_1
danFORWARDING_TARGET_2
: Alamat IP server nama target penerusan. Anda dapat menambahkan beberapa target penerusan seperti yang ditunjukkan. Alamat IP RFC 1918 yang ditentukan di sini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses internet.
Persyaratan jaringan target penerusan
Saat mengirim permintaan ke target penerusan, Cloud DNS akan mengirim paket dengan rentang sumber yang tercantum dalam tabel berikut.
Jenis target penerusan | Rentang sumber |
---|---|
Target jenis 1 Alamat IP internal VM Google Cloud atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diberi otorisasi untuk menggunakan zona penerusan. Target jenis 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect. Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, lihat Meneruskan target dan metode pemilihan rute. |
Cloud DNS menggunakan rentang sumber |
Target jenis 3 Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud; misalnya, alamat IP eksternal VM di jaringan VPC lain. |
Rentang sumber Google Public DNS |
Target Jenis 1 dan Jenis 2
Cloud DNS memerlukan hal berikut untuk mengakses target Jenis 1 atau Jenis 2. Persyaratan ini sama, baik targetnya adalah alamat IP RFC 1918 dan Anda menggunakan perutean standar maupun jika Anda memilih perutean pribadi:
Konfigurasi firewall untuk
35.199.192.0/19
Untuk target Jenis 1, buat aturan firewall izin masuk untuk traffic
53
port TCP dan UDP, yang berlaku untuk target penerusan Anda di setiap jaringan VPC yang diotorisasi. Untuk target Jenis 2, konfigurasikan firewall jaringan lokal dan peralatan serupa untuk mengizinkan port TCP dan UDP53
.Merutekan ke target penerusan
Untuk target Jenis 1, Cloud DNS menggunakan rute subnet untuk mengakses target di jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan. Untuk target nama Jenis 2, Cloud DNS menggunakan rute statis kustom atau rute statis kustom, kecuali untuk rute statis berlabel, untuk mengakses target penerusan.
Kembali ke rute
35.199.192.0/19
melalui jaringan VPC yang samaUntuk target Jenis 1, Google Cloud menggunakan jalur pemilihan rute khusus untuk tujuan
35.199.192.0/19
. Untuk target Jenis 2, jaringan lokal Anda harus memiliki rute untuk tujuan35.199.192.0/19
, yang next hop-nya berada di jaringan VPC yang sama dengan tempat permintaan berasal, melalui tunnel Cloud VPN atau lampiran VLAN untuk Cloud Interconnect. Untuk mengetahui informasi tentang cara memenuhi persyaratan ini, lihat strategi rute return untuk target Jenis 2.Respons langsung dari target
Cloud DNS mewajibkan target penerusan yang menerima paket adalah yang mengirim balasan ke
35.199.192.0/19
. Jika target penerusan Anda mengirim permintaan ke server nama yang berbeda, dan server nama lain tersebut merespons35.199.192.0/19
, Cloud DNS akan mengabaikan respons tersebut. Untuk alasan keamanan, Google Cloud mengharapkan alamat sumber dari setiap balasan DNS server nama target cocok dengan alamat IP target penerusan.
Strategi rute pengembalian untuk target Jenis 2
Cloud DNS tidak dapat mengirim respons dari target penerusan Jenis 2 melalui internet atau melalui jaringan VPC yang berbeda. Respons harus kembali ke jaringan VPC yang sama, meskipun respons tersebut dapat menggunakan tunnel Cloud VPN atau lampiran VLAN di jaringan yang sama.
- Untuk tunnel Cloud VPN yang menggunakan perutean statis, buat rute di jaringan lokal Anda secara manual dengan tujuan
35.199.192.0/19
dan next hop-nya adalah tunnel Cloud VPN. Untuk tunnel Cloud VPN yang menggunakan pemilihan rute berbasis kebijakan, konfigurasi pemilih traffic lokal Cloud VPN dan pemilih traffic jarak jauh gateway VPN lokal untuk menyertakan35.199.192.0/19
. - Untuk tunnel Cloud VPN yang menggunakan perutean dinamis atau untuk Cloud Interconnect, konfigurasi pemberitahuan rute kustom untuk
35.199.192.0/19
di sesi BGP Cloud Router yang mengelola tunnel atau lampiran VLAN.
Target jenis 3
Saat menggunakan perutean standar untuk mengakses alamat IP eksternal, Cloud DNS mengharapkan target penerusan berupa sistem di internet, yang dapat diakses secara publik, atau alamat IP eksternal dari resource Google Cloud.
Misalnya, target Jenis 3 menyertakan alamat IP eksternal VM di jaringan VPC yang berbeda.
Pemilihan rute pribadi ke target Jenis 3 tidak didukung.
Langkah selanjutnya
- Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
- Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
- Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.