Weiterleitungszone erstellen

Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Weiterleitungszone. Ausführliche Hintergrundinformationen finden Sie unter Weiterleitungszonen.

Informieren Sie sich über Folgendes, bevor Sie beginnen:

So erstellen Sie eine neue verwaltete private Weiterleitungszone:

Console

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Zur Seite „DNS-Zone erstellen“

  2. Wählen Sie als Zonentyp die Option Privat aus.

  3. Geben Sie unter Zonenname einen Namen wie my-new-zone ein.

  4. Geben Sie unter DNS-Name ein Suffix für die private Zone ein. Alle Einträge in der Zone haben dieses Suffix. Beispiel: example.private

  5. Optional: Fügen Sie eine Beschreibung hinzu.

  6. Wählen Sie unter Optionen die Option Abfragen an anderen Server weiterleiten aus.

  7. Wählen Sie die Netzwerke aus, für die die private Zone sichtbar sein soll.

  8. Klicken Sie auf Element hinzufügen, um die IPv4-Adressen eines Weiterleitungsziels hinzuzufügen. Sie können dabei mehrere IP-Adressen hinzufügen.

  9. Klicken Sie unter Private Weiterleitung das Kästchen Aktivieren an, um das private Routing zum Weiterleitungsziel zu erzwingen.

  10. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl dns managed-zones create aus:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Dabei gilt:

  • NAME: ein Name für Ihre Zone
  • DESCRIPTION: eine Beschreibung für Ihre Zone
  • DNS_SUFFIX: das DNS-Suffix für Ihre Zone, z. B. example.private
  • VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, die zum Abfragen der Zone autorisiert sind.
  • FORWARDING_TARGETS_LIST: eine durch Kommas getrennte Liste von IP-Adressen, an die Abfragen gesendet werden. Die mit diesem Flag angegebenen RFC 1918-IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist. IP-Adressen, die nicht RFC 1918 entsprechen und mit diesem Flag angegeben werden, müssen über das Internet zugänglich sein.
  • PRIVATE_FORWARDING_TARGETS_LIST: eine durch Kommas getrennte Liste von IP-Adressen, an die Abfragen gesendet werden. Alle mit diesem Flag angegebenen IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Senden Sie eine POST-Anfrage mit der Methode managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Dabei gilt:

  • PROJECT_ID: die ID des Projekts, in dem die verwaltete Zone erstellt wird
  • NAME: ein Name für Ihre Zone
  • DESCRIPTION: eine Beschreibung für Ihre Zone
  • DNS_NAME: das DNS-Suffix für Ihre Zone, z. B. example.private
  • VPC_NETWORK_1 und VPC_NETWORK_2: URLs für VPC-Netzwerke im selben Projekt, die Datensätze in dieser Zone abfragen können. Sie können mehrere VPC-Netzwerke wie angegeben hinzufügen. Um die URL für ein VPC-Netzwerk zu ermitteln, beschreiben Sie das Netzwerk mit dem folgenden gcloud-Befehl. Ersetzen Sie dabei VPC_NETWORK_NAME durch den Namen des Netzwerks:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 und FORWARDING_TARGET_2: IP-Adressen der Ziel-Nameserver für die Weiterleitung. Sie können mehrere Weiterleitungsziele wie angegeben hinzufügen. Die hier angegebenen RFC-1918-IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist. IP-Adressen, die nicht RFC 1918 entsprechen und mit diesem Flag angegeben werden, müssen über das Internet zugänglich sein.

Netzwerkanforderungen an Weiterleitungsziel

Wenn Cloud DNS Anfragen an Weiterleitungsziele sendet, sendet es auch Pakete mit den in der folgenden Tabelle aufgeführten Quellbereichen:

Zieltyp weiterleiten Quellbereiche

Typ 1 Ziel

Die interne IP-Adresse einer Google Cloud-VM oder eine internen Passthrough-Network Load Balancer in der gleich VPC-Netzwerk, das zur Verwendung der Weiterleitung autorisiert ist .

Typ 2 Ziel

Eine IP-Adresse eines lokalen Systems, das über Cloud VPN oder Cloud Interconnect mit dem VPC-Netzwerk verbunden ist, das zum Verwenden der Weiterleitungszone autorisiert ist.

Weitere Informationen dazu, welche IP-Adressen unterstützt werden, finden Sie unter Weiterleitungsziele und Routingmethoden.

35.199.192.0/19

Cloud DNS verwendet den Quellbereich 35.199.192.0/19 für alle Kunden. Dieser Bereich ist nur über ein Google Cloud-VPC-Netzwerk oder über ein lokales Netzwerk erreichbar, das mit einem VPC-Netzwerk verbunden ist.

Typ 3 Ziel

Eine externe IP-Adresse eines DNS-Nameservers, auf die über das Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.

Google Public DNS-Quellbereiche

Ziele vom Typ 1 und Typ 2

Cloud DNS benötigt den folgenden Zugriff, um auf ein Ziel vom Typ 1 oder 2 zuzugreifen. Das ist unabhängig davon, ob das Ziel eine IP-Adresse gemäß RFC 1918 ist und Sie das Standardrouting verwenden, oder wenn Sie privates Routing auswählen:

  • Firewallkonfiguration für 35.199.192.0/19

    Erstellen Sie für Ziele vom Typ 1 eine Firewallregel für eingehenden Traffic für TCP- und UDP-Port 53, die für Ihre Weiterleitungsziele in jedem autorisierten VPC-Netzwerk gilt. Konfigurieren Sie für Ziele vom Typ 2 eine lokale Netzwerk-Firewall und ähnliche Geräte, um den TCP- und UDP-Port 53 zuzulassen.

  • Weiterleitung zum Weiterleitungsziel

    Für Ziele vom Typ 1 verwendet Cloud DNS eine Subnetzroute, um auf das Ziel im VPC-Netzwerk zuzugreifen, das zur Verwendung der Weiterleitungszone autorisiert ist. Für Namensziele vom Typ 2 verwendet Cloud DNS entweder benutzerdefinierte dynamische oder benutzerdefinierte statische Routen, mit Ausnahme von mit Tags gekennzeichneten Routen, um auf das Weiterleitungsziel zuzugreifen.

  • Route zu 35.199.192.0/19 über dasselbe VPC-Netzwerk zurückgeben

    Für Ziele vom Typ 1 verwendet Google Cloud einen besonderen Routingpfad für das Ziel 35.199.192.0/19. Bei Zielen des Typs 2 muss Ihr lokales Netzwerk eine Route für das Ziel 35.199.192.0/19 haben, dessen nächster Hop sich im selben VPC-Netzwerk befindet, aus dem die Anfrage stammt. Die Route erfolgt über einen Cloud VPN-Tunnel oder einen VLAN-Cloud Interconnect-Anhang. Informationen dazu, wie Sie diese Anforderung erfüllen, finden Sie unter Rückgaberoutenstrategien für Ziele vom Typ 2.

  • Direkte Reaktion vom Ziel

    Cloud DNS erfordert, dass das Weiterleitungsziel, das Pakete empfängt, dasjenige ist, das Antworten an 35.199.192.0/19 sendet. Wenn Ihr Weiterleitungsziel die Anfrage an einen anderen Nameserver sendet und dieser andere Nameserver auf 35.199.192.0/19 antwortet, ignoriert Cloud DNS die Antwort. Aus Sicherheitsgründen erwartet Google Cloud, dass die Quelladresse der DNS-Antwort jedes Zielnameservers mit der IP-Adresse des Weiterleitungsziels übereinstimmt.

Rückgaberoutenstrategien für Ziele vom Typ 2

Cloud DNS kann keine Antworten von Weiterleitungszielen vom Typ 2 über das Internet oder ein anderes VPC-Netzwerk senden. Antworten müssen an das gleiche VPC-Netzwerk zurückgegeben werden, können aber jeden beliebigen Cloud VPN-Tunnel oder VLAN-Anhang in demselben Netzwerk verwenden.

  • Erstellen Sie für Cloud VPN-Tunnel, die statisches Routing verwenden, manuell eine Route in Ihrem lokalen Netzwerk, deren Ziel 35.199.192.0/19 und deren nächster Hop der Cloud VPN-Tunnel ist. Für Cloud VPN-Tunnel, die richtlinienbasiertes Routing verwenden, konfigurieren Sie die lokale Trafficauswahl des Cloud VPN und die Remote-Trafficauswahl des lokalen VPN-Gateways so, dass 35.199.192.0/19 enthalten ist.
  • Für Cloud VPN-Tunnel, die dynamisches Routing verwenden, oder für Cloud Interconnect konfigurieren Sie ein benutzerdefiniertes Advertisement für 35.199.192.0/19 der BGP-Sitzung auf dem Cloud Router, der den Tunnel oder VLAN-Anhang verwaltet.

Ziele vom Typ 3

Wenn Cloud DNS für den Zugriff auf eine externe IP-Adresse das Standardrouting verwendet, wird erwartet, dass das Weiterleitungsziel entweder ein System im Internet, öffentlich zugänglich oder eine externe IP-Adresse einer Google Cloud-Ressource ist.

Ein Ziel des Typs 3 beispielsweise enthält die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.

Privates Routing an Ziele vom Typ 3 wird nicht unterstützt.

Nächste Schritte