Crea una zona de reenvío

En esta página, se proporcionan instrucciones para crear una zona de reenvío. Para obtener información general detallada, consulta Zonas de reenvío.

Antes de comenzar, asegúrate de comprender los siguientes puntos:

Para crear una nueva zona de reenvío privada administrada, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página Crear una zona del DNS.

    Ir a Crear una zona de DNS

  2. En Tipo de zona, selecciona Privada.

  3. Ingresa un nombre de zona, como my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo. Por ejemplo, example.private.

  5. Opcional: Agrega una descripción.

  6. En Opciones, selecciona Reenviar consultas a otro servidor.

  7. Selecciona las redes en las que estará visible la zona privada.

  8. Para agregar las direcciones IPv4 de un destino de reenvío, haz clic en Agregar elemento. Puedes agregar varias direcciones IP.

  9. Para forzar el enrutamiento privado al destino de reenvío, en Reenvío privado, selecciona la casilla de verificación Habilitar.

  10. Haga clic en Crear.

gcloud

Ejecuta el comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Reemplaza lo siguiente:

  • NAME: Es el nombre para tu zona
  • DESCRIPTION: Es una descripción para tu zona
  • DNS_SUFFIX: Es el sufijo DNS para tu zona, como example.private
  • VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona.
  • FORWARDING_TARGETS_LIST: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Las direcciones IP RFC 1918 especificadas con esta marca deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Cualquier dirección IP especificada con esta marca debe estar ubicada en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Envía una solicitud POST mediante el método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto en el que se crea la zona administrada
  • NAME: Es el nombre para tu zona
  • DESCRIPTION: Es una descripción para tu zona
  • DNS_NAME: Es el sufijo DNS para tu zona, como example.private
  • VPC_NETWORK_1 y VPC_NETWORK_2: Son URL de las redes de VPC del mismo proyecto que pueden consultar registros en esta zona. Puedes agregar varias redes de VPC como se indica. A fin de determinar la URL de una red de VPC, describe la red mediante el siguiente comando de gcloud y reemplaza VPC_NETWORK_NAME por el nombre de la red:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 y FORWARDING_TARGET_2: Son las direcciones IP de los servidores de nombres del destino de reenvío. Puedes agregar varios destinos de reenvío como se indica. Las direcciones IP RFC 1918 especificadas aquí deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.

Requisitos de red de los destinos de reenvío

Cuando Cloud DNS envía solicitudes a los destinos de reenvío, envía paquetes con los rangos de origen enumerados en la siguiente tabla.

Tipo de destino de reenvío Rangos de origen

Destino de tipo 1

Una dirección IP interna de un una VM de Google Cloud o una balanceador de cargas de red de transferencia interno del misma red de VPC autorizada para usar la puerta de enlace zona.

Destino de tipo 2

Es una dirección IP de un sistema local, conectada a la red de VPC autorizada para usar la zona de reenvío mediante Cloud VPN o Cloud Interconnect.

Para obtener más información sobre las direcciones IP compatibles, consulta Destinos de reenvío y de enrutamiento.

35.199.192.0/19

En Cloud DNS, se usa el rango de origen 35.199.192.0/19 para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.

Destino de tipo 3

Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC.

Rangos de origen de DNS público de Google

Destinos de tipos 1 y 2

Cloud DNS requiere lo siguiente para acceder a un destino de tipo 1 o tipo 2. Estos requisitos son los mismos si el destino es una dirección IP RFC 1918 y usas el enrutamiento estándar o si eliges el enrutamiento privado:

  • Configuración de firewall de 35.199.192.0/19

    Para los destinos de tipo 1, crea una regla de firewall de entrada permitida para el tráfico de TCP y UDP 53, aplicable a tus destinos de reenvío en cada red de VPC autorizada. Para los destinos de tipo 2, configura un firewall de red local y equipos similares para permitir el puerto 53 de TCP y UDP.

  • Ruta al destino de reenvío

    En el caso de los destinos de tipo 1, Cloud DNS usa una ruta de subred para acceder al destino en la red de VPC autorizada a fin de usar la zona de reenvío. Para los destinos de nombre de tipo 2, Cloud DNS usa rutas estáticas o dinámicas personalizadas, excepto las rutas estáticas etiquetadas, para acceder al destino de reenvío.

  • Muestra la ruta a 35.199.192.0/19 a través de la misma red de VPC

    Para los destinos de tipo 1, Google Cloud usa una ruta de enrutamiento especial para el destino 35.199.192.0/19. Para los destinos de tipo 2, tu red local debe tener una ruta para el destino 35.199.192.0/19, cuyo siguiente salto se encuentra en la misma red de VPC en la que se originó la solicitud, a través de un túnel de Cloud VPN o un adjunto de VLAN para Cloud Interconnect. Si deseas obtener información sobre cómo cumplir con este requisito, consulta las estrategias para la ruta de retorno de los destinos de tipo 2.

  • Respuesta directa desde el destino

    Cloud DNS requiere que el destino de reenvío que recibe paquetes sea el que envía respuestas a 35.199.192.0/19. Si desde el destino de reenvío se envía la solicitud a un servidor de nombres diferente y con ese otro servidor de nombres responde a 35.199.192.0/19, en Cloud DNS se ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de la respuesta de DNS de cada servidor de nombres de destino coincida con la dirección IP del destino de reenvío.

Muestra estrategias de ruta para destinos de tipo 2

Cloud DNS no puede enviar respuestas desde destinos de reenvío de tipo 2 a través de Internet o a través de una red de VPC diferente. Las respuestas deben volver a la misma red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o un adjunto de VLAN en esa misma red.

  • En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea 35.199.192.0/19 y cuyo siguiente salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.
  • Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura un anuncio de ruta personalizado para 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Objetivos de tipo 3

Cuando Cloud DNS usa el enrutamiento estándar para acceder a una dirección IP externa, se espera que el destino de reenvío sea un sistema en Internet de acceso público o una dirección IP externa de un recurso de Google Cloud.

Por ejemplo, un destino de tipo 3 incluye la dirección IP externa de una VM en una red de VPC diferente.

No se admite el enrutamiento privado a destinos de tipo 3.

¿Qué sigue?