En esta página, se proporcionan instrucciones para crear una zona de reenvío. Para obtener información general detallada, consulta Zonas de reenvío.
Antes de comenzar, asegúrate de comprender los siguientes puntos:
- Diferencias entre el enrutamiento estándar y el privado, como se muestra en Destinos de reenvío y métodos de enrutamiento
- Los métodos de reenvío de DNS salientes
- Los requisitos de red para destinos de reenvío
- Las prácticas recomendadas para las zonas de reenvío de Cloud DNS
Para crear una nueva zona de reenvío privada administrada, completa los siguientes pasos.
Console
En la consola de Google Cloud, ve a la página Crear una zona del DNS.
En Tipo de zona, selecciona Privada.
Ingresa un nombre de zona, como
my-new-zone
.Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo. Por ejemplo,
example.private
.Opcional: Agrega una descripción.
En Opciones, selecciona Reenviar consultas a otro servidor.
Selecciona las redes en las que estará visible la zona privada.
Para agregar las direcciones IPv4 de un destino de reenvío, haz clic en Agregar elemento. Puedes agregar varias direcciones IP.
Para forzar el enrutamiento privado al destino de reenvío, en Reenvío privado, selecciona la casilla de verificación Habilitar.
Haga clic en Crear.
gcloud
Ejecuta el comando dns managed-zones create
:
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --forwarding-targets=FORWARDING_TARGETS_LIST \ --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \ --visibility=private
Reemplaza lo siguiente:
NAME
: Es el nombre para tu zonaDESCRIPTION
: Es una descripción para tu zonaDNS_SUFFIX
: Es el sufijo DNS para tu zona, comoexample.private
VPC_NETWORK_LIST
: Es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona.FORWARDING_TARGETS_LIST
: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Las direcciones IP RFC 1918 especificadas con esta marca deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.PRIVATE_FORWARDING_TARGETS_LIST
: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Cualquier dirección IP especificada con esta marca debe estar ubicada en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect.
Terraform
API
Envía una solicitud POST
mediante el método managedZones.create
:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones { "name": "NAME", "description": "DESCRIPTION", "dnsName": "DNS_NAME", "visibility": "private" "privateVisibilityConfig": { "kind": "dns#managedZonePrivateVisibilityConfig", "networks": [{ "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_1 }, { "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_2 }, .... ] }, "forwardingConfig": { "kind": "dns#managedZoneForwardingConfig", "targetNameServers": [{ "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_1 }, { "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_2 }, .... ] }, }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto en el que se crea la zona administradaNAME
: Es el nombre para tu zonaDESCRIPTION
: Es una descripción para tu zonaDNS_NAME
: Es el sufijo DNS para tu zona, comoexample.private
VPC_NETWORK_1
yVPC_NETWORK_2
: Son URL de las redes de VPC del mismo proyecto que pueden consultar registros en esta zona. Puedes agregar varias redes de VPC como se indica. A fin de determinar la URL de una red de VPC, describe la red mediante el siguiente comando degcloud
y reemplazaVPC_NETWORK_NAME
por el nombre de la red:gcloud compute networks describe VPC_NETWORK_NAME
--format="get(selfLink)"FORWARDING_TARGET_1
yFORWARDING_TARGET_2
: Son las direcciones IP de los servidores de nombres del destino de reenvío. Puedes agregar varios destinos de reenvío como se indica. Las direcciones IP RFC 1918 especificadas aquí deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.
Requisitos de red de los destinos de reenvío
Cuando Cloud DNS envía solicitudes a los destinos de reenvío, envía paquetes con los rangos de origen enumerados en la siguiente tabla.
Tipo de destino de reenvío | Rangos de origen |
---|---|
Destino de tipo 1 Una dirección IP interna de una VM de Google Cloud o un balanceador de cargas de red de paso interno en la misma red de VPC autorizada para usar la zona de reenvío. Destino de tipo 2 Es una dirección IP de un sistema local, conectada a la red de VPC autorizada para usar la zona de reenvío mediante Cloud VPN o Cloud Interconnect. Para obtener más información sobre qué direcciones IP son compatibles, consulta Destinos de reenvío y métodos de enrutamiento. |
En Cloud DNS, se usa el rango de origen |
Destino de tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud, por ejemplo, la dirección IP externa de una VM en otra red de VPC. |
Rangos de origen de DNS público de Google |
Destinos de tipos 1 y 2
Cloud DNS requiere lo siguiente para acceder a un destino de tipo 1 o tipo 2. Estos requisitos son los mismos si el destino es una dirección IP RFC 1918 y usas el enrutamiento estándar o si eliges el enrutamiento privado:
Configuración de firewall de
35.199.192.0/19
Para los destinos de tipo 1, crea una regla de firewall de entrada permitida para el tráfico de TCP y UDP
53
, aplicable a tus destinos de reenvío en cada red de VPC autorizada. Para los destinos de tipo 2, configura un firewall de red local y equipos similares para permitir el puerto53
de TCP y UDP.Ruta al destino de reenvío
En el caso de los destinos de tipo 1, Cloud DNS usa una ruta de subred para acceder al destino en la red de VPC autorizada a fin de usar la zona de reenvío. Para los destinos de nombre de tipo 2, Cloud DNS usa rutas estáticas o dinámicas personalizadas, excepto las rutas estáticas etiquetadas, para acceder al destino de reenvío.
Muestra la ruta a
35.199.192.0/19
a través de la misma red de VPCPara los destinos de tipo 1, Google Cloud usa una ruta de enrutamiento especial para el destino
35.199.192.0/19
. Para los destinos de tipo 2, tu red local debe tener una ruta para el destino35.199.192.0/19
, cuyo siguiente salto se encuentra en la misma red de VPC en la que se originó la solicitud, a través de un túnel de Cloud VPN o un adjunto de VLAN para Cloud Interconnect. Si deseas obtener información sobre cómo cumplir con este requisito, consulta las estrategias para la ruta de retorno de los destinos de tipo 2.Respuesta directa desde el destino
Cloud DNS requiere que el destino de reenvío que recibe paquetes sea el que envía respuestas a
35.199.192.0/19
. Si desde el destino de reenvío se envía la solicitud a un servidor de nombres diferente y con ese otro servidor de nombres responde a35.199.192.0/19
, en Cloud DNS se ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de la respuesta de DNS de cada servidor de nombres de destino coincida con la dirección IP del destino de reenvío.
Muestra estrategias de ruta para destinos de tipo 2
Cloud DNS no puede enviar respuestas desde destinos de reenvío de tipo 2 a través de Internet o a través de una red de VPC diferente. Las respuestas deben volver a la misma red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o un adjunto de VLAN en esa misma red.
- En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea
35.199.192.0/19
y cuyo siguiente salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir35.199.192.0/19
. - Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura un anuncio de ruta personalizado para
35.199.192.0/19
en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.
Objetivos de tipo 3
Cuando Cloud DNS usa el enrutamiento estándar para acceder a una dirección IP externa, se espera que el destino de reenvío sea un sistema en Internet de acceso público o una dirección IP externa de un recurso de Google Cloud.
Por ejemplo, un destino de tipo 3 incluye la dirección IP externa de una VM en una red de VPC diferente.
No se admite el enrutamiento privado a destinos de tipo 3.
¿Qué sigue?
- Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.