Crea una zona di inoltro

Questa pagina fornisce istruzioni su come creare una zona di inoltro. Per informazioni di base dettagliate, consulta la sezione Inoltro zone.

Prima di iniziare, assicurati di aver compreso quanto segue:

Per creare una nuova zona di forwarding privata gestita, completa i passaggi riportati di seguito.

Console

  1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. Per Tipo di zona, seleziona Privato.

  3. Inserisci un Nome zona, ad esempio my-new-zone.

  4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record in condividi questo suffisso. Ad esempio, example.private.

  5. (Facoltativo) Aggiungi una descrizione.

  6. In Opzioni, seleziona Inoltra le query a un altro server.

  7. Seleziona le reti a cui deve essere visibile la zona privata.

  8. Per aggiungere gli indirizzi IPv4 di una destinazione di inoltro, fai clic su Aggiungi elemento. Puoi aggiungere più indirizzi IP.

  9. Per forzare il routing privato alla destinazione di forwarding, in Private forwarding, seleziona la casella di controllo Abilita.

  10. Fai clic su Crea.

gcloud

Esegui l' dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Sostituisci quanto segue:

  • NAME: un nome per la tua zona
  • DESCRIPTION: una descrizione della zona
  • DNS_SUFFIX: il suffisso DNS per la zona, ad esempio example.private
  • VPC_NETWORK_LIST: un elenco di delimitato da virgole di Reti VPC autorizzate a eseguire query sulla zona
  • FORWARDING_TARGETS_LIST: un elenco di IP delimitato da virgole a cui vengono inviate le query. Indirizzi IP RFC 1918 specificato con questo flag deve trovarsi nel tuo VPC o in una rete on-premise connessa a Google Cloud usando Cloud VPN o Cloud Interconnect. Non RFC 1918 indirizzi IP specificati con questo flag devono essere accessibili da internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: delimitato da virgole elenco di indirizzi IP a cui vengono inviate le query. Qualsiasi indirizzo IP specificato con questo flag devono trovarsi nella tua rete VPC o una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Invia una richiesta POST tramite il Metodo managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui è stata gestita zona creata
  • NAME: un nome per la tua zona
  • DESCRIPTION: una descrizione della zona
  • DNS_NAME: il suffisso DNS per la zona, ad esempio example.private
  • VPC_NETWORK_1 e VPC_NETWORK_2: URL per Reti VPC nello stesso progetto in grado di eseguire query record in questa zona. Puoi aggiungere più reti VPC come indicato. Per determinare l'URL di una rete VPC, descrivi la rete con il seguente comando gcloud, sostituendo VPC_NETWORK_NAME con il nome della rete: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1 e FORWARDING_TARGET_2: Indirizzi IP dei server dei nomi di destinazione di forwarding. Puoi aggiungere più target di inoltro, come indicato. Indirizzi IP RFC 1918 specificati qui devono trovarsi nella tua rete VPC o in connessa a Google Cloud tramite Cloud VPN e Cloud Interconnect. Indirizzi IP non RFC 1918 specificati con questo flag deve essere accessibile da internet.

Requisiti di rete di destinazione per l'inoltro

Quando Cloud DNS invia richieste alle destinazioni di forwarding, invia i pacchetti con gli intervalli di origine elencati nella seguente tabella.

Tipo di destinazione forwarding Intervalli di origine

Tipo 1 target

Un indirizzo IP interno di un alla VM Google Cloud bilanciatore del carico di rete passthrough interno nel uguale Rete VPC autorizzata a utilizzare l'inoltro zona di destinazione.

Tipo 2 target

un indirizzo IP di un sistema on-premise, connesso La rete VPC autorizzata a utilizzare la zona di inoltro usando Cloud VPN o Cloud Interconnect.

Per ulteriori informazioni sugli indirizzi IP supportati, vedi Destinazioni di forwarding e i metodi di calcolo del percorso.

35.199.192.0/19

Cloud DNS utilizza l'intervallo di origine 35.199.192.0/19 per tutti i clienti. Questo intervallo è accessibile solo da un dalla rete VPC di Google Cloud o da una rete VPC connessa a una rete VPC.

Tipo 3 target

Un indirizzo IP esterno di un DNS server dei nomi accessibile a internet o all'IP esterno l'indirizzo di una risorsa Google Cloud; ad esempio l'IP esterno di una VM in un'altra rete VPC.

 Intervalli di origine DNS pubblico di Google

Target di tipo 1 e di tipo 2

Cloud DNS richiede quanto segue per accedere a un tipo 1 o un tipo 2 target. Questi requisiti sono gli stessi se la destinazione è un indirizzo IP RFC 1918 di destinazione e se utilizzi il routing standard o se scegli il routing privato:

  • Configurazione del firewall per 35.199.192.0/19

    Per i target di tipo 1, crea una regola firewall di autorizzazione in entrata per la porta TCP e UDP 53 di traffico, applicabile ai target di inoltro in ciascuna area rete VPC. Per le destinazioni di tipo 2, configura una configurazione firewall di rete e apparecchiature simili per autorizzare la porta TCP e UDP 53.

  • Instrada alla destinazione di forwarding

    Per le destinazioni di tipo 1, Cloud DNS utilizza una route subnet per accedere alla destinazione nella rete VPC autorizzata a utilizzare la zona di inoltro. Per Target nomi di tipo 2. Cloud DNS utilizza i nomi utente dinamici route statiche, tranne quelle con tag statico per accedere alla destinazione di forwarding.

  • Route di ritorno a 35.199.192.0/19 attraverso lo stesso VPC rete

    Per le destinazioni di tipo 1, Google Cloud utilizza percorso di routing speciale per 35.199.192.0/19 destinazione. Per le destinazioni di tipo 2, la rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo è nello stesso rete VPC da cui ha avuto origine la richiesta, attraverso una Tunnel Cloud VPN o collegamento VLAN per Cloud Interconnect. Per informazioni su come soddisfare questo requisito, consulta strategie dei percorsi di ritorno per i target di Tipo 2.

  • Risposta diretta dal target

    Cloud DNS richiede che la destinazione di inoltro che riceve i pacchetti è quella che invia le risposte 35.199.192.0/19. Se la destinazione di inoltro invia la richiesta a un diverso e quel server altro risponde 35.199.192.0/19, Cloud DNS ignora la risposta. Per la sicurezza motivi, Google Cloud si aspetta l'indirizzo di origine di ogni nome di destinazione risposta DNS del server in modo che corrisponda all'indirizzo IP della destinazione di inoltro.

Strategie del percorso di ritorno per i target di tipo 2

Cloud DNS non può inviare risposte dalle destinazioni di inoltro di tipo 2 su su internet o tramite una rete VPC diversa. Le risposte devono tornano alla stessa rete VPC, anche se possono utilizzare su qualsiasi tunnel Cloud VPN o collegamento VLAN nella stessa rete.

  • Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente un route nella tua rete on-premise la cui destinazione è 35.199.192.0/19 e il cui hop successivo è il tunnel Cloud VPN. Per Cloud VPN che utilizzano il routing basato su criteri, configura il Cloud VPN traffico locale selettore e il selettore del traffico remoto del gateway VPN on-premise per includere 35.199.192.0/19.
  • Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura una route personalizzata pubblicità per 35.199.192.0/19 sulla sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Target di tipo 3

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che la destinazione di inoltro sia un sistema su internet, accessibile o da un indirizzo IP esterno di una risorsa Google Cloud.

Ad esempio, una destinazione di tipo 3 include l'indirizzo IP esterno di una VM in un un'altra rete VPC.

Il routing privato verso destinazioni di tipo 3 non è supportato.

Passaggi successivi