Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Weiterleitungszone. Ausführliche Hintergrundinformationen finden Sie unter Weiterleitungszonen.
Informieren Sie sich über Folgendes, bevor Sie beginnen:
- Unterschiede zwischen Standard- und privatem Routing, wie unter Weiterleitungsziele und Routingmethoden gezeigt
- Die Methoden für ausgehende DNS-Weiterleitung
- Die Netzwerkanforderungen für Weiterleitungsziele
- Best Practices für Cloud DNS-Weiterleitungszonen
So erstellen Sie eine neue verwaltete private Weiterleitungszone:
Console
Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.
Wählen Sie als Zonentyp die Option Privat aus.
Geben Sie unter Zonenname einen Namen wie
my-new-zone
ein.Geben Sie unter DNS-Name ein Suffix für die private Zone ein. Alle Einträge in der Zone haben dieses Suffix. Beispiel:
example.private
Optional: Fügen Sie eine Beschreibung hinzu.
Wählen Sie unter Optionen die Option Abfragen an anderen Server weiterleiten aus.
Wählen Sie die Netzwerke aus, für die die private Zone sichtbar sein soll.
Klicken Sie auf Element hinzufügen, um die IPv4-Adressen eines Weiterleitungsziels hinzuzufügen. Sie können dabei mehrere IP-Adressen hinzufügen.
Klicken Sie unter Private Weiterleitung das Kästchen Aktivieren an, um das private Routing zum Weiterleitungsziel zu erzwingen.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl dns managed-zones create
aus:
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --forwarding-targets=FORWARDING_TARGETS_LIST \ --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \ --visibility=private
Dabei gilt:
NAME
: ein Name für Ihre ZoneDESCRIPTION
: eine Beschreibung für Ihre ZoneDNS_SUFFIX
: das DNS-Suffix für Ihre Zone, z. B.example.private
VPC_NETWORK_LIST
: eine durch Kommas getrennte Liste von VPC-Netzwerken, die zum Abfragen der Zone autorisiert sind.FORWARDING_TARGETS_LIST
: eine durch Kommas getrennte Liste von IP-Adressen, an die Abfragen gesendet werden. Die mit diesem Flag angegebenen RFC 1918-IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist. IP-Adressen, die nicht RFC 1918 entsprechen und mit diesem Flag angegeben werden, müssen über das Internet zugänglich sein.PRIVATE_FORWARDING_TARGETS_LIST
: eine durch Kommas getrennte Liste von IP-Adressen, an die Abfragen gesendet werden. Alle mit diesem Flag angegebenen IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist.
Terraform
API
Senden Sie eine POST
-Anfrage mit der Methode managedZones.create
:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones { "name": "NAME", "description": "DESCRIPTION", "dnsName": "DNS_NAME", "visibility": "private" "privateVisibilityConfig": { "kind": "dns#managedZonePrivateVisibilityConfig", "networks": [{ "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_1 }, { "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_2 }, .... ] }, "forwardingConfig": { "kind": "dns#managedZoneForwardingConfig", "targetNameServers": [{ "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_1 }, { "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_2 }, .... ] }, }
Dabei gilt:
PROJECT_ID
: die ID des Projekts, in dem die verwaltete Zone erstellt wirdNAME
: ein Name für Ihre ZoneDESCRIPTION
: eine Beschreibung für Ihre ZoneDNS_NAME
: das DNS-Suffix für Ihre Zone, z. B.example.private
VPC_NETWORK_1
undVPC_NETWORK_2
: URLs für VPC-Netzwerke im selben Projekt, die Datensätze in dieser Zone abfragen können. Sie können mehrere VPC-Netzwerke wie angegeben hinzufügen. Um die URL für ein VPC-Netzwerk zu ermitteln, beschreiben Sie das Netzwerk mit dem folgendengcloud
-Befehl. Ersetzen Sie dabeiVPC_NETWORK_NAME
durch den Namen des Netzwerks:gcloud compute networks describe VPC_NETWORK_NAME
--format="get(selfLink)"FORWARDING_TARGET_1
undFORWARDING_TARGET_2
: IP-Adressen der Ziel-Nameserver für die Weiterleitung. Sie können mehrere Weiterleitungsziele wie angegeben hinzufügen. Die hier angegebenen RFC-1918-IP-Adressen müssen sich in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk befinden, das über Cloud VPN oder Cloud Interconnect mit Google Cloud verbunden ist. IP-Adressen, die nicht RFC 1918 entsprechen und mit diesem Flag angegeben werden, müssen über das Internet zugänglich sein.
Netzwerkanforderungen an Weiterleitungsziel
Wenn Cloud DNS Anfragen an Weiterleitungsziele sendet, sendet es auch Pakete mit den in der folgenden Tabelle aufgeführten Quellbereichen:
Zieltyp weiterleiten | Quellbereiche |
---|---|
Typ 1 Ziel Eine interne IP-Adresse einer Google Cloud-VM oder ein interner Passthrough-Netzwerk-Load Balancer in demselben VPC-Netzwerk, das zur Verwendung der Weiterleitungszone autorisiert ist. Typ 2 Ziel Eine IP-Adresse eines lokalen Systems, das über Cloud VPN oder Cloud Interconnect mit dem VPC-Netzwerk verbunden ist, das zum Verwenden der Weiterleitungszone autorisiert ist. Weitere Informationen zu unterstützten IP-Adressen finden Sie unter Weiterleitungsziele und Routingmethoden. |
Cloud DNS verwendet den Quellbereich |
Typ 3 Ziel Eine externe IP-Adresse eines DNS-Nameservers, auf die über das Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk. |
Google Public DNS-Quellbereiche |
Ziele vom Typ 1 und Typ 2
Cloud DNS benötigt den folgenden Zugriff, um auf ein Ziel vom Typ 1 oder 2 zuzugreifen. Das ist unabhängig davon, ob das Ziel eine IP-Adresse gemäß RFC 1918 ist und Sie das Standardrouting verwenden, oder wenn Sie privates Routing auswählen:
Firewallkonfiguration für
35.199.192.0/19
Erstellen Sie für Ziele vom Typ 1 eine Firewallregel für eingehenden Traffic für TCP- und UDP-Port
53
, die für Ihre Weiterleitungsziele in jedem autorisierten VPC-Netzwerk gilt. Konfigurieren Sie für Ziele vom Typ 2 eine lokale Netzwerk-Firewall und ähnliche Geräte, um den TCP- und UDP-Port53
zuzulassen.Weiterleitung zum Weiterleitungsziel
Für Ziele vom Typ 1 verwendet Cloud DNS eine Subnetzroute, um auf das Ziel im VPC-Netzwerk zuzugreifen, das zur Verwendung der Weiterleitungszone autorisiert ist. Für Namensziele vom Typ 2 verwendet Cloud DNS entweder benutzerdefinierte dynamische oder benutzerdefinierte statische Routen, mit Ausnahme von mit Tags gekennzeichneten Routen, um auf das Weiterleitungsziel zuzugreifen.
Route zu
35.199.192.0/19
über dasselbe VPC-Netzwerk zurückgebenFür Ziele vom Typ 1 verwendet Google Cloud einen speziellen Routingpfad für das Ziel
35.199.192.0/19
. Bei Zielen des Typs 2 muss Ihr lokales Netzwerk eine Route für das Ziel35.199.192.0/19
haben, dessen nächster Hop sich im selben VPC-Netzwerk befindet, aus dem die Anfrage stammt. Die Route erfolgt über einen Cloud VPN-Tunnel oder einen VLAN-Cloud Interconnect-Anhang. Informationen dazu, wie Sie diese Anforderung erfüllen, finden Sie unter Rückgaberoutenstrategien für Ziele vom Typ 2.Direkte Reaktion vom Ziel
Cloud DNS erfordert, dass das Weiterleitungsziel, das Pakete empfängt, dasjenige ist, das Antworten an
35.199.192.0/19
sendet. Wenn Ihr Weiterleitungsziel die Anfrage an einen anderen Nameserver sendet und dieser andere Nameserver auf35.199.192.0/19
antwortet, ignoriert Cloud DNS die Antwort. Aus Sicherheitsgründen erwartet Google Cloud, dass die Quelladresse der DNS-Antwort jedes Zielnameservers mit der IP-Adresse des Weiterleitungsziels übereinstimmt.
Rückgaberoutenstrategien für Ziele vom Typ 2
Cloud DNS kann keine Antworten von Weiterleitungszielen vom Typ 2 über das Internet oder ein anderes VPC-Netzwerk senden. Antworten müssen an das gleiche VPC-Netzwerk zurückgegeben werden, können aber jeden beliebigen Cloud VPN-Tunnel oder VLAN-Anhang in demselben Netzwerk verwenden.
- Erstellen Sie für Cloud VPN-Tunnel, die statisches Routing verwenden, manuell eine Route in Ihrem lokalen Netzwerk, deren Ziel
35.199.192.0/19
und deren nächster Hop der Cloud VPN-Tunnel ist. Für Cloud VPN-Tunnel, die richtlinienbasiertes Routing verwenden, konfigurieren Sie die lokale Trafficauswahl des Cloud VPN und die Remote-Trafficauswahl des lokalen VPN-Gateways so, dass35.199.192.0/19
enthalten ist. - Für Cloud VPN-Tunnel, die dynamisches Routing verwenden, oder für Cloud Interconnect konfigurieren Sie ein benutzerdefiniertes Advertisement für
35.199.192.0/19
der BGP-Sitzung auf dem Cloud Router, der den Tunnel oder VLAN-Anhang verwaltet.
Ziele vom Typ 3
Wenn Cloud DNS für den Zugriff auf eine externe IP-Adresse das Standardrouting verwendet, wird erwartet, dass das Weiterleitungsziel entweder ein System im Internet, öffentlich zugänglich oder eine externe IP-Adresse einer Google Cloud-Ressource ist.
Ein Ziel des Typs 3 beispielsweise enthält die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk.
Privates Routing an Ziele vom Typ 3 wird nicht unterstützt.
Nächste Schritte
- Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.