Membuat zona penerusan

Halaman ini memberikan petunjuk tentang cara membuat zona penerusan. Untuk informasi latar belakang yang mendetail, lihat Zona penerusan.

Sebelum memulai, pastikan Anda memahami hal berikut:

Untuk membuat zona penerusan pribadi terkelola yang baru, selesaikan langkah-langkah berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Create a DNS zone

  2. Untuk Zone type, pilih Private.

  3. Masukkan Zone name, misalnya my-new-zone.

  4. Masukkan akhiran DNS name untuk zona pribadi. Semua kumpulan data di zona memiliki akhiran ini. Contoh, example.private.

  5. Opsional: Tambahkan deskripsi.

  6. Di bagian Opsi, pilih Teruskan kueri ke server lain.

  7. Pilih jaringan tempat zona pribadi harus terlihat.

  8. Untuk menambahkan alamat IPv4 target penerusan, klik Tambahkan item. Anda dapat menambahkan beberapa alamat IP.

  9. Untuk memaksa pemilihan rute pribadi ke target penerusan, pada bagian Penerusan pribadi, centang kotak Aktifkan.

  10. Klik Create.

gcloud

Jalankan perintah dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Ganti kode berikut:

  • NAME: nama untuk zona Anda
  • DESCRIPTION: deskripsi untuk zona Anda
  • DNS_SUFFIX: akhiran DNS untuk zona Anda, seperti example.private
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dibatasi koma yang diizinkan untuk mengkueri zona
  • FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma yang menjadi tujuan pengiriman kueri. Alamat IP RFC 1918 yang ditentukan dengan flag ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses dari internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma sebagai tujuan pengiriman kueri. Setiap alamat IP yang ditentukan dengan flag ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Kirim permintaan POST menggunakan metode managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat zona terkelola dibuat
  • NAME: nama untuk zona Anda
  • DESCRIPTION: deskripsi untuk zona Anda
  • DNS_NAME: akhiran DNS untuk zona Anda, seperti example.private
  • VPC_NETWORK_1 dan VPC_NETWORK_2: URL untuk jaringan VPC dalam project yang sama yang dapat mengkueri data di zona ini. Anda dapat menambahkan beberapa jaringan VPC seperti yang ditunjukkan. Untuk menentukan URL jaringan VPC, jelaskan jaringan dengan perintah gcloud berikut, dan ganti VPC_NETWORK_NAME dengan nama jaringan: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1 dan FORWARDING_TARGET_2: Alamat IP server nama target penerusan. Anda dapat menambahkan beberapa target penerusan seperti yang ditunjukkan. Alamat IP RFC 1918 yang ditentukan di sini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses dari internet.

Persyaratan jaringan target penerusan

Saat mengirim permintaan ke target penerusan, Cloud DNS akan mengirimkan paket yang berisi rentang sumber yang tercantum dalam tabel berikut.

Jenis target penerusan Rentang sumber

Target jenis 1

Alamat IP internal dari VM Google Cloud atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diberi otorisasi untuk menggunakan zona penerusan.

Target jenis 2

Alamat IP dari sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect.

Untuk mengetahui informasi lebih lanjut tentang alamat IP yang didukung, lihat Target penerusan dan metode pemilihan rute.

35.199.192.0/19

Cloud DNS menggunakan rentang sumber 35.199.192.0/19 untuk semua pelanggan. Rentang ini hanya dapat diakses dari jaringan VPC Google Cloud atau dari jaringan lokal yang terhubung ke jaringan VPC.

Target jenis 3

Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud; misalnya, alamat IP eksternal VM di jaringan VPC lain.

 Rentang sumber Google Public DNS

Target Jenis 1 dan Jenis 2

Cloud DNS memerlukan beberapa hal berikut untuk mengakses target Tipe 1 atau Tipe 2. Persyaratan ini sama, baik targetnya adalah alamat IP RFC 1918 dan Anda menggunakan perutean standar, atau jika Anda memilih perutean pribadi:

  • Konfigurasi firewall untuk 35.199.192.0/19

    Untuk target Jenis 1, buat traffic masuk yang mengizinkan aturan firewall untuk traffic 53 port TCP dan UDP, yang berlaku untuk target penerusan Anda di setiap jaringan VPC yang diizinkan. Untuk target Tipe 2, konfigurasikan firewall jaringan lokal dan peralatan serupa untuk mengizinkan port TCP dan UDP 53.

  • Merutekan ke target penerusan

    Untuk target Tipe 1, Cloud DNS menggunakan rute subnet untuk mengakses target dalam jaringan VPC yang diizinkan untuk menggunakan zona penerusan. Untuk target nama Jenis 2, Cloud DNS menggunakan rute dinamis kustom atau statis kustom, kecuali untuk rute statis yang diberi tag, untuk mengakses target penerusan.

  • Mengembalikan rute ke 35.199.192.0/19 melalui jaringan VPC yang sama

    Untuk target Jenis 1, Google Cloud akan otomatis menambahkan rute pengembalian khusus untuk tujuan 35.199.192.0/19. Untuk target Jenis 2, jaringan lokal Anda harus memiliki rute ke tujuan 35.199.192.0/19, yang hop berikutnya berada di jaringan VPC yang sama dengan tempat permintaan berasal, melalui tunnel Cloud VPN atau lampiran VLAN untuk Cloud Interconnect. Untuk mengetahui informasi tentang cara memenuhi persyaratan ini, lihat strategi rute kembali untuk target Jenis 2.

  • Respons langsung dari target

    Cloud DNS mengharuskan target penerusan yang menerima paket menjadi target yang mengirimkan balasan ke 35.199.192.0/19. Jika target penerusan Anda mengirimkan permintaan ke server nama yang berbeda, dan server nama lain tersebut merespons 35.199.192.0/19, Cloud DNS akan mengabaikan respons tersebut. Untuk alasan keamanan, Google Cloud mengharapkan agar alamat sumber setiap balasan DNS server nama target sama dengan alamat IP target penerusan.

Strategi rute kembali untuk target Jenis 2

Cloud DNS tidak dapat mengirim respons dari target penerusan Tipe 2 melalui internet atau melalui jaringan VPC yang berbeda. Respons harus kembali ke jaringan VPC yang sama, meskipun dapat menggunakan tunnel Cloud VPN atau lampiran VLAN di jaringan yang sama tersebut.

  • Untuk tunnel Cloud VPN yang menggunakan perutean statis, buat rute secara manual di jaringan lokal yang tujuannya adalah 35.199.192.0/19 dan hop berikutnya adalah tunnel Cloud VPN. Untuk tunnel Cloud VPN yang menggunakan perutean berbasis kebijakan, konfigurasi pemilih traffic lokal Cloud VPN dan pemilih traffic jarak jauh gateway VPN lokal untuk menyertakan 35.199.192.0/19.
  • Untuk tunnel Cloud VPN yang menggunakan perutean dinamis atau untuk Cloud Interconnect, konfigurasi iklan rute kustom untuk 35.199.192.0/19 pada sesi BGP di Cloud Router yang mengelola lampiran VLAN atau tunnel.

Target jenis 3

Saat Cloud DNS menggunakan perutean standar untuk mengakses alamat IP eksternal, target penerusan diharapkan berupa sistem di internet, dapat diakses secara publik, atau alamat IP eksternal dari resource Google Cloud.

Misalnya, target Tipe 3 menyertakan alamat IP eksternal VM di jaringan VPC yang berbeda.

Pemilihan rute pribadi ke target Jenis 3 tidak didukung.

Langkah selanjutnya