Crea una zona di inoltro

Questa pagina fornisce istruzioni su come creare una zona di inoltro. Per informazioni dettagliate, consulta Zone di inoltro.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

dns.managedZones.create per creare una zona gestita
dns.managedZones.list per elencare le zone gestite
dns.managedZones.update per aggiornare una zona gestita
dns.managedZones.patch per aggiornare una zona gestita

Ruoli

roles/dns.admin

Prima di iniziare, assicurati di comprendere quanto segue:

Le differenze tra il routing standard e privato, come mostrato in Destinazioni di forwarding e metodi di routing
I metodi di forwarding DNS in uscita
I requisiti di rete per le destinazioni di inoltro
Le best practice per le zone di forwarding di Cloud DNS

Per creare una nuova zona di forwarding privato gestito, completa i seguenti passaggi.

Console

Nella console Google Cloud, vai alla pagina Crea una zona DNS.

Vai a Crea una zona DNS
In Tipo di zona, seleziona Privato.
Inserisci un Nome zona, ad esempio my-new-zone.
Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividono questo suffisso. Ad esempio, example.private.
(Facoltativo) Aggiungi una descrizione.
In Opzioni, seleziona Inoltra le query a un altro server.
Seleziona le reti in cui deve essere visibile la zona privata.
Per aggiungere gli indirizzi IPv4 di una destinazione di inoltro, fai clic su Aggiungi elemento. Puoi aggiungere più indirizzi IP.
Per forzare il routing privato alla destinazione del forwarding, in Inoltro privato, seleziona la casella di controllo Attiva.
Fai clic su Crea.

gcloud

Esegui il comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Sostituisci quanto segue:

NAME: un nome per la zona
DESCRIPTION: una descrizione per la zona
DNS_SUFFIX: il suffisso DNS per la zona, ad esempio example.private
VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC autorizzate a eseguire query sulla zona
FORWARDING_TARGETS_LIST: un elenco, delimitato da virgole, di indirizzi IP a cui vengono inviate le query. Gli indirizzi IP RFC 1918 specificati con questo flag devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud utilizzando Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili da internet.
PRIVATE_FORWARDING_TARGETS_LIST: un elenco delimitato da virgole di indirizzi IP a cui vengono inviate le query. Qualsiasi indirizzo IP specificato con questo flag deve trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Invia una richiesta POST utilizzando il metodo managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui viene creata la zona gestita
NAME: un nome per la zona
DESCRIPTION: una descrizione per la zona
DNS_NAME: il suffisso DNS per la zona, ad esempio example.private
VPC_NETWORK_1 e VPC_NETWORK_2: URL per le reti VPC nello stesso progetto che possono eseguire query sui record in questa zona. Puoi aggiungere più reti VPC come indicato. Per determinare l'URL di una rete VPC, descrivi la rete con il seguente comando gcloud, sostituendo VPC_NETWORK_NAME con il nome della rete:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 e FORWARDING_TARGET_2: indirizzi IP dei server dei nomi di destinazione dell'inoltro. Puoi aggiungere più destinazioni di inoltro come indicato. Gli indirizzi IP RFC 1918 specificati qui devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili a internet.

Requisiti di rete di destinazione del forwarding

Quando Cloud DNS invia richieste alle destinazioni di forwarding, invia pacchetti con gli intervalli di origine elencati nella seguente tabella.

Tipo di destinazione forwarding Intervalli di origine

Tipo di destinazione forwarding	Intervalli di origine
Target di tipo 1 Un indirizzo IP interno di una VM Google Cloud o un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding. Target di tipo 2 Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di forwarding, tramite Cloud VPN o Cloud Interconnect. Per saperne di più sugli indirizzi IP supportati, consulta Destinazioni di forwarding e metodi di routing.	`35.199.192.0/19` Cloud DNS utilizza l'intervallo di origine `35.199.192.0/19` per tutti i clienti. Questo intervallo è accessibile solo da una rete VPC di Google Cloud o da una rete on-premise connessa a una rete VPC.
Target di tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile da internet o l'indirizzo IP esterno di una risorsa Google Cloud; ad esempio, l'indirizzo IP esterno di una VM in un'altra rete VPC.	Intervalli di origine DNS pubblici di Google

Target di tipo 1

Un indirizzo IP interno di una VM Google Cloud o un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding.

Target di tipo 2

Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di forwarding, tramite Cloud VPN o Cloud Interconnect.

Per saperne di più sugli indirizzi IP supportati, consulta Destinazioni di forwarding e metodi di routing.

35.199.192.0/19

Cloud DNS utilizza l'intervallo di origine 35.199.192.0/19 per tutti i clienti. Questo intervallo è accessibile solo da una rete VPC di Google Cloud o da una rete on-premise connessa a una rete VPC.

Target di tipo 3

Un indirizzo IP esterno di un server dei nomi DNS accessibile da internet o l'indirizzo IP esterno di una risorsa Google Cloud; ad esempio, l'indirizzo IP esterno di una VM in un'altra rete VPC.

Intervalli di origine DNS pubblici di Google

Target di tipo 1 e di tipo 2

Cloud DNS richiede quanto segue per accedere a un target di Tipo 1 o 2. Questi requisiti sono gli stessi a prescindere dal fatto che la destinazione sia un indirizzo IP RFC 1918 e che utilizzi il routing standard o se scegli il routing privato:

Configurazione firewall per 35.199.192.0/19

Per i target di tipo 1, crea una regola firewall di autorizzazione in entrata per il traffico delle porte TCP e UDP 53, applicabile alle destinazioni di forwarding in ogni rete VPC autorizzata. Per le destinazioni di Tipo 2, configura un firewall di rete on-premise e un'apparecchiatura simile per consentire la porta TCP e UDP 53.
Instrada alla destinazione dell'inoltro

Per i target di tipo 1, Cloud DNS utilizza una route subnet per accedere al target nella rete VPC autorizzata a utilizzare la zona di forwarding. Per i target del nome di tipo 2, Cloud DNS utilizza route dinamiche personalizzate o statiche personalizzate, ad eccezione delle route statiche codificate, per accedere alla destinazione di forwarding.
Restituisci la route a 35.199.192.0/19 attraverso la stessa rete VPC

Per i target di Tipo 1, Google Cloud aggiunge automaticamente una route di ritorno speciale per la destinazione 35.199.192.0/19. Per le destinazioni di Tipo 2, la rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo si trova nella stessa rete VPC da cui ha avuto origine la richiesta, tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. Per informazioni su come soddisfare questo requisito, consulta le strategie di percorso di ritorno per i target di tipo 2.
Risposta diretta dall'obiettivo

Cloud DNS richiede che la destinazione di inoltro che riceve i pacchetti sia quella che invia le risposte a 35.199.192.0/19. Se la destinazione dell'inoltro invia la richiesta a un server dei nomi diverso e l'altro server dei nomi risponde a 35.199.192.0/19, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud prevede che l'indirizzo di origine della risposta DNS di ogni server dei nomi di destinazione corrisponda all'indirizzo IP della destinazione dell'inoltro.

Strategie di percorso di ritorno per i target di Tipo 2

Cloud DNS non può inviare risposte dalle destinazioni di inoltro di Tipo 2 su internet o attraverso una rete VPC diversa. Le risposte devono restituire alla stessa rete VPC, anche se possono utilizzare qualsiasi tunnel Cloud VPN o collegamento VLAN nella stessa rete.

Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente una route nella tua rete on-premise la cui destinazione è 35.199.192.0/19 e il cui hop successivo è il tunnel Cloud VPN. Per i tunnel Cloud VPN che utilizzano il routing basato su criteri, configura il selettore di traffico locale di Cloud VPN e il selettore di traffico remoto del gateway VPN on-premise in modo che includa 35.199.192.0/19.
Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura una pubblicità per le route personalizzate per 35.199.192.0/19 nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Target di tipo 3

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che la destinazione di forwarding sia un sistema su internet, accessibile pubblicamente oppure un indirizzo IP esterno di una risorsa Google Cloud.

Ad esempio, un target di tipo 3 include l'indirizzo IP esterno di una VM in una rete VPC diversa.

Il routing privato alle destinazioni di Tipo 3 non è supportato.

Passaggi successivi

Per lavorare con le zone gestite, consulta Creare, modificare ed eliminare zone.
Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.