전달 영역 만들기

이 페이지에서는 전달 영역을 만드는 방법을 설명합니다. 자세한 배경 정보는 전달 영역을 참조하세요.

이 작업에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

dns.managedZones.create: 관리형 영역 만들기
dns.managedZones.list: 관리형 영역 나열
dns.managedZones.update: 관리형 영역 업데이트
dns.managedZones.patch: 관리형 영역 업데이트

역할

roles/dns.admin

시작하기 전에 다음 항목을 이해하고 있는지 확인합니다.

전달 대상 및 라우팅 방법에 표시된 것처럼 표준 및 비공개 라우팅에는 차이가 있습니다.
아웃바운드 DNS 전달 방법
전달 대상에 대한 네트워크 요구사항을 이해해야 합니다.
Cloud DNS 전달 영역에 대한 권장사항을 이해해야 합니다.

새 관리형 비공개 전달 영역을 만들려면 다음 단계를 완료하세요.

콘솔

Google Cloud 콘솔에서 DNS 영역 만들기 페이지로 이동합니다.

DNS 영역 만들기로 이동
영역 유형으로 비공개를 선택합니다.
영역 이름을 입력합니다(예: my-new-zone).
비공개 영역의 DNS 이름 서픽스를 입력합니다. 영역의 모든 레코드는 이 서픽스를 공유합니다. 예를 들면 example.private입니다.
선택사항: 설명을 추가합니다.
옵션에서 다른 서버로 쿼리 전달을 선택합니다.
비공개 영역이 표시되어야 하는 네트워크를 선택합니다.
전달 대상의 IPv4 주소를 추가하려면 항목 추가를 클릭합니다. IP 주소를 여러 개 추가할 수 있습니다.
전달 대상에 비공개 라우팅을 강제 적용하려면 비공개 전달 아래에서 사용 체크박스를 선택합니다.
만들기를 클릭합니다.

gcloud

dns managed-zones create 명령어를 실행합니다.

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

다음을 바꿉니다.

NAME: 영역 이름
DESCRIPTION: 영역에 대한 설명
DNS_SUFFIX: 영역의 DNS 서픽스(예: example.private)
VPC_NETWORK_LIST: 영역을 쿼리할 수 있는 VPC 네트워크의 쉼표로 구분된 목록.
FORWARDING_TARGETS_LIST: 쿼리가 전송되는 쉼표로 구분된 IP 주소 목록. 이 플래그로 지정된 RFC 1918 IP 주소는 VPC 네트워크 또는 Cloud VPN 또는 Cloud Interconnect를 사용하여 Google Cloud에 연결된 온프레미스 네트워크에 있어야 합니다. 이 플래그로 지정된 비RFC 1918 IP 주소는 인터넷에 액세스할 수 있어야 합니다.
PRIVATE_FORWARDING_TARGETS_LIST: 쿼리가 전송되는 쉼표로 구분된 IP 주소 목록. 이 플래그로 지정된 모든 IP 주소는 VPC 네트워크 또는 Cloud VPN이나 Cloud Interconnect를 사용하여 Google Cloud에 연결된 온프레미스 네트워크에 있어야 합니다.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

managedZones.create 메서드를 사용하여 POST 요청을 전송합니다.

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

다음을 바꿉니다.

PROJECT_ID: 관리형 영역이 생성된 프로젝트의 ID
NAME: 영역 이름
DESCRIPTION: 영역에 대한 설명
DNS_NAME: 영역의 DNS 서픽스(예: example.private)
VPC_NETWORK_1 및 VPC_NETWORK_2: 이 영역의 레코드를 쿼리할 수 있는, 같은 프로젝트에 있는 VPC 네트워크의 URL. 명시된 대로 여러 VPC 네트워크를 추가할 수 있습니다. VPC 네트워크의 URL을 확인하려면 다음 gcloud 명령어를 사용하여 네트워크를 설명합니다. 여기서 VPC_NETWORK_NAME은 네트워크 이름으로 바꿉니다.
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 및 FORWARDING_TARGET_2: 전달 대상 네임서버의 IP 주소. 표시된 대로 여러 전달 대상을 추가할 수 있습니다. 여기에 지정된 RFC 1918 IP 주소는 VPC 네트워크 또는 Cloud VPN이나 Cloud Interconnect를 사용하여 Google Cloud에 연결된 온프레미스 네트워크에 있어야 합니다. 이 플래그로 지정된 비RFC 1918 IP 주소는 인터넷에 액세스할 수 있어야 합니다.

전달 대상 네트워크 요구사항

Cloud DNS는 전달 대상에 요청을 보내면 다음 표에 나열된 소스 범위로 패킷을 전송합니다.

전달 대상 유형 소스 범위

전달 대상 유형	소스 범위
유형 1 대상 Google Cloud VM의 내부 IP 주소 또는 전달 영역을 사용할 수 있도록 승인된 동일한 VPC 네트워크의 내부 패스 스루 네트워크 부하 분산기입니다. 유형 2 대상 Cloud VPN 또는 Cloud Interconnect를 사용하여 전달 영역을 사용하도록 승인된 VPC 네트워크에 연결된 온프레미스 시스템의 IP 주소입니다. 지원되는 IP 주소에 대한 자세한 내용은 전달 대상 및 라우팅 방법을 참조하세요.	`35.199.192.0/19` Cloud DNS는 모든 고객에 대해 `35.199.192.0/19` 소스 범위를 사용합니다. 이 범위는 Google Cloud VPC 네트워크 또는 VPC 네트워크에 연결된 온프레미스 네트워크 에서만 액세스할 수 있습니다.
유형 3 대상 Google Cloud의 내부 또는 외부 IP 주소에 액세스할 수 있는 DNS 네임서버의 외부 IP 주소입니다(예: 다른 VPC 네트워크에 있는 VM의 외부 IP 주소).	Google Public DNS 소스 범위

유형 1 대상

Google Cloud VM의 내부 IP 주소 또는 전달 영역을 사용할 수 있도록 승인된 동일한 VPC 네트워크의 내부 패스 스루 네트워크 부하 분산기입니다.

유형 2 대상

Cloud VPN 또는 Cloud Interconnect를 사용하여 전달 영역을 사용하도록 승인된 VPC 네트워크에 연결된 온프레미스 시스템의 IP 주소입니다.

지원되는 IP 주소에 대한 자세한 내용은 전달 대상 및 라우팅 방법을 참조하세요.

35.199.192.0/19

Cloud DNS는 모든 고객에 대해 35.199.192.0/19 소스 범위를 사용합니다. 이 범위는 Google Cloud VPC 네트워크 또는 VPC 네트워크에 연결된 온프레미스 네트워크 에서만 액세스할 수 있습니다.

유형 3 대상

Google Cloud의 내부 또는 외부 IP 주소에 액세스할 수 있는 DNS 네임서버의 외부 IP 주소입니다(예: 다른 VPC 네트워크에 있는 VM의 외부 IP 주소).

Google Public DNS 소스 범위

유형 1 및 유형 2 대상

유형 1 또는 유형 2 대상에 액세스하려면 Cloud DNS에 다음이 필요합니다. 이러한 요구사항은 대상이 RFC 1918 IP 주소이고 표준 라우팅을 사용하는지 또는 비공개 라우팅을 선택하는지에 관계없이 동일합니다.

35.199.192.0/19에 대한 방화벽 구성

유형 1 대상에 대해 각 승인된 VPC 네트워크의 전달 대상에 적용할 수 있는 TCP 및 UDP 포트 53 트래픽에 대해 인그레스 허용 방화벽 규칙을 만듭니다. 유형 2 대상에 대해서는 TCP 및 UDP 포트 53을 허용하도록 온프레미스 네트워크 방화벽 및 유사 장비를 구성합니다.
전달 대상으로 라우팅

유형 1 대상에 대해 Cloud DNS는 전달 영역을 사용하도록 승인된 VPC 네트워크에서 대상에 액세스하기 위해 서브넷 경로를 사용합니다. 유형 2 이름 대상의 경우 Cloud DNS는 태그가 지정된 정적 경로를 제외한 커스텀 동적 또는 커스텀 정적 경로를 사용하여 전달 대상에 액세스합니다.
동일한 VPC 네트워크를 통해 35.199.192.0/19로 경로 반환

유형 1 대상에 대해 Google Cloud는 35.199.192.0/19 대상에 특수 라우팅 경로를 사용합니다. 유형 2 대상에 대해 온프레미스 네트워크에는 35.199.192.0/19 대상에 대한 경로가 있어야 합니다. 이것의 다음 홉은 Cloud VPN 터널 또는 Cloud Interconnect를 위한 VLAN 연결을 통해 요청이 시작된 것과 동일한 VPC 네트워크게 있습니다. 이 요구사항을 충족하는 방법은 유형 2 대상에 대한 반환 경로 전략을 참조하세요.
대상의 직접 응답

Cloud DNS에서는 패킷을 수신하는 전달 대상이 35.199.192.0/19로 응답을 전송하는 항목이어야 합니다. 전달 대상이 요청을 다른 네임서버로 보내고 다른 네임서버가 35.199.192.0/19에 응답하면 Cloud DNS는 응답을 무시합니다. 보안상의 이유로 Google Cloud에서는 각 대상 네임서버의 DNS 응답 소스 주소가 전달 대상의 IP 주소와 일치해야 합니다.

유형 2 대상의 반환 경로 전략

Cloud DNS는 인터넷 또는 다른 VPC 네트워크를 통해 유형 2 전달 대상으로부터 응답을 전송할 수 없습니다. 동일한 네트워크에서 Cloud VPN 터널 또는 VLAN 연결을 사용할 수 있더라도 응답은 동일한 VPC 네트워크로 반환되어야 합니다.

정적 라우팅을 사용하는 Cloud VPN 터널의 경우 대상이 35.199.192.0/19이고 다음 홉이 Cloud VPN 터널인 온프레미스 네트워크에 수동으로 경로를 만듭니다. 정책 기반 라우팅을 사용하는 Cloud VPN 터널의 경우 Cloud VPN의 로컬 트래픽 선택기와 온프레미스 VPN 게이트웨이의 원격 트래픽 선택기를 구성하여 35.199.192.0/19를 포함시킵니다.
동적 라우팅을 사용하는 Cloud VPN 터널 또는 Cloud Interconnect의 경우 터널 또는 VLAN 연결을 관리하는 Cloud Router의 BGP 세션에서 35.199.192.0/19에 대해 커스텀 경로 공지를 구성합니다.

유형 3 대상

Cloud DNS는 표준 라우팅을 사용하여 외부 IP 주소에 액세스할 때 전달 대상이 인터넷의 시스템, 공개적으로 액세스 가능한 시스템, Google Cloud 리소스의 외부 IP 주소인 것으로 고려합니다.

예를 들어 유형 3 대상에는 다른 VPC 네트워크에 있는 VM의 외부 IP 주소가 포함됩니다.

유형 3 대상에 대한 비공개 라우팅은 지원되지 않습니다.

다음 단계

관리형 영역을 사용하려면 영역 만들기, 수정, 삭제 참조하기
Cloud DNS를 사용할 때 발생할 수 있는 일반적인 문제에 대한 해결책을 찾으려면 문제 해결 참조하기
Cloud DNS 개요는 Cloud DNS 개요 참조하기