Criar uma zona de encaminhamento

Nesta página, fornecemos instruções sobre como criar uma zona de encaminhamento. Para informações detalhadas em segundo plano, consulte Zonas de encaminhamento.

Para criar uma nova zona de encaminhamento privado gerenciada, siga as etapas abaixo.

Antes de começar, entenda o seguinte:

Console

  1. No console, acesse a página Criar uma zona de DNS.

    Acesse "Criar uma zona de DNS"

  2. Em Tipo de zona, selecione Private.

  3. Digite um nome de zona, como my-new-zone.

  4. Insira um sufixo de nome DNS para a zona particular. Todos os registros na zona compartilham esse sufixo. Por exemplo, example.private.

  5. Opcional: adicione uma descrição.

  6. Em Opções, selecione Encaminhar consultas para outro servidor.

  7. Selecione as redes em que a zona privada precisa estar visível.

  8. Para adicionar os endereços IPv4 de um destino de encaminhamento, clique em Adicionar item. É possível incluir vários endereços IP.

  9. Para forçar o roteamento particular ao destino de encaminhamento, em Encaminhamento privado, marque a caixa de seleção Ativar.

  10. Clique em Criar.

gcloud

Execute o comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Substitua:

  • NAME: um nome para a zona;
  • DESCRIPTION: uma descrição para a zona;
  • DNS_SUFFIX: o sufixo DNS da sua zona, como example.private.
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes VPC que estão autorizadas a consultar a zona.
  • FORWARDING_TARGETS_LIST: uma lista delimitada por vírgulas de endereços IP para os quais as consultas são enviadas. Os endereços IP RFC 1918 especificados com essa sinalização precisam estar localizados na rede VPC ou em uma rede local conectada ao Google Cloud usando o Cloud VPN ou o Cloud Interconnect. Os endereços IP não RFC 1918 especificados com essa sinalização precisam ser acessíveis pela Internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: uma lista delimitada por vírgulas de endereços IP para os quais as consultas são enviadas. Qualquer endereço IP especificado com essa sinalização precisa estar localizado na sua rede VPC ou em uma rede local conectada ao Google Cloud usando o Cloud VPN ou o Cloud Interconnect.

API

Envie uma solicitação POST usando o método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Substitua:

  • PROJECT_ID: o ID do projeto em que a zona gerenciada foi criada;
  • NAME: um nome para a zona;
  • DESCRIPTION: uma descrição para a zona;
  • DNS_NAME: o sufixo DNS da sua zona, como example.private;
  • VPC_NETWORK_1 e VPC_NETWORK_2: URLs para redes VPC no mesmo projeto que podem consultar registros nessa zona. É possível adicionar várias redes VPC conforme indicado. Para determinar o URL de uma rede VPC, descreva a rede com o seguinte comando gcloud, substituindo VPC_NETWORK_NAME pelo nome da rede:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 e FORWARDING_TARGET_2: endereços IP de servidores de nome de destino de encaminhamento. É possível adicionar vários destinos de encaminhamento conforme indicado. Os endereços IP RFC 1918 especificados aqui precisam estar localizados na sua rede VPC ou em uma rede local conectada ao Google Cloud usando o Cloud VPN ou o Cloud Interconnect. Os endereços IP não RFC 1918 especificados com essa sinalização precisam ser acessíveis pela Internet.

Terraform

resource "google_dns_managed_zone" "private-zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network-1.id
    }
    networks {
      network_url = google_compute_network.network-2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network-1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network-2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Requisitos de rede de destino de encaminhamento

Quando o Cloud DNS envia solicitações para destinos de encaminhamento, ele envia pacotes com os intervalos de origem listados na tabela a seguir. Saiba mais sobre os diferentes tipos de destino em Destinos de encaminhamento e métodos de roteamento.

Tipo de destino de encaminhamento Intervalos de origem

Meta de tipo 1

Um endereço IP interno de uma VM do Google Cloud ou um balanceador de carga TCP/UDP interno na mesma Rede VPC autorizada a usar a zona de encaminhamento.

Meta de tipo 2

Um endereço IP de um sistema local, conectado à rede VPC autorizada a consultar a zona de encaminhamento, usando a VPN do Cloud ou o Cloud Interconnect.

35.199.192.0/19

O Cloud DNS usa o intervalo de origem 35.199.192.0/19 para todos os clientes. Esse intervalo é acessível apenas a partir de uma rede VPC do Google Cloud ou de uma rede local conectada a uma rede VPC.

Meta de tipo 3

Um endereço IP externo de um servidor de nomes de DNS acessível para a Internet ou o endereço IP externo de um recurso do Google Cloud. Por exemplo, o endereço IP externo de uma VM em outra rede VPC.

Intervalos de origem do DNS público do Google

Destinos dos Tipos 1 e 2

O Cloud DNS exige o seguinte para acessar um destino de tipo 1 ou 2. Esses requisitos são os mesmos se o destino for um endereço IP RFC 1918 e você estiver usando o roteamento padrão ou se escolher o roteamento particular:

  • Configuração do firewall para 35.199.192.0/19

    Para as metas do tipo 1, crie uma regra de firewall de permissão de entrada para o tráfego 53 de porta TCP e UDP, aplicável aos destinos de encaminhamento em cada rede VPC autorizada. Para destinos do Tipo 2, configure um firewall de rede local e equipamentos semelhantes para permitir a porta TCP e UDP 53.

  • Rotear para o destino do encaminhamento

    Para os destinos de tipo 1, o Cloud DNS usa uma rota de sub-rede para acessar o destino na rede VPC autorizada a usar a zona de encaminhamento. Para os destinos de nome do Tipo 2, o Cloud DNS usa rotas dinâmicas personalizadas ou estáticas personalizadas, exceto rotas estáticas com tags, para acessar o destino de encaminhamento.

  • Retornar rota para 35.199.192.0/19 por meio da mesma rede VPC

    Para as metas de tipo 1, o Google Cloud adiciona automaticamente uma rota de retorno especial para o destino 35.199.192.0/19. Para as metas do tipo 2, sua rede local precisa ter uma rota para o destino 35.199.192.0/19, cujo próximo salto está na mesma rede VPC em que a solicitação foi originada, por meio de um túnel do Cloud VPN. ou anexo da VLAN para o Cloud Interconnect. Saiba mais sobre como atender a esse requisito nas estratégias de rota de retorno para destinos do Tipo 2.

  • Resposta direta do destino

    O Cloud DNS requer que o destino de encaminhamento que recebe pacotes seja o mesmo que envia respostas para 35.199.192.0/19. Se o destino de encaminhamento enviar a solicitação para um servidor de nomes diferente e esse outro servidor de nomes responder a 35.199.192.0/19, o Cloud DNS ignorará a resposta. Por motivos de segurança, o Google Cloud espera que o endereço de origem da resposta DNS de cada servidor de nomes de destino corresponda ao endereço IP do destino de encaminhamento.

Estratégias de rota de retorno para destinos do Tipo 2

O Cloud DNS não pode enviar respostas de destinos de encaminhamento do tipo 2 pela Internet ou por meio de uma rede VPC diferente. As respostas precisam retornar à mesma rede VPC, mas podem usar qualquer túnel do Cloud VPN ou anexo da VLAN nessa mesma rede.

  • Para túneis do Cloud VPN que usam roteamento estático, crie manualmente uma rota na rede local em que o destino seja 35.199.192.0/19 e o próximo salto seja o túnel do Cloud VPN. Para túneis do Cloud VPN que usam roteamento baseado em políticas, configure o seletor de tráfego local do Cloud VPN e o seletor de tráfego remoto do gateway da VPN para incluir 35.199.192.0/19.
  • Para túneis do Cloud VPN que usam roteamento dinâmico ou o Cloud Interconnect, configure uma divulgação de rota personalizada para 35.199.192.0/19 na sessão do BGP do Cloud Router que gerencia o túnel ou o anexo da VLAN.

Destinos do tipo 3

Quando o Cloud DNS usa o roteamento padrão para acessar um endereço IP externo, ele espera que o destino de encaminhamento seja um sistema na Internet, publicamente acessível ou um endereço IP externo de um recurso do Google Cloud.

Por exemplo, um destino de "Tipo 3" inclui o endereço IP externo de uma VM em uma rede VPC diferente.

O roteamento particular para destinos do Tipo 3 não é compatível.

A seguir