Antwortrichtlinien und -regeln verwalten

Auf dieser Seite erfahren Sie, wie Sie Antwortrichtlinien und Regeln für Antwortrichtlinien verwalten.

Mit privaten Cloud DNS-Zonen können Sie eine einzige Antwortrichtlinie pro Netzwerk erstellen, die das Resolver-Verhalten gemäß der erstellten Richtlinie ändert. Außerdem haben Sie die Möglichkeit, Regeln als Teil von Antwortrichtlinien zu erstellen.

Sie können eine einzelne Antwortrichtlinienregel pro Netzwerk erstellen, die die folgenden Aufgaben ermöglicht:

  • Sie können die Ergebnisse für ausgewählte Abfragenamen (einschließlich Platzhalter) ändern. Geben Sie hierzu bestimmte Ressourceneinträge an.
  • Lösen Sie das Passthru-Verhalten aus, mit dem die Antwortrichtlinie umgangen wird. Ausgenommen sind Namen, die andernfalls übereinstimmen würden. Bei Platzhalterantworten können Sie beispielsweise den Abgleich von privaten DNS-Abfragen so fortsetzen, als wäre niemals ein Platzhalter gefunden worden.

Informationen darüber, wie Kunden mit VPC Service Controls Kontrollen für den API-Zugriff von ihren privaten VPC-Netzwerken erzwingen können, finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Antwortrichtlinien verwalten

Antwortrichtlinie erstellen

So erstellen Sie eine neue Antwortrichtlinie:

gcloud

Führen Sie den Befehl gcloud beta dns response-policies create aus:

gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
     --networks=NETWORK \
    [--description=DESCRIPTION]

Dabei gilt:

  • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy
  • NETWORK: Eine durch Kommas getrennte Liste der Netzwerknamen, die mit der Antwortrichtlinie verknüpft werden sollen, z. B. network1, network2
  • DESCRIPTION: Eine Beschreibung der Antwortrichtlinie, z. B. My new response policy

API

Senden Sie eine POST-Anfrage mit der Methode responsePolicies.create:

POST https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies

Ersetzen Sie PROJECT_ID durch den Namen oder die ID des Projekts, in dem Sie die Antwortrichtlinie erstellen möchten.

Antwortrichtlinien ansehen

So rufen Sie die Liste aller Antwortrichtlinien in einem bestimmten Projekt auf, um die Beschreibung einer bestimmten Antwortrichtlinie anzusehen.

gcloud

  • Führen Sie den Befehl gcloud beta dns response-policies list aus, um die Liste aller Antwortrichtlinien in einem Projekt aufzurufen:

    gcloud beta dns response-policies list
    
  • Sie können die Anzahl der Antwortrichtlinien mit dem Flag --limit begrenzen. Wenn Sie beispielsweise eine Liste der ersten zehn Antwortrichtlinien aufrufen möchten, führen Sie den folgenden Befehl aus:

    gcloud beta dns response-policies list \
      --limit=10
    
  • Führen Sie den Befehl gcloud beta dns response-policies describe aus, um eine detaillierte Beschreibung einer Antwortrichtlinie aufzurufen:

    gcloud beta dns response-policies describe RESPONSE_POLICY_NAME
    

    Ersetzen Sie RESPONSE_POLICY_NAME durch den Namen oder die ID der Antwortrichtlinie, deren Beschreibung Sie aufrufen möchten.

API

Senden Sie eine GET-Anfrage mit der Methode responsePolicies.get, um die ausführliche Beschreibung einer Antwortrichtlinie aufzurufen:

GET https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Dabei gilt:

  • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
  • RESPONSE_POLICY_NAME: Der Name oder die ID für die Antwortrichtlinie, zu der Sie die Beschreibung ansehen möchten, z. B. myresponsepolicy

Antwortrichtlinie aktualisieren

So aktualisieren Sie eine Antwortrichtlinie:

gcloud

Führen Sie den Befehl gcloud beta dns response-policies update aus:

gcloud beta dns response-policies update RESPONSE_POLICY_NAME

Ersetzen Sie RESPONSE_POLICY_NAME durch den Namen oder die ID der Antwortrichtlinie, die Sie aktualisieren möchten, z. B. myresponsepolicy.

Verwenden Sie dieselbe Syntax wie für den create-Befehl für aktualisierte Felder.

API

  • Wenn Sie eine partielle Aktualisierung auf eine Antwortrichtlinie anwenden möchten, senden Sie eine PATCH-Anfrage mit der Methode responsePolicies.patch:

    PATCH https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy
  • Senden Sie eine UPDATE-Anfrage mit der Methode responsePolicies.update, um eine Antwortrichtlinie zu aktualisieren:

    UPDATE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy

Antwortrichtlinie löschen

So löschen Sie eine Antwortrichtlinie:

gcloud

Führen Sie den Befehl gcloud beta dns response-policies delete aus:

gcloud beta dns response-policies delete RESPONSE_POLICY_NAME

Ersetzen Sie RESPONSE_POLICY_NAME durch den Namen oder die ID der Antwortrichtlinie, die Sie löschen möchten.

API

Senden Sie eine DELETE-Anfrage mit der Methode responsePolicies.delete:

DELETE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Dabei gilt:

  • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
  • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy

Antwortrichtlinienregeln verwalten

Die DNS-Antwortrichtlinie einer Website besteht aus Regeln, die ein DNS-Resolver während einer Suche prüft. Wenn eine Regel in der Antwortrichtlinie die eingehende Abfrage beeinflusst, wird sie verarbeitet. Andernfalls wird die Suche normal fortgesetzt.

So verwalten Sie Regeln:

gcloud

  • Um das Verhalten für ausgewählte Abfragenamen zu ändern, führen Sie den Befehl gcloud beta dns response-policies rules create aus und geben das Flag --type an:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
       --response-policy=RESPONSE_POLICY_NAME \
       --dns-name=DNS_NAME \
       --local-data=name="DNS_NAME.",type="RRTYPE",ttl=TTL,rrdatas="RRDATA"
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy
    • DNS_NAME: Der DNS- oder Domainname, z. B. www.googleapis.com
    • TTL: Gültigkeitsdauer für die Antwortrichtlinie, z. B. 21600
    • RRTYPE: Der Ressourceneintragstyp, z. B. A
    • RRDATA: Die Ressourceneintragsdaten, z. B. 1.2.3.4 Trennen Sie mehrere Einträge durch |, z. B. 1.2.3.4|5.6.7.8.
  • Um eine Umgehungsregel zu erstellen, führen Sie den Befehl gcloud beta dns response-policies rules create aus und setzen Sie das Flag --behavior auf bypassResponsePolicy:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
       --response-policy=RESPONSE_POLICY_NAME \
       --dns-name=DNS_NAME \
       --behavior=bypassResponsePolicy
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy
    • DNS_NAME: Der DNS- oder Domainname, z. B. www.googleapis.com
  • Führen Sie den Befehl gcloud beta dns response-policies rules describe aus, um Details zu einer Antwortrichtlinienregel aufzurufen:

    gcloud beta dns response-policies rules describe RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy
  • Mit dem Befehl gcloud beta dns response-policies rules list können Sie die Liste der Cloud DNS-Antwortrichtlinienregeln innerhalb einer Antwortrichtlinie aufrufen:

    gcloud beta dns response-policies rules list RESPONSE_POLICY_NAME
    

    Ersetzen Sie RESPONSE_POLICY_NAME durch den Namen der Antwortrichtlinie, z. B. myresponsepolicy.

  • Aktualisieren Sie mit dem Befehl gcloud beta dns response-policies rules update eine neue Cloud DNS-Antwortrichtlinienregel:

    gcloud beta dns response-policies rules update RESPONSE_POLICY_RULE_NAME \
       --response-policy=RESPONSE_POLICY_NAME
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy

    Verwenden Sie dieselbe Syntax wie für den create-Befehl für aktualisierte Felder.

  • Verwenden Sie zum Löschen einer Cloud DNS-Antwortrichtlinienregel den Befehl gcloud beta dns response-policies rules delete:

    gcloud beta dns response-policies rules delete RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy

API

  • Senden Sie zum Erstellen einer neuen Antwortrichtlinienregel eine POST-Anfrage mit der Methode responsePolicyRules.create:

    POST https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, für die Sie eine Regel erstellen möchten, z. B. myresponsepolicy
  • Damit die detaillierte Beschreibung einer Regel in einer Antwortrichtlinie angezeigt wird, senden Sie eine GET-Anfrage mit der Methode responsePolicyRules.get:

    GET https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, für die Sie eine Regel erstellen möchten, z. B. myresponsepolicy
    • RESPONSE_POLICY_RULE: Die Antwortrichtlinienregel, deren Details Sie sich ansehen möchten
  • Wenn Sie eine partielle Aktualisierung auf eine Antwortrichtlinie anwenden möchten, senden Sie eine PATCH-Anfrage mit der Methode responsePolicyRules.patch:

    PATCH https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, für die Sie die Regel aktualisieren möchten, z. B. myresponsepolicy
    • RESPONSE_POLICY_RULE: Die Antwortrichtlinienregel, die Sie aktualisieren möchten
  • Senden Sie eine UPDATE-Anfrage mit der Methode responsePolicyRules.update, um eine Antwortrichtlinie zu aktualisieren:

    UPDATE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, für die Sie die Regel aktualisieren möchten, z. B. myresponsepolicy
    • RESPONSE_POLICY_RULE: Die Antwortrichtlinienregel, die Sie aktualisieren möchten
  • Senden Sie eine DELETE-Anfrage mit der Methode responsePolicyRules.delete, um eine Antwortrichtlinie zu löschen:

    DELETE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Dabei gilt:

    • PROJECT_ID: Die ID des Projekts, in dem Sie die Antwortrichtlinie erstellt haben
    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, aus der Sie die Regel löschen möchten, z. B. myresponsepolicy
    • RESPONSE_POLICY_RULE: Die Antwortrichtlinienregel, die Sie löschen möchten

Anwendungsfälle

Dieser Abschnitt enthält Beispielanwendungsfälle zum Konfigurieren von Regeln für Antwortrichtlinien.

Bestimmte Namen an eingeschränkte VIP-Adressen weiterleiten

Sie können eine Antwortrichtlinie mit lokalen CNAME-Daten für jede Zone konfigurieren, um Google API-Anfragen in eingeschränkte Google APIs zu übersetzen. Namen, die nicht angegeben sind, werden weiterhin mithilfe des regulären DNS-Namens aufgelöst.

Sie können beispielsweise eine Antwortrichtlinie für pubsub.googleapis.com erstellen, die lokale CNAME-Daten für eine Zone enthält, um Google API-Anfragen in restricted.googleapis.com zu übersetzen. In der Zwischenzeit wird www.googleapis.com, das nicht angegeben ist, weiterhin mit regulärem DNS aufgelöst.

In der folgenden Beispielkonfiguration erstellen Sie eine Richtlinie und wenden sie auf ein bestimmtes VPC-Netzwerk an.

gcloud

  1. Führen Sie zum Erstellen einer Antwortrichtlinie den Befehl gcloud beta dns response-policies create aus:

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Dabei gilt:

    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy
    • NETWORK: Eine durch Kommas getrennte Liste der Netzwerknamen, die mit der Antwortrichtlinie verknüpft werden sollen, z. B. network1,network2
    • DESCRIPTION: Eine Beschreibung der Antwortrichtlinie, z. B. My new response policy
  2. Führen Sie den Befehl gcloud beta dns response-policies rules create aus, um der Richtlinie eine Regel hinzuzufügen:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=pubsub.googleapis.com. \
        --local-data=name="pubsub.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy

API

  1. Erstellen Sie eine Antwortrichtlinie über eine URL:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Dabei gilt:

    • RESPONSE_POLICY_NAME: Ein Name für die Antwortrichtlinie
    • RESPONSE_POLICY_DESCRIPTION ist eine Beschreibung der Antwortrichtlinie
    • URL_TO_NETWORK ist die URL, für die Sie die Antwortrichtlinie erstellen

  2. Fügen Sie der Richtlinie eine Regel hinzu:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "pubsub.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7"]
        }
      ]
    }
    

    Dabei gilt:

    • RULE_NAME ist ein Name für die Regel, die Sie erstellen, z. B. pubsub
    • DNS_NAME ist der DNS-Name, für den Sie die Regel erstellen, z. B. pubsub.googleapis.com.. Beachten Sie den abschließenden Punkt.

Alle Namen mit einigen Ausnahmen an eingeschränkte VIP-Adressen weiterleiten

Sie können mit Regeln bestimmte DNS-Antworten von einer Richtlinienregel ausnehmen, die eine gesamte Domain oder einen großen IP-Adressblock abdeckt. Dieses Konzept wird als Passthrough-Verhalten bezeichnet. Mit dem Passthrough-Verhalten können Sie Namen, die keine Unterstützung für Dienststeuerelemente bieten, hinter dem Platzhalternamen zulassen.

Sie können beispielsweise festlegen, dass www.googleapis.com hinter dem Platzhalternamen im Beispiel *.googleapis.com zulässig ist. Die genaue Übereinstimmung für www hat Vorrang vor dem Platzhalter *.

In der folgenden Beispielkonfiguration erstellen Sie eine Richtlinie mit einem angegebenen Namen und wenden sie auf ein bestimmtes VPC-Netzwerk an. Mit der Regel kann www.googleapis.com den Platzhalter *.googleapis.com umgehen.

gcloud

  1. Führen Sie zum Erstellen einer Antwortrichtlinie den Befehl gcloud beta dns response-policies create aus:

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Dabei gilt:

    • RESPONSE_POLICY_NAME: Der Name oder die ID der Antwortrichtlinie, die Sie löschen möchten, z. B. myresponsepolicy
    • NETWORK: Eine durch Kommas getrennte Liste der Netzwerknamen, die mit der Antwortrichtlinie verknüpft werden sollen, z. B. network1,network2
    • DESCRIPTION: Eine Beschreibung der Antwortrichtlinie, z. B. My new response policy
  2. Führen Sie den Befehl gcloud beta dns response-policies rules create aus und setzen Sie das Flag --behavior auf bypassResponsePolicy, um eine Umgehungsregel zur Richtlinie hinzuzufügen:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME \
        --behavior=bypassResponsePolicy
    

    Dabei gilt:

    • RESPONSE_POLICY_RULE_NAME: Ein Name für die Antwortrichtlinienregel, die Sie erstellen möchten, z. B. myresponsepolicyrule
    • RESPONSE_POLICY_NAME: Der Name der Antwortrichtlinie, z. B. myresponsepolicy
    • DNS_NAME: Der DNS- oder Domainname, z. B. www.googleapis.com

API

  1. Erstellen Sie eine Antwortrichtlinie:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Dabei gilt:

    • RESPONSE_POLICY_NAME: Ein Name für die Antwortrichtlinie, z. B. my-response-policy
    • RESPONSE_POLICY_DESCRIPTION: Eine Beschreibung der Antwortrichtlinie, z. B. my response policy
    • URL_TO_NETWORK ist die URL, für die Sie die Antwortrichtlinie erstellen
  2. Fügen Sie der Richtlinie eine Regel hinzu:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "*.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["restricted.googleapis.com."]
        }
      ]
    }
    {
      kind: "dns#responsePolicyRules",
      rule_name: "www-passthru",
      dns_name: "www.googleapis.com.",
      behavior: BYPASS_RESPONSE_POLICY
    }
    

    Dabei gilt:

    • RULE_NAME ist ein Name für die Regel, die Sie erstellen, z. B. googleapis
    • DNS_NAME ist der Platzhalter-DNS-Name, für den Sie die Regel erstellen, z. B. *.googleapis.com.. Beachten Sie den abschließenden Punkt.

Nächste Schritte

  • Informationen zum Erstellen, Aktualisieren, Auflisten und Löschen verwalteter Zonen finden Sie unter Zonen verwalten.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
  • Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.