Administrar reglas y políticas de respuesta

En esta página, se proporciona información para administrar las políticas de respuesta y las reglas de políticas de respuesta.

Las zonas privadas de Cloud DNS te permiten crear una política de respuesta única por red que modifica el comportamiento del agente de resolución según la política creada. También puedes crear reglas como parte de las políticas de respuesta.

Puedes crear una sola regla de política de respuesta por red que pueda realizar las siguientes acciones:

  • Alterar los resultados de los nombres de consulta seleccionados (incluidos los comodines) proporcionando registros de recursos específicos
  • Activar el comportamiento de passthru que omita la política de respuesta y excluya los nombres que, de lo contrario, coincidirían. Por ejemplo, en el caso de las respuestas de comodines, esto permite que la coincidencia de consultas de DNS privadas continúe como si nunca se encontrara un comodín.

Para obtener información sobre cómo los Controles del servicio de VPC permiten que los clientes apliquen controles sobre el acceso a la API desde sus redes de VPC privada, consulta Configura una conectividad privada a los servicios y las API de Google.

Administra políticas de respuesta

Crea una política de respuesta

Para crear una nueva política de respuesta, sigue estos pasos.

Console

  1. En Google Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en la pestaña Zonas de políticas de respuesta.

  3. Haz clic en Crear política de respuesta.

  4. Ingresa el nombre de la política de respuesta que deseas crear, como myresponsepolicy.

  5. Ingresa una descripción de la política de respuesta, como My new response policy

  6. En el menú desplegable Redes, selecciona una o más redes para asociar con la política de respuesta.

  7. Haga clic en Crear.

    Puedes crear una regla de política de respuesta en cada zona de política de respuesta que crees. Para obtener instrucciones, consulta Crea una regla de política de respuesta.

gcloud

Ejecuta el comando gcloud beta dns response-policies create:

gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
    --networks=NETWORK \
   [--description=DESCRIPTION]

Reemplaza lo siguiente:

  • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta que deseas crear, como myresponsepolicy
  • NETWORK: una lista separada por comas de nombres de redes para asociarla con la política de respuesta, como network1, network2
  • DESCRIPTION: una descripción de la política de respuesta, como My new response policy

API

Envía una solicitud POST con el método responsePolicies.create:

POST https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies

Reemplaza PROJECT_ID por el nombre o ID del proyecto en el que deseas crear la política de respuesta.

Visualiza las políticas de respuesta

Para ver la lista de todas las políticas de respuesta en un proyecto determinado o ver la descripción de una política de respuesta específica, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en la pestaña Zonas de políticas de respuesta.

  3. En la página Lista de políticas de respuesta, se enumeran las políticas de respuesta que creaste.

gcloud

  • Para ver la lista de todas las políticas de respuesta de un proyecto, ejecuta el comando gcloud beta dns response-policies list:

    gcloud beta dns response-policies list
    
  • Puedes limitar la cantidad de políticas de respuesta con la marca --limit. Por ejemplo, si quieres ver una lista de las primeras diez políticas de respuesta, ejecuta el siguiente comando:

    gcloud beta dns response-policies list \
      --limit=10
    
  • Para ver una descripción detallada de una política de respuesta, ejecuta el comando gcloud beta dns response-policies describe:

    gcloud beta dns response-policies describe RESPONSE_POLICY_NAME
    

    Reemplaza RESPONSE_POLICY_NAME por el nombre o ID de la política de respuesta para la que deseas ver la descripción.

API

Para ver la descripción detallada de una política de respuesta, envía una solicitud GET con el método responsePolicies.get:

GET https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
  • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta de la que deseas ver la descripción, como myresponsepolicy

Actualiza una política de respuesta

Para actualizar una política de respuesta, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en la política de respuesta que deseas editar. También puedes hacer clic en Más en la fila del nombre de la política de respuesta.

  3. Haz clic en Editar política de respuesta.

  4. Realice las actualizaciones necesarias.

  5. Haz clic en Guardar.

gcloud

Ejecuta el comando gcloud beta dns response-policies update:

gcloud beta dns response-policies update RESPONSE_POLICY_NAME

Reemplaza RESPONSE_POLICY_NAME por el nombre o ID de la política de respuesta que deseas actualizar, como myresponsepolicy.

Usa la misma sintaxis que el comando create para cualquier campo actualizado.

API

  • Para aplicar una actualización parcial a una política de respuesta, envía una solicitud PATCH con el método responsePolicies.patch:

    PATCH https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: es el nombre o ID de la política de respuesta que deseas actualizar, como myresponsepolicy
  • Para actualizar una política de respuesta, envía una solicitud UPDATE con el método responsePolicies.update:

    UPDATE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: es el nombre o ID de la política de respuesta que deseas actualizar, como myresponsepolicy

Borra una política de respuesta

Para borrar una política de respuesta, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en Más en la fila del nombre de la política de respuesta.

  3. Haz clic en Borrar.

gcloud

Ejecuta el comando gcloud beta dns response-policies delete:

gcloud beta dns response-policies delete RESPONSE_POLICY_NAME

Reemplaza RESPONSE_POLICY_NAME por el nombre o ID de la política de respuesta que deseas borrar.

API

Envía una solicitud DELETE con el método responsePolicies.delete:

DELETE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
  • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta que deseas borrar, como myresponsepolicy

Administra reglas de política de respuesta

La política de respuesta de DNS de un sitio consiste en reglas que un agente de resolución de DNS consulta durante las búsquedas. Si una regla en la política de respuesta afecta la consulta entrante, se procesa; de lo contrario, la búsqueda continúa normalmente.

Crea una regla de política de respuesta

Para crear una regla de política de respuesta, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en la pestaña Zonas de políticas de respuesta.

  3. En la lista de zonas de política de respuesta, haz clic en la zona de la política de respuesta para la que deseas crear una regla.

  4. Haz clic en Crear regla de política de respuesta.

  5. Ingresa el nombre de la regla de la política de respuesta que deseas crear, como myresponsepolicyrule.

  6. En el menú desplegable Selector, elige el tipo de selector al que se aplicará esta regla.

  7. Ingresa el nombre de DNS (comodín o exacto) al que se aplicará la regla, como www.googleapis.com.

  8. Elige la acción para la regla de política de respuesta. Por ejemplo, para modificar el comportamiento de la política de respuesta, elige Comportamiento. De lo contrario, selecciona Datos locales.

    • Si eliges Comportamiento, en el menú desplegable, selecciona el comportamiento de la regla.

    • Si eliges Datos locales, debes agregar un nuevo conjunto de registros de recursos. Para obtener instrucciones sobre cómo agregar un conjunto de registros de recursos nuevo, consulta Crea un conjunto de registros de recursos.

  9. Haga clic en Crear.

gcloud

  • Para modificar el comportamiento de los nombres de consulta seleccionados, ejecuta el comando gcloud beta dns response-policies rules create y especifica la marca --type:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME \
      --dns-name=DNS_NAME \
      --local-data=name="DNS_NAME.",type="RRTYPE",ttl=TTL,rrdatas="RRDATA"
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy
    • DNS_NAME: el nombre de dominio o de DNS, como www.googleapis.com
    • TTL: tiempo de actividad para la política de respuesta, como 21600
    • RRTYPE: el tipo de registro del recurso, como A
    • RRDATA: los datos del registro de recursos, como 1.2.3.4. Separa varias entradas con |, como 1.2.3.4|5.6.7.8
  • Para crear una regla de omisión, ejecuta el comando gcloud beta dns response-policies rules create y establece la marca --behavior en bypassResponsePolicy:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME \
      --dns-name=DNS_NAME \
      --behavior=bypassResponsePolicy
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy
    • DNS_NAME: el nombre de dominio o de DNS, como www.googleapis.com

API

  • Para crear una nueva regla de política de respuesta, envía una solicitud POST con el método responsePolicyRules.create:

    POST https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta para la que deseas crear una regla, como myresponsepolicy

Visualiza una regla de política de respuesta

Para ver la lista de todas las reglas de políticas de respuesta en una política de respuesta determinada o ver la descripción de una regla de política de respuesta específica, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. En la pestaña Zonas de política de respuesta, haz clic en el nombre de la política de respuesta para la que quieres ver las reglas asociadas. En la página Detalles de la política de respuesta, se enumeran las reglas asociadas a la política de respuesta.

  3. Para ver los detalles de una regla de política de respuesta específica, haz clic en el nombre de la regla. También puedes hacer clic en Más en la fila del nombre de la regla de política de respuesta.

gcloud

  • Para ver la lista de reglas de la política de respuesta de Cloud DNS dentro de una política de respuesta, ejecuta el comando gcloud beta dns response-policies rules list:

    gcloud beta dns response-policies rules list RESPONSE_POLICY_NAME
    

    Reemplaza RESPONSE_POLICY_NAME por el nombre de la política de respuesta, como myresponsepolicy.

  • Para ver los detalles sobre una regla de política de respuesta específica, ejecuta el comando gcloud beta dns response-policies rules describe:

    gcloud beta dns response-policies rules describe RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy

API

Para ver la descripción detallada de una regla en una política de respuesta, envía una solicitud GET con el método responsePolicyRules.get:

GET https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
  • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta para la que deseas crear una regla, como myresponsepolicy
  • RESPONSE_POLICY_RULE: la regla de política de respuesta de la que deseas ver los detalles

Actualiza una regla de política de respuesta

Para editar o actualizar una regla de política de respuesta, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en el nombre de la política de respuesta para la que quieres editar las reglas.

  3. Haz clic en el nombre de la regla de política de respuesta que deseas editar.

  4. En la página Detalles de la regla de política de respuesta, haz clic en el nombre de la regla que deseas editar.

  5. Realice las actualizaciones necesarias.

  6. Haz clic en Guardar.

gcloud

Ejecuta el comando gcloud beta dns response-policies rules update:

gcloud beta dns response-policies rules update RESPONSE_POLICY_RULE_NAME \
    --response-policy=RESPONSE_POLICY_NAME
  

Reemplaza lo siguiente:

  • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
  • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy

    Usa la misma sintaxis que el comando create para cualquier campo actualizado.

API

  • Para aplicar una actualización parcial a una regla de política de respuesta, envía una solicitud PATCH con el método responsePolicyRules.patch:

    PATCH https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta para la que deseas actualizar la regla, como myresponsepolicy
    • RESPONSE_POLICY_RULE: la regla de la política de respuesta que deseas actualizar
  • Para actualizar una regla de política de respuesta, envía una solicitud UPDATE con el método responsePolicyRules.update:

    UPDATE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta para la que deseas actualizar la regla, como myresponsepolicy
    • RESPONSE_POLICY_RULE: la regla de la política de respuesta que deseas actualizar

Borra una regla de política de respuesta

Para borrar una regla de política de respuesta, sigue estos pasos.

Console

  1. En Cloud Console, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en el nombre de la política de respuesta para la que quieres editar las reglas.

  3. Haz clic en el nombre de la regla de política de respuesta que deseas borrar.

  4. En la página Detalles de la regla de política de respuesta, haz clic en Más en la fila del nombre de la regla de política de respuesta.

  5. Haz clic en Borrar. También puedes hacer clic en la regla que deseas borrar: en la página Detalles de la regla de política de respuesta, haz clic en Borrar reglas de política de respuesta.

gcloud

  • Para borrar una regla de política de respuesta de Cloud DNS, ejecuta el comando gcloud beta dns response-policies rules delete:

    gcloud beta dns response-policies rules delete RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy

API

  • Para borrar una regla de política de respuesta, envía una solicitud DELETE con el método responsePolicyRules.delete:

    DELETE https://dns.googleapis.com/dns/v1beta2/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto en el que creaste la política de respuesta
    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta de la que deseas borrar la regla, como myresponsepolicy
    • RESPONSE_POLICY_RULE: la regla de política de respuesta que deseas borrar

Casos de uso

En esta sección, se proporcionan casos de uso de ejemplo a fin de configurar reglas para las políticas de respuesta.

Dirige nombres específicos a las direcciones VIP restringidas

Puedes configurar una política de respuesta que tenga datos CNAME locales para cada zona a fin de traducir las solicitudes a las API de Google a las API restringidas de Google. Los nombres que no se especifican se resuelven mediante un DNS normal.

Por ejemplo, puedes crear una política de respuesta para pubsub.googleapis.com, que tiene datos CNAME locales para una zona, a fin de traducir las solicitudes a la API de Google a restricted.googleapis.com. Mientras tanto, www.googleapis.com, que no se especifica, continúa resolviéndose mediante DNS normal.

En la configuración de ejemplo siguiente, creas una política y la aplicas a una red de VPC específica.

gcloud

  1. Para crear una política de respuesta, ejecuta el comando gcloud beta dns response-policies create:

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta que deseas crear, como myresponsepolicy
    • NETWORK: una lista separada por comas de nombres de redes para asociarla con la política de respuesta, como network1,network2
    • DESCRIPTION: una descripción de la política de respuesta, como My new response policy
  2. Para agregar una regla a la política, ejecuta el comando gcloud beta dns response-policies rules create:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=pubsub.googleapis.com. \
        --local-data=name="pubsub.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy

API

  1. Crea una política de respuesta por URL:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_NAME: un nombre para la política de respuesta
    • RESPONSE_POLICY_DESCRIPTION: una descripción de la política de respuesta
    • URL_TO_NETWORK: la URL para la que estás creando la política de respuesta

  2. Agrega una regla a la política:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "pubsub.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7"]
        }
      ]
    }
    

    Reemplaza lo siguiente:

    • RULE_NAME: un nombre para la regla que estás creando, como pubsub
    • DNS_NAME: es el nombre de DNS para el que creas la regla, como pubsub.googleapis.com.. Ten en cuenta el punto final

Dirige todos los nombres, excepto algunos a las direcciones VIP restringidas

Puedes configurar reglas para eximir algunas respuestas de DNS de una regla de política que abarca un dominio completo o un bloque de direcciones IP grande. Este concepto se denomina comportamiento passthru. Si usas el comportamiento passthru, puedes permitir que los nombres que no son compatibles con los controles de servicios estén permitidos después del nombre del comodín.

Por ejemplo, puedes autorizar que www.googleapis.com esté permitido después del nombre del comodín en el ejemplo *.googleapis.com. La coincidencia exacta de www tiene prioridad sobre el comodín *.

En la siguiente configuración de ejemplo, crearás una política con un nombre específico y la aplicarás a una red de VPC específica. La regla permite que www.googleapis.com omita el comodín *.googleapis.com.

gcloud

  1. Para crear una política de respuesta, ejecuta el comando gcloud beta dns response-policies create:

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_NAME: el nombre o ID de la política de respuesta que deseas crear, como myresponsepolicy
    • NETWORK: una lista separada por comas de nombres de redes para asociarla con la política de respuesta, como network1,network2
    • DESCRIPTION: una descripción de la política de respuesta, como My new response policy
  2. Para agregar una regla de omisión a la política, ejecuta el comando gcloud beta dns response-policies rules create y establece la marca --behavior en bypassResponsePolicy:

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME \
        --behavior=bypassResponsePolicy
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_RULE_NAME: un nombre para la regla de política de respuesta que deseas crear, como myresponsepolicyrule
    • RESPONSE_POLICY_NAME: el nombre de la política de respuesta, como myresponsepolicy
    • DNS_NAME: el nombre de dominio o de DNS, como www.googleapis.com

API

  1. Crea una política de respuesta:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Reemplaza lo siguiente:

    • RESPONSE_POLICY_NAME: un nombre para la política de respuesta, como my-response-policy
    • RESPONSE_POLICY_DESCRIPTION: una descripción de la política de respuesta, como my response policy
    • URL_TO_NETWORK: La URL para la que estás creando la política de respuesta
  2. Agrega una regla a la política:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "*.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["restricted.googleapis.com."]
        }
      ]
    }
    {
      kind: "dns#responsePolicyRules",
      rule_name: "www-passthru",
      dns_name: "www.googleapis.com.",
      behavior: BYPASS_RESPONSE_POLICY
    }
    

    Reemplaza lo siguiente:

    • RULE_NAME: un nombre para la regla que estás creando, como googleapis
    • DNS_NAME: el nombre del comodín DNS para el que estás creando la regla, como *.googleapis.com.. Ten en cuenta el punto final

¿Qué sigue?