ピアリングゾーンを作成する

このページでは、ピアリングゾーンの作成方法について説明します。詳細な背景情報については、ピアリングゾーンをご覧ください。

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM のロールが付与されている必要があります。

権限

dns.managedZones.create - マネージドゾーンを作成する
dns.networks.targetWithPeeringZone - ピアリングゾーンを作成する
dns.activePeeringZones.getZoneInfo - ピアリングゾーンに関する情報を取得する
dns.activePeeringZones.list - ピアリングゾーンを一覧表示する
dns.activePeeringZones.deactivate - ピアリングゾーンを無効にする

ロール

roles/dns.admin
roles/dns.peer

別の VPC ネットワーク（プロデューサーネットワーク）の VPC 名前解決順序を照会するために VPC ネットワーク（コンシューマネットワーク）が 1 つ必要な場合に、新しいマネージドプライベートピアリングゾーンを作成するには、次の手順を行います。

コンソール

Google Cloud Console で、[DNS ゾーンの作成] ページに移動します。

[DNS ゾーンの作成] に移動
[ゾーンのタイプ] で [非公開] を選択します。
ゾーン名（例: my-new-zone）を入力します。
限定公開ゾーンの DNS 名のサフィックスを入力します。ゾーン内のすべてのレコードがこのサフィックスを共有します（example.private など）。
（省略可）説明を追加します。
[オプション] で、[DNS ピアリング] を選択します。
限定公開ゾーンが表示されるネットワークを選択します。
[ピアリングプロジェクト] で、ピアリングプロジェクトを選択します。
[ピアリングネットワーク] で、ピアリングネットワークを選択します。
[作成] をクリックします。

gcloud

コンシューマ VPC ネットワークが含まれているプロジェクトで、サービスアカウントを作成または特定します。
プロデューサー VPC ネットワークが含まれているプロジェクトで、サービスアカウント（前のステップで特定または作成したもの）に DNS ピアのロールを付与します。
```
gcloud projects add-iam-policy-binding PRODUCER_PROJECT_ID \
   --member=SERVICE_ACCOUNT \
   --role=roles/dns.peer
```
以下を置き換えます。
- PRODUCER_PROJECT_ID: プロデューサー VPC ネットワークを含むプロジェクトの ID
- SERVICE_ACCOUNT: 手順 1 で特定または作成されたコンシューマ VPC ネットワークを含むプロジェクトのサービスアカウント
コンシューマ VPC ネットワークを含むプロジェクトで、サービスアカウントに DNS 管理者ロールを付与し、dns managed-zones create コマンドを実行して新規にマネージドプライベートピアリングゾーンを作成します。
```
gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=CONSUMER_VPC_NETWORK \
  --account=SERVICE_ACCOUNT \
  --target-network=PRODUCER_VPC_NETWORK \
  --target-project=PRODUCER_PROJECT_ID \
  --visibility=private
```
以下を置き換えます。
- NAME: ゾーンの名前
- DESCRIPTION: ゾーンの説明
- DNS_SUFFIX: ゾーンの DNS サフィックス（例: example.com）
- CONSUMER_VPC_NETWORK: コンシューマ VPC ネットワークの名前
- SERVICE_ACCOUNT: 手順 1 で特定されたコンシューマ VPC ネットワークを含むプロジェクト内のサービスアカウント。
  注: コンシューマ VPC ネットワークを含むプロジェクトにサービスアカウントを追加していない場合、gcloud CLI は gcloud auth list で示される現在アクティブな IAM メンバーを使用します。
- PRODUCER_VPC_NETWORK: プロデューサー VPC ネットワークの名前
- PRODUCER_PROJECT_ID: プロデューサー VPC ネットワークを含むプロジェクトの ID

Terraform

resource "random_id" "zone_suffix" {
  byte_length = 8
}

resource "google_dns_managed_zone" "peering_zone" {
  name        = "peering-zone-${random_id.zone_suffix.hex}"
  dns_name    = "peering.example.com."
  description = "Example private DNS peering zone"

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_source.id
    }
  }

  peering_config {
    target_network {
      network_url = google_compute_network.network_target.id
    }
  }
}

resource "google_compute_network" "network_source" {
  name                    = "network-source"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_target" {
  name                    = "network-target"
  auto_create_subnetworks = false
}

次のステップ

マネージドゾーンを操作するには、ゾーンの作成、変更、削除をご覧ください。
Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
Cloud DNS の概要については、Cloud DNS の概要をご覧ください。