Cloud DNS unterstützt verschiedene Arten vonöffentlichen und privaten Zonen. In diesem Dokument finden Sie Details zu verschiedenen Zonentypen und dazu, wann Sie die eine oder die andere verwenden können.
Weiterleitungszonen
Mit Cloud DNS-Weiterleitungszonen können Sie Ziel-Nameserver für bestimmte private Zonen konfigurieren. Die Verwendung einer Weiterleitungszone ist eine Möglichkeit, die von Ihrem VPC-Netzwerk ausgehende DNS-Weiterleitung zu implementieren.
Eine Cloud DNS-Weiterleitungszone ist ein spezieller Typ von privater Cloud DNS-Zone. Anstatt Einträge innerhalb der Zone zu erstellen, geben Sie einen Satz von Weiterleitungszielen an. Jedes Weiterleitungsziel ist eine IP-Adresse eines DNS-Servers in Ihrem VPC-Netzwerk oder in einem lokalen Netzwerk, das über Cloud VPN oder Cloud Interconnect mit Ihrem VPC-Netzwerk verbunden ist.
Weiterleitungsziele und Routingmethoden
Cloud DNS unterstützt drei Arten von Zielen und bietet standardmäßige oder private Routingmethoden für die Konnektivität.
Weiterleitungsziel | Beschreibung | Standardrouting wird unterstützt | Privates Routing unterstützt | Quelle der Anfragen |
---|---|---|---|---|
Typ 1 | Eine interne IP-Adresse einer Google Cloud-VM oder ein interner Passthrough-Netzwerk-Load Balancer in demselben VPC-Netzwerk, das zur Verwendung der Weiterleitungszone autorisiert ist. | Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb RFC 1918 oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme einer IP-Adresse für ein verbotenes Weiterleitungsziel – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | 35.199.192.0/19 |
Typ 2 | Eine IP-Adresse eines lokalen Systems, das über Cloud VPN oder Cloud Interconnect mit dem VPC-Netzwerk verbunden ist, das zum Abfragen der Weiterleitungszone autorisiert ist. | Nur RFC 1918-IP-Adressen – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | Jede interne IP-Adresse, z. B. eine private RFC 1918-Adresse, eine private IP-Adresse außerhalb RFC 1918 oder eine privat wiederverwendete externe IP-Adresse, mit Ausnahme einer IP-Adresse für ein verbotenes Weiterleitungsziel – Traffic wird immer über ein autorisiertes VPC-Netzwerk weitergeleitet. | 35.199.192.0/19 |
Typ 3 | Eine externe IP-Adresse eines DNS-Nameservers, auf die über das Internet zugegriffen werden kann oder die externe IP-Adresse einer Google Cloud-Ressource, z. B. die externe IP-Adresse einer VM in einem anderen VPC-Netzwerk. | Nur externe, routingfähige IP-Adressen: Der Traffic wird immer an das Internet oder an die externe IP-Adresse einer Google Cloud-Ressource weitergeleitet. | Privates Routing wird nicht unterstützt. Achten Sie darauf, dass kein privates Routing ausgewählt ist. | Google Public DNS-Quellbereiche |
Sie können eine der beiden folgenden Routingmethoden auswählen, wenn Sie das Weiterleitungsziel in die Weiterleitungszone aufnehmen:
Standardrouting:: Leitet Traffic über ein autorisiertes VPC-Netzwerk oder über Internet weiter, je nachdem, ob das Weiterleitungsziel eine RFC-1918-IP-Adresse ist oder nicht. Wenn das Weiterleitungsziel eine RFC-1918-IP-Adresse ist, klassifiziert Cloud DNS das Ziel entweder als Typ 1- oder Typ 2-Ziel und leitet Anfragen über ein autorisiertes VPC-Netzwerk weiter. Wenn das Ziel keine RFC 1918-IP-Adresse ist, klassifiziert Cloud DNS das Ziel als Typ 3 und erwartet, dass das Ziel über das Internet zugänglich ist.
Privates Routing: Leitet Traffic immer über ein autorisiertes VPC-Netzwerk weiter, unabhängig von der IP-Adresse des Ziels (RFC 1918 oder nicht). Daher werden nur Ziele vom Typ 1 und Typ 2 unterstützt.
Für den Zugriff auf das Weiterleitungsziel Typ 1 oder Typ 2 verwendet Cloud DNS Routen im autorisierten VPC-Netzwerk, in dem sich der DNS-Client befindet. Diese Routen definieren einen sicheren Pfad zum Weiterleitungsziel:
Zum Senden von Traffic an Typ 1-Ziele verwendet Cloud DNS automatisch erstellte Subnetzrouten. Für Ziele vom Typ Typ 1 wird ein spezielles Routing für Cloud DNS-Antworten verwendet.
Um Traffic an Typ-2-Ziele zu senden, kann Cloud DNS entweder benutzerdefinierte dynamische Routen oder benutzerdefinierte statische Routen verwenden, mit Ausnahme von benutzerdefinierten statischen Routen mit Netzwerk-Tags. Zum Antworten werden von Weiterleitungszielen vom Typ 2 Routen in Ihrem lokalen Netzwerk verwendet.
Weitere Anleitungen zu den Netzwerkanforderungen für Ziele vom Typ 1 und Typ 2 finden Sie unter Anforderungen an das Netzwerk weiterleiten.
Verbotene Ziel-IP-Adressen für die Weiterleitung
Die folgenden IP-Adressen können nicht für Cloud DNS-Weiterleitungsziele verwendet werden:
169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8
Reihenfolge für Weiterleitungsziel auswählen
Mit Cloud DNS können Sie eine Liste von Weiterleitungszielen für eine Weiterleitungszone konfigurieren.
Wenn Sie zwei oder mehr Weiterleitungsziele konfigurieren, verwendet Cloud DNS einen internen Algorithmus, um ein Weiterleitungsziel auszuwählen. Dieser Algorithmus sortiert jedes Weiterleitungsziel.
Zur Verarbeitung einer Anfrage versucht Cloud DNS zuerst eine DNS-Abfrage, indem das Weiterleitungsziel mit dem höchsten Rang kontaktiert wird. Wenn dieser Server nicht antwortet, wiederholt Cloud DNS die Anfrage an das nächsthöhere Rang der Weiterleitung. Wenn keine Weiterleitungsziele eine Antwort zurückgeben, synthetisiert Cloud DNS die Antwort SERVFAIL.
Der Algorithmus für die Rangfolge ist automatisch und die folgenden Faktoren erhöhen das Ranking eines Weiterleitungsziels:
- Je höher die Anzahl der erfolgreichen DNS-Antworten ist, die vom Weiterleitungsziel verarbeitet wurden. Erfolgreiche DNS-Antworten enthalten NXDOMAIN-Antworten.
- Die geringere Latenz (Umlaufzeit) für die Kommunikation mit dem Weiterleitungsziel.
Weiterleitungszonen verwenden
VMs in einem VPC-Netzwerk können in folgenden Fällen eine Cloud DNS-Weiterleitungszone verwenden:
Das VPC-Netzwerk wurde zur Verwendung der Cloud DNS-Weiterleitungszone autorisiert. Sie können mehrere VPC-Netzwerke im selben Projekt oder in verschiedenen Projekten autorisieren, sofern sich die VPC-Netzwerke in derselben Organisation befinden.
Das Gastbetriebssystem jeder VM im VPC-Netzwerk verwendet den Metadatenserver
169.254.169.254
der VM als Nameserver.
Sich überschneidende Weiterleitungszonen
Da Cloud DNS-Weiterleitungszonen eine Art von privaten Zonen sind, die von Cloud DNS verwaltet werden, können Sie mehrere sich überschneidende Zonen erstellen. VMs, die wie zuvor beschrieben konfiguriert sind, lösen einen Eintrag gemäß der Reihenfolge der Namensauflösung auf. Dabei wird die Zone mit dem längsten Suffix verwendet. Weitere Informationen finden Sie unter Sich überschneidende Zonen.
Caching und Weiterleitungszonen
Cloud DNS speichert Antworten auf Abfragen, die an Cloud DNS-Weiterleitungszonen gesendet wurden, im Cache. Dabei wird ein Cache mit Antworten von erreichbaren Weiterleitungszielen über die kürzere der folgenden Zeitspannen beibehalten:
- 60 Sekunden
- Die Gültigkeitsdauer (TTL) des Eintrags
Wenn alle Weiterleitungsziele für eine Weiterleitungszone nicht mehr erreichbar sind, behält Cloud DNS den Cache der zuvor in dieser Zone angeforderten Einträge während der Gültigkeitsdauer (TTL) jedes Eintrags bei.
Wann sollte stattdessen Peering verwendet werden?
Cloud DNS kann kein transitives Routing für die Verbindung mit einem Weiterleitungsziel verwenden. Das folgende Szenario veranschaulicht eine ungültige Konfiguration:
Sie haben Cloud VPN oder Cloud Interconnect verwendet, um ein lokales Netzwerk mit einem VPC-Netzwerk namens
vpc-net-a
zu verbinden.Sie haben VPC-Netzwerk-Peering über VPC-Netzwerk
vpc-net-a
mitvpc-net-b
verbunden. Sie habenvpc-net-a
für den Export benutzerdefinierter Routen undvpc-net-b
für deren Import konfiguriert.Sie haben eine Weiterleitungszone erstellt, deren Weiterleitungsziele sich im lokalen Netzwerk befinden, mit dem
vpc-net-a
verbunden ist. Sie habenvpc-net-b
zur Verwendung dieser Weiterleitungszone autorisiert.
Das Auflösen eines Eintrags in einer Zone, die von den Weiterleitungszielen bedient wird, schlägt in diesem Szenario fehl, obwohl eine Verbindung von vpc-net-b
zu Ihrem lokalen Netzwerk besteht. Führen Sie die folgenden Tests über eine VM in vpc-net-b
aus, um diesen Fehler nachzuvollziehen:
Fragen Sie den Metadatenserver
169.254.169.254
der VM nach einem Eintrag ab, der in der Weiterleitungszone definiert ist. Diese Abfrage schlägt erwartungsgemäß fehl, da Cloud DNS kein transaktives Routing an Weiterleitungsziele unterstützt. Damit eine Weiterleitungszone verwendet werden kann, muss eine VM für die Verwendung ihres Metadatenservers konfiguriert sein.Fragen Sie das Weiterleitungsziel direkt nach diesem Eintrag ab. Obwohl Cloud DNS diesen Pfad nicht verwendet, geht die Abfrage davon aus, dass transitive Verbindung erfolgreich ist.
Sie können dieses ungültige Szenario mit einer Peering-Zone für Cloud DNS beheben:
- Erstellen Sie eine Cloud DNS-Peering-Zone, die für
vpc-net-b
autorisiert ist und aufvpc-net-a
verweist. - Erstellen Sie eine Weiterleitungszone, die für
vpc-net-a
autorisiert ist und deren Weiterleitungsziele lokale Nameserver sind.
Sie können diese Schritte in beliebiger Reihenfolge ausführen. Nach Abschluss dieser Schritte können Compute Engine-Instanzen in vpc-net-a
und vpc-net-b
die lokalen Weiterleitungsziele abfragen.
Informationen zum Erstellen von Weiterleitungszonen finden Sie unter Weiterleitungszone erstellen.
Peering-Zonen
Eine Peering-Zone ist eine private Cloud DNS-Zone, mit der Sie DNS-Anfragen zwischen Cloud DNS-Zonen in verschiedenen VPC-Netzwerken senden können. Beispielsweise kann ein SaaS-Anbieter (Software as a Service) Kunden Zugriff auf seine verwalteten DNS-Einträge in Cloud DNS gewähren.
Zum Bereitstellen von DNS-Peering müssen Sie eine private Cloud DNS-Peering-Zone erstellen und für die Ausführung von DNS-Lookups in einem VPC-Netzwerk konfigurieren, in dem die Einträge für den Namespace dieser Zone verfügbar sind. Das VPC-Netzwerk, in dem die DNS-Peering-Zone Lookups durchführt, wird als DNS-Produzentennetzwerk bezeichnet.
Die Peering-Zone ist nur für VPC-Netzwerke sichtbar, die während der Zonenkonfiguration ausgewählt werden. Das VPC-Netzwerk, das zur Verwendung der Peering-Zone berechtigt ist, wird als DNS-Nutzernetzwerk bezeichnet.
Wenn Google Cloud-Ressourcen im DNS-Nutzernetzwerk autorisiert wurden, können sie nach Einträgen im Namespace der Peering-Zone suchen, als ob sie sich im DNS-Produzentennetzwerk befinden. Lookups für Einträge im Namespace der Peering-Zone erfolgen in der Reihenfolge der Namensauflösung des DNS-Produzentennetzwerks.
Daher können Google Cloud-Ressourcen im DNS-Nutzernetzwerk Einträge im Namespace der Zone aus den folgenden Quellen abrufen, die im DNS-Produzentennetzwerk verfügbar sind:
- Von Cloud DNS verwaltete private Zonen, die zur Verwendung durch das DNS-Produzentennetzwerk autorisiert sind.
- Von Cloud DNS verwaltete Weiterleitungszonen, die zur Verwendung durch das DNS-Produzentennetzwerk autorisiert sind.
- Interne DNS-Namen von Compute Engine im DNS-Produzentennetzwerk.
- Ein alternativer Nameserver, sofern im DNS-Produzentennetzwerk eine ausgehende Server-Richtlinie konfiguriert wurde.
Mit DNS-Peering können Sie ein Netzwerk (DNS-Nutzernetzwerk) DNS-Anfragen an ein anderes Netzwerk (DNS-Produzentennetzwerk) weiterleiten lassen, das dann DNS-Suchanfragen durchführt.
DNS-Peering-Einschränkungen und wichtige Punkte
Beachten Sie beim Konfigurieren von DNS-Peering Folgendes:
- DNS-Peering ist eine einseitige Beziehung. Es erlaubt Google Cloud-Ressourcen im DNS-Nutzernetzwerk, so nach Einträgen im Namespace der Peering-Zone zu suchen, als ob sich die Ressourcen im DNS-Produzentennetzwerk befinden.
- Die DNS-Produzenten- und -Nutzernetzwerke müssen VPC-Netzwerke sein.
- Während DNS-Produzenten- und -Nutzernetzwerke normalerweise Teil derselben Organisation sind, wird organisationsübergreifendes DNS-Peering unterstützt.
- DNS-Peering und VPC-Netzwerk-Peering sind unterschiedliche Dienste. Beim VPC-Netzwerk-Peering werden DNS-Informationen nicht automatisch freigegeben. DNS-Peering kann für VPC-Netzwerk-Peering verwendet werden, VPC-Netzwerk-Peering ist für DNS-Peering jedoch nicht erforderlich.
- Transitives DNS-Peering wird unterstützt, jedoch nur über einen einzigen transitiven Hop.
Es können also maximal drei VPC-Netzwerke beteiligt sein, wobei das Netzwerk in der Mitte der transitive Hop ist. Sie können beispielsweise eine Peering-Zone in
vpc-net-a
erstellen, die aufvpc-net-b
ausgerichtet ist, und dann eine Peering-Zone invpc-net-b
erstellen, die aufvpc-net-c
ausgerichtet ist. - Wenn Sie DNS-Peering für eine Weiterleitungszone verwenden, muss das Ziel-VPC-Netzwerk mit der Weiterleitungszone eine VM, einen VLAN-Anhang oder einen Cloud VPN-Tunnel enthalten, der sich in derselben Region befindet wie das Quell-VM, die die DNS-Peering-Zone verwendet. Weitere Informationen zu dieser Einschränkung finden Sie unter Abfragen von VMs in einem Nutzer-VPC-Netzwerk an ein Produzenten-VPC-Netzwerk weiterleiten, das nicht funktioniert.
Eine Anleitung zum Erstellen einer Peering-Zone finden Sie unter Peering-Zone erstellen.
Verwaltete Zonen für den umgekehrten Lookup
Eine verwaltete Zone für den umgekehrten Lookup ist eine private Zone mit einem speziellen Attribut, das Cloud DNS anweist, eine PTR-Suche anhand der Compute Engine-DNS-Daten auszuführen.
PTR-Einträge für RFC 1918-Adressen in privaten Zonen
Zum Ausführen von Reverse-Lookups mit benutzerdefinierten PTR-Einträgen für RFC-1918-Adressen müssen Sie eine private Cloud DNS-Zone erstellen, die mindestens so spezifisch wie eine der folgenden Beispielzonen aufgebaut ist. Der Grund hierfür ist der Abgleich mit dem längsten Suffix wie unter Reihenfolge der Namensauflösung beschrieben.
Beispielzonen:
10.in-addr.arpa.
168.192.in-addr.arpa.
16.172.in-addr.arpa.
,17.172.in-addr.arpa.
, ... bis31.172.in-addr.arpa.
Beim Erstellen einer privaten Cloud DNS-Zone für RFC 1918-Adressen werden benutzerdefinierte PTR-Einträge, die Sie für VMs in dieser Zone erstellen, von den PTR-Einträgen überschrieben, die das interne DNS automatisch erstellt. Das liegt daran, dass PTR-Einträge des internen DNS in der vorherigen Liste spezifischerer Zonen erstellt werden.
Angenommen, Sie erstellen eine verwaltete private Zone für in-addr.arpa.
mit dem folgenden PTR-Eintrag für eine VM mit der IP-Adresse 10.1.1.1
:
1.1.1.10.in-addr.arpa. -> test.example.domain
PTR-Abfragen für 1.1.1.10.in-addr.arpa.
werden von der spezifischeren internen DNS-Zone 10.in-addr.arpa.
beantwortet. Der PTR-Eintrag in Ihrer privaten Cloud DNS-Zone für test.example.domain
wird ignoriert.
Zum Überschreiben der automatisch erstellten internen DNS-PTR-Einträge für VMs müssen Sie Ihre benutzerdefinierten PTR-Einträge in einer privaten Zone erstellen, die mindestens so spezifisch ist wie eine der in diesem Abschnitt dargestellten Zonen.
Wenn Sie beispielsweise den folgenden PTR-Eintrag in einer privaten Zone für 10.in-addr.arpa.
erstellen, wird der automatisch generierte Eintrag von Ihrem Eintrag überschrieben: 1.1.1.10.in-addr.arpa. -> test.example.domain
Wenn Sie nur einen Teil eines Netzwerkblocks überschreiben müssen, können Sie spezifischere private Cloud DNS-Reverse-Zonen erstellen. So können Sie z. B. eine private Zone für 5.10.in-addr.arpa.
verwenden, um dort PTR-Einträge bereitzuhalten, mit denen alle internen DNS-PTR-Einträge überschrieben werden, die automatisch für VMs mit IP-Adressen im Adressbereich 10.5.0.0/16
erstellt werden.
Eine Anleitung zum Erstellen einer verwalteten Zone für den umgekehrten Lookup finden Sie unter Verwaltete Zone für den umgekehrten Lookup erstellen.
Sich überschneidende Zonen
Wenn der ursprüngliche Domainname einer Zone mit dem der anderen Zone identisch oder eine Subdomain einer Domain desselben Namens ist, überschneiden sich zwei Zonen. Beispiel:
- Eine Zone für
gcp.example.com
und eine weitere Zone fürgcp.example.com
überschneiden sich, da die Domainnamen identisch sind. - Eine Zone für
dev.gcp.example.com
und eine Zone fürgcp.example.com
überschneiden sich, dadev.gcp.example.com
eine Subdomain vongcp.example.com
ist.
Regeln für sich überschneidende Zonen
Cloud DNS erzwingt die folgenden Regeln für sich überschneidende Zonen: * Sich überschneidende öffentliche Zonen sind auf denselben Cloud DNS-Nameservern nicht zulässig. Wenn Sie überschneidende Zonen erstellen, versucht Cloud DNS, sie auf verschiedenen Nameservern abzulegen. Falls dies nicht möglich ist, kann Cloud DNS die sich überschneidende Zone nicht erstellen.
- Eine private Zone kann sich mit einer beliebigen öffentlichen Zone überschneiden.
Private Zonen für verschiedene VPC-Netzwerke können sich überschneiden. So können z. B. zwei VPC-Netzwerke jeweils eine Datenbank-VM mit dem Namen
database.gcp.example.com
in einer Zonegcp.example.com
haben. Andatabase.gcp.example.com
gerichtete Abfragen erhalten unterschiedliche Antworten, je nachdem, welche Zoneneinträge in der Zone definiert sind, die für die einzelnen VPC-Netzwerke autorisiert ist.Zwei private Zonen, auf die über dasselbe VPC-Netzwerk zugegriffen werden darf, können keine identischen Ursprünge haben, es sei denn, eine Zone ist eine Subdomain der anderen. Der Metadatenserver verwendet den längsten Suffixabgleich, um festzustellen, welcher Ursprung in der jeweiligen Zone nach Einträgen abgefragt werden soll.
Beispiele für die Abfrageauflösung
Google Cloud löst Cloud DNS-Zonen wie unter Reihenfolge der Namensauflösung beschrieben auf. Beim Ermitteln der Zone, die für einen bestimmten Eintrag abzufragen ist, sucht Cloud DNS nach einer Zone, die mit dem angeforderten Eintrag so weit wie möglich übereinstimmt (längstes übereinstimmendes Suffix).
Sofern Sie keinen alternativen Nameserver in einer Serverrichtlinie für ausgehenden Traffic angegeben haben, sucht Google Cloud den Eintrag zuerst in einer privaten Zone (oder Weiterleitungszone bzw. Peering-Zone), die für Ihr VPC-Netzwerk autorisiert ist, und erst dann in einer öffentlichen Zone.
Die folgenden Beispiele veranschaulichen die Reihenfolge, die der Metadatenserver beim Abfragen von DNS-Einträgen einhält. Angenommen, Sie haben für jedes dieser Beispiele die zwei privaten Zonen gcp.example.com
und dev.gcp.example.com
erstellt und außerdem die Berechtigung vergeben, vom selben VPC-Netzwerk aus darauf zuzugreifen. In diesem Fall werden DNS-Abfragen von VMs in einem VPC-Netzwerk so von Google Cloud verarbeitet:
Der Metadatenserver verwendet öffentliche Nameserver, um einen Datensatz für
myapp.example.com.
aufzulösen (beachten Sie den abschließenden Punkt), da es keine private Zone fürexample.com
gibt, die für das VPC-Netzwerk autorisiert wurde. Verwenden Siedig
von einer Compute Engine-VM, um den Standard-Nameserver der VM abzufragen:dig myapp.example.com.
Weitere Informationen finden Sie unter DNS-Name über den Metadatenserver abfragen.
Der Metadatenserver löst den Eintrag
myapp.gcp.example.com
mithilfe der autorisierten privaten Zonegcp.example.com
auf, dagcp.example.com
das längste gemeinsame Suffix zwischen dem angeforderten Eintragsnamen und den verfügbaren autorisierten privaten Zonen ist.NXDOMAIN
wird zurückgegeben, wenn in der privaten Zonegcp.example.com
kein Eintrag fürmyapp.gcp.example.com
definiert ist, selbst wenn in einer öffentlichen Zone ein Eintrag fürmyapp.gcp.example.com
definiert ist.Entsprechend werden Abfragen für
myapp.dev.gcp.example.com
gemäß den Einträgen in der autorisierten privaten Zonedev.gcp.example.com
aufgelöst.NXDOMAIN
wird zurückgegeben, wenn in der Zonedev.gcp.example.com
kein Eintrag fürmyapp.dev.gcp.example.com
vorhanden ist, selbst wenn in einer anderen privaten oder öffentlichen Zone ein Eintrag fürmyapp.dev.gcp.example.com
definiert ist.Abfragen bezüglich
myapp.prod.gcp.example.com
werden gemäß Einträgen in der privaten Zonegcp.example.com
aufgelöst, dagcp.example.com
das längste gemeinsame Suffix für den angeforderten DNS-Eintrag und die verfügbaren privaten Zonen ist.
Beispiel für ein Split-Horizon-DNS
Sie können in einer Split-Horizon-DNS-Konfiguration eine Kombination aus öffentlichen und privaten Zonen verwenden. Bei privaten Zonen haben Sie die Möglichkeit, abweichende Antworten auf eine Abfrage nach demselben Eintrag für den Fall zu definieren, dass die Abfrage von einer VM innerhalb eines autorisierten VPC-Netzwerks kommt. Das Split-Horizon-DNS ist nützlich, wenn Sie je nach VPC-Ursprungsnetzwerk unterschiedliche Einträge für dieselben DNS-Abfragen bereitstellen müssen.
Im Folgenden finden Sie ein Split-Horizon-Beispiel:
- Sie haben die öffentliche Zone
gcp.example.com
erstellt und ihren Registrator zur Verwendung von Cloud DNS-Nameservern konfiguriert. - Sie haben die private Zone
gcp.example.com
erstellt und Ihr VPC-Netzwerk für den Zugriff auf diese Zone autorisiert.
In der privaten Zone haben Sie einen einzelnen Eintrag erstellt, wie in der folgenden Tabelle dargestellt.
Datensatz | Typ | TTL (Sekunden) | Daten |
---|---|---|---|
myrecord1.gcp.example.com | A | 5 | 10.128.1.35 |
In der öffentlichen Zone haben Sie zwei Einträge erstellt:
Datensatz | Typ | TTL (Sekunden) | Daten |
---|---|---|---|
myrecord1.gcp.example.com | A | 5 | 104.198.6.142 |
myrecord2.gcp.example.com | A | 50 | 104.198.7.145 |
Die folgenden Abfragen werden wie beschrieben aufgelöst:
- Eine Abfrage bezüglich
myrecord1.gcp.example.com
von einer VM in Ihrem VPC-Netzwerk gibt10.128.1.35
zurück. - Eine Abfrage bezüglich
myrecord1.gcp.example.com
aus dem Internet gibt104.198.6.142
zurück. - Eine Abfrage bezüglich
myrecord2.gcp.example.com
von einer VM in Ihrem VPC-Netzwerk gibt einenNXDOMAIN
-Fehler zurück, da fürmyrecord2.gcp.example.com
kein Eintrag in der privaten Zonegcp.example.com
vorhanden ist. - Eine Abfrage bezüglich
myrecord2.gcp.example.com
aus dem Internet gibt104.198.7.145
zurück.
Projektübergreifende Bindung
Mit einer projektübergreifenden Bindung können Sie die Inhaberschaft des DNS-Namespace des Dienstprojekts unabhängig von der Inhaberschaft des DNS-Namespace des gesamten VPC-Netzwerks beibehalten.
Eine typische Einrichtung für ein freigegebenes VPC besteht aus Service-Projekten, die eine Anwendung oder einen Service einer virtuellen Maschine (VM) übernehmen, während das Host-Projekt für das VPC-Netzwerk und die Netzwerkinfrastruktur zuständig ist. Häufig wird ein DNS-Namespace aus dem Namespace des VPC-Netzwerks erstellt, um den Ressourcen des Dienstprojekts zu entsprechen. Bei einer solchen Einrichtung kann es einfacher sein, die Verwaltung des DNS-Namespace jedes Serviceprojekts an die Administratoren der einzelnen Serviceprojekte zu delegieren (bei denen es sich häufig um verschiedene Abteilungen oder Unternehmen handelt). Mit der projektübergreifenden Bindung können Sie die Inhaberschaft des DNS-Namespace des Serviceprojekts vom Besitz des DNS-Namespace des gesamten VPC-Netzwerks trennen.
Die folgende Abbildung zeigt eine typische Einrichtung einer freigegebenen VPC mit DNS-Peering.
Die folgende Abbildung zeigt eine Einrichtung mit projektübergreifender Bindung. Mit Cloud DNS kann jedes Dienstprojekt seine DNS-Zonen erstellen und Inhaber sein. Gleichzeitig ist es jedoch an das freigegebene Netzwerk gebunden, das dem Hostprojekt gehört. Dies ermöglicht eine bessere Autonomie und eine präzisere Berechtigungsgrenze für die DNS-Zonenverwaltung.
Eine projektübergreifende Bindung bietet Folgendes:
- Dienstprojektadministratoren und Nutzer können ihre eigenen DNS-Zonen erstellen und verwalten.
- Sie müssen kein Platzhalter-VPC-Netzwerk erstellen.
- Hostprojektadministratoren müssen das Dienstprojekt nicht verwalten.
- IAM-Rollen gelten weiterhin auf Projektebene.
- Alle DNS-Zonen sind direkt dem freigegebenen VPC-Netzwerk zugeordnet.
- Es ist jede beliebige DNS-Auflösung verfügbar. Jede VM im freigegebenen VPC-Netzwerk kann die zugehörigen Zonen auflösen.
- Es gibt kein transitives Hop-Limit. Sie können es in einem Hub- und Spoke-Design verwalten.
Eine Anleitung zum Erstellen einer Zone mit aktivierter projektübergreifender Bindung finden Sie unter Projektübergreifende Bindungszone erstellen.
Zonale Cloud DNS-Zonen
Mit zonalem Cloud DNS können Sie private DNS-Zonen erstellen, die nur einer Google Cloud-Zone zugeordnet sind. Zonale Cloud DNS-Zonen werden für GKE erstellt, wenn Sie einen Clusterbereich auswählen.
Der Cloud DNS-Standarddienst ist global und DNS-Namen sind global in Ihrem VPC-Netzwerk sichtbar. Bei dieser Konfiguration ist Ihr Dienst globalen Ausfällen ausgesetzt. Zonales Cloud DNS ist ein neuer privater Cloud DNS-Dienst, der in jeder Google Cloud-Zone vorhanden ist. Die Fehlerdomain ist in dieser Google Cloud-Zone enthalten. Private zonale Cloud DNS-Zonen sind bei globalen Ausfällen nicht betroffen. Alle zonalen Ausfälle der Google Cloud wirken sich nur auf diese bestimmte Google Cloud-Zone und Cloud DNS-Zonen innerhalb dieser Google Cloud-Zone aus. Beachten Sie, dass alle in einem zonalen Dienst erstellten Ressourcen nur für diese Google Cloud-Zone sichtbar sind.
Informationen zum Konfigurieren einer zonalen Cloud DNS-Clusterzone finden Sie unter Zonale Zone für GKE-Cluster konfigurieren.
Unterstützung für zonale Cloud DNS
In der folgenden Tabelle sind die Cloud DNS-Ressourcen und -Funktionen aufgeführt, die von zonalen Cloud DNS-Diensten unterstützt werden.
Ressource oder Feature | Verfügbar in globalem Cloud DNS | Verfügbar in zonalem Cloud DNS |
---|---|---|
Verwaltete öffentliche Zonen | ||
Verwaltete private Zonen (Netzwerk- oder VPC-bezogen) | ||
Verwaltete private Zonen (GKE-bezogen) | ||
Weiterleitungszonen1 | ||
Peering-Zonen | ||
Verwaltete Zonen für den umgekehrten Lookup | ||
Änderungen erstellen oder Einträge verwalten2 | ||
Service Directory-Zonen | ||
Richtlinien | ||
Antwortrichtlinien (netzwerkbezogen) | ||
Antwortrichtlinien (auf GKE-Cluster beschränkt) | ||
Antwortrichtlinienregeln |
1Zonales Cloud DNS unterstützt nur Weiterleitungszonen, die einem GKE-Cluster zugeordnet sind.
2Der GKE-Controller überschreibt alle Änderungen an den Einträgen beim Neustart.
Abrechnung für zonale Cloud DNS-Zonen
Die Abrechnung für zonale Cloud DNS-Zonen und -Antwortrichtlinien funktioniert genauso wie bei ihren globalen Gegenstücken.
Nächste Schritte
- Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.