Administra zonas

En esta página, se proporcionan instrucciones para crear zonas administradas de Cloud DNS. Antes de usar esta página, familiarízate con los términos clave y los conceptos de Cloud DNS.

Antes de comenzar

La API de Cloud DNS requiere que crees un proyecto de Cloud DNS y que habilites la API de Cloud DNS.

Si creas una aplicación que usa la API de REST, también debes crear un ID de cliente de OAuth 2.0.

  1. Si aún no lo hiciste, regístrate para obtener una Cuenta de Google.
  2. Habilita la API de Cloud DNS en Cloud Console. Puedes seleccionar un proyecto existente de Compute Engine o App Engine, o puedes crear un proyecto nuevo.
  3. Si necesitas realizar solicitudes a la API de REST, deberás crear un ID de OAuth 2.0: Cómo configurar OAuth 2.0.
  4. Ten en cuenta la siguiente información en el proyecto que deberás ingresar en los pasos posteriores:
    • El ID de cliente (xxxxxx.apps.googleusercontent.com).
    • El ID del proyecto que deseas usar. Puedes encontrar el ID en la parte superior de la página Descripción general en Cloud Console. También podrías solicitarle a tu usuario que proporcione el nombre del proyecto que desea usar en tu aplicación.

Si no utilizaste la herramienta de línea de comandos de gcloud antes, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarlo con Cloud Console:

gcloud auth login

Si deseas ejecutar un comando de gcloud en los recursos de Google Cloud de otro proyecto, especifica la opción --project para este comando y los otros comandos de glcoud de esta página.

Crea zonas administradas

Cada zona administrada que creas está asociada con un proyecto de Google Cloud. En las siguientes secciones, se describe cómo crear el tipo de zona administrada compatible con Cloud DNS.

Crea una zona pública

Para crear una zona administrada nueva, haz lo siguiente:

Console

  1. Ve a la página sobre cómo crear una zona de DNS en Cloud Console.

    Ir a la página sobre cómo crear una zona de DNS

  2. Elige Public para Tipo de zona.

  3. Ingresa un nombre de zona. Un ejemplo es my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona mediante el uso de un nombre de dominio de tu propiedad. En todos los registros de la zona, se comparte este sufijo, por ejemplo: example.com.

  5. En DNSSEC, selecciona Off, On o Transfer. Para obtener más información, consulta la sección sobre configuración de DNSSEC.

  6. Haz clic en Crear. Se muestra la página Detalles de la zona.

gcloud

Para crear una zona administrada nueva, usa el siguiente comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=dns-suffix \
    --labels=labels \
    --visibility=public

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.com
  • labels: Es una lista opcional delimitada por comas de pares clave-valor, como Dept:Marketing o Project:project1. Para obtener más detalles, consulta la documentación del SDK

API

Para crear una zona administrada con la API, envía una solicitud POST con el siguiente método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/project-id/managedZones
{
  "name": "name",
  "description": "description",
  "dnsName": "dns-name",
  "visibility": "public"
}

Reemplaza las siguientes opciones de comando:

  • project-id: el ID del proyecto en el que se crea la zona administrada
  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.com

Crea una zona privada

Para crear una nueva zona privada administrada con registros DNS privados administrados con Cloud DNS, sigue estas instrucciones. Si deseas obtener información adicional, consulta Prácticas recomendadas para las zonas privadas de Cloud DNS.

Console

  1. Ve a la página sobre cómo crear una zona de DNS en Cloud Console.

    Ir a la página sobre cómo crear una zona de DNS

  2. Elige Private para Tipo de zona.

  3. Ingresa un nombre de zona. Un ejemplo es my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo como, por ejemplo: example.private.

  5. Si quieres, agrega una descripción.

  6. Selecciona las redes de VPC en las que la zona privada es visible. Solo las redes de VPC que selecciones tienen autorización para consultar registros en la zona.

  7. Haz clic en Crear.

gcloud

Para crear una zona privada administrada nueva, usa el comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=dns-suffix \
    --networks=vpc-network-list \
    --labels=labels \
    --visibility=private

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.private
  • vpc-network-list: Es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona. Estas redes deben estar en el mismo proyecto que la zona
  • labels: Es una lista opcional delimitada por comas de pares clave-valor, como Dept:Marketing o Project:project1. Para obtener más detalles, consulta la documentación del SDK

API

Para crear una zona administrada con la API, envía una solicitud POST con el método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/project-id/managedZones
{

"name": "name",
"description": "description",
"dnsName": "dns-name",
"visibility": "private"
"privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "networks": [{
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": vpc-network-1
        },
        {
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": vpc-network-2
        },
        ....
    ]
}

Reemplaza las siguientes opciones de comando:

  • project-id: el ID del proyecto en el que se crea la zona administrada
  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.private
  • vpc-network-1 y vpc-network-2: Son URL de las redes de VPC, en el mismo proyecto, que pueden consultar registros en esta zona. Puedes agregar varias redes de VPC como se indica. A fin de determinar la URL de una red de VPC, usa el siguiente comando de gcloud y reemplaza vpc-network-name por el nombre de la red:
gcloud compute networks describe vpc-network-name \
    --format="get(selfLink)"

Crea una zona DNS de Directorio de servicios

Puedes crear una zona de directorio de servicios que permita que tus servicios basados en Google Cloud consulten tu espacio de nombres del directorio de servicios mediante DNS.

Para obtener instrucciones detalladas sobre cómo crear una zona DNS de Directorio de servicios, consulta Cómo configurar una zona DNS de Directorio de servicios.

Para obtener instrucciones sobre cómo consultar tu Directorio de servicios con DNS, visita Consulta mediante DNS.

Crea una zona privada de búsqueda inversa administrada

Una zona de búsqueda inversa administrada es una zona privada con un atributo especial que le indica a Cloud DNS que realice una búsqueda PTR en los datos de DNS de Compute Engine. Debes configurar zonas de búsqueda inversa administradas para que Cloud DNS resuelva correctamente los registros PTR que no sean RFC 1918 de tus VM.

Console

  1. Ve a la página sobre cómo crear una zona de DNS en Cloud Console.

    Ir a la página sobre cómo crear una zona de DNS

  2. Elige Private para Tipo de zona.

  3. Ingresa un nombre de zona. Por ejemplo, my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona. El sufijo debe terminar con in-addr.arpa para que sea una zona inversa. Este nombre de DNS debe coincidir con el nombre de la búsqueda inversa de los registros PTR que no son RFC 1918 que intentas resolver a través de Cloud DNS. Por ejemplo, si intentas hacer coincidir el registro PTR de 20.20.1.2, debes crear una zona de búsqueda inversa con el nombre de DNS 2.1.20.20.in-addr.arpa.

    .
  5. Si quieres, agrega una descripción.

  6. En Opciones, selecciona Managed reverse lookup zone.

  7. Selecciona las redes en las que estará visible la zona privada.

  8. Haz clic en Crear.

gcloud

Para crear una zona privada de búsqueda inversa nueva, usa el comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=dns-suffix \
    --networks=vpc-network-list \
    --visibility=private \
    --managed-reverse-lookup=true

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona inversa. Debe terminar con .in-addr.arpa. Por lo general, las zonas inversas tienen el formato ${ip_block_in_reverse}.in-addr.arpa.
  • vpc-network-list: Es una lista delimitada por comas de redes de VPC que contienen los recursos de Google Cloud en los que se resuelven los registros PTR

Crea una zona de reenvío

Para crear una nueva zona de reenvío privada administrada, sigue estas instrucciones. Antes de comenzar, asegúrate de comprender las diferencias entre los enrutamientos estándar y privado y los requisitos de red para los destinos de reenvío.

Si deseas obtener información adicional, consulta Prácticas recomendadas para las zonas de reenvío de Cloud DNS.

Console

  1. Ve a la página sobre cómo crear una zona de DNS en Cloud Console.

    Ir a la página sobre cómo crear una zona de DNS

  2. Elige Private para Tipo de zona.

  3. Ingresa un nombre de zona. Un ejemplo es my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo. Un ejemplo es example.private.

  5. Si quieres, agrega una descripción.

  6. En Opciones, selecciona Reenviar consultas a otro servidor.

  7. Selecciona las redes en las que estará visible la zona privada.

  8. Haz clic en Agregar elemento para agregar las direcciones IPv4 de un destino de reenvío. Puedes agregar varias direcciones IP.

  9. Para forzar el enrutamiento privado al destino de reenvío, marca la casilla junto a Habilitar en Reenvío privado. Para obtener información general importante sobre los métodos de enrutamiento a los destinos de reenvío, consulta Destinos de reenvío y métodos de enrutamiento.

  10. Haz clic en Crear.

gcloud

Para crear una nueva zona de reenvío privada administrada, usa el comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=dns-suffix \
    --networks=vpc-network-list \
    --forwarding-targets=forwarding-targets-list \
    --private-forwarding-targets=private-forwarding-targets-list \
    --visibility=private

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.private
  • vpc-network-list: Es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona. Estas redes deben estar en el mismo proyecto que la zona
  • forwarding-targets-list: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Las direcciones IP RFC 1918 especificadas con esta marca deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet. Para obtener información general importante, consulta Destinos de reenvío y métodos de enrutamiento
  • private-forwarding-targets-list: Es una lista delimitada por comas de direcciones IP a las que se envían las consultas. Cualquier dirección IP especificada con esta marca debe estar ubicada en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Para obtener información general importante, consulta Destinos de reenvío y métodos de enrutamiento

API

Para crear una zona de reenvío privada administrada con la API, envía una solicitud POST con el siguiente método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/project-id/managedZones
{

    "name": "name",
    "description": "description",
    "dnsName": "dns-name",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": vpc-network-1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": vpc-network-2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": <
                    var>forwarding-target-1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": forwarding-target-2
            },
            ....
        ]
    },
}

Reemplaza las siguientes opciones de comando:

  • project-id: el ID del proyecto en el que se crea la zona administrada
  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • dns-name: Es el sufijo de DNS para tu zona, como example.private
  • vpc-network-1 y vpc-network-2: Son URL de las redes de VPC, en el mismo proyecto, que pueden consultar registros en esta zona. Puedes agregar varias redes de VPC como se indica. A fin de determinar la URL de una red de VPC, describe la red mediante el siguiente comando de gcloud y reemplaza vpc-network-name por el nombre de la red:

    gcloud compute networks describe vpc-network-name \
       --format="get(selfLink)"
    
  • forwarding-target-1 y forwarding-target-2: Son las direcciones IP de los servidores de nombres del destino de reenvío. Puedes agregar varios destinos de reenvío como se indica. Las direcciones IP RFC 1918 especificadas aquí deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud mediante Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet. Para obtener información general importante, consulta Destinos de reenvío y métodos de enrutamiento

Crea una zona de intercambio de tráfico

Crea una nueva zona de intercambio de tráfico privada administrada cuando necesites una red de VPC, llamada red del consumidor, para consultar el orden de resolución de nombres de VPC de otra red de VPC, llamada red del productor. Para obtener información general importante, consulta Intercambio de tráfico de DNS.

Console

  1. Ve a la página sobre cómo crear una zona de DNS en Cloud Console.

    Ir a la página sobre cómo crear una zona de DNS

  2. Elige Private para Tipo de zona.

  3. Ingresa un nombre de zona. Un ejemplo es my-new-zone.

  4. Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo como, por ejemplo: example.private.

  5. Si quieres, agrega una descripción.

  6. Selecciona las redes en las que estará visible la zona privada.

  7. En Intercambio de tráfico de DNS, selecciona la casilla junto a Habilitar intercambio de tráfico de DNS.

  8. En Proyecto de intercambio de tráfico, selecciona un proyecto de este tipo.

  9. En Red de intercambio de tráfico, selecciona una red de este tipo.

  10. Haz clic en Crear.

gcloud

  1. En el proyecto que contiene la red de VPC del consumidor, identifica o crea una cuenta de servicio.

  2. Otorga la función par de DNS a la cuenta de servicio (del paso anterior) en el proyecto que contiene la red de VPC del productor.

    gcloud projects add-iam-policy-binding producer-project-id \
       --member=service-account \
       --role=roles/dns.peer
    

    Reemplaza las siguientes opciones de comando:

    • producer-project-id: Es el ID del proyecto que contiene la red de VPC del productor
    • service-account: Es la cuenta de servicio, en el proyecto que contiene la red de VPC del consumidor, creada o identificada en el primer paso
  3. En el proyecto que contiene la red de VPC del consumidor, crea una nueva zona de intercambio de tráfico privada administrada con el siguiente comando dns managed-zones create:

    gcloud dns managed-zones create name \
      --description=description \
      --dns-name=dns-suffix \
      --networks=consumer-vpc-network \
      --account=service-account \
      --target-network=producer-vpc-network \
      --target-project=producer-project-id \
      --visibility=private
    

    Reemplaza las siguientes opciones de comando:

    • name: Es el nombre para tu zona
    • description: Es una descripción para tu zona
    • dns-name: Es el sufijo de DNS para tu zona, como example.com
    • consumer-vpc-network: Es el nombre de la red de VPC del consumidor
    • service-account: Es la cuenta de servicio, en el proyecto que contiene la red de VPC del consumidor, identificada en el primer paso. Si se omite, la herramienta de línea de comandos de gcloud usa el miembro de IAM que está activo actualmente, como lo indica gcloud auth list.
    • producer-vpc-network: Es el nombre de la red de VPC del productor.
    • producer-project-id: Es el ID del proyecto que contiene la red de VPC del productor

Actualiza zonas administradas

Con Cloud DNS, puedes modificar ciertos atributos de tu zona pública o privada administrada.

Actualiza zonas públicas

Puedes cambiar la descripción o la configuración de DNSSEC de una zona pública.

Console

  1. Ve a la página de Cloud DNS en Cloud Console.

    Ir a la página de Cloud DNS

  2. Haz clic en la zona pública que deseas actualizar.

  3. Haz clic en Editar.

  4. Para cambiar la configuración de DNSSEC, en DNSSEC, selecciona Off, On o Transfer. Consulta la página sobre configuración de DNSSEC para obtener más información.

  5. De manera opcional, actualiza la descripción.

  6. Haz clic en Guardar.

gcloud

Para actualizar una zona administrada, usa el siguiente comando dns managed-zones update:

gcloud dns managed-zones update name \
    --description=description \
    --dnssec-state=state

Reemplaza las siguientes opciones de comando:

Actualiza redes con autorización para una zona privada

Si deseas modificar las redes de VPC para las que una zona privada es visible, haz lo siguiente:

Console

  1. Ve a la página de Cloud DNS en Cloud Console.

    Ir a la página de Cloud DNS

  2. Haz clic en la zona privada que deseas actualizar.

  3. Haz clic en Editar.

  4. Selecciona las redes de VPC en las que la zona privada es visible. Solo en las redes de VPC seleccionadas se dispone de autorización para consultar registros en la zona.

  5. Haz clic en Guardar.

gcloud

Para actualizar las redes de VPC con autorización de una zona privada administrada, usa el siguiente comando dns managed-zones update:

gcloud dns managed-zones update name \
    --description=description \
    --networks=vpc-network-list

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • description: Es una descripción para tu zona
  • vpc-network-list: Es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona. Estas redes deben estar en el mismo proyecto que la zona

Actualiza etiquetas

Para agregar etiquetas nuevas, cambiar etiquetas existentes, quitar etiquetas seleccionadas o borrar todas las etiquetas de una zona administrada, usa los siguientes comandos dns managed-zones update:

gcloud dns managed-zones update name \
    --update-labels=labels
gcloud dns managed-zones update name \
    --remove-labels=labels
gcloud dns managed-zones update name \
    --clear-labels

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre para tu zona
  • labels: Es una lista opcional delimitada por comas de pares clave-valor, como Dept:Marketing o Project:project1. Para obtener más detalles, consulta la documentación del SDK

Enumera y describe zonas administradas

Muestra una lista de zonas administradas

Para mostrar una lista de todas tus zonas dentro de un proyecto, especifica lo siguiente:

Console

  1. Las zonas administradas se muestran en la página de la zona de Cloud DNS en Cloud Console.

    Ir a la página de Cloud DNS

gcloud

Para enumerar todas las zonas administradas, usa el siguiente comando dns managed-zones list:

gcloud dns managed-zones list

Para enumerar todas las zonas administradas, modifica el siguiente comando:

gcloud dns managed-zones list \
   --filter="visibility=public"

Para enumerar todas las zonas privadas administradas, modifica el siguiente comando:

gcloud dns managed-zones list \
   --filter="visibility=private"

Describe una zona administrada

Para ver los atributos de una zona administrada, haz lo siguiente:

Console

  1. Ve a la página de la zona de Cloud DNS en Cloud Console.

    Ir a la página de Cloud DNS

  2. Haz clic en la zona que deseas inspeccionar.

gcloud

Para ver los atributos de una nueva zona administrada, usa el siguiente comando dns managed-zones describe:

gcloud dns managed-zones describe name

Reemplaza las siguientes opciones de comando:

  • name: Es el nombre de tu zona

Borra una zona administrada

Console

  1. Ve a la página de Cloud DNS en Cloud Console.

    Ir a la página de Cloud DNS

  2. Haz clic en la zona administrada que deseas borrar.

  3. Quita todos los registros de la zona, excepto los registros SOA y NS. Para obtener más información, consulta Agrega o quita un registro.

  4. Haz clic en Borrar zonas.

gcloud

  1. Quita todos los registros de la zona, excepto los registros SOA y NS. Para obtener más información, consulta Agrega o quita un registro. Para vaciar rápidamente una zona completa, importa un archivo vacío a un conjunto de registros. Para obtener más información, consulta Importa y exporta conjuntos de registros. El siguiente es un ejemplo:

    touch empty-file
    gcloud dns record-sets import -z name \
       --delete-all-existing \
       empty-file
    rm empty-file
    

    Reemplaza las siguientes opciones de comando:

    • name: Es el nombre de tu zona
  2. Para borrar una zona privada administrada nueva, usa el siguiente comando dns managed-zones delete:

    gcloud dns managed-zones delete name
    

    Reemplaza las siguientes opciones de comando:

    • name: Es el nombre de tu zona

Requisitos de red de los destinos de reenvío

Cuando Cloud DNS envía solicitudes a los destinos de reenvío, envía paquetes con los rangos de origen enumerados en la siguiente tabla. Para obtener información general adicional sobre los diferentes tipos de destinos, consulta Destinos de reenvío y métodos de enrutamiento.

Tipo de destino de reenvío Rangos de origen
  • Objetivos de tipo 1
    (VM en una red de VPC autorizada para usar la zona de reenvío)
  • Destinos de tipo 2
    (locales, conectados a una red de VPC autorizada para usar la zona de reenvío)
35.199.192.0/19
Cloud DNS usa el rango de origen 35.199.192.0/19 para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.
  • Objetivos de tipo 3
    (accesible a Internet)
Rangos de origen de DNS público de Google
  • Destinos de tipo 4
    (VM en una red de VPC diferente autorizada para usar la zona de reenvío)
Rangos de origen de DNS público de Google

Objetivos de tipos 1 y 2

Cloud DNS requiere lo siguiente para acceder a un destino de tipo 1 o tipo 2. Estos requisitos son los mismos si el destino es una dirección IP RFC 1918 y usas el enrutamiento estándar, o si eliges el enrutamiento privado de forma explícita:

  • Configuración de firewall para 35.199.192.0/19: en los objetivos de tipo 1, debes crear una regla de firewall que permita la entrada del tráfico del puerto 53 de TCP y UDP, aplicable a tus objetivos de reenvío en cada red de VPC autorizada. Para los objetivos de tipo 2, configura un firewall de red local y equipos similares para permitir el puerto 53 de TCP y UDP.
  • Ruta al destino de reenvío: En los objetivos de tipo 1, Cloud DNS usa una ruta de subred para acceder al destino en la red de VPC autorizada para usar la zona de reenvío. Para los objetivos de nombre de tipo 2, Cloud DNS usa rutas estáticas o dinámicas personalizadas, excepto las rutas estáticas etiquetadas, para acceder al destino de reenvío.
  • Ruta de retorno a 35.199.192.0/19 a través de la misma red de VPC: En el caso de los destinos de tipo 1, Google Cloud agrega de forma automática una ruta de retorno especial para el destino 35.199.192.0/19. En el caso de los destinos de tipo 2, tu red local debe tener una ruta para el destino 35.199.192.0/19, cuyo siguiente salto se encuentra en la misma red de VPC y región en la que se originó la solicitud, a través de un túnel VPN de Cloud o un adjunto de Cloud Interconnect (VLAN). Si deseas obtener información sobre cómo cumplir con este requisito, consulta las estrategias para la ruta de retorno de los objetivos de tipo 2.

  • Respuesta directa desde el destino: Cloud DNS requiere que el destino de reenvío que recibe paquetes sea el que envía respuestas a 35.199.192.0/19. Si tu destino de reenvío envía la solicitud a un servidor de nombres diferente, y este servidor de nombres diferente responde a 35.199.192.0/19, Cloud DNS ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de la respuesta de DNS de cada servidor de nombres de destino coincida con la dirección IP del destino de reenvío.

Muestra estrategias de ruta para objetivos de tipo 2

Cloud DNS no puede enviar respuestas desde objetivos de reenvío de tipo 2 por Internet, a través de una red de VPC diferente o a una región diferente (incluso si está en la misma red de VPC). Las respuestas deben mostrar la misma región y red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o un adjunto de Cloud Interconnect (VLAN) en esa misma región y red.

  • En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea 35.199.192.0/19 y cuyo siguiente salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.
  • Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configurar un anuncio de ruta personalizado de 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de interconexión (VLAN).

Objetivos de tipo 3

Cuando Cloud DNS accede a una dirección IP que no es RFC 1918 mediante el enrutamiento estándar, espera que el destino de reenvío sea de acceso público.

Objetivos de tipo 4

Cuando Cloud DNS accede a una dirección IP que no es RFC 1918 de una VM en una red de VPC diferente, espera que el destino de reenvío sea de acceso público. Las políticas o las zonas de reenvío con destinos de tipo 4 deben usar el enrutamiento predeterminado. No se admite el enrutamiento privado a destinos de tipo 4.

Próximos pasos