Gérer les zones

Cette page explique comment créer, mettre à jour, répertorier et supprimer des zones gérées Cloud DNS. Avant d'utiliser cette page, familiarisez-vous avec la présentation de Cloud DNS et les termes clés.

Avant de commencer

L'API Cloud DNS requiert la création d'un projet Cloud DNS et l'activation de l'API Cloud DNS.

Si vous créez une application qui utilise l'API REST, vous devez également créer un ID client OAuth 2.0.

Si vous n'en possédez pas déjà un, vous devez créer un compte Google.
Activez l'API Cloud DNS dans Cloud Console. Vous pouvez sélectionner un projet Compute Engine ou App Engine existant, ou en créer un.
Si vous devez envoyer des requêtes à l'API REST, vous devez créer un ID OAuth 2.0 : Configurer OAuth 2.0.
Dans le projet, notez les informations suivantes que vous devrez saisir aux prochaines étapes :
- L'ID client (xxxxxx.apps.googleusercontent.com).
- L'ID du projet que vous souhaitez utiliser. L'ID se trouve en haut de la page Présentation dans Cloud Console. Vous pouvez également demander aux utilisateurs d'indiquer le nom du projet qu'ils souhaitent utiliser dans votre application.

Si vous n'avez pas encore utilisé l'outil de ligne de commande gcloud, vous devez exécuter la commande suivante pour spécifier le nom du projet et vous authentifier dans Cloud Console :

gcloud auth login

Si vous souhaitez exécuter une commande gcloud sur les ressources Google Cloud d'un autre projet, spécifiez l'option --project pour cette commande et pour les autres commandes gcloud de cette page.

Créer des zones gérées

Chaque zone gérée que vous créez est associée à un projet Google Cloud. Dans les sections suivantes, nous allons voir comment créer le type de zone gérée compatible avec Cloud DNS.

Créer une zone publique

Pour créer une zone gérée, procédez comme suit :

Console

Dans Cloud Console, accédez à la page Créer une zone DNS.

Accéder à la page "Créer une zone DNS"
Dans le champ Type de zone, sélectionnez Publique.
Saisissez un Nom de zone, tel que my-new-zone.
Saisissez un suffixe de Nom DNS pour la zone à l'aide d'un nom de domaine vous appartenant. Tous les enregistrements de la zone partagent ce suffixe, par exemple : example.com.
Dans le champ DNSSEC, sélectionnez Désactivé, Activé ou Transfer. Pour en savoir plus, consultez la page Activer DNSSEC pour les zones gérées existantes.
Cliquez sur Create (Créer). La page Détails de la zone s'affiche.

gcloud

Exécutez la commande dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --labels=LABELS \
    --visibility=public

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_SUFFIX : suffixe DNS de votre zone, tel que example.com
LABELS : liste facultative de paires clé/valeur séparées par une virgule, telle que dept=marketing ou project=project1. Pour en savoir plus, consultez la documentation du SDK.

API

Envoyez une requête POST à l'aide de la méthode managedZones.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{
  "name": "NAME",
  "description": "DESCRIPTION",
  "dnsName": "DNS_NAME",
  "visibility": "public"
}

Remplacez l'élément suivant :

PROJECT_ID : ID du projet dans lequel la zone gérée est créée
NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_NAME : suffixe DNS de votre zone, tel que example.com

Créer une zone privée

Pour créer une zone gérée avec des enregistrements DNS privés gérés par Cloud DNS, procédez comme suit : Pour plus d'informations, consultez les Bonnes pratiques pour les zones privées Cloud DNS.

Console

Dans Cloud Console, accédez à la page Créer une zone DNS.

Accéder à la page "Créer une zone DNS"
Dans le champ Type de zone, sélectionnez Privé.
Saisissez un Nom de zone, tel que my-new-zone.
Saisissez un suffixe de Nom DNS pour la zone privée. Tous les enregistrements de la zone partagent ce suffixe, par exemple : example.private.
Facultatif : ajoutez une description.
Dans le champ Options, sélectionnez Par défaut (privé).
Sélectionnez les réseaux de cloud privé virtuel (VPC) sur lesquels la zone privée doit être visible. Seuls les réseaux VPC que vous sélectionnez sont autorisés à interroger des enregistrements dans la zone.
Cliquez sur Créer.

gcloud

Exécutez la commande dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --labels=LABELS \
    --visibility=private

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_SUFFIX : suffixe DNS de votre zone, tel que example.private
VPC_NETWORK_LIST : liste de réseaux VPC séparés par une virgule, autorisés à interroger la zone. Ces réseaux doivent appartenir au même projet que la zone.
LABELS : liste facultative de paires clé/valeur séparées par une virgule, telle que dept=marketing ou project=project1. Pour en savoir plus, consultez la documentation du SDK.

API

Envoyez une requête POST à l'aide de la méthode managedZones.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

"name": "NAME",
"description": "DESCRIPTION",
"dnsName": "DNS_NAME",
"visibility": "private"
"privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "networks": [{
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": VPC_NETWORK_1
        },
        {
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": VPC_NETWORK_2
        },
        ....
    ]
}

Remplacez l'élément suivant :

PROJECT_ID : ID du projet dans lequel la zone gérée est créée
NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_NAME : suffixe DNS de votre zone, tel que example.private
VPC_NETWORK_1 et VPC_NETWORK_2 : URL des réseaux VPC du même projet, pouvant interroger les enregistrements dans cette zone Vous pouvez ajouter plusieurs réseaux VPC, comme indiqué. Pour déterminer l'URL d'un réseau VPC, utilisez la commande gcloud suivante, en remplaçant VPC_NETWORK_NAME par le nom du réseau :
```
gcloud compute networks describe VPC_NETWORK_NAME \
 --format="get(selfLink)"
```

Créer une zone DNS dans l'annuaire des services

Vous pouvez créer une zone d'annuaire de service qui permet à vos services basés sur Google Cloud d'interroger votre espace de noms de l'annuaire des services via DNS.

Pour obtenir des instructions détaillées sur la création d'une zone DNS dans l'annuaire des services, consultez la section Configurer une zone DNS dans l'annuaire des services.

Pour savoir comment utiliser DNS pour interroger votre annuaire de services, consultez la page Interroger à l'aide de DNS.

Créer une zone privée de recherche inversée gérée

Une zone de recherche inversée gérée est une zone privée comportant un attribut spécial qui indique à Cloud DNS d'effectuer une recherche PTR sur les données DNS de Compute Engine. Dans Cloud DNS, vous devez configurer des zones de recherche inversées gérées afin de résoudre correctement les enregistrements PTR non-RFC 1918 pour vos instances de machine virtuelle.

Pour créer une zone de recherche inversée gérée, procédez comme suit :

Console

Dans Cloud Console, accédez à la page Créer une zone DNS.

Accéder à la page "Créer une zone DNS"
Dans le champ Type de zone, sélectionnez Privé.
Saisissez un Nom de zone, tel que my-new-zone.
Saisissez un suffixe de Nom DNS pour la zone. Le suffixe doit se terminer par in-addr.arpa pour être une zone inversée. Ce nom DNS doit correspondre au nom de recherche inversée des enregistrements PTR non-RFC 1918 que vous essayez de résoudre via Cloud DNS. Par exemple, si vous essayez de faire correspondre l'enregistrement PTR pour 20.20.1.2, vous devez créer une zone de recherche inversée avec le nom DNS de 2.1.20.20.in-addr.arpa.

Remarque : Cloud DNS accepte également la correspondance avec n'importe quelle zone enfant. Par exemple, si vous créez une zone de recherche inversée gérée avec le nom DNS 20.in-addr.arpa., cette zone correspond à n'importe quelle adresse appartenant au VPC 20. * . * . *.
Facultatif : ajoutez une description.
Sous Options, sélectionnez Zone de recherche inversée gérée.
Sélectionnez les réseaux pour lesquels la zone privée doit être visible.
Cliquez sur Créer.

gcloud

Exécutez la commande dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --visibility=private \
    --managed-reverse-lookup=true

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_SUFFIX : suffixe DNS de votre zone inversée et qui doit se terminer par .in-addr.arpa. Les zones inversées prennent généralement la forme ${ip_block_in_reverse}.in-addr.arpa.
VPC_NETWORK_LIST : liste de réseaux VPC séparés par des virgules contenant les ressources Google Cloud que les enregistrements PTR résolvent.

Créer une zone de transfert

Pour créer une zone de transfert privée gérée, procédez comme suit :

Avant de commencer, assurez-vous de bien comprendre les points suivants :

Les différences entre le routage standard et le routage privé, comme indiqué dans la section Cibles de transfert et méthodes de routage
La configuration réseau requise pour les cibles de transfert
Les bonnes pratiques d'utilisation des zones de transfert Cloud DNS

Console

Dans Cloud Console, accédez à la page Créer une zone DNS.

Accéder à la page "Créer une zone DNS"
Dans le champ Type de zone, sélectionnez Privé.
Saisissez un Nom de zone, tel que my-new-zone.
Saisissez un suffixe de Nom DNS pour la zone privée. Tous les enregistrements de la zone partagent ce suffixe. Exemple :example.private
Facultatif : ajoutez une description.
Sous Options, sélectionnez Transférer les requêtes vers un autre serveur.
Sélectionnez les réseaux pour lesquels la zone privée doit être visible.
Pour ajouter les adresses IPv4 d'une cible de transfert, cliquez sur Ajouter un élément. Vous pouvez ajouter plusieurs adresses IP.
Pour forcer le routage privé vers la cible de transfert, sous Transfert privé, cochez la case Activer.
Cliquez sur Créer.

gcloud

Exécutez la commande dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_SUFFIX : suffixe DNS de votre zone, tel que example.private
VPC_NETWORK_LIST : liste de réseaux VPC séparés par une virgule, autorisés à interroger la zone. Ces réseaux doivent appartenir au même projet que la zone.
FORWARDING_TARGETS_LIST : liste d'adresses IP auxquelles les requêtes sont envoyées, séparées par une virgule. Les adresses IP RFC 1918 spécifiées avec cette option doivent être situées sur votre réseau VPC ou sur un réseau sur site connecté à Google Cloud via Cloud VPN ou Cloud Interconnect. Les adresses IP non-RFC 1918 spécifiées avec cette option doivent être accessibles via Internet.
PRIVATE_FORWARDING_TARGETS_LIST : liste d'adresses IP auxquelles les requêtes sont envoyées, séparées par une virgule. Toute adresse IP spécifiée avec cette option doit être située dans votre réseau VPC ou dans un réseau sur site connecté à Google Cloud à l'aide de Cloud VPN ou Cloud Interconnect.

API

Envoyez une requête POST à l'aide de la méthode managedZones.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Remplacez l'élément suivant :

PROJECT_ID : ID du projet dans lequel la zone gérée est créée
NAME : nom de votre zone
DESCRIPTION : description de votre zone
DNS_NAME : suffixe DNS de votre zone, tel que example.private
VPC_NETWORK_1 et VPC_NETWORK_2 : URL des réseaux VPC du même projet, pouvant interroger les enregistrements dans cette zone. Vous pouvez ajouter plusieurs réseaux VPC, comme indiqué. Pour déterminer l'URL d'un réseau VPC, décrivez le réseau avec la commande gcloud suivante, en remplaçant VPC_NETWORK_NAME par le nom du réseau :
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 et FORWARDING_TARGET_2 : adresses IP des serveurs de noms des cibles de transfert Vous pouvez ajouter plusieurs cibles de transfert, comme indiqué. Les adresses IP RFC 1918 spécifiées ici doivent être situées dans votre réseau VPC ou dans un réseau sur site connecté à Google Cloud via Cloud VPN ou Cloud Interconnect. Les adresses IP non-RFC 1918 spécifiées avec cette option doivent être accessibles via Internet.

Créer une zone d'appairage

Créez une zone d'appairage privée gérée lorsque vous avez besoin d'un réseau VPC (leréseau consommateur) pour interroger l'ordre de résolution des noms VPC d'un autre réseau VPC (réseau producteur). Pour obtenir des informations de référence importantes, consultez la section Appairage DNS.

Console

Dans Cloud Console, accédez à la page Créer une zone DNS.

Accéder à la page "Créer une zone DNS"
Dans le champ Type de zone, sélectionnez Privé.
Saisissez un Nom de zone, tel que my-new-zone.
Saisissez un suffixe de Nom DNS pour la zone privée. Tous les enregistrements de la zone partagent ce suffixe, par exemple : example.private.
Facultatif : ajoutez une description.
Sélectionnez les réseaux pour lesquels la zone privée doit être visible.
Sous Appairage DNS, cochez la case Activer l'appairage DNS.
Sous Projet d'appairage, sélectionnez un projet d'appairage.
Sous Réseau de pairs, sélectionnez un réseau de pairs.
Cliquez sur Créer.

gcloud

Dans le projet contenant le réseau VPC consommateur, identifiez ou créez un compte de service.
Attribuez le rôle de Pair DNS au compte de service (étape précédente) dans le projet contenant le réseau VPC producteur.
```
gcloud projects add-iam-policy-binding PRODUCER_PROJECT_ID \
   --member=SERVICE_ACCOUNT \
   --role=roles/dns.peer
```
Remplacez l'élément suivant :
- PRODUCER_PROJECT_ID : ID du projet qui contient le réseau VPC
- SERVICE_ACCOUNT : compte de service du projet contenant le réseau VPC consommateur identifié ou créé à l'étape 1
Dans le projet contenant le réseau VPC consommateur, attribuez le rôle Administrateur DNS au compte de service et créez une zone d'appairage privée gérée en exécutant la commande dns managed-zones create :
```
gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=CONSUMER_VPC_NETWORK \
  --account=SERVICE_ACCOUNT \
  --target-network=PRODUCER_VPC_NETWORK \
  --target-project=PRODUCER_PROJECT_ID \
  --visibility=private
```
Remplacez l'élément suivant :
- NAME : nom de votre zone
- DESCRIPTION : description de votre zone
- DNS_SUFFIX : suffixe DNS de votre zone, tel que example.com
- CONSUMER_VPC_NETWORK : nom du réseau VPC consommateur
- SERVICE_ACCOUNT : compte de service du projet contenant le réseau VPC consommateur, identifié à l'étape 1
  Remarque : Si vous n'ajoutez pas le compte de service dans le projet qui contient le réseau VPC client, l'outil gcloud utilise le membre IAM actuellement actif, comme indiqué par gcloud auth list.
- PRODUCER_VPC_NETWORK : nom du réseau VPC producteur
- PRODUCER_PROJECT_ID : ID du projet qui contient le réseau VPC

Mettre à jour des zones gérées

Cloud DNS vous permet de modifier certains attributs de votre zone gérée publique ou privée.

Mettre à jour des zones publiques

Vous pouvez modifier la description ou la configuration DNSSEC d'une zone publique.

Console

Dans Cloud Console, accédez à la page Zones Cloud DNS.

Accéder à "Zones Cloud DNS"
Cliquez sur la zone publique que vous souhaitez mettre à jour.
Cliquez sur Modifier.
Pour modifier les paramètres DNSSEC, sous DNSSEC, sélectionnez Désactivé, Activé ou Transfert. Pour en savoir plus, consultez la page Activer DNSSEC pour les zones gérées existantes.

Remarque : Avant de désactiver DNSSEC pour une zone gérée que vous souhaitez toujours utiliser, vous devez désactiver DNSSEC pour la zone au niveau de votre service d'enregistrement de noms de domaine, afin de vous assurer que les résolveurs chargés de la validation DNSSEC seront toujours en mesure de résoudre les noms dans la zone. Pour plus d'informations, reportez-vous à la page Désactiver DNSSEC pour les zones gérées.
Facultatif : mettez à jour la description.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande dns managed-zones update :

gcloud dns managed-zones update NAME \
    --description=DESCRIPTION \
    --dnssec-state=STATE

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
STATE : paramètre DNSSEC tel que Off, On ou Transfer

Pour modifier les réseaux VPC pour lesquels une zone privée est visible :

Console

Dans Cloud Console, accédez à la page Zones Cloud DNS.

Accéder à "Zones Cloud DNS"
Cliquez sur la zone privée que vous souhaitez mettre à jour.
Cliquez sur Modifier.
Sélectionnez les réseaux pour lesquels la zone privée doit être visible. Seuls les réseaux VPC sélectionnés sont autorisés à interroger des enregistrements dans la zone.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande dns managed-zones update :

gcloud dns managed-zones update NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST

Remplacez l'élément suivant :

NAME : nom de votre zone
DESCRIPTION : description de votre zone
VPC_NETWORK_LIST : liste de réseaux VPC séparés par une virgule, autorisés à interroger la zone. Ces réseaux doivent appartenir au même projet que la zone.

Mettre à jour des libellés

Pour ajouter, modifier ou supprimer un libellé, ou supprimer tous les libellés d'une zone gérée, procédez comme suit :

gcloud

Exécutez la commande dns managed-zones update :

gcloud dns managed-zones update NAME \
    --update-labels=LABELS

gcloud dns managed-zones update NAME \
    --remove-labels=LABELS

gcloud dns managed-zones update NAME \
    --clear-labels

Remplacez l'élément suivant :

NAME : nom de votre zone
LABELS : liste facultative de paires clé/valeur séparées par une virgule, telle que dept=marketing ou project=project1. Pour en savoir plus, consultez la documentation du SDK.

Répertorier et décrire les zones gérées

Les sections suivantes expliquent comment répertorier ou décrire une zone gérée.

Répertorier les zones gérées

Pour répertorier toutes les zones gérées d'un projet, procédez comme suit :

Console

Dans Cloud Console, accédez à la page Zones Cloud DNS.

Accéder à "Zones Cloud DNS"
Affichez les zones gérées dans le volet de droite.

gcloud

Exécutez la commande dns managed-zones list :

gcloud dns managed-zones list

Pour répertorier toutes les zones gérées, modifiez la commande comme suit :

gcloud dns managed-zones list \
   --filter="visibility=public"

Pour répertorier toutes les zones privées gérées, modifiez la commande comme suit :

gcloud dns managed-zones list \
   --filter="visibility=private"

Décrire une zone gérée

Pour afficher les attributs d'une zone gérée, procédez comme suit :

Console

Dans Cloud Console, accédez à la page Zones Cloud DNS.

Accéder à "Zones Cloud DNS"
Cliquez sur la zone que vous souhaitez inspecter.

gcloud

Exécutez la commande dns managed-zones describe :

gcloud dns managed-zones describe NAME

Remplacez NAME par le nom de votre zone.

Supprimer une zone gérée

Pour supprimer une zone gérée, procédez comme suit :

Console

Dans Cloud Console, accédez à la page Zones Cloud DNS.

Accéder à "Zones Cloud DNS"
Cliquez sur la zone gérée que vous souhaitez supprimer.
Supprimez tous les enregistrements de la zone, à l'exception des enregistrements SOA et NS. Pour en savoir plus, consultez la section Supprimer un enregistrement.
Cliquez sur Supprimer la zone.

gcloud

Supprimez tous les enregistrements de la zone, à l'exception des enregistrements SOA et NS. Pour en savoir plus, consultez la section Supprimer un enregistrement. Vous pouvez rapidement vider une zone entière en important un fichier vide dans un jeu d'enregistrements. Pour en savoir plus, consultez la section Importer et exporter des jeux d'enregistrements. Exemple :
```
touch empty-file
gcloud dns record-sets import -z NAME \
   --delete-all-existing \
   empty-file
rm empty-file
```
Remplacez NAME par le nom de votre zone.
Pour supprimer une nouvelle zone gérée privée, exécutez la commande dns managed-zones delete :
```
gcloud dns managed-zones delete NAME
```
Remplacez NAME par le nom de votre zone.

Configuration requise pour le réseau cible de transfert

Lorsque Cloud DNS envoie des requêtes à des cibles de transfert, il envoie des paquets avec les plages sources répertoriées dans le tableau suivant. Pour en savoir plus sur les différents types de cibles, consultez la page Cibles de transfert et méthodes de routage.

Type de cible de transfert Plages sources

Type de cible de transfert	Plages sources
Cible de type 1 Une adresse IP interne d'une VM Google Cloud dans le même réseau VPC autorisé à utiliser la zone de transfert Cible de type 2 Une adresse IP d'un système sur site, connecté au réseau VPC autorisé à utiliser la zone de transfert, à l'aide de Cloud VPN ou Cloud Interconnect	`35.199.192.0/19` Cloud DNS utilise la plage source `35.199.192.0/19` pour tous les clients. Cette plage est seulement accessible à partir d'un réseau VPC Google Cloud ou d'un réseau sur site connecté à un réseau VPC.
Cible de type 3 Une adresse IP externe d'un serveur de noms DNS accessible à Internet ou l'adresse IP externe d'une ressource Google Cloud par exemple, l'adresse IP externe d'une VM d'un autre réseau VPC.	Plages sources du DNS public de Google

Cible de type 1

Une adresse IP interne d'une VM Google Cloud dans le même réseau VPC autorisé à utiliser la zone de transfert

Cible de type 2

Une adresse IP d'un système sur site, connecté au réseau VPC autorisé à utiliser la zone de transfert, à l'aide de Cloud VPN ou Cloud Interconnect

35.199.192.0/19

Cloud DNS utilise la plage source 35.199.192.0/19 pour tous les clients. Cette plage est seulement accessible à partir d'un réseau VPC Google Cloud ou d'un réseau sur site connecté à un réseau VPC.

Cible de type 3

Une adresse IP externe d'un serveur de noms DNS accessible à Internet ou l'adresse IP externe d'une ressource Google Cloud par exemple, l'adresse IP externe d'une VM d'un autre réseau VPC.

Plages sources du DNS public de Google

Cibles de types 1 et 2

Cloud DNS requiert les éléments suivants pour accéder à une cible de type 1 ou de type 2. Ces exigences sont identiques, que la cible soit une adresse IP RFC 1918 et que vous utilisiez le routage standard ou un routage privé :

Configuration du pare-feu pour 35.199.192.0/19

Pour les cibles de type 1, créez une règle de pare-feu autorisant le trafic entrant pour le port TCP et UDP 53, applicable à vos cibles de transfert dans chaque réseau VPC autorisé. Pour les cibles de type 2, configurez un pare-feu réseau sur site et un équipement similaire afin d'autoriser le port TCP et UDP 53.
Routage vers la cible de transfert

Pour les cibles de type 1, Cloud DNS utilise une route de sous-réseau pour accéder à la cible du réseau VPC autorisé à utiliser la zone de transfert. Pour les cibles de nom de type 2, Cloud DNS utilise des routes statiques ou dynamiques personnalisées, à l'exception des routes statiques avec tag, pour accéder à la cible de transfert.
Renvoi de la route à 35.199.192.0/19 via le même réseau VPC

Pour les cibles de type 1, Google Cloud ajoute automatiquement une route de retour spéciale pour la destination 35.199.192.0/19. Pour les cibles de type 2, votre réseau sur site doit disposer d'une route pour la destination 35.199.192.0/19, dont le saut suivant se trouve sur le même réseau VPC d'où provient la requête, via un tunnel Cloud VPN ou un rattachement de VLAN pour Cloud Interconnect. Pour savoir comment respecter cette exigence, consultez la section Stratégies de routage pour les cibles de type 2.
Réponse directe de la cible

Cloud DNS exige que la cible de transfert qui reçoit des paquets soit celle qui envoie des réponses à 35.199.192.0/19. Si votre cible de transfert envoie la requête à un autre serveur de noms et si cet autre serveur de noms répond à 35.199.192.0/19, Cloud DNS ignore la réponse. Pour des raisons de sécurité, Google Cloud s'attend à ce que l'adresse source de la réponse DNS de chaque serveur de noms cible corresponde à l'adresse IP de la cible de transfert.

Stratégies de routage des retours pour les cibles de type 2

Cloud DNS ne peut pas envoyer de réponses à partir de cibles de transfert de type 2 sur Internet ou via un autre réseau VPC. Les réponses doivent renvoyer au même réseau VPC, bien qu'elles puissent utiliser n'importe quel tunnel Cloud VPN ou rattachement de VLAN dans le même réseau.

Pour les tunnels Cloud VPN qui utilisent le routage statique, créez manuellement sur votre réseau sur site une route dont la destination est 35.199.192.0/19 et dont le saut suivant est le tunnel Cloud VPN. Pour les tunnels Cloud VPN utilisant le routage basé sur des règles, configurez le sélecteur de trafic local de Cloud VPN et le sélecteur de trafic distant de la passerelle VPN sur site de façon à inclure la plage d'adresses 35.199.192.0/19.
Pour les tunnels Cloud VPN utilisant le routage dynamique ou pour Cloud Interconnect, configurez une annonce de routage personnalisée pour 35.199.192.0/19 sur la session BGP du routeur cloud qui gère le tunnel ou le rattachement de VLAN.

Cibles de type 3

Lorsque Cloud DNS utilise le routage standard pour accéder à une adresse IP externe, il s'attend à ce que la cible de transfert soit un système sur Internet, accessible publiquement, ou une adresse IP externe d'une ressource Google Cloud.

Par exemple, une cible de type 3 inclut l'adresse IP externe d'une VM dans un autre réseau VPC.

Le routage privé vers les cibles de type 3 n'est pas disponible.

Étape suivante

Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
Pour configurer des règles de serveur Cloud DNS et les utiliser avec des réseaux VPC, consultez la page Appliquer des règles de serveur Cloud DNS.
Pour utiliser des IDN avec Cloud DNS, consultez la page Créer des zones avec des noms de domaine internationalisés.
Pour afficher un journal d'audit des opérations, consultez la page Visualiser les opérations effectuées sur des zones gérées.