ゾーンを管理する

このページでは、Cloud DNS のマネージド ゾーンの作成、更新、一覧表示、削除について説明します。このページを使用する前に、Cloud DNS の概要主な用語を理解しておいてください。

始める前に

Cloud DNS API を使用するには、Cloud DNS プロジェクトを作成して、Cloud DNS API を有効にする必要があります。

REST API を使用するアプリケーションを作成する場合は、OAuth 2.0 クライアント ID も作成する必要があります。

  1. Google アカウントをまだお持ちでない場合は、Google アカウントを登録します。
  2. Cloud Console で Cloud DNS API を有効にします。既存の Compute Engine または App Engine プロジェクトを選択するか、新しいプロジェクトを作成できます。
  3. REST API にリクエストを行う必要がある場合は、OAuth 2.0 の ID を作成する必要があります。 OAuth 2.0 を設定
  4. プロジェクトの次の情報をメモします。この情報は、後の手順で入力する必要があります。
    • クライアント ID(xxxxxx.apps.googleusercontent.com)。
    • 使用するプロジェクト ID。この ID は、Cloud Console の [概要] ページの上部に表示されます。また、ユーザーがアプリで使用するプロジェクト名を入力するように設定することも可能です。

gcloud コマンドライン ツールをまだ実行していない場合は、プロジェクト名を指定して次のコマンドを実行し、Cloud Console で認証を行う必要があります。

gcloud auth login

別のプロジェクトの Google Cloud リソースに対して gcloud コマンドを実行する場合は、このページ全体を通して、このコマンドと他の gcloud コマンドに対して --project オプションを指定します。

マネージド ゾーンを作成する

作成する各マネージド ゾーンは、Google Cloud プロジェクトに関連付けられています。次に示す各セクションでは、Cloud DNS がサポートするマネージド ゾーンのタイプを作成する方法について説明します。

一般公開ゾーンを作成する

新しいマネージド ゾーンを作成するには、次の手順を行います。

Console

  1. Cloud Console で、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [公開] を選択します。

  3. ゾーン名(例: my-new-zone)を入力します。

  4. 所有しているドメイン名を使用して、ゾーンの DNS 名のサフィックスを入力します。ゾーン内のすべてのレコードがこのサフィックスを共有します(example.com など)。

  5. [DNSSEC] で、[オフ]、[オン]、または [転送] を選択します。詳細については、マネージド ゾーンの DNSSEC の有効化をご覧ください。

  6. [作成] をクリックします。[ゾーンの詳細] ページが表示されます。

gcloud

dns managed-zones create コマンドを実行します。

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --labels=LABELS \
    --visibility=public

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_SUFFIX: ゾーンの DNS サフィックス(例: example.com
  • LABELS: dept=marketingproject=project1 などの Key-Value ペアのカンマ区切りリスト。詳しくは、SDK のドキュメントをご覧ください。

API

managedZones.create メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{
  "name": "NAME",
  "description": "DESCRIPTION",
  "dnsName": "DNS_NAME",
  "visibility": "public"
}

次のように置き換えます。

  • PROJECT_ID: マネージド ゾーンが作成されるプロジェクトの ID
  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_NAME: ゾーンの DNS サフィックス(例: example.com

限定公開ゾーンを作成する

Cloud DNS が管理するプライベート DNS レコードを持つ新しい限定公開マネージド ゾーンを作成するには、次の手順を実行します。詳しくは、Cloud DNS 限定公開ゾーンのベスト プラクティスをご覧ください。

Console

  1. Cloud Console で、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [非公開] を選択します。

  3. ゾーン名(例: my-new-zone)を入力します。

  4. 限定公開ゾーンの DNS 名のサフィックスを入力します。ゾーン内のすべてのレコードがこのサフィックスを共有します(example.private など)。

  5. (省略可)説明を追加します。

  6. [オプション] で、[デフォルト(限定公開)] を選択します。

  7. 非公開ゾーンを表示する Virtual Private Cloud(VPC)ネットワークを選択します。選択した VPC ネットワークのみが、ゾーン内のレコードを照会できます。

  8. [作成] をクリックします。

gcloud

dns managed-zones create コマンドを実行します。

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --labels=LABELS \
    --visibility=private

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_SUFFIX: ゾーンの DNS サフィックス(例: example.private
  • VPC_NETWORK_LIST: ゾーンに対するクエリ実行が許可されている VPC ネットワークのカンマ区切りのリスト。
  • LABELS: dept=marketingproject=project1 などの Key-Value ペアのカンマ区切りリスト。詳しくは、SDK のドキュメントをご覧ください。

API

managedZones.create メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

"name": "NAME",
"description": "DESCRIPTION",
"dnsName": "DNS_NAME",
"visibility": "private"
"privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "networks": [{
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": VPC_NETWORK_1
        },
        {
            "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
            "networkUrl": VPC_NETWORK_2
        },
        ....
    ]
}

次のように置き換えます。

  • PROJECT_ID: マネージド ゾーンが作成されるプロジェクトの ID
  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_NAME: ゾーンの DNS サフィックス(例: example.private
  • VPC_NETWORK_1VPC_NETWORK_2: 同じプロジェクト内の VPC ネットワークの URL。このゾーンのレコードに対してクエリを実行できます。上記に示すように、複数の VPC ネットワークを追加できます。VPC ネットワークの URL を確認するには、次の gcloud コマンドを使用します。VPC_NETWORK_NAME はネットワーク名に置き換えます。

    gcloud compute networks describe VPC_NETWORK_NAME \
     --format="get(selfLink)"
    

Service Directory の DNS ゾーンを作成する

Google Cloud ベースのサービスが DNS を介して Service Directory の名前空間に対してクエリを実行できるようにする Service Directory ゾーンを作成できます。

Service Directory DNS ゾーンの作成方法の詳細については、Service Directory DNS ゾーンの構成をご覧ください。

DNS を使用して Service Directory のクエリを行う方法については、DNS を使用したクエリをご覧ください。

マネージド逆引き参照の限定公開ゾーンを作成する

マネージド逆引き参照ゾーンは特別な属性を持つ限定公開ゾーンです。この属性により、Cloud DNS は、Compute Engine の DNS データに対して PTR 参照を実行します。仮想マシン(VM)インスタンスの RFC 1918 以外の PTR レコードを正しく解決するには、Cloud DNS にマネージド逆引き参照ゾーンを設定する必要があります。

新しいマネージド逆引き参照ゾーンを作成するには、次の手順を行います。

Console

  1. Cloud Console で、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [非公開] を選択します。

  3. ゾーン名(例: my-new-zone)を入力します。

  4. ゾーンの DNS 名のサフィックスを入力します。サフィックスは、逆引きゾーンにするために、in-addr.arpa で終わる必要があります。この DNS 名は、Cloud DNS を介して解決しようとしている RFC 1918 以外の PTR レコードの逆引き名と一致している必要があります。たとえば、20.20.1.2 の PTR レコードを照合する場合、DNS 名が 2.1.20.20.in-addr.arpa の逆引き参照ゾーンを作成する必要があります。

  5. (省略可)説明を追加します。

  6. [オプション] で、[マネージド逆引きゾーン] を選択します。

  7. 限定公開ゾーンが表示されるネットワークを選択します。

  8. [作成] をクリックします。

gcloud

dns managed-zones create コマンドを実行します。

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --visibility=private \
    --managed-reverse-lookup=true

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_SUFFIX: .in-addr.arpa で終わる逆引きゾーンの DNS サフィックス。通常、逆引きゾーンは ${ip_block_in_reverse}.in-addr.arpa の形式になります。
  • VPC_NETWORK_LIST: PTR レコードが解決する Google Cloud リソースを含む VPC ネットワークのカンマ区切りのリスト。

転送ゾーンを作成する

新しい限定公開マネージド ゾーンを作成するには、次の手順を行います。

始める前に、次の内容を理解しておいてください。

Console

  1. Cloud Console で、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [非公開] を選択します。

  3. ゾーン名(例: my-new-zone)を入力します。

  4. 限定公開ゾーンの DNS 名のサフィックスを入力します。ゾーン内のすべてのレコードがこのサフィックスを共有します。例: example.private

  5. (省略可)説明を追加します。

  6. [オプション] で、[クエリを別のサーバーに転送する] を選択します。

  7. 限定公開ゾーンが表示されるネットワークを選択します。

  8. 転送先の IPv4 アドレスを追加するには、[項目を追加] をクリックします。複数の IP アドレスを追加できます。

  9. 転送先へのプライベート ルーティングを強制するには、[プライベート転送] で [有効にする] チェックボックスをオンにします。

  10. [作成] をクリックします。

gcloud

dns managed-zones create コマンドを実行します。

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_SUFFIX: ゾーンの DNS サフィックス(例: example.private
  • VPC_NETWORK_LIST: ゾーンに対するクエリ実行が許可されている VPC ネットワークのカンマ区切りのリスト。
  • FORWARDING_TARGETS_LIST: クエリの送信先となる IP アドレスのカンマ区切りのリスト。このフラグで指定する RFC 1918 IP アドレスは、VPC ネットワーク、または Cloud VPN や Cloud Interconnect を使用して Google Cloud に接続されたオンプレミス ネットワークに配置する必要があります。このフラグで指定する RFC 1918 以外の IP アドレスは、インターネットにアクセスできる必要があります。
  • PRIVATE_FORWARDING_TARGETS_LIST: クエリの送信先となる IP アドレスのカンマ区切りのリスト。このフラグで指定する IP アドレスは、VPC ネットワークに配置されているか、Cloud VPN または Cloud Interconnect を使用して Google Cloud に接続されたオンプレミス ネットワークに配置されている必要があります。

API

managedZones.create メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

次のように置き換えます。

  • PROJECT_ID: マネージド ゾーンが作成されるプロジェクトの ID
  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • DNS_NAME: ゾーンの DNS サフィックス(例: example.private
  • VPC_NETWORK_1VPC_NETWORK_2: 同じプロジェクト内の VPC ネットワークの URL。このゾーンのレコードに対してクエリを実行できます。上記に示すように、複数の VPC ネットワークを追加できます。VPC ネットワークの URL を確認するには、次の gcloud コマンドでネットワークを記述し、VPC_NETWORK_NAME はネットワークの名前に置き換えます。
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1FORWARDING_TARGET_2: 転送先ネームサーバーの IP アドレス。上記に示すように、複数の転送先を追加できます。ここで指定する RFC 1918 IP アドレスは、VPC ネットワークに配置されているか、Cloud VPN または Cloud Interconnect を使用して Google Cloud に接続されたオンプレミス ネットワークに配置されている必要があります。このフラグで指定する RFC 1918 以外の IP アドレスは、インターネットにアクセスできる必要があります。

ピアリング ゾーンを作成する

1 つの VPC ネットワーク(コンシューマ ネットワーク)がないと別の VPC ネットワーク(プロデューサー ネットワーク)の VPC 名前解決順序を照会できない場合は、新規にマネージド ピアリング ゾーンを作成します。重要な背景情報については、DNS ピアリングをご覧ください。

Console

  1. Cloud Console で、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [非公開] を選択します。

  3. ゾーン名(例: my-new-zone)を入力します。

  4. 限定公開ゾーンの DNS 名のサフィックスを入力します。ゾーン内のすべてのレコードがこのサフィックスを共有します(example.private など)。

  5. (省略可)説明を追加します。

  6. 限定公開ゾーンが表示されるネットワークを選択します。

  7. [DNS ピアリング] で、[Enable DNS peering] チェックボックスをオンにします。

  8. [ピアリング プロジェクト] で、ピアリング プロジェクトを選択します。

  9. [ピアリング ネットワーク] で、ピアリング ネットワークを選択します。

  10. [作成] をクリックします。

gcloud

  1. コンシューマ VPC ネットワークが含まれているプロジェクトで、サービス アカウントを作成または特定します。

  2. プロデューサー VPC ネットワークが含まれているプロジェクトで、サービス アカウント(前のステップで特定または作成したもの)に DNS ピアのロールを付与します。

    gcloud projects add-iam-policy-binding PRODUCER_PROJECT_ID \
       --member=SERVICE_ACCOUNT \
       --role=roles/dns.peer
    

    次のように置き換えます。

    • PRODUCER_PROJECT_ID: プロデューサー VPC ネットワークを含むプロジェクトの ID
    • SERVICE_ACCOUNT: 手順 1 で特定または作成されたコンシューマ VPC ネットワークを含むプロジェクトのサービス アカウント
  3. コンシューマ VPC ネットワークを含むプロジェクトで、サービス アカウントに DNS 管理者ロールを付与し、dns managed-zones create コマンドを実行して新規にマネージド プライベート ピアリング ゾーンを作成します。

    gcloud dns managed-zones create NAME \
      --description=DESCRIPTION \
      --dns-name=DNS_SUFFIX \
      --networks=CONSUMER_VPC_NETWORK \
      --account=SERVICE_ACCOUNT \
      --target-network=PRODUCER_VPC_NETWORK \
      --target-project=PRODUCER_PROJECT_ID \
      --visibility=private
    

    次のように置き換えます。

    • NAME: ゾーンの名前
    • DESCRIPTION: ゾーンの説明
    • DNS_SUFFIX: ゾーンの DNS サフィックス(例: example.com
    • CONSUMER_VPC_NETWORK: コンシューマ VPC ネットワークの名前
    • SERVICE_ACCOUNT: 手順 1 で特定されたコンシューマ VPC ネットワークを含むプロジェクト内のサービス アカウント。
    • PRODUCER_VPC_NETWORK: プロデューサー VPC ネットワークの名前
    • PRODUCER_PROJECT_ID: プロデューサー VPC ネットワークを含むプロジェクトの ID

プロジェクト間のバインディング ゾーンを作成する

同じ組織内の別のプロジェクトが所有するネットワークにバインド可能なマネージド限定公開ゾーンを作成します。バックグラウンド情報と手順については、プロジェクト間のバインディング ゾーンをご覧ください。

マネージド ゾーンを更新する

Cloud DNS では、マネージド一般公開ゾーンまたはマネージド限定公開ゾーンの特定の属性を変更できます。

一般公開ゾーンを更新する

一般公開ゾーンの説明または DNSSEC 構成を変更できます。

Console

  1. Cloud Console で、Cloud DNS の [ゾーン] ページに移動します。

    Cloud DNS の [ゾーン] に移動

  2. 更新する一般公開ゾーンをクリックします。

  3. [ 編集] をクリックします。

  4. DNSSEC の設定を変更するには、[DNSSEC] で、[オフ]、[オン]、または [転送] を選択します。詳細については、マネージド ゾーンの DNSSEC の有効化をご覧ください。

  5. (省略可)説明を更新します。

  6. [保存] をクリックします。

gcloud

dns managed-zones update コマンドを実行します。

gcloud dns managed-zones update NAME \
    --description=DESCRIPTION \
    --dnssec-state=STATE

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • STATE: DNSSEC の設定(OffOn、または Transfer

限定公開ゾーンが表示される VPC ネットワークを変更するには:

Console

  1. Cloud Console で、Cloud DNS の [ゾーン] ページに移動します。

    Cloud DNS の [ゾーン] に移動

  2. 更新する限定公開ゾーンをクリックします。

  3. [ 編集] をクリックします。

  4. 限定公開ゾーンが表示される VPC ネットワークを選択します。選択した VPC ネットワークのみがゾーン内のレコードを照会できます。

  5. [保存] をクリックします。

gcloud

dns managed-zones update コマンドを実行します。

gcloud dns managed-zones update NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST

次のように置き換えます。

  • NAME: ゾーンの名前
  • DESCRIPTION: ゾーンの説明
  • VPC_NETWORK_LIST: ゾーンに対するクエリ実行が許可されている VPC ネットワークのカンマ区切りのリスト。

ラベルの更新

マネージド ゾーンで、新しいラベルの追加、既存のラベルの変更、選択したラベルの削除、またはすべてのラベルの消去を行うには、次の手順を行います。

gcloud

dns managed-zones update コマンドを実行します。

gcloud dns managed-zones update NAME \
    --update-labels=LABELS
gcloud dns managed-zones update NAME \
    --remove-labels=LABELS
gcloud dns managed-zones update NAME \
    --clear-labels

次のように置き換えます。

  • NAME: ゾーンの名前
  • LABELS: dept=marketingproject=project1 などの Key-Value ペアのカンマ区切りリスト。詳しくは、SDK のドキュメントをご覧ください。

マネージド ゾーンの一覧表示と説明

以下のセクションでは、マネージド ゾーンを一覧表示または詳細表示する方法を説明します。

マネージド ゾーンを一覧表示する

プロジェクト内のすべてのマネージド ゾーンを一覧表示するには、次の手順を行います。

Console

  1. Cloud Console で、Cloud DNS の [ゾーン] ページに移動します。

    Cloud DNS の [ゾーン] に移動

  2. 右側のペインにマネージド ゾーンを表示します。

gcloud

dns managed-zones list コマンドを実行します。

gcloud dns managed-zones list

すべてのマネージド ゾーンを一覧表示するには、次のようにコマンドを変更します。

gcloud dns managed-zones list \
   --filter="visibility=public"

すべての限定公開マネージド ゾーンを一覧表示するには、次のようにコマンドを変更します。

gcloud dns managed-zones list \
   --filter="visibility=private"

マネージド ゾーンを記述する

マネージド ゾーンの属性を表示するには、次の手順を行います。

Console

  1. Cloud Console で、Cloud DNS の [ゾーン] ページに移動します。

    Cloud DNS の [ゾーン] に移動

  2. 検査するゾーンをクリックします。

gcloud

dns managed-zones describe コマンドを実行します。

gcloud dns managed-zones describe NAME

NAME は使用するゾーンの名前に置き換えます。

マネージド ゾーンを削除する

マネージド ゾーンを削除する方法は次のとおりです。

Console

  1. Cloud Console で、Cloud DNS の [ゾーン] ページに移動します。

    Cloud DNS の [ゾーン] に移動

  2. 削除するマネージド ゾーンをクリックします。

  3. SOA レコードと NS レコードを除く、ゾーン内のすべてのレコードを削除します。詳細については、レコードの削除をご覧ください。

  4. [ゾーンを削除] をクリックします。

gcloud

  1. SOA レコードと NS レコードを除く、ゾーン内のすべてのレコードを削除します。詳細については、レコードの削除をご覧ください。ゾーン全体をすばやく空にするには、空のファイルをレコードセットにインポートします。詳しくは、レコードセットのインポートとエクスポートをご覧ください。次に例を示します。

    touch empty-file
    gcloud dns record-sets import -z NAME \
       --delete-all-existing \
       empty-file
    rm empty-file
    

    NAME は使用するゾーンの名前に置き換えます。

  2. 新しい限定公開マネージド ゾーンを削除するには、dns managed-zones delete コマンドを実行します。

    gcloud dns managed-zones delete NAME
    

    NAME は使用するゾーンの名前に置き換えます。

転送先ネットワーク要件

Cloud DNS は、転送先にリクエストを送信するときに、次の表に示したソース範囲のパケットを送信します。さまざまな転送先のタイプの詳細については、転送先とルーティング方法をご覧ください。

転送先のタイプ ソース範囲

タイプ 1 の転送先

Google Cloud VM の内部 IP アドレス、または転送ゾーンの使用が許可されている、同じ VPC ネットワーク内の内部 TCP/UDP ロードバランサ

タイプ 2 の転送先

Cloud VPN または Cloud Interconnect を使用して、転送ゾーンの使用が承認された VPC ネットワークに接続されている、オンプレミス システムの IP アドレス。

35.199.192.0/19

Cloud DNS は、すべてのお客様に 35.199.192.0/19 ソース範囲を使用します。この範囲には、Google Cloud VPC ネットワーク、または VPC ネットワークに接続されたオンプレミス ネットワークからのみアクセスできます。

タイプ 3 の転送先

インターネットからアクセス可能な DNS ネームサーバーの外部 IP アドレスまたは Google Cloud リソースの外部 IP アドレス(別の VPC ネットワークにある VM の外部 IP アドレスなど)。

Google Public DNS ソース範囲

タイプ 1 とタイプ 2 の転送先

Cloud DNS がタイプ 1 またはタイプ 2 の転送先にアクセスするには、次のものが必要です。これらの要件は、転送先が RFC 1918 の IP アドレスで標準ルーティングを使用していても、またはプライベート ルーティングを選択している場合でも変わりません。

  • 35.199.192.0/19 に対するファイアウォール構成

    タイプ 1 の転送先の場合、TCP と UDP のポート 53 トラフィック用に上り(内向き)許可のファイアウォール ルールを作成し、承認済みの各 VPC ネットワーク内の転送先に適用します。タイプ 2 の転送先では、オンプレミス ネットワークのファイアウォールや同様の機器を構成して、TCP と UDP のポート 53 を許可します。

  • 転送先へのルート

    タイプ 1 の転送先の場合、Cloud DNS はサブネット ルートを使用して、転送ゾーンの使用が承認された VPC ネットワーク内の転送先にアクセスします。タイプ 2 の名前の転送先の場合、Cloud DNS は、カスタム動的ルートまたはカスタム静的ルート(タグ付けされた静的ルートを除く)を使用して、転送先にアクセスします。

  • 同じ VPC ネットワーク経由する 35.199.192.0/19 への戻りルート

    タイプ 1 の転送先の場合、Google Cloud により、35.199.192.0/19 の宛先への特別な戻りルートが自動的に追加されます。タイプ 2 の転送先の場合、オンプレミス ネットワークには、35.199.192.0/19 の宛先への Cloud VPN トンネルか Cloud Interconnect の VLAN アタッチメント経由のルートが必要です。このルートのネクストホップは、リクエストの送信元と同じ VPC ネットワーク内にあります。この要件を満たす方法については、タイプ 2 の転送先の戻りルート戦略をご覧ください。

  • 転送先からの直接レスポンス

    Cloud DNS では、パケットを受信する転送先が、35.199.192.0/19 にレスポンスを送信する必要があります。転送先が別のネームサーバーにリクエストを送信し、その他のネームサーバーが 35.199.192.0/19 に応答した場合、Cloud DNS はそのレスポンスを無視します。セキュリティ上の理由から、Google Cloud では、各転送先ネームサーバーの DNS 応答の送信元アドレスが、転送先の IP アドレスと一致することが必要です。

タイプ 2 の転送先への戻りルート戦略

Cloud DNS は、タイプ 2 の転送先からのレスポンスをインターネットや別の VPC ネットワークを経由して送信することはできません。レスポンスは、同じネットワーク内で Cloud VPN トンネルや VLAN アタッチメントを使用できる場合でも、同じ VPC ネットワークに返す必要があります

  • 静的ルーティングを使用する Cloud VPN トンネルの場合は、オンプレミス ネットワーク内に、宛先が 35.199.192.0/19 でネクストホップが Cloud VPN トンネルであるルートを手動で作成します。ポリシーベースのルーティングを使用する Cloud VPN トンネルの場合は、35.199.192.0/19 を含めるように、オンプレミスの VPN ゲートウェイのリモート トラフィック セレクタと Cloud VPN のローカル トラフィック セレクタを構成します。
  • 動的ルーティングを使用する Cloud VPN トンネルまたは Cloud Interconnect の場合は、トンネルまたは相互接続のアタッチメント(VLAN)を管理する Cloud Router の BGP セッションの 35.199.192.0/19カスタムルート アドバタイズを構成します。

タイプ 3 の転送先

Cloud DNS が標準ルーティングを使用して外部 IP アドレスにアクセスする場合、転送先は、インターネット上のシステム、一般公開アプリ、または Google Cloud リソースの外部 IP アドレスのいずれかであるとみなされます。

たとえば、タイプ 3 の転送先には、別の VPC ネットワーク内にある VM の外部 IP アドレスが含まれます。

タイプ 3 の転送先への限定公開ルーティングはサポートされていません。

次のステップ