Cloud DNS – Übersicht

Diese Seite bietet eine Übersicht über die Features und Leistungsmerkmale von Cloud DNS. Cloud DNS ist ein stabiler globaler DNS-Hochleistungsdienst (Domain Name System), der Ihre Domainnamen kostengünstig im globalen DNS veröffentlicht.

DNS ist eine hierarchische verteilte Datenbank, in der Sie IP-Adressen und anderen Daten und suchen Sie sie nach Namen. Mit Cloud DNS haben Sie die Möglichkeit, Ihre Zonen und Einträge im DNS zu veröffentlichen, ohne eigene DNS-Server und -Software verwalten zu müssen.

Cloud DNS bietet sowohl öffentliche Zonen als auch private verwaltete DNS-Zonen. Eine öffentliche Zone ist im öffentlichen Internet sichtbar, eine private Zone hingegen nur in einem oder mehreren von Ihnen festgelegten Virtual Private Cloud-Netzwerken (VPC). Ausführliche Informationen zu Zonen finden Sie unter DNS-Zonen – Übersicht.

Cloud DNS unterstützt IAM-Berechtigungen (Identity and Access Management) auf der Projekt- und DNS-Zonenebene. Informationen zur IAM-Berechtigungen für einzelne Ressourcen festlegen, siehe Zone erstellen mit spezifischem IAM Berechtigungen

Eine Liste der allgemeinen DNS-Terminologie finden Sie unter Allgemeine DNS-Übersicht.

Eine Liste der wichtigsten Begriffe für Cloud DNS finden Sie unter Wichtige Begriffe.

Eine Einführung in Cloud DNS finden Sie im Schnellstart.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von Cloud DNS in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Cloud DNS kostenlos testen

Überlegungen zu freigegebenen VPC-Netzwerken

Zur Verwendung einer von Cloud DNS verwalteten privaten Zone, einer Cloud DNS-Weiterleitungszone oder einer Cloud DNS-Peering-Zone mit freigegebener VPC müssen Sie die Zone im Hostprojekt erstellen. Fügen Sie dann der Liste der autorisierten Netzwerke für diese Zone ein oder mehrere freigegebene VPC-Netzwerke hinzu. Alternativ können Sie die Zone in einem Dienstprojekt mit projektübergreifender Bindung einrichten.

Weitere Informationen finden Sie unter Best Practices für private Cloud DNS-Zonen.

DNS-Weiterleitungsmethoden

Google Cloud bietet eingehende und ausgehende DNS-Weiterleitung für private Zonen. Sie können die DNS-Weiterleitung konfigurieren, indem Sie eine Weiterleitungszone oder eine Cloud DNS-Serverrichtlinie erstellen. Die beiden Methoden werden in der folgenden Tabelle zusammengefasst:

DNS-Weiterleitung Cloud DNS-Methoden
Eingehend

Erstellen Sie eine Richtlinie für eingehenden Server, damit ein lokaler DNS-Client oder -Server DNS-Anfragen an Cloud DNS senden kann. Der DNS-Client oder -Server kann dann Einträge gemäß der Reihenfolge der Namensauflösung eines VPC-Netzwerks auflösen.

Lokale Clients können Datensätze in privaten Zonen, Weiterleitungszonen und Peering-Zonen auflösen, für die das VPC-Netzwerk autorisiert wurde. Lokale Clients verwenden Cloud VPN oder Cloud Interconnect, um eine Verbindung zum VPC-Netzwerk herzustellen.

Ausgehend

Sie können VMs in einem VPC-Netzwerk so konfigurieren:

  • Senden Sie DNS-Anfragen an DNS-Nameserver Ihrer Wahl. Die Nameserver können sich im selben VPC-Netzwerk, in einem lokalen Netzwerk oder im Internet befinden.
  • Auflösen von Einträgen, die auf Nameservern gehostet werden, die als Weiterleitungsziele einer Weiterleitungszone konfiguriert sind. Das VPC-Netzwerk ist zur Verwendung dieser Zone autorisiert. Informationen dazu, wie Google Cloud Traffic an die IP-Adresse eines Weiterleitungsziels weiterleitet, finden Sie unter Weiterleitungsziele und Routingmethoden.
  • Erstellen Sie eine Richtlinie für ausgehenden Traffic für das VPC-Netzwerk, um alle DNS-Anfragen an einen alternativen Nameserver zu senden. Wenn Sie einen alternativen Nameserver verwenden, können VMs im VPC-Netzwerk keine Einträge mehr in privaten Cloud DNS-Zonen, Weiterleitungszonen oder Peering-Zonen auflösen. Weitere Informationen finden Sie unter Reihenfolge der Namensauflösung.

Sie können gleichzeitig die eingehende und die ausgehende Weiterleitung für ein VPC-Netzwerk konfigurieren. Durch die bidirektionale Weiterleitung können VMs im VPC-Netzwerk Einträge in einem lokalen Netzwerk oder in einem Netzwerk auflösen, das von einem anderen Cloud-Anbieter gehostet wird. Hosts im lokalen Netzwerk haben mit dieser Art der Weiterleitung außerdem die Möglichkeit, Einträge für Ihre Google Cloud-Ressourcen aufzulösen.

Die Cloud DNS-Steuerungsebene verwendet Reihenfolge für Weiterleitungsziel auswählen, um ein Weiterleitungsziel anzugeben. Ausgehende weitergeleitete Abfragen können manchmal zu SERVFAIL-Fehlern führen, wenn die Weiterleitungsziele nicht erreichbar sind oder nicht schnell genug reagieren. Eine Anleitung zur Fehlerbehebung finden Sie unter Ausgehende weitergeleitete Abfragen erhalten SERVFAIL-Fehler.

Informationen zum Anwenden von Serverrichtlinien finden Sie unter DNS-Serverrichtlinien erstellen. Informationen zum Erstellen einer Weiterleitungszone finden Sie unter Weiterleitungszone erstellen.

DNSSEC

Cloud DNS unterstützt verwaltetes DNSSEC und schützt Ihre Domains vor Spoofing- und Cache-Poisoning-Angriffen. Wenn Sie einen Überprüfungs-Resolver wie Google Public DNS verwenden, bietet DNSSEC eine starke Authentifizierung (jedoch keine Verschlüsselung) für die Domainsuche. Weitere Informationen zu DNSSEC finden Sie unter DNSSEC-Konfiguration verwalten.

Zugriffssteuerung

Sie können die Nutzer, die Änderungen an Ihren DNS-Einträgen vornehmen dürfen, auf der Seite IAM & Verwaltung in der Google Cloud Console verwalten. Damit Nutzer Änderungen vornehmen dürfen, benötigen sie die Berechtigung Rolle „DNS-Administrator“ (roles/dns.admin) in den Berechtigungen der Google Cloud Console. Die Rolle „DNS-Leser“ (roles/dns.reader) gewährt Lesezugriff auf die Cloud DNS-Einträge.

Diese Berechtigungen gelten außerdem für Dienstkonten, die Sie möglicherweise für die Verwaltung Ihrer DNS-Dienste verwenden.

Informationen zu den Berechtigungen, die diesen Rollen zugewiesen sind, finden Sie unter Rollen.

Zugriffssteuerung für verwaltete Zonen

Nutzer mit der Rolle „Projektbesitzer“ oder „Projektbearbeiter“ (roles/owner oder roles/editor) können die verwalteten Zonen in dem von ihnen verwalteten Projekt verwalten oder aufrufen.

Nutzer mit der Rolle „DNS-Administrator“ oder „DNS-Leser“ können die verwalteten Zonen in allen Projekten, auf die sie Zugriff haben, verwalten oder aufrufen.

Projektinhaber, Bearbeiter, DNS-Administratoren und Leser können die Liste der privaten Zonen ansehen, die auf ein VPC-Netzwerk im aktuellen Projekt angewendet werden.

Zugriff nach Ressourcenberechtigung

Zum Konfigurieren einer Richtlinie für eine DNS-Ressource, z. B. eine verwaltete Zone, müssen Sie Inhaberzugriff auf das Projekt, zu dem diese Ressource gehört. Die Rolle „DNS-Administrator“ hat nicht die Berechtigung setIamPolicy. Als Projektinhaber können Sie können Sie auch benutzerdefinierte IAM-Rollen erstellen. Für Weitere Informationen finden Sie unter Grundlegendes zu benutzerdefinierten IAM-Berechtigungen Rollen

Leistung und Timing

Cloud DNS verwendet Anycast, um für Ihre verwalteten Zonen an verschiedenen Standorten weltweit eine hohe Verfügbarkeit zu bieten. Anfragen werden automatisch an den nächsten Standort weitergeleitet, wodurch sich die Latenz verkürzt und die Leistung bei der Suche des autoritativen Namens für Ihre Nutzer verbessert wird.

Übernahme von Änderungen

Änderungen werden in zwei Schritten übernommen. Im ersten Schritt muss die Änderung, die Sie durch die API oder das Befehlszeilentool senden, an die autoritativen DNS-Server des Cloud DNS weitergeleitet werden. Im zweiten Schritt müssen die DNS-Resolver diese Änderung anwenden, wenn die Einträge in deren Cache abgelaufen sind.

Der Wert für die Gültigkeitsdauer (Time to Live, TTL), den Sie für Ihre Einträge festlegen (in Sekunden festgelegt), bestimmt den Cache des DNS-Resolvers. Beispiel: Wenn Sie einen TTL-Wert von 86400 (die Anzahl der Sekunden in 24 Stunden) angeben, werden die DNS-Resolver angewiesen, die Einträge 24 Stunden lang im Cache zu speichern. Einige DNS-Resolver ignorieren den TTL-Wert oder nutzen ihre eigenen Werte, die die vollständige Übernahme der Einträge verzögern können.

Wenn Sie eine Änderung an Diensten planen, die ein enges Zeitfenster erfordert, ist es möglicherweise ratsam, den TTL-Wert vor Ihrer Änderung auf einen kürzeren Wert zu ändern. Der neue kürzere TTL-Wert wird angewendet, nachdem der vorherige TTL-Wert im Resolver-Cache abgelaufen ist. Dadurch verkleinert sich das Zeitfenster für das Caching und die Übernahme Ihrer neuen Eintragseinstellungen wird beschleunigt. Nach der Änderung können Sie den Wert auf den vorherigen TTL-Wert zurücksetzen, um die DNS-Resolver zu entlasten.

Nächste Schritte