Présentation de Cloud DNS

Cette page présente les fonctionnalités et les capacités de Cloud DNS. Cloud DNS est un système global de noms de domaine (DNS) offrant de hautes performances et une grande fiabilité. C'est un moyen économique de publier vos noms de domaine dans le DNS mondial.

Un DNS est une base de données organisée de manière hiérarchique qui vous permet de stocker des adresses IP et d'autres données, et de les rechercher par nom. Avec Cloud DNS, vous pouvez publier vos zones et vos enregistrements dans DNS sans avoir à gérer vos propres serveurs et logiciels DNS.

Cloud DNS propose à la fois des zones publiques et des zones DNS gérées privées. Une zone publique est visible depuis l'Internet public, tandis qu'une zone privée n'est visible que depuis le ou les réseaux VPC (Virtual Private Cloud) que vous spécifiez. Pour en savoir plus sur les zones, consultez la section Présentation des zones DNS.

Cloud DNS est compatible avec les autorisations IAM (Identity and Access Management) au niveau du projet et au niveau de la zone DNS individuelle. Pour en savoir plus sur la définition d'autorisations IAM pour des ressources individuelles, consultez la page Créer une zone avec des autorisations IAM spécifiques.

Pour obtenir la liste des termes généraux du DNS, consultez la présentation générale du DNS.

Pour obtenir la liste des termes clés sur lesquels Cloud DNS repose, consultez la section Termes clés.

Pour commencer à utiliser Cloud DNS, consultez la section Démarrage rapide.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud DNS en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essayez Cloud DNS gratuitement

Considérations relatives au VPC partagé

Pour utiliser une zone Cloud DNS gérée privée, de transfert ou d'appairage avec un VPC partagé, vous devez d'abord la créer dans le projet hôte, puis ajouter un ou plusieurs réseaux VPC partagés à la liste des réseaux autorisés pour cette zone. Vous pouvez également configurer la zone dans un projet de service à l'aide d'une liaison inter-projets.

Pour plus d'informations, consultez les Bonnes pratiques pour les zones privées Cloud DNS.

Méthodes de transfert DNS

Google Cloud propose un transfert DNS entrant et sortant pour les zones privées. Vous pouvez configurer le transfert DNS en créant une zone de transfert ou une règle de serveur Cloud DNS. Les deux méthodes sont résumées dans le tableau suivant :

Transfert DNS Méthodes Cloud DNS
Entrant

Créez une règle de serveur entrant pour permettre à un client ou à un serveur DNS sur site d'envoyer des requêtes DNS à Cloud DNS. Le client ou le serveur DNS peut ensuite résoudre les enregistrements en fonction de l'ordre de résolution des noms d'un réseau VPC.

Les clients sur site peuvent résoudre des enregistrements dans des zones privées, des zones de transfert et des zones d'appairage pour lesquelles le réseau VPC a été autorisé. Les clients sur site utilisent Cloud VPN ou Cloud Interconnect pour se connecter au réseau VPC.

Sortant

Vous pouvez configurer les VM d'un réseau VPC pour effectuer les opérations suivantes :

  • Envoyer des requêtes DNS aux serveurs de noms DNS de votre choix. Ces serveurs de noms peuvent se trouver sur le même réseau VPC, sur un réseau sur site ou sur Internet.
  • Résoudre les enregistrements hébergés sur des serveurs de noms configurés en tant que cibles de transfert d'une zone de transfert mise à la disposition du réseau VPC. Pour plus d'informations sur la manière dont Google Cloud achemine le trafic vers l'adresse IP d'une cible de transfert, consultez la page Cibles de transfert et méthodes de routage.
  • Créer une règle de serveur sortant pour le réseau VPC afin d'envoyer toutes les requêtes DNS à un autre serveur de noms.k Lorsque vous utilisez un autre serveur de noms, les VM de votre réseau VPC ne peuvent plus résoudre les enregistrements dans les zones privées, de transfert ou d'appairage de Cloud DNS, ou dans les zones DNS internes de Compute Engine. Pour en savoir plus, consultez la section Ordre de résolution des noms.

Vous pouvez configurer simultanément les transferts entrants et sortants pour un réseau VPC. Le transfert bidirectionnel permet aux VM de votre réseau VPC de résoudre les enregistrements dans un réseau sur site ou dans un réseau hébergé par un autre fournisseur cloud. Ce type de transfert permet également aux hôtes du réseau sur site de résoudre les enregistrements des ressources Google Cloud.

Le plan de contrôle Cloud DNS utilise l'ordre de sélection des cibles de transfert pour sélectionner une cible de transfert. Les requêtes transférées sortantes peuvent parfois entraîner des erreurs SERVFAIL si les cibles de transfert ne sont pas accessibles ou si elles ne répondent pas assez rapidement. Pour obtenir des instructions de dépannage, consultez la section Requêtes transférées sortantes générant des erreurs SERVFAIL.

Pour plus d'informations sur l'application des règles de serveur, consultez la page Créer des règles de serveur DNS. Pour savoir comment créer une zone de transfert, consultez la section Créer une zone de transfert.

DNSSEC

Cloud DNS est compatible avec le protocole DNSSEC géré, qui protège vos domaines des attaques de spoofing et de contamination du cache. Lorsque vous utilisez un résolveur de validation tel que Google Public DNS, DNSSEC assure l'authentification renforcée (mais pas le chiffrement) des recherches de domaine. Pour en savoir plus sur DNSSEC, consultez la page Gérer la configuration DNSSEC.

Contrôle des accès

Vous pouvez gérer les utilisateurs autorisés à apporter des modifications à vos enregistrements DNS sur la page IAM et administration de la console Google Cloud. Pour être autorisés à apporter des modifications, les utilisateurs doivent détenir le rôle d'administrateur DNS (roles/dns.admin) dans la section "Autorisations" de la console Google Cloud. Le rôle de Lecteur DNS (roles/dns.reader) accorde un accès en lecture seule aux enregistrements Cloud DNS.

Ces autorisations s'appliquent également aux comptes de service grâce auxquels vous pouvez gérer vos services DNS.

Pour connaître les autorisations assignées à ces rôles, consultez la section Rôles.

Contrôle des accès pour les zones gérées

Les utilisateurs dotés du rôle Propriétaire du projet ou Éditeur de projet (roles/owner ou roles/editor) peuvent gérer ou afficher les zones gérées dans le projet spécifique qu'ils gèrent.

Les utilisateurs dotés du rôle Administrateur DNS ou Lecteur DNS peuvent gérer ou afficher les zones gérées dans tous les projets auxquels ils ont accès.

Les propriétaires de projet, les éditeurs, les administrateurs DNS et les lecteurs DNS peuvent afficher la liste des zones privées appliquées à tout réseau VPC du projet en cours.

Accès aux autorisations par ressource

Pour configurer une règle sur une ressource DNS telle qu'une zone gérée, vous devez disposer de l'accès Propriétaire au projet auquel appartient la ressource. L'administrateur DNS ne dispose pas de l'autorisation setIamPolicy. En tant que propriétaire de projet, vous pouvez également créer des rôles IAM personnalisés en fonction de vos besoins spécifiques. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés IAM.

Performances et planification

Cloud DNS utilise la technique Anycast pour desservir les zones gérées à partir de plusieurs sites à travers le monde afin d'offrir une haute disponibilité. Les requêtes sont automatiquement redirigées vers le site le plus proche, ce qui réduit la latence et améliore les performances de recherche de noms prioritaires pour vos utilisateurs.

Propagation des modifications

Les modifications sont propagées en deux parties. La modification que vous envoyez via l'API ou l'outil de ligne de commande doit tout d'abord être transmise aux serveurs DNS primaires de Cloud DNS. Les outils de résolution DNS doivent ensuite récupérer cette modification lorsque leur cache d'enregistrements vient à expiration.

La valeur TTL (Time To Live) que vous avez définie pour vos enregistrements (en secondes) contrôle le cache du résolveur DNS. Par exemple, si vous définissez une valeur TTL sur 86 400 (le nombre de secondes correspondant à 24 heures), les outils de résolution DNS mettent en cache les enregistrements pendant 24 heures. Certains résolveurs DNS ignorent la valeur TTL ou utilisent leurs propres valeurs, ce qui peut retarder la propagation complète des enregistrements.

Si vous envisagez d'apporter une modification urgente à des services, vous pouvez réduire la valeur TTL au préalable. La nouvelle valeur TTL plus courte est appliquée dès que la valeur TTL précédente a expirée dans le cache du résolveur. Cette approche peut aider à réduire l'intervalle de mise en cache et à assurer une modification plus rapide de vos nouveaux paramètres d'enregistrement. Après la modification, vous pouvez rétablir l'ancienne valeur TTL afin de réduire la charge sur les résolveurs DNS.

Étape suivante