Configura le associazioni DNS

Questa pagina descrive come configurare le associazioni DNS per le reti VMware Engine standard.

Ogni cloud privato esegue il deployment di un server Cloud DNS utilizzato per la risoluzione di tutte le appliance di gestione. Puoi configurare questo server come server DNS per tutti i carichi di lavoro VMware impostando le associazioni DNS. A questo scopo, devi:

  1. Ottieni l'indirizzo IP del server DNS del Private Cloud
  2. Configura le autorizzazioni di associazione DNS per consentire a un principale utente di eseguire l'associazione alla VPC intranet
  3. Configura il DNS per i carichi di lavoro VMware o l'impostazione DNS DHCP del segmento NSX-T

Prima di iniziare

Puoi configurare le associazioni DNS solo utilizzando lo strumento gcloud o l'API.

Requisiti di gcloud e API

Per utilizzare lo strumento a riga di comando gcloud o l'API per gestire le risorse di VMware Engine, ti consigliamo di configurare gli strumenti come descritto di seguito.

gcloud

  1. Imposta l'ID progetto predefinito:

    gcloud config set project PROJECT_ID
    
  2. Imposta una regione e una zona predefinite:

    gcloud config set compute/region REGION
    
    gcloud config set compute/zone ZONE
    

Per ulteriori informazioni sullo strumento gcloud vmware, consulta la documentazione di riferimento di Cloud SDK.

API

Gli esempi di API in questo set di documentazione utilizzano lo strumento a riga di comando cURL per eseguire query sull'API. È necessario un token di accesso valido nell'ambito della richiesta cURL. Esistono molti modi per ottenere un token di accesso valido. I seguenti passaggi utilizzano lo strumento gcloud per generare un token di accesso:

  1. Accedi a Google Cloud:

    gcloud auth login
    
  2. Genera il token di accesso ed esportalo in TOKEN:

    export TOKEN=`gcloud auth print-access-token`
    
  3. Verifica che TOKEN sia impostato correttamente:

    echo $TOKEN
    

Ora utilizza il token di autorizzazione nelle richieste all'API. Ad esempio:

curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

Python

Gli esempi di codice Python in questa documentazione utilizzano la libreria VMware Engine per comunicare con l'API. Per poter utilizzare questo approccio, la libreria deve essere installata e le Credenziali predefinite dell'applicazione devono essere configurate.

  1. Scarica e installa la libreria Python:

    pip install google-cloud-vmwareengine
    
  2. Configura le informazioni dell'ADC eseguendo i seguenti comandi nella shell:

    gcloud auth application-default login
    

    In alternativa, utilizza un file della chiave dell'account di servizio:

    export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
    

Per ulteriori informazioni sulla libreria, visita la pagina di riferimento o visualizza gli esempi di codice su GitHub.

Ottenere l'IP del server DNS del carico di lavoro del cloud privato

Console

Per ottenere l'indirizzo IP del server DNS del tuo cloud privato, segui questi passaggi.

  1. Nella console Google Cloud, vai alla pagina Nuvole private.

    Vai a Private Cloud

  2. Fai clic sul nome del cloud privato a cui vuoi connetterti.

  3. Nella pagina Riepilogo del cloud privato, fai clic su Copia in Server DNS private cloud per copiare l'indirizzo IP del server DNS private cloud.

gcloud

Per ottenere l'indirizzo IP del server DNS del tuo cloud privato utilizzando Google Cloud CLI, utilizza il comando gcloud vmware private-clouds describe:

 gcloud vmware private-clouds describe PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --location=REGION

Sostituisci quanto segue:

  • PRIVATE_CLOUD_ID: il nome del cloud privato per questa richiesta
  • PROJECT_ID: l'ID progetto per questa richiesta
  • REGION: la regione del cloud privato; se si tratta di un cloud privato ampliato, specifica la zona per questo cloud privato

API

Per ottenere l'indirizzo IP del server DNS del tuo cloud privato utilizzando l'API VMware Engine, invia una richiesta GET:

curl -X GET -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateCloud/PRIVATE_CLOUD_ID"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto per questa richiesta
  • REGION: la regione del cloud privato; se si tratta di un cloud privato ampliato, specifica la zona per questo cloud privato
  • PRIVATE_CLOUD_ID: il nome cloud privato per questa richiesta.

Configurare le autorizzazioni di associazione DNS

Puoi configurare e gestire le autorizzazioni di associazione DNS solo utilizzando lo strumento gcloud o direttamente l'API REST. Non è possibile configurare le associazioni tramite la console.

Concedi autorizzazione di associazione DNS

Affinché un utente possa configurare le associazioni DNS, devi concedere a un principale utente l'autorizzazione per eseguire l'associazione alla VPC intranet. In questo caso, un principale utente è l'indirizzo email dell'utente che legherà la zona DNS privata alla VPC intranet.

gcloud

gcloud vmware dns-bind-permission grant \
  --user=USER

Sostituisci USER con l'indirizzo email dell'utente che eseguirà il binding della zona DNS privata con il VPC intranet. Ad esempio, example1@gmail.com.

API

Invia una richiesta POST al metodo dnsBindPermissions:grant e fornisci l'indirizzo email dell'utente nel corpo della richiesta.

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsBindPermission:grant -d '
{
"principal": {
  "user": "USER"
}
}'

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • USER: l'indirizzo email dell'utente per cui vuoi revocare le autorizzazioni. Ad esempio, example1@gmail.com.

Revoca autorizzazione di associazione DNS

Revoca l'autorizzazione di associazione DNS concessa in precedenza all'utente.

gcloud

gcloud vmware dns-bind-permission revoke \
  --user=USER

Sostituisci USER con l'indirizzo email dell'utente per cui vuoi revocare le autorizzazioni. Ad esempio, example1@gmail.com.

API

Invia una richiesta POST a dnsBindPermissions:revoke e fornisci l'indirizzo email dell'utente nel corpo della richiesta.

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsBindPermission:revoke -d '
{
"principal": {
  "user": "USER"
}
}'

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • USER: l'indirizzo email dell'utente per cui vuoi revocare le autorizzazioni. Ad esempio, example1@gmail.com.

Descrivi l'autorizzazione di associazione DNS

Descrive le autorizzazioni di associazione DNS per un progetto e l'entità utente che ha accesso per configurare le associazioni DNS.

gcloud

gcloud vmware dns-bind-permission describe

API

Invia una richiesta GET alla risorsa dnsBindPermissions.

curl -X GET -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsBindPermission

Sostituisci PROJECT_ID con il progetto per questa richiesta.

Collegamento della zona DNS del cloud privato con la rete intranet VPC di VMware Engine

Dopo aver concesso a un utente principale le autorizzazioni per configurare le associazioni DNS, l'utente può creare un'associazione tra la zona DNS privata in Cloud DNS e la VPC intranet della rete VMware Engine. VMware Engine utilizza il peering DNS per facilitare la risoluzione di Cloud DNS.

Individuare l'URL della rete VPC Intranet

Per creare il nuovo vincolo, devi disporre dell'URL VPC della rete intranet. La VPC intranet della rete VMware Engine è disponibile elencando i dettagli della rete VMware Engine.

Console

Per individuare l'URL della VPC intranet utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Reti VMware Engine.

    Vai alle reti VMware Engine

  2. Individua la rete VMware Engine, fai clic sull'opzione Azione e seleziona Copia URL rete VPC Intranet.

gcloud

gcloud vmware networks describe VMWARE_ENGINE_NETWORK

Sostituisci VMWARE_ENGINE_NETWORK con la rete da descrive. Nell'ambito della risposta, gcloud restituisce i dettagli della rete che contiene l'URL VPC intranet.

API

Effettua una richiesta GET alla risorsa vmwareEngineNetworks e fornisci il nome della rete:

curl -X GET -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/vmwarenEngineNetworks/NETWORK_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • NETWORK_ID: la rete da descrivere

Associazione

Una volta configurate le autorizzazioni di associazione, il flusso di lavoro previsto consiste nell'aggiungere un peering DNS al VPC intranet della rete VMware Engine nella procedura di gestione delle zone Cloud DNS standard per ogni zona.

gcloud

gcloud dns managed-zones create peering-DOMAIN  \
--dns-name="DOMAIN" \
--visibility="private" \
--networks="INTRANET_VPC_URL" \
--target-project="PROJECT_ID" \
--target-network="EXISTING_VPC" \
--description="DESCRIPTION"

Sostituisci quanto segue:

  • DOMAIN: il dominio da estendere, ad esempio zone1.example.com
  • INTRANET_VPC_URL: l'URL della rete VPC intranet per la rete VMware Engine
  • EXISTING_VPC: l'URL della rete VPC esistente a cui DOMAIN è già associato
  • PROJECT_ID: l'ID progetto per questa richiesta

API

Effettua una richiesta PATCH alla risorsa managedZones e fornisci il nome della zona:

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://dns.googleapis.com/v1/projects/PROJECT_ID/managedZones -d "{
"name": "peering-DOMAIN",          
"description": "",
"dnsName": DOMAIN,
"peeringConfig": {
    "targetNetwork": {
        "networkUrl": EXISTING_VPC
    }
  },
  "privateVisibilityConfig": {
    "networks": [
      {
        "networkUrl": INTRANET_VPC_URL
      }
    ]
  }  
}"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto per questa richiesta
  • DOMAIN: il dominio da estendere, ad esempio zone1.example.com
  • INTRANET_VPC_URL: l'URL VPC intranet per la rete VMware Engine.
  • EXISTING_VPC: l'URL della rete VPC esistente a cui DOMAIN è già associato

Esempi di associazioni DNS

Di seguito sono riportati alcuni esempi di associazioni DNS che potresti utilizzare.

Autorevole

gcloud dns managed-zones create zone1 \
  --dns-name="zone1.example.com." \
  --visibility="private" \
  --description="DESCRIPTION" \
  --networks="EXISTING_VPC"
gcloud dns managed-zones create peering-zone1 \
  --dns-name="zone1.example.com." \
  --visibility="private" \
  --networks="INTRANET_VPC_URL" \
  --target-project="PROJECT_ID" \
  --target-network="EXISTING_VPC" \
  --description="DESCRIPTION"

Inoltro condizionale

gcloud dns managed-zones create zone1 \
  --description="DESCRIPTION" \
  --dns-name="zone1.example.com." \
  --visibility="private" \
  --networks=EXISTING_VPC \
  --forwarding-targets="DNS_SERVER_IP1","DNS_SERVER_IP2"
gcloud dns managed-zones create peering-zone1 \
  --dns-name="zone1.example.com." \
  --visibility="private" \
  --networks="INTRANET_VPC_URL" \
  --target-project="PROJECT_ID" \
  --target-network="EXISTING_VPC" \
  --description="DESCRIPTION"

Inoltro di tutte le chiamate

gcloud dns managed-zones create forward-all \
  --description="" --dns-name="." \
  --visibility="private" \
  --networks="EXISTING_VPC" \
  --forwarding-targets="DNS_SERVER_IP1","DNS_SERVER_IP2"
gcloud dns managed-zones create peering-forward-all \
  --dns-name="." \
  --visibility="private" \
  --networks="INTRANET_VPC_URL" \
  --target-project="PROJECT_ID" \
  --target-network="EXISTING_VPC" \
  --description="DESCRIPTION"

Google API Private

gcloud dns managed-zones create googleapis \
  --dns-name="googleapis.com." \
  --visibility="private" \
  --description="Direct GCVE traffic to Private IPs for Google API Access" \
  --networks="EXISTING_VPC"
gcloud dns managed-zones create peering-googleapis  \
  --dns-name="googleapis.com." \
  --visibility="private" \
  --networks="INTRANET_VPC_URL" \
  --target-project="PROJECT_ID" \
  --target-network="EXISTING_VPC" \
  --description="DESCRIPTION"
gcloud dns record-sets create private.googleapis.com. \
  --zone="googleapis" \
  --type="A" \
  --ttl="300" \
  --rrdatas="199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11"
gcloud dns record-sets create *.googleapis.com. \
  --zone="googleapis" \
  --type="CNAME" \
  --ttl="300" \
  --rrdatas="private.googleapis.com."

API di Google con limitazioni

gcloud dns managed-zones create googleapis \
  --dns-name="googleapis.com." \
  --visibility="private" \
  --description="Direct GCVE traffic to Private IPs for Google API Access" \
  --networks="EXISTING_VPC"
gcloud dns managed-zones create peering-googleapis \
  --dns-name="googleapis.com." \
  --visibility="private" \
  --networks="INTRANET_VPC_URL" \
  --target-project="PROJECT_ID" \
  --target-network="EXISTING_VPC" \
  --description="DESCRIPTION"
gcloud dns record-sets create restricted.googleapis.com. \
  --zone="googleapis" \
  --type="A" \
  --ttl="300" \
  --rrdatas="199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7"
gcloud dns record-sets create *.googleapis.com. \
  --zone="googleapis" \
  --type="CNAME" \
  --ttl="300" \
  --rrdatas="restricted.googleapis.com."