Configura la connettività privata alle API e ai servizi Google

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento descrive come configurare la connettività privata dagli host in una rete VPC o in una rete on-premise alle API e ai servizi Google supportati da Controlli di servizio VPC.

Prima di leggere questo documento, ti consigliamo di familiarizzare con i concetti, le specifiche e la configurazione di rete dell'accesso privato Google. Consulta i diagrammi di esempio relativi all'utilizzo dell'accesso privato Google con i Controlli di servizio VPC.

Prima di iniziare

  • Abilita le API a cui vuoi accedere tramite la pagina API e servizi in Google Cloud Console.
  • Assicurati di disporre del ruolo richiesto per creare o aggiornare le subnet. I proprietari del progetto, gli editor e le entità IAM con il ruolo di Amministratore di rete possono creare o aggiornare le subnet e assegnare gli indirizzi IP. Per ulteriori informazioni sui ruoli, consulta la documentazione sui ruoli IAM.
  • Verifica che sia configurata una rete VPC per l'accesso privato Google e l'accesso privato Google per gli host on-premise. Sono supportate sia le reti VPC in modalità automatica che quella personalizzata. Le reti legacy non sono supportate.
  • Assicurati che le istanze VM in una rete VPC abbiano un indirizzo IP privato (nessun indirizzo IP pubblico) e che si trovino in una subnet con accesso privato Google abilitato.
  • Per gli host on-premise, assicurati di avere un tunnel Cloud VPN esistente o una connessione Cloud Interconnect alla tua rete VPC.

Panoramica della procedura

Per configurare la connettività privata, completa le seguenti attività:

  • Configura le route per la destinazione 199.36.153.4/30. Per ulteriori informazioni, consulta la sezione Configura route.
  • Configura le regole firewall in modo da consentire il traffico appropriato per l'intervallo di indirizzi IP delle API di Google con restrizioni. Per ulteriori informazioni, consulta la sezione Configurare le regole firewall.
  • Configura il DNS in modo che il traffico verso le API di Google si risolva nell'intervallo di indirizzi IP delle API di Google con restrizioni. Per ulteriori informazioni, consulta la pagina Configurare il DNS.

Configura route per restricted.googleapis.com

Usa restricted.googleapis.com per fornire accesso alle API Cloud e per sviluppatori che supportano i Controlli di servizio VPC. Il dominio restricted.googleapis.com si risolve in un intervallo VIP (indirizzo IP virtuale) 199.36.153.4/30. Questo intervallo di indirizzi IP non è accessibile da Internet.

Sebbene i Controlli di servizio VPC vengano applicati ai servizi compatibili e configurati, indipendentemente dal dominio utilizzato, restricted.googleapis.com fornisce un'ulteriore riduzione dei rischi per l'esfiltrazione dei dati. restricted.googleapis.com nega l'accesso alle API e ai servizi Google non supportati dai Controlli di servizio VPC.

Sia per l'accesso privato Google sia per l'accesso privato Google per gli host on-premise, la tua rete VPC deve includere una route per la destinazione 199.36.153.4/30 il cui hop successivo è il gateway Internet predefinito. Anche se l'hop successivo è un gateway Internet predefinito, il traffico inviato a 199.36.153.4/30 rimane all'interno della rete di Google.

Se la tua rete VPC non ha una route predefinita, il cui hop successivo è il gateway Internet predefinito, puoi creare una route statica personalizzata la cui destinazione è 199.36.153.4/30 e il cui hop successivo è il gateway Internet predefinito. Quando disponi di una route statica personalizzata con la destinazione 199.36.153.4/30, per impedire l'accesso a Internet devi rimuovere altre route il cui hop successivo è il gateway Internet predefinito.

Per ulteriori informazioni sull'utilizzo delle route VPC, consulta Utilizzo delle route nella documentazione sui VPC.

Configura una route statica personalizzata in una rete VPC

Aggiungi una route statica personalizzata per abilitare l'accesso ai servizi gestiti da Google supportati da Controlli di servizio VPC.

  • Aggiungi una route personalizzata che consente di accedere solo ai servizi gestiti da Google protetti da Controlli di servizio VPC.

    gcloud compute routes create ROUTE_NAME \
      --network=NETWORK_NAME \
      --destination-range=199.36.153.4/30 \
      --next-hop-gateway=default-internet-gateway
    

    Sostituisci quanto segue:

    • ROUTE_NAME: un nome per il percorso personalizzato.
    • NETWORK_NAME: il nome della rete VPC.

Annuncia la route limitata agli host in una rete on-premise

Se utilizzi l'accesso privato Google per gli host on-premise, configura le route in modo che il traffico delle API di Google venga inoltrato tramite la tua connessione Cloud VPN o Cloud Interconnect. Per annunciare il VIP limitato (199.36.153.4/30) alla tua rete on-premise, utilizza l'annuncio di route personalizzata del router Cloud. Questo intervallo di indirizzi IP è accessibile solo per gli host on-premise che possono raggiungere la tua rete VPC tramite indirizzi IP privati.

Puoi aggiungere questo annuncio personalizzato per il percorso a un router Cloud (per tutte le sessioni BGP sul router) o a una sessione BGP selezionata (per un singolo tunnel Cloud VPN o collegamento VLAN).

Per creare un annuncio di route personalizzata per l'intervallo limitato per tutte le sessioni BGP su un router Cloud esistente, segui questi passaggi:

Console


  1. In Google Cloud Console, vai alla pagina Router Cloud.
    Vai al router Cloud
  2. Seleziona il router Cloud da aggiornare.
  3. Nella pagina dei dettagli del router Cloud, seleziona Modifica.
  4. Espandi la sezione Percorsi pubblicizzati.
  5. In Route, seleziona Crea route personalizzate.
  6. Per continuare a pubblicizzare le subnet disponibili per il router Cloud, seleziona Pubblicizza tutte le subnet visibili al router Cloud. L'attivazione di questa opzione imita il comportamento predefinito del router Cloud.
  7. Per aggiungere un percorso pubblicizzato, seleziona Aggiungi percorso personalizzato.
  8. Configura la pubblicità del percorso.
    • Origine: seleziona Intervallo IP personalizzato.
    • Intervallo di indirizzi IP: specifica 199.36.153.4/30.
    • Descrizione: aggiungi una descrizione di Restricted Google APIs IPs.
  9. Dopo aver aggiunto i percorsi, seleziona Salva.

gcloud


Esegui il comando update, utilizzando il flag --set-advertisement-ranges o --add-advertisement-ranges per specificare gli intervalli IP personalizzati:

  • Per impostare intervalli IP personalizzati, utilizza il flag --set-advertisement-ranges. Gli eventuali annunci personalizzati esistenti vengono sostituiti. L'esempio seguente aggiorna il router Cloud my-router per pubblicizzare tutte le subnet e gli IP IP delle API di Google con restrizioni199.36.153.4/30:

    gcloud compute routers update my-router \
        --advertisement-mode CUSTOM \
        --set-advertisement-groups ALL_SUBNETS \
        --set-advertisement-ranges 199.36.153.4/30
    
  • Per aggiungere intervalli IP personalizzati a un annuncio esistente, utilizza il flag --add-advertisement-ranges. Tieni presente che questo flag richiede che la modalità pubblicitaria del router Cloud sia già impostata su custom. L'esempio seguente aggiunge l'IP personalizzato Restricted Google APIs IPs alle pubblicità di Router Cloud:

    gcloud compute routers update my-router \
        --add-advertisement-ranges 199.36.153.4/30
    

Per creare una pubblicità di route personalizzata per l'intervallo limitato in una specifica sessione BGP di un router Cloud esistente, segui questi passaggi:

Console


  1. In Google Cloud Console, vai alla pagina Router Cloud.
    Vai al router Cloud
  2. Seleziona il router Cloud che contiene la sessione BGP da aggiornare.
  3. Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP da aggiornare.
  4. Nella pagina Dettagli sessione BGP, seleziona Modifica.
  5. In Route, seleziona Crea route personalizzate.
  6. Seleziona Pubblicizza tutte le subnet visibili al router Cloud per continuare a pubblicizzare le subnet disponibili per il router Cloud. L'attivazione di questa opzione imita il comportamento predefinito del router Cloud.
  7. Seleziona Aggiungi percorso personalizzato per aggiungere un percorso pubblicizzato.
  8. Configura la pubblicità del percorso.
    • Origine: seleziona Intervallo IP personalizzato per specificare un intervallo IP personalizzato.
    • Intervallo di indirizzi IP: specifica 199.36.153.4/30.
    • Descrizione: aggiungi una descrizione di Restricted Google APIs IPs.
  9. Una volta aggiunti tutti i percorsi, seleziona Salva.

gcloud


Esegui il comando update-bgp-peer, utilizzando il flag --set-advertisement-ranges o --add-advertisement-ranges per specificare gli intervalli IP personalizzati.

  • Per impostare intervalli IP personalizzati, utilizza il flag --set-advertisement-ranges. Gli eventuali annunci personalizzati esistenti vengono sostituiti. L'esempio seguente aggiorna la sessione BGP my-bgp-session sul router Cloud my-router per pubblicizzare tutte le subnet e l'intervallo IP personalizzato 199.36.153.4/30:

    gcloud compute routers update-bgp-peer my-router \
        --peer-name my-bgp-session \
        --advertisement-mode CUSTOM \
        --set-advertisement-groups ALL_SUBNETS \
        --set-advertisement-ranges 199.36.153.4/30
    
  • Per aggiungere intervalli IP personalizzati a quelli esistenti, utilizza il flag --add-advertisement-ranges. Tieni presente che questo flag richiede che la modalità pubblicitaria del router Cloud sia già impostata su custom. L'esempio seguente aggiunge gli IP delle API di Google soggetti a restrizioni 199.36.153.4/30 agli annunci pubblicitari del router Cloud:

    gcloud compute routers update-bgp-peer my-router \
        --peer-name my-bgp-session \
        --add-advertisement-ranges 199.36.153.4/30
    

    Per ulteriori informazioni sulla pubblicità personalizzata, consulta la pagina Pubblicità personalizzata del router.

Configurazione delle regole del firewall

Per l'accesso privato Google, le istanze VM utilizzano indirizzi IP interni e non richiedono indirizzi IP esterni per raggiungere le risorse dell'API Google protette. Tuttavia, è possibile che le istanze VM dispongano di indirizzi IP esterni o che soddisfino in altro modo i requisiti per l'accesso a Internet. Oltre alle route personalizzate, puoi limitare il traffico in uscita dalle istanze VM nella tua rete VPC creando regole firewall per negare il traffico in uscita.

Per impostazione predefinita, la regola di firewall con autorizzazione implicita permette alle istanze VM di inviare traffico a qualsiasi destinazione, se esiste una route applicabile. Puoi prima creare una regola di negazione in uscita per bloccare tutto il traffico in uscita. Puoi quindi creare regole di traffico in uscita con priorità più elevata che consentono il traffico verso destinazioni selezionate nella tua rete VPC e nell'intervallo di indirizzi IP 199.36.153.4/30(restricted.googleapis.com). Tutte le comunicazioni con restricted.googleapis.com sono eseguite sulla porta TCP 443.

Per ulteriori informazioni sull'utilizzo delle regole firewall VPC, consulta Utilizzo di regole firewall nella documentazione VPC.

Configura le regole firewall on-premise per consentire al traffico degli host on-premise di raggiungere 199.36.153.4/30.

Configura DNS

Per un utilizzo generale dei Controlli di servizio VPC, ti consigliamo di utilizzare i criteri di risposta di Cloud DNS per configurare il DNS per le tue reti VPC. Quando utilizzi Cloud DNS, non è necessario creare una zona privata gestita per configurare DNS. Un criterio di risposta utilizza il comportamento passthru per consentire ai nomi, come www.googleapis.com, di superare il nome con carattere jolly nell'esempio *.googleapis.com. Per ulteriori informazioni, consulta la sezione Gestire i criteri e le regole di risposta.

Puoi anche utilizzare zone private gestite per le tue reti VPC. Le zone DNS private di Cloud DNS ti consentono di ospitare una zona DNS accessibile dalle reti VPC autorizzate. Per configurare l'inoltro da determinati server dei nomi on-premise, puoi utilizzare gli indirizzi IP delle API di Google con restrizioni. Puoi quindi creare una zona privata per googleapis.com con un record A DNS che mappa restricted.googleapis.com e i record CNAME appropriati per ogni nome *.googleapis.com. Per ulteriori informazioni, consulta la sezione Gestire le zone.

Per l'accesso on-premise, puoi configurare un criterio di forwarding in entrata Cloud DNS per consentire ai server dei nomi on-premise di eseguire query su una zona privata gestita di Cloud DNS. Puoi anche configurare un server dei nomi on-premise, ad esempio uno utilizzando BIND:

Configurare DNS con Cloud DNS

Per abilitare la risoluzione DNS per le istanze VM nella rete VPC, gli host in una rete on-premise o entrambi, utilizza Cloud DNS. Se utilizzi la rete VPC condivisa, vedi Zone private e VPC condivisi nella documentazione di Cloud DNS. Inoltre, se utilizzi una rete VPC condivisa, assicurati che il progetto host della rete VPC condiviso sia incluso nello stesso perimetro di servizio dei progetti che si connettono alla rete.

Puoi configurare DNS con Cloud DNS utilizzando criteri di risposta o zone private.

Configurare Cloud DNS utilizzando i criteri di risposta

Indirizzare nomi specifici a indirizzi VIP con restrizioni

Puoi configurare un criterio di risposta con dati CNAME locali per ogni zona in modo da tradurre le richieste API di Google in API Google limitate. I nomi che non sono specificati continuano a essere risolti utilizzando il DNS standard.

Ad esempio, puoi creare un criterio di risposta per pubsub.googleapis.com, che contiene i dati CNAME locali per una zona, per tradurre le richieste API di Google in restricted.googleapis.com. Nel frattempo, il problema www.googleapis.com, non specificato, continua a essere risolto utilizzando il DNS normale.

Nell'esempio di configurazione seguente, crei un criterio e lo applichi a una rete VPC specifica.

gcloud

  1. Per creare un criterio di risposta, esegui il comando gcloud dns response-policies create:

    gcloud dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_NAME: nome o ID del criterio di risposta che vuoi creare, ad esempio myresponsepolicy
    • NETWORK: un elenco di nomi di rete separati da virgole da associare al criterio di risposta, come network1,network2
    • DESCRIPTION: una descrizione del criterio di risposta, ad esempio My new response policy
  2. Per aggiungere una regola al criterio, esegui il comando gcloud dns response-policies rules create:

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=pubsub.googleapis.com. \
        --local-data=name="pubsub.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_RULE_NAME: un nome per la regola del criterio di risposta che vuoi creare, ad esempio myresponsepolicyrule.
    • RESPONSE_POLICY_NAME: nome del criterio di risposta, ad esempio myresponsepolicy

API

  1. Crea un criterio di risposta per URL:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_NAME: un nome per il criterio di risposta
    • RESPONSE_POLICY_DESCRIPTION: una descrizione del criterio di risposta
    • URL_TO_NETWORK: l'URL per cui stai creando il criterio di risposta

  2. Aggiungi una regola al criterio:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "pubsub.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7"]
        }
      ]
    }
    

    Sostituisci quanto segue:

    • RULE_NAME: un nome per la regola che stai creando, ad esempio pubsub
    • DNS_NAME: il nome DNS per il quale stai creando la regola, ad esempio pubsub.googleapis.com.; annota il punto finale

Indirizza tutti i nomi tranne alcuni ad indirizzi VIP limitati

Puoi impostare regole per escludere alcune risposte DNS da una regola di criterio che copre un intero dominio o un blocco di indirizzi IP di grandi dimensioni. Questo concetto è chiamato comportamento passthru. Se utilizzi il comportamento passivo, puoi consentire ai nomi privi di supporto per i controlli di servizio di superare il nome jolly.

Ad esempio, puoi consentire a www.googleapis.com di superare il nome del carattere jolly nell'esempio *.googleapis.com. La corrispondenza esatta di www ha la precedenza sul carattere jolly *.

Nell'esempio di configurazione seguente, crei un criterio con un nome specificato e lo applichi a una rete VPC specifica. La regola consente a www.googleapis.com di ignorare il carattere jolly *.googleapis.com.

gcloud

  1. Per creare un criterio di risposta, esegui il comando gcloud dns response-policies create:

    gcloud dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_NAME: nome o ID del criterio di risposta che vuoi creare, ad esempio myresponsepolicy
    • NETWORK: un elenco di nomi di rete separati da virgole da associare al criterio di risposta, come network1,network2
    • DESCRIPTION: una descrizione del criterio di risposta, ad esempio My new response policy
  2. Per aggiungere una regola di esclusione al criterio, esegui il comando gcloud dns response-policies rules create e imposta il flag --behavior su bypassResponsePolicy:

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME \
        --behavior=bypassResponsePolicy
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_RULE_NAME: un nome per la regola del criterio di risposta che vuoi creare, ad esempio myresponsepolicyrule.
    • RESPONSE_POLICY_NAME: nome del criterio di risposta, ad esempio myresponsepolicy
    • DNS_NAME: il DNS o il nome di dominio, ad esempio www.googleapis.com

API

  1. Crea un criterio di risposta:

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Sostituisci quanto segue:

    • RESPONSE_POLICY_NAME: un nome per il criterio di risposta, ad esempio my-response-policy
    • RESPONSE_POLICY_DESCRIPTION: una descrizione del criterio di risposta, ad esempio my response policy
    • URL_TO_NETWORK: l'URL per cui stai creando il criterio di risposta
  2. Aggiungi una regola al criterio:

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "*.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["restricted.googleapis.com."]
        }
      ]
    }
    {
      kind: "dns#responsePolicyRules",
      rule_name: "www-passthru",
      dns_name: "www.googleapis.com.",
      behavior: BYPASS_RESPONSE_POLICY
    }
    

    Sostituisci quanto segue:

    • RULE_NAME: un nome per la regola che stai creando, ad esempio googleapis
    • DNS_NAME: il nome DNS con carattere jolly per il quale stai creando la regola, ad esempio *.googleapis.com.; prendi nota del punto finale

Configurare Cloud DNS utilizzando zone private

Per configurare Cloud DNS quando non puoi utilizzare i criteri di risposta, utilizza le zone private.

  1. Crea una zona privata gestita per la tua rete VPC.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --description=DESCRIPTION \
     --dns-name=googleapis.com
    

    Sostituisci quanto segue:

    • ZONE_NAME: un nome per la zona che stai creando. Ad esempio, vpc. Questo nome viene utilizzato in ciascuno dei seguenti passaggi.
    • PROJECT_ID: l'ID del progetto che ospita la rete VPC.
    • NETWORK_NAME: il nome della rete VPC.
    • DESCRIPTION: una descrizione facoltativa della zona gestita in formato leggibile.
  2. Avvia una transazione.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    

    Sostituisci ZONE_NAME con il nome della zona che hai creato nel primo passaggio.

  3. Aggiungi i record DNS.

    gcloud dns record-sets transaction add --name=*.googleapis.com. \
        --type=CNAME restricted.googleapis.com. \
        --zone=ZONE_NAME \
        --ttl=300
    

    Sostituisci ZONE_NAME con il nome della zona che hai creato nel primo passaggio.

    gcloud dns record-sets transaction add --name=restricted.googleapis.com. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300
    

    Sostituisci ZONE_NAME con il nome della zona che hai creato nel primo passaggio.

  4. Eseguire la transazione.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    

    Sostituisci ZONE_NAME con il nome della zona che hai creato nel primo passaggio.

  5. Facoltativi. Per consentire agli host on-premise di raggiungere il VIP con restrizioni, completa i seguenti passaggi:

    1. Crea un criterio DNS e attiva l'inoltro DNS in entrata per rendere disponibili esternamente ai servizi di risoluzione dei nomi della rete VPC i sistemi nelle reti on-premise,

      gcloud dns policies create POLICY_NAME \
       --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
       --enable-inbound-forwarding \
       --description=DESCRIPTION
      

      Sostituisci quanto segue:

      • POLICY_NAME: un nome per il criterio che stai creando. Ad esempio, apipolicy.
      • PROJECT_ID: l'ID del progetto che ospita la rete VPC.
      • NETWORK_NAME: il nome della rete VPC.
      • DESCRIPTION: una descrizione facoltativa della zona gestita leggibile.
    2. Nella tua rete on-premise, punta il DNS on-premise verso l'indirizzo IP del server di forwarding Cloud DNS. Per trovare l'indirizzo IP di inoltro, utilizza il comando compute addresses list:

      gcloud compute addresses list --filter='name ~ ^dns-forwarding.*' \
       --format='csv[no-heading](address, subnetwork)'
      

Configura DNS con BIND

Se utilizzi BIND per la risoluzione DNS, puoi configurarlo per risolvere le richieste API Google alle API Google limitate. Utilizza la seguente configurazione BIND di esempio, che utilizza le zone dei criteri di risposta (RPZ) per raggiungere questo comportamento:

  1. Aggiungi le seguenti righe a /etc/bind/named.conf:

    include "/etc/bind/named.conf.options";
    include "/etc/bind/named.conf.local";
    
  2. Aggiungi le seguenti righe a /etc/bind/named.conf.options:

    options {
      directory "/var/cache/bind";
    
      dnssec-validation no;
    
      auth-nxdomain no;    # conform to RFC 1035
      listen-on-v6 { any; };
      listen-on { any; };
      response-policy { zone "googleapis.zone"; };
      allow-query { any;};
    };
    
  3. Aggiungi le seguenti righe a /etc/bind/named.conf.local:

    include "/etc/bind/named.conf.default-zones";

    zone "googleapis.zone" { type master; file "/etc/bind/db.googleapis.zone"; allow-query {none;}; };

  4. Aggiungi le seguenti righe a /etc/bind/db.googleapis.zone:

    $TTL 1H
    @                       SOA LOCALHOST. noreply.localhost(1 1h 15m 30d 2h)
                            NS  LOCALHOST.

    *.googleapis.com CNAME restricted.googleapis.com. restricted.googleapis.com CNAME rpz-passthru.

Configura DNS in casi speciali

Quando devi configurare DNS in casi speciali, tieni presente quanto segue:

  • BIND personalizzato non supportato durante l'utilizzo di Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, utilizza le zone private di Cloud DNS anziché i server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, puoi utilizzare un metodo di forwarding DNS di Google Cloud.
  • Potrebbe essere necessario configurare il DNS anche per gcr.io se, ad esempio, utilizzi Google Kubernetes Engine (GKE). Per ulteriori informazioni, consulta la sezione Configurare i cluster privati di Container Registry per GKE.