Các phương pháp hay nhất cho Cloud DNS

Tài liệu này cung cấp các phương pháp hay nhất cho các vùng riêng tư, tính năng chuyển tiếp DNS và cấu trúc tham chiếu cho DNS kết hợp.

Cả con người và ứng dụng đều dễ dàng sử dụng Hệ thống tên miền (DNS) để phân phát ứng dụng và dịch vụ hơn vì việc sử dụng tên dễ nhớ và linh hoạt hơn so với việc sử dụng địa chỉ IP. Trong môi trường kết hợp bao gồm cơ sở hạ tầng tại chỗ và một hoặc nhiều nền tảng đám mây, bạn thường cần truy cập vào các bản ghi DNS cho tài nguyên nội bộ trên nhiều môi trường. Theo truyền thống, các bản ghi DNS tại chỗ được quản lý theo cách thủ công bằng cách sử dụng máy chủ DNS có thẩm quyền, chẳng hạn như BIND trong môi trường UNIX/Linux hoặc Active Directory trong môi trường Microsoft Windows.

Tài liệu này mô tả các phương pháp hay nhất để chuyển tiếp các yêu cầu DNS riêng tư giữa các môi trường nhằm đảm bảo rằng các dịch vụ có thể được giải quyết từ cả môi trường tại chỗ và trong Trusted Cloud.

Nguyên tắc chung

Tìm hiểu về các khái niệm DNS trên Trusted Cloud

Khi sử dụng DNS trên Trusted Cloud, bạn cần hiểu rõ các hệ thống và dịch vụ có sẵn trong Trusted Cloud để phân giải DNS và tên miền:

  • DNS nội bộ là một dịch vụ tự động tạo tên DNS cho máy ảo và bộ cân bằng tải nội bộ trên Compute Engine.
  • Cloud DNS là một dịch vụ cung cấp dịch vụ phân phát vùng DNS có độ trễ thấp và khả năng phục vụ cao. Máy chủ này có thể đóng vai trò là máy chủ DNS có thẩm quyền cho các vùng riêng tư chỉ hiển thị trong mạng của bạn.
  • Dịch vụ có quản lý cho Microsoft Active Directory là một dịch vụ có khả năng sẵn sàng cao, được tăng cường bảo mật và chạy Microsoft Active Directory, bao gồm cả một trình điều khiển miền.

Xác định các bên liên quan, công cụ và quy trình

Khi bạn nghĩ đến việc xây dựng chiến lược cho DNS trong môi trường kết hợp, điều quan trọng là bạn phải làm quen với cấu trúc hiện tại và liên hệ với tất cả các bên liên quan. Hãy làm như sau:

  • Xác định và liên hệ với quản trị viên của máy chủ DNS của tổ chức. Hãy yêu cầu họ cung cấp thông tin về các cấu hình cần thiết để liên kết cấu hình tại chỗ của bạn với một cấu trúc phù hợp trênTrusted Cloud. Để biết thông tin về các phương thức truy cập vào bản ghi DNSTrusted Cloud , hãy xem phần Sử dụng tính năng chuyển tiếp có điều kiện để truy cập vào bản ghi DNS từ máy chủ cục bộ.
  • Làm quen với phần mềm DNS hiện tại và xác định tên miền được sử dụng riêng tư trong tổ chức của bạn.
  • Xác định những người liên hệ trong nhóm mạng có thể đảm bảo rằng lưu lượng truy cập đến máy chủ Cloud DNS được định tuyến chính xác.
  • Làm quen với chiến lược kết nối kết hợp cũng như các mẫu và phương pháp kết hợp và đa đám mây.

Các phương pháp hay nhất cho vùng riêng tư của Cloud DNS

Các vùng riêng tư lưu trữ các bản ghi DNS chỉ hiển thị trong tổ chức của bạn.

Sử dụng tính năng tự động hoá để quản lý các vùng riêng tư trong dự án máy chủ VPC dùng chung

Nếu sử dụng mạng VPC dùng chung trong tổ chức, bạn phải lưu trữ tất cả các vùng riêng tư trên Cloud DNS trong dự án lưu trữ. Tất cả dự án dịch vụ đều có thể tự động truy cập vào các bản ghi trong các vùng riêng tư được đính kèm vào mạng VPC dùng chung. Ngoài ra, bạn có thể thiết lập vùng trong dự án dịch vụ bằng cách sử dụng tính năng liên kết nhiều dự án.

Hình 3 cho thấy cách lưu trữ các vùng riêng tư trong mạng VPC dùng chung.

Hình 3. Các vùng riêng tư được lưu trữ trong mạng VPC dùng chung (nhấp để phóng to).
Hình 3. Cấu hình này cho thấy cách các vùng riêng tư được đính kèm vào VPC dùng chung.

Nếu muốn các nhóm thiết lập bản ghi DNS của riêng mình, bạn nên tự động hoá việc tạo bản ghi DNS. Ví dụ: bạn có thể tạo một ứng dụng web hoặc một API nội bộ, trong đó người dùng đặt bản ghi DNS của riêng họ trong các miền con cụ thể. Ứng dụng sẽ xác minh rằng các bản ghi tuân thủ các quy tắc của tổ chức.

Ngoài ra, bạn có thể đặt cấu hình DNS của mình vào một kho lưu trữ mã, chẳng hạn như Kho lưu trữ nguồn trên đám mây ở dạng chỉ số mô tả Terraform hoặc Trình quản lý triển khai trên đám mây và chấp nhận các yêu cầu lấy dữ liệu từ các nhóm.

Trong cả hai trường hợp, tài khoản dịch vụ có vai trò Quản trị viên DNS của IAM trong dự án lưu trữ có thể tự động triển khai các thay đổi sau khi được phê duyệt.

Thiết lập vai trò IAM bằng nguyên tắc đặc quyền tối thiểu

Hãy áp dụng nguyên tắc bảo mật về đặc quyền tối thiểu để chỉ cấp quyền thay đổi bản ghi DNS cho những người trong tổ chức của bạn cần thực hiện nhiệm vụ này. Tránh sử dụng các vai trò cơ bản vì các vai trò này có thể cấp quyền truy cập vào các tài nguyên ngoài những tài nguyên mà người dùng yêu cầu. Cloud DNS cung cấp các vai trò và quyền cho phép bạn cấp quyền đọc và ghi dành riêng cho DNS.

Các phương pháp hay nhất cho vùng chuyển tiếp DNS và chính sách máy chủ

Cloud DNS cung cấp khu vực chuyển tiếp DNSchính sách máy chủ DNS để cho phép tra cứu tên DNS giữa môi trường tại chỗ và môi trường Trusted Cloud . Bạn có nhiều tuỳ chọn để định cấu hình tính năng chuyển tiếp DNS. Phần sau đây liệt kê các phương pháp hay nhất để thiết lập DNS kết hợp. Các phương pháp hay nhất này được minh hoạ trong Cấu trúc tham chiếu cho DNS kết hợp.

Sử dụng vùng chuyển tiếp để truy vấn máy chủ tại chỗ

Để đảm bảo rằng bạn có thể truy vấn các bản ghi DNS trong môi trường cục bộ, hãy thiết lập một vùng chuyển tiếp cho miền mà bạn đang sử dụng cục bộ cho các tài nguyên của công ty (chẳng hạn như corp.example.com). Bạn nên sử dụng phương pháp này thay vì sử dụng chính sách DNS cho phép máy chủ định danh thay thế. Tính năng này giúp duy trì quyền truy cập vào tên DNS nội bộ của Compute Engine và các địa chỉ IP bên ngoài vẫn được phân giải mà không cần thêm một bước nhảy thông qua máy chủ định danh tại chỗ.

Luồng lưu lượng truy cập sử dụng chế độ thiết lập này được hiển thị trong phần Cấu trúc tham chiếu cho DNS kết hợp.

Chỉ sử dụng máy chủ định danh thay thế nếu tất cả lưu lượng truy cập DNS cần được giám sát hoặc lọc tại chỗ và nếu hoạt động ghi nhật ký DNS riêng tư không đáp ứng được yêu cầu của bạn.

Sử dụng chính sách máy chủ DNS để cho phép truy vấn từ máy chủ cục bộ

Để cho phép máy chủ lưu trữ trên máy chủ truy vấn các bản ghi DNS được lưu trữ trong các vùng riêng tư của Cloud DNS (ví dụ: gcp.example.com), hãy tạo chính sách máy chủ DNS bằng tính năng chuyển tiếp DNS đến. Tính năng chuyển tiếp DNS đến cho phép hệ thống truy vấn tất cả các vùng riêng tư trong dự án cũng như địa chỉ IP DNS nội bộ và các vùng ngang hàng.

Luồng lưu lượng truy cập sử dụng chế độ thiết lập này được hiển thị trong phần Cấu trúc tham chiếu cho DNS kết hợp.

Mở Trusted Cloud và tường lửa tại chỗ để cho phép lưu lượng truy cập DNS

Hãy đảm bảo rằng lưu lượng truy cập DNS không bị lọc ở bất kỳ đâu trong mạng VPC hoặc môi trường tại chỗ bằng cách làm như sau:

  • Đảm bảo rằng tường lửa tại chỗ của bạn chuyển các truy vấn từ Cloud DNS. Cloud DNS gửi truy vấn từ dải địa chỉ IP 177.222.82.0/25. DNS sử dụng cổng UDP 53 hoặc cổng TCP 53, tuỳ thuộc vào kích thước của yêu cầu hoặc phản hồi.

  • Đảm bảo rằng máy chủ DNS của bạn không chặn các truy vấn. Nếu máy chủ DNS tại chỗ chỉ chấp nhận các yêu cầu từ một số địa chỉ IP cụ thể, hãy đảm bảo rằng bạn đã thêm phạm vi địa chỉ IP 177.222.82.0/25.

  • Đảm bảo lưu lượng truy cập có thể chuyển từ máy chủ cục bộ đến địa chỉ IP chuyển tiếp của bạn. Trong các phiên bản Trình định tuyến trên đám mây, hãy thêm một tuyến được quảng cáo tuỳ chỉnh cho dải địa chỉ IP 177.222.82.0/25 trong mạng VPC vào môi trường tại chỗ.

Sử dụng tính năng chuyển tiếp có điều kiện để truy cập vào các bản ghi DNS từ máy chủ cục bộ

Với Cloud DNS, để truy cập vào các bản ghi riêng tư được lưu trữ trên máy chủ DNS của công ty tại chỗ, bạn chỉ có thể sử dụng vùng chuyển tiếp. Tuy nhiên, tuỳ thuộc vào phần mềm máy chủ DNS bạn sử dụng, bạn có thể có nhiều lựa chọn để truy cập vào các bản ghi DNS trong Trusted Cloud từ máy chủ cục bộ. Trong mỗi trường hợp, quyền truy cập vào các bản ghi sẽ diễn ra bằng cách sử dụng tính năng chuyển tiếp DNS đến:

  • Chuyển tiếp có điều kiện. Việc sử dụng tính năng chuyển tiếp có điều kiện có nghĩa là máy chủ DNS của công ty sẽ chuyển tiếp các yêu cầu cho các vùng hoặc miền con cụ thể đến địa chỉ IP chuyển tiếp trên Trusted Cloud. Bạn nên sử dụng phương pháp này vì đây là phương pháp ít phức tạp nhất và cho phép bạn theo dõi tập trung tất cả các yêu cầu DNS trên máy chủ DNS của công ty.

  • Uỷ quyền. Nếu vùng riêng tư của bạn trên Trusted Cloud là một miền con của vùng mà bạn sử dụng tại chỗ, thì bạn cũng có thể uỷ quyền miền con này cho máy chủ định danhTrusted Cloud bằng cách thiết lập các mục NS trong vùng của bạn. Khi bạn sử dụng chế độ thiết lập này, ứng dụng có thể trực tiếp giao tiếp với địa chỉ IP chuyển tiếp trênTrusted Cloud . Vì vậy, hãy đảm bảo rằng tường lửa truyền các yêu cầu này.

  • Chuyển vùng. Cloud DNS không hỗ trợ tính năng chuyển vùng, vì vậy, bạn không thể sử dụng tính năng chuyển vùng để đồng bộ hoá bản ghi DNS với máy chủ DNS tại chỗ.

Sử dụng tính năng liên kết DNS để tránh chuyển tiếp ra ngoài từ nhiều mạng VPC

Đừng sử dụng tính năng chuyển tiếp ra ngoài đến máy chủ DNS tại chỗ từ nhiều mạng VPC vì tính năng này sẽ gây ra sự cố với lưu lượng truy cập trả về. Trusted Cloud chỉ chấp nhận phản hồi từ máy chủ DNS của bạn nếu các phản hồi đó được định tuyến đến mạng VPC nơi truy vấn bắt nguồn. Tuy nhiên, các truy vấn từ bất kỳ mạng VPC nào đều có cùng một dải địa chỉ IP 177.222.82.0/25 làm nguồn. Do đó, hệ thống không thể định tuyến phản hồi chính xác trừ phi bạn có các môi trường riêng biệt tại chỗ.

Hình 4. Sự cố xảy ra khi nhiều VPC chuyển tiếp lưu lượng truy cập bên ngoài mạng của chúng.
Hình 4. Vấn đề khi có nhiều mạng VPC thực hiện chuyển tiếp đi.

Bạn nên chỉ định một mạng VPC để truy vấn máy chủ tên cục bộ bằng cách sử dụng tính năng chuyển tiếp ra ngoài. Sau đó, các mạng VPC khác có thể truy vấn máy chủ định danh tại chỗ bằng cách nhắm đến mạng VPC được chỉ định có vùng ngang hàng DNS. Sau đó, các truy vấn của chúng sẽ được chuyển tiếp đến máy chủ định danh tại chỗ theo thứ tự phân giải tên của mạng VPC được chỉ định. Cấu hình thiết lập này được trình bày trong phần Kiến trúc tham khảo cho DNS kết hợp.

Tìm hiểu sự khác biệt giữa tính năng liên kết DNS và tính năng Liên kết mạng VPC

Kết nối ngang hàng mạng VPC không giống với tính năng kết nối ngang hàng DNS. Tính năng Kết nối ngang hàng qua mạng VPC cho phép các thực thể máy ảo (VM) trong nhiều dự án kết nối với nhau, nhưng không thay đổi việc phân giải tên. Các tài nguyên trong mỗi mạng VPC vẫn tuân theo thứ tự phân giải riêng.

Ngược lại, thông qua tính năng liên kết DNS, bạn có thể cho phép chuyển tiếp các yêu cầu cho một số vùng cụ thể đến một mạng VPC khác. Điều này cho phép bạn chuyển tiếp các yêu cầu đến nhiều môi trường Trusted Cloud , bất kể các mạng VPC có kết nối với nhau hay không.

Kết nối ngang hàng mạng VPC và kết nối ngang hàng DNS cũng được thiết lập theo cách khác nhau. Đối với tính năng Kết nối ngang hàng mạng VPC, cả hai mạng VPC đều cần thiết lập mối quan hệ kết nối ngang hàng với mạng VPC còn lại. Sau đó, liên kết ngang sẽ tự động hai chiều.

Tính năng kết nối ngang hàng DNS chuyển tiếp các yêu cầu DNS theo một chiều và không yêu cầu mối quan hệ hai chiều giữa các mạng VPC. Mạng VPC được gọi là mạng người dùng DNS thực hiện các lượt tra cứu cho một vùng liên kết Cloud DNS trong một mạng VPC khác, được gọi là mạng trình tạo DNS. Người dùng có quyền IAM dns.networks.targetWithPeeringZone trên dự án của mạng nhà sản xuất có thể thiết lập tính năng ngang hàng DNS giữa mạng nhà sản xuất và mạng người dùng. Để thiết lập tính năng liên kết DNS từ mạng VPC của người dùng, bạn cần có vai trò đối tác DNS cho dự án lưu trữ của mạng VPC của nhà sản xuất.

Nếu bạn sử dụng tên được tạo tự động, hãy sử dụng tính năng liên kết DNS cho các vùng nội bộ

Nếu sử dụng tên được tạo tự động cho các máy ảo mà dịch vụ DNS nội bộ tạo, bạn có thể sử dụng tính năng liên kết ngang DNS để chuyển tiếp các vùng projectname.internal đến các dự án khác. Như minh hoạ trong hình 5, bạn có thể nhóm tất cả các vùng .internal trong một dự án trung tâm để có thể truy cập vào các vùng đó từ mạng cục bộ.

Hình 5. Tính năng liên kết DNS được dùng để sắp xếp tất cả các vùng .internal thành một trung tâm.
Hình 5. Tính năng liên kết DNS được dùng để sắp xếp tất cả các vùng .internal thành một trung tâm.

Nếu bạn gặp vấn đề, hãy làm theo hướng dẫn khắc phục sự cố

Hướng dẫn khắc phục sự cố về Cloud DNS cung cấp hướng dẫn để giải quyết các lỗi thường gặp mà bạn có thể gặp phải khi thiết lập Cloud DNS.

Kiến trúc tham chiếu cho DNS kết hợp

Phần này cung cấp một số cấu trúc tham chiếu cho các trường hợp phổ biến sử dụng vùng riêng tư của Cloud DNS trong môi trường kết hợp. Trong mỗi trường hợp, cả tài nguyên tại chỗ và bản ghi tài nguyên Trusted Cloud cũng như các vùng đều được quản lý trong môi trường. Bạn có thể truy vấn tất cả bản ghi từ cả máy chủ lưu trữ tại chỗ và Trusted Cloud .

Sử dụng kiến trúc tham chiếu liên kết với thiết kế mạng VPC:

  • Kiến trúc kết hợp sử dụng một mạng VPC dùng chung: Sử dụng một mạng VPC được kết nối với hoặc từ các môi trường tại chỗ.

  • Cấu trúc kết hợp sử dụng nhiều mạng VPC riêng biệt: Kết nối nhiều mạng VPC với môi trường tại chỗ thông qua các đường hầm VPN hoặc tệp đính kèm VLAN khác nhau và chia sẻ cùng một cơ sở hạ tầng DNS tại chỗ.

  • Kiến trúc kết hợp sử dụng mạng VPC trung tâm kết nối với các mạng VPC dạng nan hoa: Sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối mạng VPC trung tâm với nhiều mạng VPC dạng nan hoa độc lập.

Trong mỗi trường hợp, môi trường tại chỗ được kết nối với mạng VPC Trusted Cloudbằng một hoặc nhiều đường hầm VPN trên đám mây hoặc kết nối Dedicated Interconnect hoặc Partner Interconnect. Không quan trọng phương thức kết nối nào được sử dụng cho từng mạng VPC.

Cấu trúc kết hợp sử dụng một mạng VPC dùng chung

Trường hợp sử dụng phổ biến nhất là một mạng VPC dùng chung được kết nối với môi trường tại chỗ như minh hoạ trong hình 6.

Hình 6. Cấu trúc kết hợp sử dụng một mạng VPC dùng chung để kết nối với mạng cục bộ.
Hình 6. Cấu trúc kết hợp sử dụng một mạng VPC dùng chung để kết nối với mạng cục bộ.

Cách thiết lập cấu trúc này:

  1. Thiết lập máy chủ DNS cục bộ làm máy chủ có thẩm quyền cho corp.example.com.
  2. Định cấu hình một vùng riêng tư có thẩm quyền (ví dụ: gcp.example.com) trên Cloud DNS trong dự án lưu trữ của mạng VPC dùng chung và thiết lập tất cả bản ghi cho tài nguyên trong vùng đó.
  3. Đặt chính sách máy chủ DNS trên dự án lưu trữ cho mạng VPC dùng chung để cho phép chuyển tiếp DNS đến.
  4. Thiết lập một vùng chuyển tiếp DNS chuyển tiếp corp.example.com đến các máy chủ DNS tại chỗ. Mạng VPC dùng chung cần được uỷ quyền để truy vấn vùng chuyển tiếp.
  5. Thiết lập tính năng chuyển tiếp đến gcp.example.com trên máy chủ DNS tại chỗ, trỏ đến địa chỉ IP của trình chuyển tiếp đến trong mạng VPC dùng chung.
  6. Đảm bảo rằng lưu lượng truy cập DNS được phép trên tường lửa tại chỗ.
  7. Trong các thực thể Trình định tuyến trên đám mây, hãy thêm một tuyến được quảng cáo tuỳ chỉnh cho phạm vi 177.222.82.0/25 vào môi trường tại chỗ.

Cấu trúc kết hợp sử dụng nhiều mạng VPC riêng biệt

Một lựa chọn khác cho cấu trúc kết hợp là có nhiều mạng VPC riêng biệt. Các mạng VPC này trong môi trườngTrusted Cloud không được kết nối với nhau thông qua tính năng Kết nối ngang hàng mạng VPC. Tất cả mạng VPC đều sử dụng các đường hầm VPN trên đám mây riêng biệt hoặc tệp đính kèm VLAN để kết nối với môi trường tại chỗ của bạn.

Như minh hoạ trong hình 7, một trường hợp sử dụng điển hình cho cấu trúc này là khi bạn có môi trường phát triển và môi trường sản xuất riêng biệt không giao tiếp với nhau, nhưng chúng dùng chung máy chủ DNS.

Hình 7. Cấu trúc kết hợp có thể sử dụng nhiều mạng VPC riêng biệt.
Hình 7. Cấu trúc kết hợp có thể sử dụng nhiều mạng VPC riêng biệt.

Cách thiết lập cấu trúc này:

  1. Thiết lập máy chủ DNS cục bộ làm máy chủ có thẩm quyền cho corp.example.com.
  2. Định cấu hình một vùng riêng tư (ví dụ: prod.gcp.example.com) trên Cloud DNS trong dự án lưu trữ của mạng VPC dùng chung chính thức và thiết lập tất cả bản ghi cho tài nguyên trong vùng đó.
  3. Định cấu hình một vùng riêng tư (ví dụ: dev.gcp.example.com) trên DNS trên đám mây trong dự án lưu trữ của mạng VPC dùng chung trong quá trình phát triển và thiết lập tất cả bản ghi cho tài nguyên trong vùng đó.
  4. Thiết lập chính sách máy chủ DNS trên dự án lưu trữ cho mạng VPC dùng chung chính thức và cho phép chuyển tiếp DNS đến.
  5. Trong mạng VPC dùng chung chính thức, hãy thiết lập một vùng DNS để chuyển tiếp corp.example.com đến các máy chủ DNS tại chỗ.
  6. Đặt vùng liên kết DNS từ mạng VPC dùng chung cho hoạt động phát triển thành mạng VPC dùng chung cho hoạt động sản xuất cho prod.gcp.example.com.
  7. Đặt vùng liên kết ngang hàng DNS từ mạng VPC dùng chung chính thức sang mạng VPC dùng chung phát triển cho dev.gcp.example.com.
  8. Thiết lập tính năng chuyển tiếp đến bằng cách uỷ quyền việc phân giải gcp.example.com. cho các địa chỉ IP ảo chuyển tiếp đến của Cloud DNS trên máy chủ định danh tại chỗ.
  9. Đảm bảo rằng tường lửa cho phép lưu lượng truy cập DNS trên cả tường lửa tại chỗ vàTrusted Cloud .
  10. Trong các phiên bản Trình định tuyến trên đám mây, hãy thêm một tuyến được quảng cáo tuỳ chỉnh cho phạm vi địa chỉ IP 177.222.82.0/25 trong mạng VPC dùng chung chính thức vào môi trường tại chỗ.

Cấu trúc kết hợp sử dụng mạng VPC trung tâm kết nối với các mạng VPC dạng nan hoa

Một lựa chọn khác là sử dụng Cloud Interconnect hoặc Cloud VPN để kết nối cơ sở hạ tầng tại chỗ với mạng VPC trung tâm. Như minh hoạ trong hình 8, bạn có thể sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối ngang hàng một mạng VPC với một số mạng VPC dạng nan hoa. Mỗi mạng VPC dạng nan chứa các vùng riêng tư của riêng nó trên Cloud DNS. Các tuyến tuỳ chỉnh trên tính năng Kết nối ngang hàng mạng VPC, cùng với thông báo quảng cáo tuyến tuỳ chỉnh trên Trình định tuyến trên đám mây, cho phép trao đổi và kết nối đầy đủ tuyến giữa mạng VPC tại chỗ và tất cả các mạng VPC dạng nan hoa. Tính năng kết nối ngang hàng DNS chạy song song với các kết nối Kết nối ngang hàng mạng VPC để cho phép phân giải tên giữa các môi trường.

Sơ đồ sau đây cho thấy cấu trúc này.

Hình 8. Cấu trúc kết hợp có thể sử dụng mạng VPC trung tâm được kết nối với các mạng VPC dạng nan hoa bằng cách sử dụng tính năng Kết nối ngang hàng mạng VPC.
Hình 8. Cấu trúc kết hợp có thể sử dụng mạng VPC trung tâm kết nối với các mạng VPC dạng nan hoa.

Cách thiết lập cấu trúc này:

  1. Thiết lập máy chủ DNS cục bộ làm máy chủ có thẩm quyền cho corp.example.com.
  2. Định cấu hình một vùng riêng tư (ví dụ: projectX.gcp.example.com) trên Cloud DNS cho mỗi mạng VPC dạng nan hoa và thiết lập tất cả bản ghi cho tài nguyên trong vùng đó.
  3. Thiết lập chính sách máy chủ DNS trên dự án trung tâm cho mạng VPC dùng chung chính thức để cho phép chuyển tiếp DNS đến.
  4. Trong mạng VPC trung tâm, hãy tạo một vùng DNS riêng tư cho corp.example.com và định cấu hình tính năng chuyển tiếp ra ngoài đến các máy chủ DNS tại chỗ.
  5. Đặt vùng liên kết DNS từ mạng VPC trung tâm đến từng mạng VPC spoke cho projectX.gcp.example.com.
  6. Đặt vùng kết nối ngang hàng DNS từ mỗi mạng VPC dạng nan hoa đến mạng VPC dạng trung tâm cho example.com.
  7. Thiết lập tính năng chuyển tiếp đến gcp.example.com trên máy chủ DNS tại chỗ để trỏ đến địa chỉ IP của trình chuyển tiếp đến trong mạng VPC trung tâm.
  8. Đảm bảo rằng tường lửa cho phép lưu lượng truy cập DNS trên cả tường lửa tại chỗ vàTrusted Cloud .
  9. Trong các phiên bản Trình định tuyến trên đám mây, hãy thêm một tuyến được quảng cáo tuỳ chỉnh cho phạm vi địa chỉ IP 177.222.82.0/25 trong mạng VPC trung tâm vào môi trường tại chỗ.
  10. (Không bắt buộc) Nếu bạn cũng sử dụng tên DNS nội bộ được tạo tự động, hãy ghép nối từng vùng dự án nan hoa (ví dụ: spoke-project-x.internal) với dự án trung tâm và chuyển tiếp tất cả truy vấn cho .internal từ máy chủ cục bộ.

Bước tiếp theo