Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Termini chiave

Questo documento illustra la terminologia chiave applicabile a Cloud DNS. Esamina questi termini per comprendere meglio il funzionamento di Cloud DNS e i concetti su cui si basa.

L'API Cloud DNS è basata su progetti, zone gestite, set di record e modifiche ai set di record.

progetto: Un progetto della console Cloud de Confiance è un contenitore per le risorse, un dominio per il controllo dell'accesso e il luogo in cui la fatturazione viene configurata e aggregata. Per maggiori dettagli, consulta la pagina Crea e gestisci i progetti.
zona gestita: La zona gestita contiene record DNS (Domain Name System) per lo stesso suffisso del nome DNS (ad esempio example.com). Un progetto può avere più zone gestite, ma ognuna deve avere un nome univoco. In Cloud DNS, la zona gestita è la risorsa che modella una zona DNS.; Tutti i record in una zona gestita sono ospitati sugli stessi server dei nomi gestiti da Google. Questi server dei nomi rispondono alle query DNS sulla zona gestita in base alla configurazione della zona. Un progetto può contenere più zone gestite. Gli addebiti maturano per ogni zona gestita per ogni giorno in cui esiste. Le zone gestite supportano le etichette, che puoi utilizzare per organizzare la fatturazione.

zona privata

Le zone private consentono di gestire nomi di dominio personalizzati per le istanze di macchine virtuali (VM), i bilanciatori del carico e altre risorse Cloud de Confiance senza esporre i dati DNS sottostanti alla rete internet pubblica. Una zona privata è un contenitore di record DNS su cui possono essere eseguite query solo da una o più reti virtual private cloud (VPC) che autorizzi.

Quando crei o aggiorni la zona privata, devi specificare l'elenco delle reti VPC autorizzate che possono eseguire query. Solo le reti autorizzate possono eseguire query sulla tua zona privata; se non specifichi alcuna rete autorizzata, non puoi eseguire query sulla zona privata.

Puoi utilizzare le zone private con il VPC condiviso. Per informazioni importanti sull'utilizzo di zone private con il VPC condiviso, consulta Considerazioni sul VPC condiviso.

Le zone private non supportano le estensioni di sicurezza DNS (DNSSEC) o i set di record di risorse personalizzati di tipo NS. Le richieste di record DNS nelle zone private devono essere inviate tramite il server dei metadati 169.254.169.254, che è il server dei nomi interno predefinito per le VM create da immagini fornite da Google.

Puoi inviare query a questo server dei nomi da qualsiasi VM che utilizzi una rete VPC autorizzata. Ad esempio, puoi creare una zona privata affinché dev.gcp.example.com ospiti record DNS interni per applicazioni sperimentali. La tabella seguente mostra record di esempio in questa zona. I client di database possono connettersi al server di database db-01.dev.gcp.example.com utilizzando il nome DNS interno anziché l'indirizzo IP. I client di database risolvono questo nome DNS interno utilizzando il resolver host sulla VM, che invia la query DNS al server dei metadati 169.254.169.254. Il server dei metadati funge da resolver ricorsivo per eseguire query nella tua zona privata.

Nome DNS	Tipo	TTL (secondi)	Dati
`db-01.dev.gcp.example.com`	A	5	10.128.1.35
`instance-01.dev.gcp.example.com`	A	50	10.128.1.10

Le zone private consentono di creare configurazioni DNS split horizon. Puoi quindi controllare quali reti VPC eseguono query sui record nella zona privata. Ad esempio, consulta la sezione sulle zone sovrapposte.

Service Directory

Service Directory è un registro di servizi gestiti perCloud de Confiance che consente di registrare e scoprire i servizi con HTTP o gRPC (tramite la relativa API Lookup) oltre a utilizzare il DNS tradizionale. Puoi utilizzare Service Directory per registrare serviziCloud de Confiance e nonCloud de Confiance .

Cloud DNS consente di creare zone supportate da Service Directory, che sono un tipo di zona privata contenente informazioni sui tuoi servizi ed endpoint. Non devi aggiungere set di record alla zona, perché vengono dedotti automaticamente in base alla configurazione dello spazio dei nomi Service Directory associato alla zona. Per saperne di più su Service Directory, consulta la panoramica di Service Directory.

Quando crei una zona supportata da Service Directory, non puoi aggiungere record direttamente alla zona; i dati provengono dal registro dei servizi Service Directory.

Cloud DNS e ricerca inversa di indirizzi non RFC 1918

Dopo aver configurato una rete VPC per utilizzare indirizzi non RFC 1918, devi configurare una zona privata Cloud DNS come zona di ricerca inversa gestita. Questa configurazione consente a Cloud DNS di risolvere gli indirizzi non RFC 1918 localmente anziché inviarli tramite internet.

Quando crei una zona DNS di ricerca inversa gestita, non puoi aggiungere record direttamente alla zona; i dati provengono dai dati dell'indirizzo IP di Compute Engine.

Cloud DNS supporta anche il forwarding in uscita a indirizzi non RFC 1918 instradandoli privatamente all'interno di Cloud de Confiance. Per abilitare questo tipo di forwarding in uscita, devi configurare una zona di forwarding con argomenti del percorso di forwarding specifici. Per i dettagli, vedi Target di forwarding e metodi di routing.

zona di forwarding

Una zona di forwarding è un tipo di zona Cloud DNS privata gestita che inoltra le richieste per la zona stessa agli indirizzi IP delle relative destinazioni di forwarding. Per saperne di più, consulta Metodi di forwarding DNS.

Quando crei una zona di forwarding, non puoi aggiungere record direttamente alla zona; i dati provengono da uno o più resolver o server dei nomi di destinazione configurati.

zona di peering

Una zona di peering è un tipo di zona Cloud DNS privata gestita che segue l'ordine di risoluzione dei nomi di un'altra rete VPC. Puoi utilizzarla per risolvere i nomi definiti nell'altra rete VPC.

Quando crei una zona di peering DNS, non puoi aggiungere record direttamente alla zona; i dati provengono dalla rete VPC producer in base al suo ordine di risoluzione dei nomi.

policy di risposta

Una policy di risposta è un concetto di zona privata Cloud DNS che contiene regole anziché record. Queste regole possono essere utilizzate per ottenere effetti simili al concetto di bozza di zona di policy di risposta (RPZ) DNS (IETF). Le policy di risposta consentono di introdurre regole personalizzate nei server DNS all'interno della tua rete che il resolver DNS consulta durante le ricerche. Se una regola nella policy di risposta influisce sulla query in entrata, viene elaborata. In caso contrario, la ricerca procede normalmente. Per saperne di più, consulta Gestisci le policy e le regole di risposta.

Una policy di risposta è diversa da una RPZ, che è una zona DNS altrimenti normale con dati formattati in modo speciale che inducono i resolver compatibili a eseguire operazioni particolari. Le policy di risposta non sono zone DNS e vengono gestite separatamente nell'API.

operazioni di zona

Tutte le modifiche apportate alle zone gestite in Cloud DNS vengono registrate nella raccolta delle operazioni, che elenca gli aggiornamenti alle zone gestite (modifica di descrizioni o stato o configurazione DNSSEC). Le modifiche ai set di record all'interno di una zona vengono archiviate separatamente nei set di record di risorse, descritti più avanti in questo documento.

nome di dominio internazionalizzato (IDN)

Un nome di dominio internazionalizzato è un nome di dominio internet che consente alle persone di tutto il mondo di utilizzare un alfabeto o un sistema di scrittura specifico per la lingua, come arabo, cinese, cirillico, devanagari, ebraico o i caratteri speciali dell'alfabeto latino, nei nomi di dominio. Questa conversione viene implementata utilizzando Punycode, che è una rappresentazione di caratteri Unicode che utilizzano ASCII. Ad esempio, una rappresentazione IDN di .ελ è .xn--qxam. Alcuni browser, client di posta e applicazioni potrebbero riconoscerlo e visualizzarlo come .ελ. Lo standard Internationalizing Domain Names in Applications (IDNA) consente solo stringhe Unicode sufficientemente brevi da essere rappresentate come un'etichetta DNS valida. Per informazioni su come utilizzare gli IDN con Cloud DNS, consulta Crea zone con nomi di dominio internazionalizzati.

registrar

Un registrar del nome di dominio è un'organizzazione che gestisce la prenotazione dei nomi di dominio internet. Un registrar deve essere accreditato da un registry di domini di primo livello generici (gTLD) o da un registry di domini di primo livello nazionali (ccTLD).

DNS interno

Cloud de Confiance crea automaticamente nomi DNS interni per le VM, anche se non utilizzi Cloud DNS. Per saperne di più sul DNS interno, consulta la documentazione sul DNS interno.

sottozona delegata

Il DNS consente al proprietario di una zona di delegare un sottodominio a un server dei nomi diverso utilizzando i record NS (Name Server). I resolver seguono questi record e inviano query per il sottodominio al server dei nomi di destinazione specificato nella delega.

set di record di risorse

Un set di record di risorse è una raccolta di record DNS con etichetta, classe e tipo identici, ma con dati diversi. I set di record di risorse contengono lo stato attuale dei record DNS che compongono una zona gestita. Puoi leggere un set di record di risorse, ma non puoi modificarlo direttamente. Puoi invece modificare il set di record di risorse in una zona gestita creando una richiesta Change nella raccolta delle modifiche. Puoi anche modificare i set di record di risorse utilizzando l'API ResourceRecordSets. Il set di record di risorse riflette immediatamente tutte le modifiche. Tuttavia, esiste un ritardo tra il momento in cui vengono apportate modifiche nell'API e il momento in cui vengono applicate ai tuoi server DNS autoritativi. Per informazioni su come gestire i record, consulta Aggiungi, modifica ed elimina record.

modifica del set di record di risorse

Per apportare una modifica a un set di record di risorse, invia una richiesta Change o ResourceRecordSets contenente aggiunte o eliminazioni. Le aggiunte e le eliminazioni possono essere eseguite in blocco o in una singola transazione atomica e diventano effettive contemporaneamente in ciascun server DNS autoritativo.

Ad esempio, se hai un record A come questo:

www  A  203.0.113.1 203.0.113.2

Ed esegui un comando come questo:

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

Dopo la modifica in blocco, il record appare così:

www  A  203.0.113.1 203.0.113.3

Le operazioni ADD e DEL vengono eseguite contemporaneamente.

formato del numero di serie SOA

I numeri di serie dei record SOA creati nelle zone Cloud DNS gestite aumentano in modo monotono a ogni modifica transazionale apportata ai set di record di una zona utilizzando il comando gcloud dns record-sets transaction. Tuttavia, puoi modificare manualmente il numero di serie di un record SOA in un numero arbitrario, inclusa una data in formato ISO 8601 come consigliato nella RFC 1912.

Ad esempio, nel seguente record SOA puoi modificare il numero di serie direttamente dalla console Cloud de Confiance inserendo il valore desiderato nel terzo campo delimitato da spazi del record:

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`

policy dei server DNS

Una policy dei server DNS consente di accedere ai servizi di risoluzione dei nomi forniti da Cloud de Confiance in una rete VPC con forwarding in entrata o di sostituire l'ordine di risoluzione dei nomi del VPC con una policy dei server in uscita. Per saperne di più, consulta le Policy dei server DNS.

dominio, sottodominio e delega

La maggior parte dei sottodomini sono record solo nella zona gestita per il dominio principale. I sottodomini delegati tramite la creazione di record NS (Name Server) nella zona del dominio principale devono avere anche le proprie zone. DNSSEC

Le estensioni DNSSEC (Domain Name System Security Extensions) sono un insieme di estensioni dell'Internet Engineering Task Force (IETF) per DNS che autenticano le risposte alle ricerche di nomi di dominio. DNSSEC non fornisce protezioni della privacy per queste ricerche, ma impedisce ai malintenzionati di manipolare o compromettere le risposte alle richieste DNS.

raccolta DNSKEY

La raccolta DNSKEY contiene lo stato attuale dei record DNSKEY utilizzati per firmare una zona gestita abilitata per DNSSEC. Puoi solo leggere questa raccolta; tutte le modifiche alle DNSKEY vengono apportate da Cloud DNS. La raccolta DNSKEY contiene tutte le informazioni richieste dai registrar di domini per attivare DNSSEC.