Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Termini chiave

Questo documento fornisce la terminologia chiave applicabile a Cloud DNS. Esamina questi termini per comprendere meglio il funzionamento di Cloud DNS e i concetti su cui si basa.

L'API Cloud DNS è basata su progetti, zone gestite, set di record e modifiche ai set di record.

progetto: Un progetto Trusted Cloud console è un contenitore per le risorse, un dominio per controllo dell'accesso'accesso e il luogo in cui la fatturazione viene configurata e aggregata. Per maggiori dettagli, vedi Creazione e gestione dei progetti.
zona gestita: La zona gestita contiene record DNS (Domain Name System) per lo stesso suffisso di nomi DNS (ad esempio example.com). Un progetto può avere più zone gestite, ma ognuna deve avere un nome univoco. In Cloud DNS, la zona gestita è la risorsa che modella una zona DNS.; Tutti i record di una zona gestita sono ospitati sugli stessi server dei nomi gestiti da Google. Questi server dei nomi rispondono alle query DNS sulla zona gestita in base alla configurazione della zona. Un progetto può contenere più zone gestite. Gli addebiti maturano per ogni zona per ogni giorno in cui la zona gestita esiste. Le zone gestite supportano le etichette che puoi utilizzare per organizzare la fatturazione.

zona privata

Le zone private consentono di gestire nomi di dominio personalizzati per le istanze di macchine virtuali (VM), i bilanciatori di carico e altre risorse Trusted Cloud senza esporre i dati DNS sottostanti alla rete internet pubblica. Una zona privata è un contenitore di record DNS su cui possono essere eseguite query solo da una o più reti Virtual Private Cloud (VPC) che autorizzi.

Quando crei o aggiorni l'elenco delle reti VPC autorizzate che possono interrogare la tua zona privata, devi specificarlo. Solo le reti autorizzate possono eseguire query sulla tua zona privata; se non specifichi alcuna rete autorizzata, non puoi eseguire query sulla zona privata.

Puoi utilizzare le zone private con VPC condiviso. Per informazioni importanti sull'utilizzo di zone private con il VPC condiviso, consulta Considerazioni sul VPC condiviso.

Le zone private non supportano le estensioni di sicurezza DNS (DNSSEC) o i set di record di risorse personalizzati di tipo NS. Le richieste di record DNS nelle zone private devono essere inviate tramite il server dei metadati 169.254.169.254, che è il server dei nomi interno predefinito per le VM create da immagini fornite da Google.

Puoi inviare query a questo server dei nomi da qualsiasi VM che utilizzi una rete VPC autorizzata. Ad esempio, puoi creare una zona privata per dev.gcp.example.com per ospitare record DNS interni per applicazioni sperimentali. La tabella seguente mostra record di esempio in questa zona. I client di database possono connettersi al server di database db-01.dev.gcp.example.com utilizzando il nome DNS interno anziché l'indirizzo IP. I client di database risolvono questo nome DNS interno utilizzando il resolver host sulla VM, che invia la query DNS al server dei metadati 169.254.169.254. Il server di metadati funge da resolver ricorsivo per eseguire query nella tua zona privata.

Nome DNS	Tipo	TTL (secondi)	Dati
`db-01.dev.gcp.example.com`	A	5	10.128.1.35
`instance-01.dev.gcp.example.com`	A	50	10.128.1.10

Le zone private ti consentono di creare configurazioni DNS split horizon. Puoi quindi controllare quali reti VPC eseguono query sui record nella zona privata. Ad esempio, vedi zone sovrapposte.

Service Directory

Service Directory è un registro di servizi gestito per Trusted Cloud che ti consente di registrare e scoprire i servizi utilizzando HTTP o gRPC (tramite la relativa API Lookup) oltre a utilizzare il DNS tradizionale. Puoi utilizzare Service Directory per registrare serviziTrusted Cloud e nonTrusted Cloud .

Cloud DNS ti consente di creare zone supportate da Service Directory, che sono un tipo di zona privata contenente informazioni sui tuoi servizi ed endpoint. Non devi aggiungere set di record alla zona, ma vengono dedotti automaticamente in base alla configurazione dello spazio dei nomi Service Directory associato alla zona. Per saperne di più su Service Directory, consulta la panoramica di Service Directory.

Quando crei una zona supportata da Service Directory, non puoi aggiungere record direttamente alla zona; i dati provengono dal registro dei servizi Service Directory.

Cloud DNS e ricerca inversa per indirizzi non RFC 1918

Dopo aver configurato una rete VPC per utilizzare indirizzi non RFC 1918, devi configurare una zona privata Cloud DNS come zona di ricerca inversa gestita. Questa configurazione consente a Cloud DNS di risolvere gli indirizzi non RFC 1918 localmente anziché inviarli su internet.

Quando crei una zona DNS di ricerca inversa gestita, non puoi aggiungere record direttamente alla zona; i dati provengono dai dati dell'indirizzo IP di Compute Engine.

Cloud DNS supporta anche l'inoltro in uscita a indirizzi non RFC 1918 instradando privatamente questi indirizzi all'interno di Trusted Cloud. Per abilitare questo tipo di inoltro in uscita, devi configurare una zona di inoltro con argomenti specifici del percorso di inoltro. Per i dettagli, vedi Destinazioni di forwarding e metodi di routing.

zona di inoltro

Una zona di forwarding è un tipo di zona privata gestita da Cloud DNS che inoltra le richieste per quella zona agli indirizzi IP delle relative destinazioni di forwarding. Per saperne di più, consulta Metodi di forwarding DNS.

Quando crei una zona di inoltro, non puoi aggiungere record direttamente alla zona di inoltro; i dati provengono da uno o più resolver o server dei nomi di destinazione configurati.

zona di peering

Una zona di peering è un tipo di zona privata gestita Cloud DNS che segue l'ordine di risoluzione dei nomi di un'altra rete VPC. Puoi utilizzarlo per risolvere i nomi definiti nell'altra rete VPC.

Quando crei una zona di peering DNS, non puoi aggiungere record direttamente alla zona; i dati provengono dalla rete VPC di produzione in base al suo ordine di risoluzione dei nomi.

policy di risposta

Un criterio di risposta è un concetto di zona privata Cloud DNS che contiene regole anziché record. Queste regole possono essere utilizzate per ottenere effetti simili al concetto di bozza di zona di criteri di risposta (RPZ) del DNS (IETF). La funzionalità dei criteri di risposta ti consente di introdurre regole personalizzate nei server DNS all'interno della tua rete che il resolver DNS consulta durante le ricerche. Se una regola nel criterio di risposta influisce sulla query in entrata, viene elaborata. In caso contrario, la ricerca procede normalmente. Per saperne di più, vedi Gestire i criteri di risposta e le regole di risposta.

Una policy di risposta è diversa da una RPZ, che è una zona DNS altrimenti normale con dati formattati in modo speciale che inducono i resolver compatibili a fare cose speciali. Le policy di risposta non sono zone DNS e vengono gestite separatamente nell'API.

zone operations

Tutte le modifiche apportate alle zone gestite in Cloud DNS vengono registrate nella raccolta di operazioni, che elenca gli aggiornamenti delle zone gestite (modifica di descrizioni o stato o configurazione DNSSEC). Le modifiche ai record set all'interno di una zona vengono archiviate separatamente nei record set di risorse, descritti più avanti in questo documento.

Nome di dominio internazionalizzato (IDN)

Un nome di dominio internazionalizzato (IDN) è un nome di dominio internet che consente alle persone di tutto il mondo di utilizzare un alfabeto o un sistema di scrittura specifico per la lingua, come arabo, cinese, cirillico, devanagari, ebraico o i caratteri speciali basati sull'alfabeto latino nei nomi di dominio. Questa conversione viene implementata utilizzando Punycode, che è una rappresentazione di caratteri Unicode che utilizzano ASCII. Ad esempio, una rappresentazione IDN di .ελ è .xn--qxam. Alcuni browser, client di posta e applicazioni potrebbero riconoscerlo e visualizzarlo come .ελ per tuo conto. Lo standard Internationalizing Domain Names in Applications (IDNA) consente solo stringhe Unicode sufficientemente brevi da essere rappresentate come un'etichetta DNS valida. Per informazioni su come utilizzare i nomi di dominio internazionalizzati con Cloud DNS, vedi Creazione di zone con nomi di dominio internazionalizzati.

registrar

Un registrar del nome di dominio è un'organizzazione che gestisce la prenotazione dei nomi di dominio internet. Un registrar deve essere accreditato da un registry di domini di primo livello generici (gTLD) o da un registry di domini di primo livello con codice paese (ccTLD).

DNS interno

Trusted Cloud crea automaticamente nomi DNS interni per le VM, anche se non utilizzi Cloud DNS. Per ulteriori informazioni sul DNS interno, consulta la documentazione sul DNS interno.

sottozona delegata

Il DNS consente al proprietario di una zona di delegare un sottodominio a un server dei nomi diverso utilizzando i record NS (Name Server). I resolver seguono questi record e inviano query per il sottodominio al server dei nomi di destinazione specificato nella delega.

set di record di risorse

Un set di record di risorse è una raccolta di record DNS con la stessa etichetta, classe e tipo, ma con dati diversi. I set di record di risorse contengono lo stato attuale dei record DNS che compongono una zona gestita. Puoi leggere un insieme di record di risorse, ma non modificarlo direttamente. Modifica invece il set di record di risorse in una zona gestita creando una richiesta Change nella raccolta delle modifiche. Puoi anche modificare i set di record di risorse utilizzando l'APIResourceRecordSets. Il set di record di risorse riflette immediatamente tutte le modifiche. Tuttavia, esiste un ritardo tra il momento in cui vengono apportate modifiche all'API e il momento in cui vengono applicate ai tuoi server DNS autorevoli. Per informazioni su come gestire i record, vedi Aggiungere, modificare ed eliminare record.

modifica del set di record di risorse

Per apportare una modifica a un insieme di record di risorse, invia una richiesta Change o ResourceRecordSets contenente aggiunte o eliminazioni. Le aggiunte e le eliminazioni possono essere eseguite in blocco o in una singola transazione atomica ed entrano in vigore contemporaneamente in ogni server DNS autorevole.

Ad esempio, se hai un record A simile a questo:

www  A  203.0.113.1 203.0.113.2

Esegui un comando simile a questo:

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

Dopo la modifica collettiva, il record appare nel seguente modo:

www  A  203.0.113.1 203.0.113.3

ADD e DEL vengono eseguiti contemporaneamente.

Formato del numero di serie dell'estratto conto

I numeri di serie dei record SOA creati nelle zone gestite di Cloud DNS aumentano in modo monotono a ogni modifica transazionale apportata ai set di record di una zona utilizzando il comando gcloud dns record-sets transaction. Tuttavia, puoi modificare manualmente il numero di serie di un record SOA in un numero arbitrario, inclusa una data in formato ISO 8601 come consigliato nella RFC 1912.

Ad esempio, nel seguente record SOA puoi modificare il numero di serie direttamente dalla console Trusted Cloud inserendo il valore desiderato nel terzo campo delimitato da spazi del record:

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`

Criterio del server DNS

Un criterio del server DNS consente di accedere ai servizi di risoluzione dei nomi forniti da Trusted Cloud in una rete VPC con inoltro in entrata o di sostituire l'ordine di risoluzione dei nomi del VPC con un criterio del server in uscita. Per ulteriori informazioni, consulta le policy dei server DNS.

dominio, sottodominio e delega

La maggior parte dei sottodomini sono solo record nella zona gestita per il dominio principale. I sottodomini delegati tramite la creazione di record NS (Name Server) nella zona del dominio principale devono avere anche le proprie zone. DNSSEC

Le estensioni DNSSEC (Domain Name System Security Extensions) sono un insieme di estensioni dell'Internet Engineering Task Force (IETF) per DNS che autenticano le risposte alle ricerche di nomi di dominio. DNSSEC non fornisce protezioni della privacy per queste ricerche, ma impedisce agli autori degli attacchi di manipolare o compromettere le risposte alle richieste DNS.

Raccolta di DNSKEY

La raccolta DNSKEY contiene lo stato attuale dei record DNSKEY utilizzati per firmare una zona gestita abilitata per DNSSEC. Puoi solo leggere questa raccolta; tutte le modifiche alle DNSKEY vengono apportate da Cloud DNS. La raccolta DNSKEY contiene tutte le informazioni richieste dai registrar di domini per attivare DNSSEC.