Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Palavras-chave

Este documento fornece a terminologia principal que se aplica ao Cloud DNS. Reveja estes termos para compreender melhor como funciona o Cloud DNS e os conceitos nos quais se baseia.

A API Cloud DNS é criada em torno de projetos, zonas geridas, conjuntos de registos> e alterações aos conjuntos de registos.

projeto: Um Trusted Cloud projeto da consola é um contentor de recursos, um domínio para controlo de acesso e o local onde a faturação é configurada e agregada. Para mais detalhes, consulte o artigo Criar e gerir projetos.
zona gerida: A zona gerida contém registos do Sistema de Nomes de Domínio (DNS) para o mesmo sufixo de nome de DNS (como example.com). Um projeto pode ter várias zonas geridas, mas cada uma tem de ter um nome único. No Cloud DNS, a zona gerida é o recurso que modela uma zona de DNS.; Todos os registos numa zona gerida estão alojados nos mesmos servidores de nomes operados pela Google. Estes servidores de nomes respondem a consultas DNS contra a sua zona gerida de acordo com a forma como configura a zona. Um projeto pode conter várias zonas geridas. As cobranças acumulam-se para cada zona em cada dia em que a zona gerida existe. As zonas geridas suportam etiquetas que pode usar para ajudar a organizar a sua faturação.

zona privada

As zonas privadas permitem-lhe gerir nomes de domínios personalizados para as suas instâncias de máquinas virtuais (MV), equilibradores de carga e outros recursos Trusted Cloud sem expor os dados DNS subjacentes à Internet pública. Uma zona privada é um contentor de registos DNS que só pode ser consultado por uma ou mais redes da nuvem virtual privada (VPC) que autoriza.

Tem de especificar a lista de redes VPC autorizadas que podem consultar a sua zona privada quando a cria ou atualiza. Apenas as redes autorizadas podem consultar a sua zona privada. Se não especificar nenhuma rede autorizada, não pode consultar a zona privada.

Pode usar zonas privadas com a VPC partilhada. Para ver informações importantes sobre a utilização de zonas privadas com a VPC partilhada, consulte as considerações sobre a VPC partilhada.

As zonas privadas não suportam extensões de segurança do DNS (DNSSEC) nem conjuntos de registos de recursos personalizados do tipo NS. As solicitações de registos DNS em zonas privadas têm de ser enviadas através do servidor de metadados 169.254.169.254, que é o servidor de nomes interno predefinido para VMs criadas a partir de imagens fornecidas pela Google.

Pode enviar consultas para este servidor de nomes a partir de qualquer VM que use uma rede VPC autorizada. Por exemplo, pode criar uma zona privada para dev.gcp.example.com alojar registos de DNS internos para aplicações experimentais. A tabela seguinte mostra registos de exemplo nessa zona. Os clientes de base de dados podem estabelecer ligação ao servidor de base de dados db-01.dev.gcp.example.com através do respetivo nome DNS interno em vez do respetivo endereço IP. Os clientes de base de dados resolvem este nome DNS interno através do resolvedor de anfitriões na VM, que envia a consulta DNS para o servidor de metadados169.254.169.254. O servidor de metadados funciona como um resolvedor recursivo para consultar a sua zona privada.

Nome de DNS	Tipo	TTL (segundos)	Dados
`db-01.dev.gcp.example.com`	A	5	10.128.1.35
`instance-01.dev.gcp.example.com`	A	50	10.128.1.10

As zonas privadas permitem-lhe criar configurações de DNS de horizonte dividido. Em seguida, pode controlar que redes VPC consultam os registos na zona privada. Por exemplo, veja zonas sobrepostas.

Diretório de serviços

O Service Directory é um registo de serviços gerido para Trusted Cloud que lhe permite registar e descobrir serviços através de HTTP ou gRPC (através da respetiva API Lookup), além de usar o DNS tradicional. Pode usar o diretório de serviços para registar serviçosTrusted Cloud e nãoTrusted Cloud pertencentes à Google.

O Cloud DNS permite-lhe criar zonas suportadas pelo Service Directory, que são um tipo de zona privada que contém informações sobre os seus serviços e pontos finais. Não adiciona conjuntos de registos à zona. Em vez disso, são inferidos automaticamente com base na configuração do espaço de nomes do diretório de serviços associado à zona. Para mais informações sobre o diretório de serviços, consulte a vista geral do diretório de serviços.

Quando cria uma zona suportada pelo Service Directory, não pode adicionar registos diretamente à zona. Os dados provêm do registo de serviços do Service Directory.

Cloud DNS e procura inversa de endereços não RFC 1918

Depois de configurar uma rede VPC para usar endereços não RFC 1918, tem de configurar uma zona privada do Cloud DNS como uma zona de pesquisa inversa gerida. Esta configuração permite que o Cloud DNS resolva endereços não RFC 1918 localmente, em vez de os enviar através da Internet.

Quando cria uma zona DNS de pesquisa inversa gerida, não pode adicionar registos diretamente à zona. Os dados provêm dos dados de endereço IP do Compute Engine.

O Cloud DNS também suporta o encaminhamento de saída para endereços não RFC 1918 encaminhando esses endereços de forma privada no Trusted Cloud. Para ativar este tipo de encaminhamento de saída, tem de configurar uma zona de encaminhamento com argumentos de caminho de encaminhamento específicos. Para ver detalhes, consulte o artigo Alvos de encaminhamento e métodos de encaminhamento.

zona de encaminhamento

Uma zona de encaminhamento é um tipo de zona privada gerida do Cloud DNS que encaminha pedidos para essa zona para os endereços IP dos respetivos destinos de encaminhamento. Para mais informações, consulte os métodos de encaminhamento de DNS.

Quando cria uma zona de encaminhamento, não pode adicionar registos diretamente à zona de encaminhamento. Os dados provêm de um ou mais servidores de nomes ou resolvedores de destino configurados.

zona de intercâmbio

Uma zona de intercâmbio é um tipo de zona privada gerida do Cloud DNS que segue a ordem de resolução de nomes de outra rede da VPC. Pode usá-lo para resolver os nomes definidos na outra rede VPC.

Quando cria uma zona de intercâmbio de DNS, não pode adicionar registos diretamente à zona. Os dados provêm da rede da VPC do produtor de acordo com a respetiva ordem de resolução de nomes.

Política de Resposta

Uma política de resposta é um conceito de zona privada do Cloud DNS que contém regras em vez de registos. Estas regras podem ser usadas para alcançar efeitos semelhantes ao conceito de rascunho da zona de política de resposta (RPZ) do DNS (IETF). A funcionalidade de política de resposta permite-lhe introduzir regras personalizadas nos servidores DNS na sua rede que o resolvedor de DNS consulta durante as procuras. Se uma regra na política de respostas afetar a consulta recebida, esta é processada. Caso contrário, a pesquisa prossegue normalmente. Para mais informações, consulte o artigo Gerir políticas e regras de respostas.

Uma política de resposta é diferente de uma RPZ, que é uma zona de DNS normal com dados formatados especialmente que fazem com que os resolvedores compatíveis façam coisas especiais. As políticas de resposta não são zonas DNS e são geridas separadamente na API.

operações de zona

Todas as alterações que fizer às zonas geridas no Cloud DNS são registadas na coleção de operações, que apresenta atualizações de zonas geridas (modificações de descrições ou do estado ou da configuração das DNSSEC). As alterações aos conjuntos de registos numa zona são armazenadas separadamente em conjuntos de registos de recursos, descritos mais adiante neste documento.

Nome do domínio internacionalizado (IDN)

Um nome de domínio internacionalizado (IDN) é um nome de domínio da Internet que permite que pessoas de todo o mundo usem um alfabeto ou um script específico de um idioma, como árabe, chinês, cirílico, devanágari, hebraico ou os carateres especiais baseados no alfabeto latino em nomes de domínios. Esta conversão é implementada através do Punycode, que é uma representação de carateres Unicode que usam ASCII. Por exemplo, uma representação IDN de .ελ é .xn--qxam. Alguns navegadores, clientes de email e aplicações podem reconhecê-lo e renderizá-lo como .ελ em seu nome. A norma Internationalizing Domain Names in Applications (IDNA) só permite strings Unicode suficientemente curtas para serem representadas como uma etiqueta DNS válida. Para ver informações sobre como pode usar IDNs com o Cloud DNS, consulte o artigo Crie zonas com nomes de domínios internacionalizados.

entidade de registo

Uma entidade de registo de nomes de domínios é uma organização que gere a reserva de nomes de domínios da Internet. Uma entidade de registo tem de ser acreditada por uma base de dados de registo de domínio de nível superior genérico (gTLD) ou uma base de dados de registo de domínio de nível superior de código de país (ccTLD).

DNS interno

OTrusted Cloud cria automaticamente nomes DNS internos para VMs, mesmo que não use o Cloud DNS. Para mais informações sobre o DNS interno, consulte a documentação do DNS interno.

subzona delegada

O DNS permite que o proprietário de uma zona delegue um subdomínio num servidor de nomes diferente através de registos NS (servidor de nomes). Os resolvedores seguem estes registos e enviam consultas para o subdomínio para o servidor de nomes de destino especificado na delegação.

conjuntos de registos de recursos

Um conjunto de registos de recursos é uma coleção de registos DNS com a mesma etiqueta, classe e tipo, mas com dados diferentes. Os conjuntos de registos de recursos contêm o estado atual dos registos DNS que compõem uma zona gerida. Pode ler um conjunto de registos de recursos, mas não o modifica diretamente. Em vez disso, edita o conjunto de registos de recursos numa zona gerida criando um pedido Change na coleção de alterações. Também pode editar os conjuntos de registos de recursos através da ResourceRecordSets API. O conjunto de registos de recursos reflete todas as alterações imediatamente. No entanto, existe um atraso entre o momento em que as alterações são feitas na API e o momento em que entram em vigor nos seus servidores DNS autoritários. Para informações sobre como gerir registos, consulte Adicione, modifique e elimine registos.

alteração do conjunto de registos de recursos

Para alterar um conjunto de registos de recursos, envie um pedido Change ou ResourceRecordSets que contenha adições ou eliminações. As adições e as eliminações podem ser feitas em massa ou numa única transação atómica e entram em vigor ao mesmo tempo em cada servidor DNS autoritário.

Por exemplo, se tiver um registo A com o seguinte aspeto:

www  A  203.0.113.1 203.0.113.2

E executa um comando com o seguinte aspeto:

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

O registo tem o seguinte aspeto após a alteração em massa:

www  A  203.0.113.1 203.0.113.3

As operações ADD e DEL ocorrem em simultâneo.

Formato do número de série do SOA

Os números de série dos registos SOA criados em zonas geridas do Cloud DNS aumentam monotonicamente com cada alteração transacional a conjuntos de registos de uma zona feita através do comando gcloud dns record-sets transaction. No entanto, pode alterar manualmente o número de série de um registo SOA para um número arbitrário, incluindo uma data no formato ISO 8601, conforme recomendado na RFC 1912.

Por exemplo, no seguinte registo SOA, pode alterar o número de série diretamente a partir da consola introduzindo o valor pretendido no terceiro campo delimitado por espaços do registo: Trusted Cloud

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`

Política de servidor DNS

Uma política de servidor DNS permite-lhe aceder aos serviços de resolução de nomes fornecidos por Trusted Cloud numa rede VPC com encaminhamento de entrada ou substituir a ordem de resolução de nomes da VPC por uma política de servidor de saída. Para mais informações, consulte as políticas do servidor DNS.

domínio, subdomínio e delegação

A maioria dos subdomínios são apenas registos na zona gerida do domínio principal. Os subdomínios que são delegados através da criação de registos NS (servidor de nomes) na zona do respetivo domínio principal também têm de ter as suas próprias zonas. DNSSEC

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são um conjunto de extensões da Internet Engineering Task Force (IETF) para o DNS que autenticam as respostas às pesquisas de nomes de domínio. O DNSSEC não oferece proteções de privacidade para essas procuras, mas impede que os atacantes manipulem ou envenenem as respostas a pedidos de DNS.

Coleção de DNSKEYs

A coleção DNSKEYs contém o estado atual dos registos DNSKEY usados para assinar uma zona gerida com DNSSEC ativadas. Só pode ler esta coleção. Todas as alterações às DNSKEYs são feitas pelo Cloud DNS. A coleção DNSKEYs tem todas as informações que os registadores de domínios precisam para ativar as DNSSEC.