Panoramica di Cloud DNS

Questa pagina fornisce una panoramica delle caratteristiche e delle funzionalità di Cloud DNS. Cloud DNS è un servizio DNS (Domain Name System) globale, resiliente e ad alte prestazioni che pubblica i tuoi nomi di dominio nel DNS.

Il DNS è un database distribuito gerarchico che ti consente di archiviare indirizzi IP e altri dati e di cercarli per nome. Cloud DNS ti consente di pubblicare le tue zone e i tuoi record in DNS senza l'onere di gestire il software e i server DNS.

Cloud DNS offre zone DNS gestite private. Una zona privata è visibile solo da una o più reti VPC (Virtual Private Cloud) specificate da te. Per informazioni dettagliate sulle zone, consulta Panoramica delle zone DNS.

Cloud DNS supporta le autorizzazioni IAM (Identity and Access Management) a livello di progetto e di singola zona DNS. Per informazioni su come impostare le autorizzazioni IAM per le singole risorse, consulta Crea una zona con autorizzazioni IAM specifiche.

Per un elenco della terminologia DNS generale, consulta Panoramica generale del DNS.

Per un elenco della terminologia chiave su cui si basa Cloud DNS, consulta Termini chiave.

Per iniziare a utilizzare Cloud DNS, consulta la Guida rapida.

Considerazioni sul VPC condiviso

Per utilizzare una zona privata gestita Cloud DNS, una zona di forwarding Cloud DNS o una zona di peering Cloud DNS con VPC condiviso, devi creare la zona nel progetto host e poi aggiungere una o più reti VPC condivise all'elenco delle reti autorizzate per quella zona. In alternativa, puoi configurare la zona in un progetto di servizio utilizzando l'associazione tra progetti.

Per saperne di più, consulta Best practice per le zone private Cloud DNS.

Metodi di forwarding DNS

Cloud de Confiance offre il forwarding DNS in entrata e in uscita per le zone private. Puoi configurare il forwarding DNS creando una zona di forwarding o una policy dei server Cloud DNS. I due metodi sono riassunti nella tabella seguente.

Forwarding DNS	Metodi Cloud DNS
In entrata	Crea una policy dei server in entrata per consentire a un client o a un server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o il server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC. I client on-premise possono risolvere i record nelle zone private, nelle zone di forwarding e nelle zone di peering per cui è stata autorizzata la rete VPC. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per connettersi alla rete VPC.
In uscita	Puoi configurare le VM in una rete VPC per eseguire le seguenti operazioni: Inviare richieste DNS ai server dei nomi DNS che preferisci. I server dei nomi possono trovarsi nella stessa rete VPC, in una rete on-premise o su internet. Risolvere i record ospitati sui server dei nomi configurati come target di forwarding di una zona di forwarding autorizzata per l'utilizzo da parte della tua rete VPC. Per informazioni su come Cloud de Confiance instrada il traffico verso un target di forwarding, vedi Target di forwarding e metodi di routing. Creare una policy dei server in uscita per la rete VPC per inviare tutte le richieste DNS a un server dei nomi alternativo. Quando utilizzi un server dei nomi alternativo, le VM nella tua rete VPC non sono più in grado di risolvere i record nelle zone private o di forwarding, di peering Cloud DNS o nelle zone DNS interne di Compute Engine. Per altri dettagli, consulta Ordine di risoluzione dei nomi.

Puoi configurare contemporaneamente il forwarding DNS in entrata e in uscita per una rete VPC. Il forwarding bidirezionale consente alle VM nella tua rete VPC di risolvere i record in una rete on-premise o in una rete ospitata da un altro cloud provider. Questo tipo di forwarding consente inoltre agli host della rete on-premise di risolvere i record per le tue risorseCloud de Confiance .

Il control plane di Cloud DNS utilizza l'ordine di selezione del target di forwarding per selezionare una destinazione di forwarding. A volte le query inoltrate in uscita possono generare errori SERVFAIL se le destinazioni di forwarding non sono raggiungibili o se non rispondono abbastanza rapidamente. Per istruzioni per la risoluzione dei problemi, consulta Le query inoltrate in uscita ricevono errori SERVFAIL.

Per informazioni su come applicare le policy dei server, consulta Crea policy dei server DNS. Per scoprire come creare una zona di forwarding, consulta Crea una zona di forwarding.

DNS64

Puoi connettere le istanze di macchine virtuali (VM) di Compute Engine solo IPv6 alle destinazioni IPv4 utilizzando Cloud DNS DNS64. DNS64 fornisce un indirizzo IPv6 sintetizzato per ogni destinazione IPv4. Cloud DNS crea un indirizzo sintetizzato combinando il prefisso well-known (WKP) 64:ff9b::/96 con i 32 bit dell'indirizzo IPv4 di destinazione.

L'esempio seguente mostra come un'istanza VM solo IPv6 denominata vmipv6 risolve il nome di una destinazione solo IPv4.

1. L'istanza VM vmipv6 avvia una richiesta DNS per risolvere il nome di destinazione in un indirizzo IPv6.

2. Se esiste un record AAAA (indirizzo IPv6), Cloud DNS restituisce l'indirizzo IPv6 e l'istanza VM vmipv6 lo utilizza per connettersi alla destinazione.

3. Se non esiste alcun record AAAA, ma hai configurato DNS64, Cloud DNS cerca un record A (indirizzo IPv4). Se Cloud DNS trova un record A, sintetizza un record AAAA anteponendo all'indirizzo IPv4 64:ff9b::/96.

Ad esempio, se l'indirizzo IPv4 è 32.34.50.60, l'indirizzo IPv6 sintetizzato risultante è 64:ff9b::2022:323c, dove 2022:323c è l'equivalente esadecimale dell'indirizzo IPv4. Il prefisso 64:ff9b::/96 è definito nella RFC 6052. Cloud DNS sintetizza questi indirizzi IPv6 anche quando ospiti i record DNS on-premise, a condizione che abiliti il forwarding DNS in Cloud DNS.

Puoi utilizzare DNS64 nei seguenti scenari:

• Rispettare i mandati che richiedono di passare a indirizzi IPv6 senza allocare indirizzi IPv4.
• Eseguire la transizione all'infrastruttura di indirizzi solo IPv6 in più fasi, mantenendo l'accesso all'infrastruttura IPv4 esistente.
• Evitare interruzioni ai servizi critici garantendo l'accesso continuo agli ambienti con indirizzi IPv4 legacy durante la transizione agli indirizzi IPv6.

Per configurare DNS64 per una rete VPC, segui le istruzioni riportate in Configura DNS64.

Controllo dell'accesso

Puoi gestire gli utenti autorizzati ad apportare modifiche ai tuoi record DNS nella pagina IAM e amministrazione della consoleCloud de Confiance . Per essere autorizzati ad apportare modifiche, gli utenti devono disporre del ruolo DNS Administrator (roles/dns.admin) nella sezione Autorizzazioni della console Cloud de Confiance . Il ruolo DNS Reader (roles/dns.reader) concede l'accesso di sola lettura ai record Cloud DNS.

Queste autorizzazioni si applicano anche ai service account che potresti utilizzare per gestire i tuoi servizi DNS.

Per visualizzare le autorizzazioni assegnate a questi ruoli, consulta Ruoli.

Controllo dell'accesso per le zone gestite

Gli utenti con il ruolo Proprietario o Editor (roles/owner o roles/editor) di progetto possono gestire o visualizzare le zone gestite nel progetto specifico che stanno gestendo.

Gli utenti con il ruolo DNS Administrator o DNS Reader possono gestire o visualizzare le zone gestite in tutti i progetti a cui hanno accesso.

Project Owner, Editor, DNS Administrator e DNS Reader del progetto possono visualizzare l'elenco delle zone private applicate a qualsiasi rete VPC nel progetto corrente.

Accesso con autorizzazioni per risorsa

Per configurare una policy su una risorsa DNS come una zona gestita, devi disporre dell'accesso come Proprietario al progetto che possiede la risorsa. Il ruolo DNS Administrator non dispone dell'autorizzazione setIamPolicy. In qualità di Project Owner puoi anche creare ruoli IAM personalizzati per le tue esigenze specifiche. Per informazioni dettagliate, consulta Informazioni sui ruoli IAM personalizzati.

Prestazioni e tempistiche

Cloud DNS utilizza anycast per gestire le tue zone gestite.

Propagazione delle modifiche

Le modifiche vengono propagate in due parti. Prima di tutto, è necessario eseguire il push della modifica che invii tramite l'API o lo strumento a riga di comando ai server DNS autorevoli di Cloud DNS. In secondo luogo, i resolver DNS devono rilevare questa modifica quando la cache dei record scade.

Il valore di durata (TTL) impostato per i record, specificato in secondi, controlla la cache del resolver DNS. Ad esempio, se imposti un valore TTL di 86400 (il numero di secondi in 24 ore), i resolver DNS ricevono l'istruzione di memorizzare nella cache i record per 24 ore. Alcuni resolver DNS ignorano il valore TTL o utilizzano i propri valori, il che può ritardare la propagazione completa dei record.

Se prevedi di apportare una modifica ai servizi che richiede una finestra ristretta, potresti modificare il TTL impostando un valore più breve prima di apportare la modifica. Il nuovo valore TTL più breve viene applicato dopo la scadenza del valore TTL precedente nella cache del resolver. Questo approccio può contribuire a ridurre la finestra di memorizzazione nella cache e garantire una modifica più rapida delle nuove impostazioni dei record. Dopo la modifica, puoi riportare il valore al valore TTL precedente per ridurre il carico sui resolver DNS.

Passaggi successivi

• Scopri di più sulle differenze di Cloud DNS in Cloud de Confiance rispetto a Google Cloud

• Per iniziare a utilizzare Cloud DNS, consulta la Guida rapida: configura i record DNS per un nome di dominio con Cloud DNS.

• Per informazioni sulle librerie client API, consulta Esempi e librerie.

• Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.