Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Visão geral do Cloud DNS

Nesta página, você encontra uma visão geral dos recursos do Cloud DNS. O Cloud DNS é um serviço de Sistema de Nomes de Domínio (DNS) global, confiável e de alto desempenho. Com ele, você publica nomes de domínio no DNS global com economia.

O DNS é um banco de dados distribuído hierarquicamente que é usado para armazenar endereços IP e outros dados e procurá-los por nome. Com o Cloud DNS, você publica zonas e registros no DNS sem precisar gerenciar seus próprios servidores e softwares de DNS.

O Cloud DNS aceita permissões do Identity and Access Management (IAM) no nível do projeto e da zona de DNS individual. Para saber como definir permissões de recursos individuais do IAM, consulte Criar uma zona com permissões específicas do IAM.

Para conferir uma lista da terminologia geral do DNS, acesse Visão geral do DNS.

Para conferir uma lista de termos importantes do Cloud DNS, acesse Termos importantes.

Para começar a usar o Cloud DNS, consulte o Guia de início rápido.

Considerações sobre VPC compartilhada

Para usar uma zona particular gerenciada, uma zona de encaminhamento ou uma zona de peering do Cloud DNS com uma VPC compartilhada, é preciso criar a zona no projeto host. Depois, você precisa adicionar uma ou mais redes VPC compartilhadas à lista de redes autorizadas para essa zona. Outra opção é configurar a zona em um projeto de serviço usando a vinculação entre projetos.

Para mais informações, consulte Práticas recomendadas para as zonas particulares do Cloud DNS.

Métodos de encaminhamento de DNS

OTrusted Cloud oferece encaminhamento de DNS de entrada e saída para zonas particulares. É possível configurar o encaminhamento de DNS criando uma zona de encaminhamento ou uma política de servidor do Cloud DNS. Os dois métodos estão resumidos na tabela abaixo.

Encaminhamento de DNS	Métodos do Cloud DNS
Entrada	Crie uma política de servidor de entrada para permitir que um servidor ou cliente DNS local envie solicitações de DNS ao Cloud DNS. O cliente ou servidor DNS pode resolver registros de acordo com a ordem de resolução de nomes de uma rede VPC. Os clientes locais podem resolver registros em zonas particulares, zonas de encaminhamento e zonas de peering para as quais a rede VPC foi autorizada. Para se conectar à rede VPC, os clientes locais usam o Cloud VPN ou o Cloud Interconnect.
Saída	É possível configurar VMs em uma rede VPC para: Enviar solicitações de DNS aos servidores de nomes de DNS de sua escolha. Os servidores de nomes podem estar na mesma rede VPC, em uma rede local ou na Internet. Resolver registros hospedados em servidores de nomes configurados como destinos de encaminhamento de uma zona de encaminhamento autorizada para uso pela rede VPC. Para saber como o Trusted Cloud encaminha o tráfego para um destino de encaminhamento, consulte Destinos de encaminhamento e métodos de roteamento. Criar uma política de servidor de saída para que a rede VPC envie todas as solicitações de DNS a um servidor de nomes alternativo. Ao usar um servidor de nomes alternativo, as VMs na rede VPC não podem mais resolver registros em zonas particulares, zonas de encaminhamento ou zonas de peering do Cloud DNS ou em zonas de DNS internas do Compute Engine. Para mais detalhes, consulte Ordem de resolução de nomes.

Encaminhamento de DNS

Métodos do Cloud DNS

Entrada

Crie uma política de servidor de entrada para permitir que um servidor ou cliente DNS local envie solicitações de DNS ao Cloud DNS. O cliente ou servidor DNS pode resolver registros de acordo com a ordem de resolução de nomes de uma rede VPC.

Os clientes locais podem resolver registros em zonas particulares, zonas de encaminhamento e zonas de peering para as quais a rede VPC foi autorizada. Para se conectar à rede VPC, os clientes locais usam o Cloud VPN ou o Cloud Interconnect.

Saída

É possível configurar VMs em uma rede VPC para:

Enviar solicitações de DNS aos servidores de nomes de DNS de sua escolha. Os servidores de nomes podem estar na mesma rede VPC, em uma rede local ou na Internet.
Resolver registros hospedados em servidores de nomes configurados como destinos de encaminhamento de uma zona de encaminhamento autorizada para uso pela rede VPC. Para saber como o Trusted Cloud encaminha o tráfego para um destino de encaminhamento, consulte Destinos de encaminhamento e métodos de roteamento.
Criar uma política de servidor de saída para que a rede VPC envie todas as solicitações de DNS a um servidor de nomes alternativo. Ao usar um servidor de nomes alternativo, as VMs na rede VPC não podem mais resolver registros em zonas particulares, zonas de encaminhamento ou zonas de peering do Cloud DNS ou em zonas de DNS internas do Compute Engine. Para mais detalhes, consulte Ordem de resolução de nomes.

É possível configurar simultaneamente o encaminhamento de DNS de entrada e de saída para uma rede VPC. O encaminhamento bidirecional permite que as VMs na rede VPC sejam usadas para resolver registros em uma rede local ou em uma rede hospedada por outro provedor de nuvem. Esse tipo de encaminhamento também permite que os hosts na rede local sejam usados para resolver registros dos recursos doTrusted Cloud .

O plano de controle do Cloud DNS usa a ordem de seleção de destino de encaminhamento para selecionar um destino de encaminhamento. As consultas de saída encaminhadas podem resultar em erros SERVFAIL quando os destinos de encaminhamento não são acessíveis ou não respondem com rapidez suficiente. Para instruções sobre solução de problemas, confira Consultas de saída encaminhadas recebem erros SERVFAIL.

Para saber como aplicar políticas de servidor, consulte Criar políticas de servidor DNS. Para saber como criar uma zona de encaminhamento, consulte esta página.

DNSSEC

O Cloud DNS aceita DNSSEC gerenciado, que protege os domínios contra spoofing e ataques de envenenamento de cache. Quando você usa um resolvedor de validação como o DNS público do Google, o DNSSEC fornece uma autenticação avançada (mas não criptografia) para pesquisas de domínio. Para mais informações sobre o DNSSEC, consulte esta página.

DNS64 (pré-lançamento)

É possível conectar instâncias de máquina virtual (VM) do Compute Engine somente IPv6 (pré-lançamento) a destinos IPv4 usando o DNS64 do Cloud DNS. O DNS64 fornece um endereço IPv6 sintetizado para cada destino IPv4. O Cloud DNS cria um endereço sintetizado combinando o prefixo conhecido (WKP) 64:ff9b::/96 com os 32 bits do endereço IPv4 de destino.

O exemplo a seguir mostra como uma instância de VM somente IPv6 (pré-lançamento) chamada vmipv6 resolve o nome de um destino somente IPv4.

A instância de VM vmipv6 inicia uma solicitação de DNS para resolver o nome de destino para um endereço IPv6.
Se existir um registro AAAA (endereço IPv6), o Cloud DNS vai retornar o endereço IPv6 e a instância de VM vmipv6 vai usá-lo para se conectar ao destino.
Se não existir um registro AAAA, mas você tiver configurado o DNS64, o Cloud DNS vai procurar um registro A (endereço IPv4). Se o Cloud DNS encontrar um registro A, ele vai sintetizar um registro AAAA usando no endereço IPv4 o prefixo 64:ff9b::/96.

O DNS64 converte um endereço IPv4 em um endereço IPv6 sintetizado. — O DNS64 converte um endereço IPv4 em um endereço IPv6 sintetizado (clique para ampliar).

Por exemplo, se o endereço IPv4 for 32.34.50.60, o endereço IPv6 sintetizado resultante será 64:ff9b::2022:323c, em que 2022:323c é o equivalente hexadecimal do endereço IPv4. O prefixo 64:ff9b::/96 é definido na RFC 6052. O Cloud DNS sintetiza esses endereços IPv6 mesmo quando você hospeda os registros de DNS no local, desde que o encaminhamento de DNS esteja ativado no Cloud DNS.

Você pode usar o DNS64 nos seguintes cenários:

Obedecer às obrigações que exigem uma mudança para endereços IPv6 sem alocar endereços IPv4.
Fazer a transição para uma infraestrutura de endereços somente IPv6 em etapas, mantendo o acesso à infraestrutura IPv4 atual.
Evitar interrupções em serviços críticos garantindo o acesso contínuo a ambientes com endereços IPv4 legados durante a transição para os endereços IPv6.

Para configurar o DNS64 em uma rede VPC, siga as instruções em Configurar o DNS64.

Controle de acesso

Para gerenciar os usuários que têm permissão para fazer mudanças nos registros DNS, acesse a página IAM e administrador no console doTrusted Cloud . Para que os usuários possam fazer mudanças, eles precisam ter o papel de Administrador de DNS (roles/dns.admin) na seção Permissões do console do Trusted Cloud . O papel de Leitor de DNS (roles/dns.reader) concede acesso somente leitura aos registros do Cloud DNS.

Essas permissões também se aplicam às contas de serviço que você pode usar para gerenciar os serviços DNS.

Para conferir as permissões atribuídas a esses papéis, consulte Papéis.

Controle de acesso para zonas gerenciadas

Os usuários com os papéis de Proprietário ou Editor do projeto (roles/owner ou roles/editor) podem gerenciar ou visualizar as zonas gerenciadas no projeto específico que gerenciam.

Os usuários com os papéis de Administrador de DNS ou Leitor de DNS podem gerenciar ou visualizar as zonas gerenciadas em todos os projetos a que têm acesso.

Proprietários de projetos, Editores, Administradores de DNS e Leitores de DNS podem visualizar a lista de zonas particulares aplicadas a qualquer rede VPC no projeto atual.

Acesso de permissão por recurso

Para configurar uma política em um recurso de DNS, como uma zona gerenciada, é necessário ter acesso de Proprietário ao projeto que contém o recurso. O papel de Administrador de DNS não tem a permissão setIamPolicy. Como proprietário de um projeto, você também pode criar papéis personalizados do IAM para necessidades específicas. Para mais informações, consulte Noções básicas sobre papéis personalizados do IAM.

Desempenho e tempo

O Cloud DNS usa o anycast para atender às zonas gerenciadas de diversos locais no mundo todo, garantindo alta disponibilidade. As solicitações são automaticamente encaminhadas para o local mais próximo, o que reduz a latência e melhora o desempenho das consultas de nomes autorizados para seus usuários.

Propagação de alterações

As alterações são propagadas em dois estágios. Primeiro, a alteração enviada por meio da API ou da ferramenta de linha de comando precisa ser enviada para os servidores DNS autoritativos do Cloud DNS. Depois, os resolvedores de DNS precisam usar essas alterações quando o cache dos registros expira.

O valor de time to live (TTL) definido para os registros, especificado em segundos, controla o cache do resolvedor de DNS. Por exemplo, se você definir um valor de TTL de 86400 (o número de segundos em 24 horas), os resolvedores de DNS serão instruídos a armazenar os registros em cache por 24 horas. Alguns resolvedores de DNS ignoram o valor de TTL ou usam um valor próprio, que pode atrasar a propagação completa dos registros.

Ao planejar uma mudança para serviços que exigem uma janela restrita, é recomendado alterar o TTL para um valor mais curto antes dessa alteração. O novo valor de TTL mais curto é aplicado depois que o anterior expira no cache do resolvedor. Essa abordagem pode ajudar a reduzir a janela de armazenamento em cache e garantir uma alteração mais rápida para suas novas configurações de registro. Depois da alteração, retorne o valor de TTL para o valor anterior de modo a reduzir a carga dos resolvedores de DNS.

A seguir

Para começar a usar o Cloud DNS, consulte Guia de início rápido: configurar registros DNS para um nome de domínio com o Cloud DNS.
Para registrar e configurar seu domínio, consulte o Tutorial: configurar um domínio usando o Cloud DNS.
Para saber mais sobre as bibliotecas de clientes da API, consulte Exemplos e bibliotecas.
Para encontrar soluções para problemas comuns que podem acontecer ao usar o Cloud DNS, consulte Solução de problemas.