Policy di routing DNS e controlli di integrità

Puoi configurare le policy di routing DNS per i set di record di risorse nelle zone privateper indirizzare il traffico in base a criteri specifici. Crea set di record di risorse con valori specifici delle policy di routing per configurare queste policy. Questi valori determinano il modo in cui Cloud DNS indirizza il traffico delle query.

Cloud DNS supporta le seguenti policy di routing:

  • Policy di routing round robin ponderata (WRR): utilizza una policy di routing WRR per assegnare pesi diversi a ogni set di record di risorse per un nome DNS. Una policy di routing WRR contribuisce a garantire che il traffico venga distribuito in base ai pesi configurati.

Le policy di routing DNS non possono essere configurate per le seguenti zone private:

  • Zone di forwarding
  • Zone di peering DNS
  • Zone di ricerca inversa gestite
  • Zone Service Directory

Policy di routing WRR

Una policy di routing WRR consente di specificare pesi diversi per target DNS; Cloud DNS garantisce che il traffico venga distribuito in base ai pesi. Puoi utilizzare questa policy per supportare configurazioni manuali active-active o active-passive. Puoi anche suddividere il traffico tra le versioni di produzione e sperimentali del tuo servizio.

Cloud DNS supporta i controlli di integrità e i failover all'interno delle policy di routing per i bilanciatori del carico interni e gli endpoint esterni. Cloud DNS consente il failover automatico quando gli endpoint non superano i controlli di integrità. Durante un failover, Cloud DNS regola automaticamente la suddivisione del traffico tra gli endpoint integri rimanenti. Per saperne di più, consulta Controlli di integrità.

Policy di routing di failover

La policy di routing di failover consente di configurare backup attivi per fornire alta affidabilità per le risorse interne nella tua rete VPC.

Durante il normale funzionamento, Cloud DNS restituisce sempre gli indirizzi IP dal set active. Quando tutti gli indirizzi IP nel set active diventano non integri, Cloud DNS pubblica gli indirizzi IP del set backup.

Cloud DNS ti consente di trasferire gradualmente il traffico agli indirizzi VIP di backup in modo da poter verificare che funzionino. Puoi configurare la percentuale di traffico inviata al backup come frazione da 0 a 1. Puoi attivare manualmente un failover inviando il 100% del traffico agli indirizzi VIP di backup. Il valore tipico è 0,1. I controlli di integrità possono essere applicati solo ai bilanciatori del carico interni e agli endpoint esterni.

Controlli di integrità

Cloud DNS supporta i controlli di integrità e i failover all'interno delle policy di routing per i seguenti bilanciatori del carico interni ed endpoint esterni:

Quando vuoi utilizzare il controllo di integrità con una zona gestita e le estensioni di sicurezza DNS (DNSSEC) sono abilitate, è possibile utilizzare un solo indirizzo IP all'interno di ogni elemento di policy. Non puoi combinare indirizzi IP sottoposti a controllo di integrità e indirizzi IP non sottoposti a controllo di integrità in una policy specifica.

Per informazioni sulle best practice da tenere presente quando configuri il record Cloud DNS e i controlli di integrità, consulta Best practice.

Controlli di integrità per i bilanciatori del carico interni

I controlli di integrità per i bilanciatori del carico interni sono disponibili solo nelle zone private.

Per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni, Cloud DNS prende in considerazione l'integrità del bilanciatore del carico stesso durante la decisione di routing. Quando un bilanciatore del carico riceve una query, distribuisce il traffico solo ai servizi di backend integri. Per contribuire a garantire la presenza di backend integri, puoi gestire il ciclo di vita dei backend utilizzando servizi come i gruppi di istanze gestite (MIG). Cloud DNS non deve essere a conoscenza dello stato di integrità dei singoli backend; questa attività viene gestita dal bilanciatore del carico.

Per i bilanciatori del carico di rete passthrough interni, Cloud DNS controlla le informazioni sull'integrità delle singole istanze di backend del bilanciatore del carico. Cloud DNS applica una soglia predefinita del 20% e, se almeno il 20% delle istanze di backend è integro, l'endpoint del bilanciatore del carico viene considerato integro. Le policy di routing DNS contrassegnano l'endpoint come integro o non integro in base a questa soglia e indirizzano il traffico di conseguenza.

Un singolo indirizzo IP virtuale (VIP) del bilanciatore del carico di rete passthrough interno può avere più istanze di backend. Se un bilanciatore del carico di rete passthrough interno non ha istanze di backend, Cloud DNS lo considera comunque integro. Affinché il controllo di integrità funzioni correttamente, specifica almeno un'istanza di backend nella configurazione del bilanciatore del carico.

Quando l'endpoint viene contrassegnato come non integro, possono verificarsi le seguenti condizioni:

  • Se sono programmati più indirizzi VIP in base a una policy, vengono restituiti solo gli indirizzi VIP integri.

  • Se tutti gli indirizzi VIP programmati in base a un bucket di policy non sono integri, la riga delle policy non è riuscita. Si applica dunque il seguente comportamento:

    • Per una policy WRR, Cloud DNS distribuisce il traffico in modo proporzionale tra gli endpoint integri rimanenti definiti nella policy.
    • Per una policy di failover, Cloud DNS sposta il traffico sugli endpoint di backup definiti nella policy.
    • Se tutti i bucket di policy non sono integri, Cloud DNS si comporta come se tutti gli endpoint fossero integri. Questo scenario potrebbe potenzialmente portare a traffico distribuito a endpoint che non rispondono.

Per saperne di più sui controlli di integrità per i bilanciatori del carico interni, consulta Panoramica dei controlli di integrità.

Intervallo del controllo di integrità

Cloud DNS invia periodicamente probe di controllo di integrità in base all'intervallo di controllo di integrità. Ad esempio, se l'intervallo di controllo di integrità è di 30 secondi, Cloud DNS invia un probe di controllo di integrità ogni 30 secondi.

Per il controllo di integrità degli endpoint esterni di Cloud DNS, l'intervallo del controllo di integrità deve essere compreso tra 30 e 300 secondi.

Policy di routing round robin ponderate e controlli di integrità

Cloud DNS supporta pesi da 0 a 1000 inclusi. Quando vengono inclusi i controlli di integrità, si verifica quanto segue:

  • Se configuri più target, tutti con peso 0, il traffico viene distribuito in modo uniforme tra i target.
  • Se configuri un nuovo target ponderato diverso da 0, questo diventa il target principale e tutto il traffico viene spostato su questo target.
  • Man mano che aggiungi più target con pesi diversi da 0, Cloud DNS calcola dinamicamente la suddivisione del traffico tra i target (con ogni richiesta) e distribuisce il traffico in modo appropriato. Ad esempio, se hai configurato tre target con pesi pari a 0, 25 e 75, il target con peso 0 non riceve traffico, il target con peso 25 riceve un quarto del traffico e il target rimanente riceve tre quarti del traffico in entrata.
  • Se i controlli di integrità sono associati a target ponderati diversi da 0, ma non a target ponderati pari a 0, questi ultimi vengono sempre considerati come integri. Se tutti i record diversi da 0 non sono integri, Cloud DNS restituisce i record con peso 0.
  • Se i controlli di integrità sono associati a record con peso diverso da 0 e pari a 0 e se tutti i record non superano i controlli di integrità, Cloud DNS restituisce tutti i target con peso diverso da 0 e ignora quelli con peso pari a 0.
  • Quando Cloud DNS sceglie un bucket di peso da restituire al richiedente (un singolo elemento della policy), viene restituito solo l'indirizzo IP in quel bucket di peso. Se specifichi un solo indirizzo IP nel bucket di peso, nella risposta viene visualizzato solo questo indirizzo IP. Se nel bucket di peso è presente più di un indirizzo IP, Cloud DNS restituisce tutti gli indirizzi IP in ordine casuale.

Logging del controllo di integrità

Cloud DNS supporta il logging dei controlli di integrità e registra lo stato di integrità degli indirizzi IP per cui è abilitato il controllo di integrità quando esegui una query sul nome DNS che fa riferimento a questi indirizzi IP.

Il logging del controllo di integrità ti consente di:

  • Verificare se le policy di routing funzionano come previsto. Ad esempio:
  • Per le policy WRR, verificare se le policy restituiscono gli indirizzi IP con la ponderazione corretta.
  • Identificare i problemi dell'infrastruttura con backend e indirizzi IP specifici che presentano errori.
  • Risolvere i problemi per cui backend specifici non vengono mai inclusi o sono gli unici a essere restituiti.

    • Per saperne di più, consulta le informazioni sul logging dei controlli di integrità.

    Tipi di record supportati per le policy di routing DNS

    Le policy di routing DNS non supportano tutti i tipi di record supportati da Cloud DNS.

    Sono supportati i seguenti tipi di record:

    Tipo di record Descrizione
    A Indirizzi IPv4 per i controlli di integrità interni (zona privata) .
    CNAME Nomi canonici. I controlli di integrità non sono supportati.
    MX Record di Mail Exchange. I controlli di integrità non sono supportati.
    SRV Host/porta (RFC 2782). I controlli di integrità non sono supportati.
    TXT Dati di testo. I controlli di integrità non sono supportati.

    Passaggi successivi