Políticas de roteamento de DNS e verificações de integridade,Políticas de roteamento de DNS e verificações de integridade

Você pode configurar políticas de roteamento DNS para conjuntos de registros de recursos em ambientes privadoszonas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registros de recursos com valores de política de roteamento específicos para configurar essas políticas. Esses valores determinam como o Cloud DNS roteia o tráfego de consulta.

O Cloud DNS oferece suporte às seguintes políticas de roteamento:

  • Política de roteamento round robin ponderado (WRR) : use uma política de roteamento WRR para atribuir pesos diferentes a cada conjunto de registros de recursos para um nome DNS. Uma política de roteamento WRR ajuda a garantir que o tráfego seja distribuído de acordo com os pesos configurados.

As políticas de roteamento DNS não podem ser configuradas para as seguintes zonas privadas:

  • Zonas de encaminhamento
  • Zonas de peering de DNS
  • Zonas de pesquisa reversa gerenciadas
  • Zonas do Diretório de Serviços

Políticas de roteamento WRR

Uma política de roteamento WRR permite especificar pesos diferentes por destino DNS, e o Cloud DNS garante que seu tráfego seja distribuído de acordo com esses pesos. Você pode usar essa política para oferecer suporte a configurações manuais active-active ou active-passive . Você também pode dividir o tráfego entre as versões de produção e experimentais do seu serviço.

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite o failover automático quando os endpoints falham nas verificações de integridade. Durante um failover, o Cloud DNS ajusta automaticamente a divisão do tráfego entre os endpoints íntegros restantes. Para obter mais informações, consulte Verificações de integridade .

Políticas de roteamento de failover

A política de roteamento de failover permite que você defina configurações de backup ativo para fornecer alta disponibilidade para recursos internos na sua rede VPC.

Em operação normal, o Cloud DNS sempre retorna os endereços IP do conjunto active . Quando todos os endereços IP do conjunto active se tornam insalubres, o Cloud DNS fornece os endereços IP do conjunto backup .

O Cloud DNS permite que você distribua gradualmente o tráfego para os endereços VIP de backup, para que você possa verificar se eles estão funcionando. Você pode configurar a porcentagem do tráfego enviado para o backup como uma fração de 0 a 1. Você pode acionar manualmente um failover enviando 100% do tráfego para os endereços VIP de backup. O valor típico é 0,1. As verificações de integridade podem ser aplicadas apenas a balanceadores de carga internos e endpoints externos.

Verificações de saúde

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para os seguintes balanceadores de carga internos e endpoints externos:

Quando você deseja usar a verificação de integridade com uma zona gerenciada e as Extensões de Segurança DNS (DNSSEC) estão habilitadas, apenas um único endereço IP pode ser usado em cada item de política. Não é possível misturar endereços IP com verificação de integridade e endereços IP sem verificação de integridade em uma política específica.

Para obter informações sobre as práticas recomendadas a serem lembradas ao configurar o registro do Cloud DNS e as verificações de integridade, consulte Práticas recomendadas .

Verificações de integridade para balanceadores de carga internos

Verificações de integridade para balanceadores de carga internos estão disponíveis somente em zonas privadas.

Para Application Load Balancers internos e Network Load Balancers de proxy interno, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para ajudar a garantir a integridade dos back-ends, você pode gerenciar o ciclo de vida dos back-ends usando serviços como grupos de instâncias gerenciadas (MIGs). O Cloud DNS não precisa estar ciente da integridade de back-ends individuais; o balanceador de carga cuida dessa tarefa.

Para balanceadores de carga de rede de passagem interna, o Cloud DNS verifica as informações de integridade nas instâncias de back-end individuais do balanceador de carga. O Cloud DNS aplica um limite padrão de 20% e, se pelo menos 20% das instâncias de back-end estiverem íntegras, o endpoint do balanceador de carga será considerado íntegro. As políticas de roteamento de DNS marcam o endpoint como íntegro ou não íntegro com base nesse limite e roteiam o tráfego de acordo.

Um único endereço IP virtual (VIP) de um balanceador de carga de rede de passagem interna pode ter várias instâncias de back-end. Se um balanceador de carga de rede de passagem interna não tiver nenhuma instância de back-end, o Cloud DNS ainda o considera íntegro. Para que a verificação de integridade funcione corretamente, especifique pelo menos uma instância de back-end na configuração do balanceador de carga.

Quando o ponto de extremidade é marcado como não íntegro, as seguintes condições podem ocorrer:

  • Se houver vários endereços VIP programados em relação a uma política, somente endereços VIP saudáveis ​​serão retornados.

  • Se todos os endereços VIP programados em um bucket de política estiverem com problemas, essa linha de política falhou. O seguinte comportamento se aplica:

    • Para uma política de WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os endpoints íntegros restantes definidos na política.
    • Para uma política de failover, o Cloud DNS alterna o tráfego para os endpoints de backup definidos na política.
    • Se todos os buckets de políticas estiverem com problemas, o Cloud DNS se comportará como se todos os endpoints estivessem íntegros. Esse cenário pode levar à distribuição de tráfego para endpoints que não respondem.

Para obter mais informações sobre verificações de integridade para balanceadores de carga internos, consulte Visão geral das verificações de integridade .

Intervalo de verificação de saúde

O Cloud DNS envia periodicamente sondas de verificação de integridade de acordo com o intervalo de verificação de integridade. Por exemplo, se o intervalo de verificação de integridade for de 30 segundos, o Cloud DNS envia uma sonda de verificação de integridade a cada 30 segundos.

Para verificação de integridade do ponto de extremidade externo do Cloud DNS, o intervalo de verificação de integridade deve ser entre 30 e 300 segundos.

Políticas de roteamento round robin ponderado e verificações de integridade

O Cloud DNS suporta pesos de 0 a 1000, incluindo ambos. Quando verificações de integridade são incluídas, ocorre o seguinte:

  • Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
  • Se você configurar um novo destino ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego será transferido para esse destino.
  • À medida que você adiciona mais alvos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os alvos (a cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você configurou três alvos com pesos de 0, 25 e 75, o alvo com peso 0 não recebe tráfego, o alvo com peso 25 recebe um quarto do tráfego e o alvo restante recebe três quartos do tráfego de entrada.
  • Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero estiverem com problemas, o Cloud DNS retornará os registros ponderados zero.
  • Se as verificações de integridade estiverem associadas a registros ponderados em zero e diferentes de zero, e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará todos os destinos ponderados em zero e ignorará os destinos ponderados em zero.
  • Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP nesse bucket de peso é retornado. Se você especificar apenas um endereço IP no bucket de peso, somente esse endereço IP estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.

Registro de verificação de integridade

O Cloud DNS oferece suporte ao registro de verificação de integridade e registra o status de integridade dos seus endereços IP habilitados para verificação de integridade quando você consulta o nome DNS que se refere a esses endereços IP.

O registro de verificação de integridade permite que você faça o seguinte:

  • Valide se as políticas de roteamento estão funcionando conforme o esperado. Por exemplo:
  • Para políticas WRR, ele permite que você valide se as políticas estão retornando os endereços IP com a ponderação correta.
  • Identifique problemas de infraestrutura com backends e endereços IP específicos que apresentam falhas.
  • Solucione problemas por que backends específicos nunca são incluídos ou são os únicos que estão sendo retornados.

    • Para obter mais informações, consulte informações de registro de verificação de integridade .

    Tipos de registro suportados para políticas de roteamento DNS

    As políticas de roteamento de DNS não oferecem suporte a todos os tipos de registros suportados pelo Cloud DNS .

    Os seguintes tipos de registro são suportados:

    Tipo de registro Descrição
    UM Endereços IPv4 para zona interna (privada) exames de saúde.
    CNAME Nomes canônicos. Verificações de integridade não são suportadas.
    MX Registros de troca de e-mails. Verificações de integridade não são suportadas.
    SRV Host/porta ( RFC 2782 ). Verificações de integridade não são suportadas.
    TXT Dados de texto. Verificações de integridade não são suportadas.

    O que vem a seguir

    ,

    Você pode configurar políticas de roteamento DNS para conjuntos de registros de recursos em ambientes privadoszonas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registros de recursos com valores de política de roteamento específicos para configurar essas políticas. Esses valores determinam como o Cloud DNS roteia o tráfego de consulta.

    O Cloud DNS oferece suporte às seguintes políticas de roteamento:

    • Política de roteamento round robin ponderado (WRR) : use uma política de roteamento WRR para atribuir pesos diferentes a cada conjunto de registros de recursos para um nome DNS. Uma política de roteamento WRR ajuda a garantir que o tráfego seja distribuído de acordo com os pesos configurados.

    As políticas de roteamento DNS não podem ser configuradas para as seguintes zonas privadas:

    • Zonas de encaminhamento
    • Zonas de peering de DNS
    • Zonas de pesquisa reversa gerenciadas
    • Zonas do Diretório de Serviços

    Políticas de roteamento WRR

    Uma política de roteamento WRR permite especificar pesos diferentes por destino DNS, e o Cloud DNS garante que seu tráfego seja distribuído de acordo com esses pesos. Você pode usar essa política para oferecer suporte a configurações manuais active-active ou active-passive . Você também pode dividir o tráfego entre as versões de produção e experimentais do seu serviço.

    O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite o failover automático quando os endpoints falham nas verificações de integridade. Durante um failover, o Cloud DNS ajusta automaticamente a divisão do tráfego entre os endpoints íntegros restantes. Para obter mais informações, consulte Verificações de integridade .

    Políticas de roteamento de failover

    A política de roteamento de failover permite que você defina configurações de backup ativo para fornecer alta disponibilidade para recursos internos na sua rede VPC.

    Em operação normal, o Cloud DNS sempre retorna os endereços IP do conjunto active . Quando todos os endereços IP do conjunto active se tornam insalubres, o Cloud DNS fornece os endereços IP do conjunto backup .

    O Cloud DNS permite que você distribua gradualmente o tráfego para os endereços VIP de backup, para que você possa verificar se eles estão funcionando. Você pode configurar a porcentagem do tráfego enviado para o backup como uma fração de 0 a 1. Você pode acionar manualmente um failover enviando 100% do tráfego para os endereços VIP de backup. O valor típico é 0,1. As verificações de integridade podem ser aplicadas apenas a balanceadores de carga internos e endpoints externos.

    Verificações de saúde

    O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para os seguintes balanceadores de carga internos e endpoints externos:

    Quando você deseja usar a verificação de integridade com uma zona gerenciada e as Extensões de Segurança DNS (DNSSEC) estão habilitadas, apenas um único endereço IP pode ser usado em cada item de política. Não é possível misturar endereços IP com verificação de integridade e endereços IP sem verificação de integridade em uma política específica.

    Para obter informações sobre as práticas recomendadas a serem lembradas ao configurar o registro do Cloud DNS e as verificações de integridade, consulte Práticas recomendadas .

    Verificações de integridade para balanceadores de carga internos

    Verificações de integridade para balanceadores de carga internos estão disponíveis somente em zonas privadas.

    Para Application Load Balancers internos e Network Load Balancers de proxy interno, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para ajudar a garantir a integridade dos back-ends, você pode gerenciar o ciclo de vida dos back-ends usando serviços como grupos de instâncias gerenciadas (MIGs). O Cloud DNS não precisa estar ciente da integridade de back-ends individuais; o balanceador de carga cuida dessa tarefa.

    Para balanceadores de carga de rede de passagem interna, o Cloud DNS verifica as informações de integridade nas instâncias de back-end individuais do balanceador de carga. O Cloud DNS aplica um limite padrão de 20% e, se pelo menos 20% das instâncias de back-end estiverem íntegras, o endpoint do balanceador de carga será considerado íntegro. As políticas de roteamento de DNS marcam o endpoint como íntegro ou não íntegro com base nesse limite e roteiam o tráfego de acordo.

    Um único endereço IP virtual (VIP) de um balanceador de carga de rede de passagem interna pode ter várias instâncias de back-end. Se um balanceador de carga de rede de passagem interna não tiver nenhuma instância de back-end, o Cloud DNS ainda o considera íntegro. Para que a verificação de integridade funcione corretamente, especifique pelo menos uma instância de back-end na configuração do balanceador de carga.

    Quando o ponto de extremidade é marcado como não íntegro, as seguintes condições podem ocorrer:

    • Se houver vários endereços VIP programados em relação a uma política, somente endereços VIP saudáveis ​​serão retornados.

    • Se todos os endereços VIP programados em um bucket de política estiverem com problemas, essa linha de política falhou. O seguinte comportamento se aplica:

      • Para uma política de WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os endpoints íntegros restantes definidos na política.
      • Para uma política de failover, o Cloud DNS alterna o tráfego para os endpoints de backup definidos na política.
      • Se todos os buckets de políticas estiverem com problemas, o Cloud DNS se comportará como se todos os endpoints estivessem íntegros. Esse cenário pode levar à distribuição de tráfego para endpoints que não respondem.

    Para obter mais informações sobre verificações de integridade para balanceadores de carga internos, consulte Visão geral das verificações de integridade .

    Intervalo de verificação de saúde

    O Cloud DNS envia periodicamente sondas de verificação de integridade de acordo com o intervalo de verificação de integridade. Por exemplo, se o intervalo de verificação de integridade for de 30 segundos, o Cloud DNS envia uma sonda de verificação de integridade a cada 30 segundos.

    Para verificação de integridade do ponto de extremidade externo do Cloud DNS, o intervalo de verificação de integridade deve ser entre 30 e 300 segundos.

    Políticas de roteamento round robin ponderado e verificações de integridade

    O Cloud DNS suporta pesos de 0 a 1000, incluindo ambos. Quando verificações de integridade são incluídas, ocorre o seguinte:

    • Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
    • Se você configurar um novo destino ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego será transferido para esse destino.
    • À medida que você adiciona mais alvos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os alvos (a cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você configurou três alvos com pesos de 0, 25 e 75, o alvo com peso 0 não recebe tráfego, o alvo com peso 25 recebe um quarto do tráfego e o alvo restante recebe três quartos do tráfego de entrada.
    • Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero estiverem com problemas, o Cloud DNS retornará os registros ponderados zero.
    • Se as verificações de integridade estiverem associadas a registros ponderados em zero e diferentes de zero, e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará todos os destinos ponderados em zero e ignorará os destinos ponderados em zero.
    • Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP nesse bucket de peso é retornado. Se você especificar apenas um endereço IP no bucket de peso, somente esse endereço IP estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.

    Registro de verificação de saúde

    O Cloud DNS suporta o registro de verificação de saúde e registra o status de saúde de seus endereços IP habilitados para verificação de saúde quando você consulta o nome do DNS que se refere a esses endereços IP.

    O registro da verificação de saúde permite fazer o seguinte:

    • Validar se as políticas de roteamento estão funcionando conforme o esperado. Por exemplo:
    • Para políticas da WRR, ele permite validar se as políticas estiverem retornando os endereços IP na peso correto.
  • Identifique problemas de infraestrutura com back -ends e endereços IP específicos que têm falhas.
  • Solucionar problemas por que os backnds específicos nunca estão incluídos ou são os únicos que estão sendo devolvidos.

    • Para mais informações, consulte Informações sobre o registro da verificação de saúde .

    Tipos de registros suportados para políticas de roteamento de DNS

    As políticas de roteamento de DNS não suportam todos os tipos de registros suportados pelo Cloud DNS .

    Os seguintes tipos de registro são suportados:

    Tipo de registro Descrição
    UM Endereços IPv4 para interno (zona privada) Verificações de saúde.
    CNAME Nomes canônicos. As verificações de saúde não são suportadas.
    MX Registros de troca de correio. As verificações de saúde não são suportadas.
    SRV Host/porta ( RFC 2782 ). As verificações de saúde não são suportadas.
    TXT Dados de texto. As verificações de saúde não são suportadas.

    O que vem a seguir