Uma política de servidor DNS permite-lhe configurar os servidores DNS a usar quando resolve nomes de domínio para os seus Trusted Cloud by S3NS recursos. Pode usar políticas de servidor DNS para controlar a resolução de DNS numa rede de nuvem privada virtual (VPC) específica. Uma política de servidor DNS especifica o encaminhamento de DNS de entrada, o encaminhamento de DNS de saída ou ambos. Uma política de servidor DNS de entrada permite o encaminhamento de DNS de entrada, enquanto uma política de servidor DNS de saída é uma forma de implementar o encaminhamento de DNS de saída.
Também pode configurar o DNS64 (pré-visualização) para ativar instâncias de VM apenas IPv6 (pré-visualização) para comunicar com destinos apenas IPv4.
As sub-redes da VPC apenas com IPv6 (pré-visualização) não suportam políticas de servidor DNS de entrada. No entanto, pode configurar políticas de servidor DNS de saída para as suas instâncias de VM apenas IPv6 (pré-visualização).
Políticas do servidor de entrada
Cada rede de VPC fornece serviços de resolução de nomes do Cloud DNS a instâncias de máquinas virtuais (VM) que têm uma interface de rede (vNIC) anexada à rede de VPC. Quando uma VM usa o respetivo servidor de metadados
169.254.169.254 como servidor de nomes, Trusted Cloud procura
recursos do Cloud DNS de acordo com a ordem de resolução do nome da rede VPC.
Para disponibilizar os serviços de resolução de nomes de uma rede VPC a redes no local que estejam ligadas à rede VPC através de túneis do Cloud VPN, anexos de VLAN do Cloud Interconnect ou dispositivos de router, pode usar uma política de servidor de entrada.
Quando cria uma política de servidor de entrada, o Cloud DNS cria pontos de entrada
da política de servidor na rede VPC à qual a política de servidor é aplicada. Os pontos de entrada da política de servidor de entrada são endereços IPv4
internos provenientes do intervalo de endereços IPv4 principal de todas as sub-redes na
rede VPC aplicável, exceto as sub-redes com dados
--purpose específicos, como sub-redes apenas de proxy para determinados equilibradores de carga e
sub-redes usadas pelo Cloud NAT para NAT privado.
Por exemplo, se tiver uma rede VPC que contenha duas sub-redes na mesma região e uma terceira sub-rede numa região diferente, quando configurar uma política de servidor de entrada para a rede VPC, o Cloud DNS usa um total de três endereços IPv4 como pontos de entrada da política de servidor de entrada, um por sub-rede.
Para obter informações sobre como criar uma política de servidor de entrada para uma VPC, consulte o artigo Crie uma política de servidor de entrada.
Rede e região para consultas recebidas
Para processar consultas DNS enviadas para pontos de entrada da política de servidor de entrada, o Cloud DNS associa a consulta a uma rede VPC e a uma região:
A rede VPC associada a uma consulta DNS é a rede VPC que contém o túnel do Cloud VPN, a associação de VLAN do Cloud Interconnect ou a interface de rede do dispositivo Router que recebe os pacotes para a consulta DNS.
A Google recomenda que crie uma política de servidor de entrada na rede VPC que se liga à sua rede no local. Desta forma, os pontos de entrada da política de servidor de entrada estão localizados na mesma rede VPC que os túneis da Cloud VPN, as associações de VLAN do Cloud Interconnect ou os dispositivos de router que se ligam à rede no local.
É possível que uma rede no local envie consultas para pontos de entrada da política do servidor de entrada numa rede VPC diferente. Por exemplo, se a rede VPC que contém os túneis do Cloud VPN, os anexos de VLAN do Cloud Interconnect ou os dispositivos de router que se ligam à rede no local também estiver ligada a uma rede VPC diferente através do intercâmbio da rede da VPC. No entanto, não recomendamos a utilização desta configuração, uma vez que a rede VPC associada às consultas DNS não corresponde à rede VPC que contém os pontos de entrada da política de servidor de entrada, o que significa que as consultas DNS não são resolvidas através de zonas privadas do Cloud DNS e políticas de resposta na rede VPC que contém a política de servidor de entrada. Para evitar confusões, recomendamos os seguintes passos de configuração:
- Crie uma política de servidor de entrada na rede VPC que se ligue à rede no local através de túneis do Cloud VPN, anexos de VLAN do Cloud Interconnect ou dispositivos de router.
- Configure os sistemas no local para enviar consultas DNS para os pontos de entrada da política do servidor de entrada configurados no passo anterior.
Configure os recursos do Cloud DNS autorizados para a rede VPC que se liga à rede no local. Use um ou mais dos seguintes métodos:
- Adicione a rede VPC que se liga à rede no local à lista de redes autorizadas para as zonas privadas do Cloud DNS que estão autorizadas para a outra rede VPC: se uma zona privada do Cloud DNS e a rede VPC que se liga à rede no local estiverem em projetos diferentes da mesma organização, use o URL completo da rede quando autorizar a rede. Para mais informações, consulte o artigo Configure a associação entre projetos.
- Zonas de intercâmbio do Cloud DNS autorizadas para a rede da VPC que se liga à rede no local: defina a rede de destino da zona de intercâmbio para a outra rede da VPC. Não importa se a rede da VPC que se liga à rede nas instalações está ligada à rede da VPC de destino da zona de intercâmbio através do intercâmbio das redes da VPC, porque as zonas de intercâmbio do Cloud DNS não dependem do intercâmbio das redes da VPC para a conetividade de rede.
Se uma rede no local enviar consultas para uma política de servidor de entrada através da interligação de redes VPC, a rede com a política de servidor de entrada tem de conter uma VM, uma ligação VLAN ou um túnel de VPN na nuvem localizado na mesma região que as consultas recebidas.
A região associada a uma consulta DNS é sempre a região que contém o túnel da Cloud VPN, a ligação VLAN do Cloud Interconnect ou a interface de rede do dispositivo Router que recebe os pacotes para a consulta DNS, não a região da sub-rede que contém o ponto de entrada da política do servidor de entrada.
- Por exemplo, se os pacotes de uma consulta DNS entrarem numa rede VPC através de um túnel do Cloud VPN localizado na região
us-east1e forem enviados para um ponto de entrada da política de servidor de entrada na regiãous-west1, a região associada à consulta DNS éus-east1. - Como prática recomendada, envie consultas DNS para o endereço IPv4 de um ponto de entrada da política de servidor de entrada na mesma região que o túnel da Cloud VPN, a ligação VLAN do Cloud Interconnect ou o dispositivo de router.
- A região associada a uma consulta DNS é importante se usar políticas de encaminhamento de geolocalização. Para mais informações, consulte o artigo Gerir políticas de encaminhamento de DNS e verificações de estado.
- Por exemplo, se os pacotes de uma consulta DNS entrarem numa rede VPC através de um túnel do Cloud VPN localizado na região
Anúncio de rota do ponto de entrada da política do servidor de entrada
Uma vez que os endereços IP do ponto de entrada da política de servidor de entrada são retirados dos intervalos de endereços IPv4 principais das sub-redes, os Cloud Routers anunciam esses endereços IP quando a sessão do Border Gateway Protocol (BGP) para um túnel de VPN do Google Cloud, um anexo de VLAN do Cloud Interconnect ou um dispositivo de router está configurada para usar o modo de anúncio predefinido do Cloud Router. Também pode configurar uma sessão BGP para anunciar endereços IP de ponto de entrada da política do servidor de entrada se usar o modo de anúncio personalizado do Cloud Router de uma das seguintes formas:
- Anunciar intervalos de endereços IP de sub-rede, além dos seus prefixos personalizados.
- Inclui endereços IP de ponto de entrada da política de servidor de entrada nos seus anúncios de prefixo personalizados.
Políticas de servidores de saída
Pode modificar a ordem de resolução de nomes do Cloud DNS de uma rede VPC criando uma política de servidor de saída que especifica uma lista de servidores de nomes alternativos. Quando uma VM usa o respetivo servidor de metadados 169.254.169.254 como servidor de nomes e quando especificou servidores de nomes alternativos para uma rede VPC, o Cloud DNS envia todas as consultas para os servidores de nomes alternativos ,a menos que as consultas correspondam a uma política de resposta ao nível do cluster do Google Kubernetes Engine ou a uma zona privada ao nível do cluster do GKE.
Tipos, métodos de encaminhamento e endereços de servidores de nomes alternativos
O Cloud DNS suporta os seguintes servidores de nomes alternativos e oferece métodos de encaminhamento padrão ou privado para a conetividade.
| Tipo de servidor de nomes alternativo | Suporte de encaminhamento padrão | O encaminhamento privado suporta | Intervalo de endereços de origem da consulta |
|---|---|---|---|
Servidor de nomes do tipo 1 Um endereço IP interno de uma Trusted Cloud VM na mesma rede VPC onde a política de servidor de saída está definida. |
Apenas endereços IP RFC 1918: o tráfego é sempre encaminhado através de uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de servidor de nomes alternativo proibido: o tráfego é sempre encaminhado através de uma rede VPC autorizada. | 177.222.82.0/25 |
Servidor de nomes do tipo 2 Um endereço IP de um sistema no local, ligado à rede VPC com a política de servidor de saída, através do Cloud VPN ou do Cloud Interconnect. |
Apenas endereços IP RFC 1918: o tráfego é sempre encaminhado através de uma rede VPC autorizada. | Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de servidor de nomes alternativo proibido: o tráfego é sempre encaminhado através de uma rede VPC autorizada. | 177.222.82.0/25 |
O Cloud DNS oferece dois métodos de encaminhamento para consultar servidores de nomes alternativos:
Encaminhamento padrão. O Cloud DNS determina o tipo de servidor de nomes alternativo através do respetivo endereço IP e, em seguida, usa o encaminhamento ou :
- Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS classifica o servidor de nomes como um servidor de nomes de Tipo 1 ou Tipo 2 e encaminha as consultas através de uma rede VPC autorizada (encaminhamento privado).
Encaminhamento privado. O Cloud DNS trata o servidor de nomes alternativo como Tipo 1 ou Tipo 2. O Cloud DNS encaminha sempre o tráfego através de uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não).
Endereços IP de servidores de nomes alternativos proibidos
Não pode usar os seguintes endereços IP para servidores de nomes alternativos do Cloud DNS:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Requisitos de rede do servidor de nomes alternativo
Os requisitos de rede para servidores de nomes alternativos variam consoante o tipo do servidor de nomes alternativo. Para determinar o tipo de um servidor de nomes alternativo, consulte o artigo Tipos, métodos de encaminhamento e endereços de servidores de nomes alternativos. Em seguida, consulte uma das seguintes secções para ver os requisitos de rede.
Requisitos de rede para servidores de nomes alternativos do tipo 1
O Cloud DNS envia pacotes cujas origens são do intervalo de endereços IP 177.222.82.0/25para o endereço IP do servidor de nomes alternativo do tipo 1.Trusted Cloud Os pacotes de rotas para consultas que usam rotas de sub-rede locais na rede VPC. Certifique-se de que não criou rotas baseadas em políticas cujos destinos incluam endereços IP de servidores de nomes alternativos do tipo 1.
Para permitir pacotes recebidos em VMs de servidor de nomes alternativos, tem de criar regras de firewall da VPC de permissão de entrada ou regras nas políticas de firewall com as seguintes características:
- Destinos: têm de incluir as VMs do servidor de nomes alternativo
- Fontes:
177.222.82.0/25 - Protocolos:
TCPeUDP - Porta:
53
O Cloud DNS requer que cada servidor de nomes alternativo envie pacotes de resposta
de volta para o endereço IP do Cloud DNS em 177.222.82.0/25 a partir
do qual a consulta foi originada. As origens dos pacotes de resposta têm de corresponder ao endereço IP do servidor de nomes alternativo para o qual o Cloud DNS envia a consulta original. O Cloud DNS ignora as respostas se estas provierem de uma origem de endereço IP inesperada. Por exemplo, o endereço IP de outro servidor de nomes para o qual um servidor de nomes alternativo pode encaminhar uma consulta.
Quando um servidor de nomes alternativo do Tipo 1 envia pacotes de resposta para
177.222.82.0/25, usa um caminho de encaminhamento especial.
Requisitos de rede para servidores de nomes alternativos do tipo 2
O Cloud DNS envia pacotes cujas origens são do intervalo de endereços IP 177.222.82.0/25 para servidores de nomes alternativos do tipo 2. O Cloud DNS baseia-se nos seguintes tipos de trajetos na rede VPC à qual a política de servidor de saída se aplica:
- Rotas estáticas exceto rotas estáticas que se aplicam apenas a VMs por etiqueta de rede
- Rotas dinâmicas
Para permitir pacotes recebidos em servidores de nomes alternativos do Tipo 2, certifique-se de que
configura regras de firewall de permissão de entrada aplicáveis aos
servidores de nomes alternativos e a qualquer equipamento de rede no local relevante com
funcionalidades de firewall. A configuração da firewall eficaz tem de permitir os protocolos TCP e UDP com a porta de destino 53 e as origens 177.222.82.0/25.
O Cloud DNS requer que cada servidor de nomes alternativo envie pacotes de resposta
de volta para o endereço IP do Cloud DNS em 177.222.82.0/25 a partir
do qual a consulta foi originada. As origens dos pacotes de resposta têm de corresponder ao endereço IP do servidor de nomes alternativo para o qual o Cloud DNS envia a consulta original. O Cloud DNS ignora as respostas se estas provierem de uma origem de endereço IP inesperada. Por exemplo, o endereço IP de outro servidor de nomes para o qual um servidor de nomes alternativo pode encaminhar uma consulta.
A sua rede no local tem de ter trajetos para o destino 177.222.82.0/25 cujos saltos seguintes são túneis da Cloud VPN, anexos de VLAN do Cloud Interconnect ou Cloud Routers localizados na mesma rede e região da VPC a partir da qual o Cloud DNS envia a consulta. Desde que os saltos seguintes cumpram esses requisitos de rede e região,o Google Cloud não requer um caminho de retorno simétrico. Trusted Cloud As respostas dos servidores de nomes alternativos do Tipo 2 não podem ser encaminhadas através de nenhum dos seguintes saltos seguintes:
- Saltos seguintes na Internet
- Saltos seguintes numa rede VPC diferente da rede VPC de onde as consultas se originaram
- Saltos seguintes na mesma rede VPC, mas numa região diferente da região de origem das consultas
Para configurar os trajetos 177.222.82.0/25 na sua rede no local, use o modo de anúncio personalizado do Cloud Router e inclua 177.222.82.0/25 como um prefixo personalizado nas sessões BGP dos túneis da Cloud VPN relevantes, anexos VLAN do Cloud Interconnect ou Cloud Routers que ligam a sua rede VPC à rede no local que contém o servidor de nomes alternativo Type 2. Em alternativa, pode configurar rotas estáticas equivalentes na sua rede no local.
O que se segue?
- Para configurar e aplicar políticas de servidor DNS, consulte o artigo Aplique políticas de servidor DNS.