Một số hoặc tất cả thông tin trên trang này có thể không áp dụng cho Trusted Cloud của S3NS.

Trang này được dịch bởi Cloud Translation API.

Chính sách về máy chủ DNS

Chính sách máy chủ DNS cho phép bạn định cấu hình máy chủ DNS nào sẽ sử dụng khi phân giải tên miền cho tài nguyên Trusted Cloud by S3NS . Bạn có thể sử dụng chính sách máy chủ DNS để kiểm soát việc phân giải DNS trong một mạng Virtual Private Cloud (VPC) cụ thể. Chính sách máy chủ DNS chỉ định tính năng chuyển tiếp DNS đến, chuyển tiếp DNS đi hoặc cả hai. Chính sách máy chủ DNS đến cho phép chuyển tiếp DNS đến, trong khi chính sách máy chủ DNS đi là một cách để triển khai tính năng chuyển tiếp DNS đi.

Bạn cũng có thể định cấu hình DNS64 (Xem trước) để cho phép các phiên bản máy ảo chỉ IPv6 (Xem trước) giao tiếp với các đích đến chỉ IPv4.

Các mạng con VPC chỉ IPv6 (Xem trước) không hỗ trợ chính sách máy chủ DNS đến. Tuy nhiên, bạn có thể định cấu hình chính sách máy chủ DNS đi cho các phiên bản máy ảo chỉ IPv6 (Xem trước).

Chính sách về máy chủ thư đến

Mỗi mạng VPC cung cấp dịch vụ phân giải tên DNS trên đám mây cho các phiên bản máy ảo (VM) có giao diện mạng (vNIC) được đính kèm vào mạng VPC. Khi một máy ảo sử dụng máy chủ siêu dữ liệu 169.254.169.254 làm máy chủ định danh, Trusted Cloud sẽ tìm kiếm tài nguyên Cloud DNS theo thứ tự phân giải tên mạng VPC.

Để cung cấp dịch vụ phân giải tên của mạng VPC cho các mạng cục bộ được kết nối với mạng VPC bằng cách sử dụng đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc thiết bị định tuyến, bạn có thể sử dụng chính sách máy chủ đến.

Khi bạn tạo chính sách máy chủ truy cập vào, Cloud DNS sẽ tạo điểm truy cập chính sách máy chủ truy cập vào trong mạng VPC mà chính sách máy chủ được áp dụng. Điểm truy cập chính sách máy chủ đến là các địa chỉ IPv4 nội bộ lấy từ dải địa chỉ IPv4 chính của mọi mạng con trong mạng VPC hiện hành, ngoại trừ các mạng con có dữ liệu --purpose cụ thể, chẳng hạn như các mạng con chỉ dành cho proxy cho một số bộ cân bằng tải và mạng con mà Cloud NAT sử dụng cho NAT riêng tư.

Ví dụ: nếu bạn có một mạng VPC chứa hai mạng con trong cùng một khu vực và một mạng con thứ ba ở một khu vực khác, thì khi bạn định cấu hình chính sách máy chủ truy cập vào mạng cho mạng VPC, Cloud DNS sẽ sử dụng tổng cộng 3 địa chỉ IPv4 làm điểm truy cập chính sách máy chủ truy cập vào mạng, mỗi mạng con sẽ có một địa chỉ.

Để biết thông tin về cách tạo chính sách máy chủ đến cho VPC, hãy xem bài viết Tạo chính sách máy chủ đến.

Mạng và khu vực cho cụm từ tìm kiếm đến

Để xử lý các truy vấn DNS được gửi đến các điểm truy cập chính sách máy chủ đến, Cloud DNS liên kết truy vấn với một mạng VPC và một khu vực:

Mạng VPC được liên kết cho một truy vấn DNS là mạng VPC chứa đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc giao diện mạng của thiết bị Bộ định tuyến nhận các gói cho truy vấn DNS.
- Bạn nên tạo chính sách máy chủ đến trong mạng VPC kết nối với mạng cục bộ. Bằng cách đó, các điểm truy cập chính sách máy chủ đến nằm trong cùng một mạng VPC với các đường hầm Cloud VPN, phần đính kèm VLAN Cloud Interconnect hoặc thiết bị Bộ định tuyến kết nối với mạng tại chỗ.
- Mạng cục bộ có thể gửi truy vấn đến các điểm truy cập chính sách máy chủ đến trong một mạng VPC khác. Ví dụ: nếu mạng VPC chứa các đường hầm VPN trên đám mây, tệp đính kèm VLAN của Cloud Interconnect hoặc thiết bị bộ định tuyến kết nối với mạng cục bộ cũng được kết nối với một mạng VPC khác bằng tính năng Kết nối ngang hàng mạng VPC. Tuy nhiên, bạn không nên sử dụng cấu hình này vì mạng VPC được liên kết cho các truy vấn DNS không khớp với mạng VPC chứa các điểm truy cập chính sách máy chủ đến. Điều này có nghĩa là các truy vấn DNS không được phân giải bằng các vùng riêng tư và chính sách phản hồi của Cloud DNS trong mạng VPC chứa chính sách máy chủ đến. Để tránh nhầm lẫn, bạn nên thực hiện các bước định cấu hình sau:
  1. Tạo chính sách máy chủ đến trong mạng VPC kết nối với mạng cục bộ bằng cách sử dụng đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc thiết bị định tuyến.
  2. Định cấu hình các hệ thống tại chỗ để gửi truy vấn DNS đến các điểm truy cập chính sách máy chủ đến được định cấu hình ở bước trước.
  3. Định cấu hình các tài nguyên Cloud DNS được uỷ quyền cho mạng VPC kết nối với mạng cục bộ. Sử dụng một hoặc nhiều phương thức sau:
    - Thêm mạng VPC kết nối với mạng cục bộ vào danh sách mạng được uỷ quyền cho các vùng riêng tư của Cloud DNS được uỷ quyền cho mạng VPC khác: Nếu một vùng riêng tư của Cloud DNS và mạng VPC kết nối với mạng cục bộ nằm trong các dự án khác nhau của cùng một tổ chức, hãy sử dụng URL mạng đầy đủ khi uỷ quyền cho mạng. Để biết thêm thông tin, hãy xem phần Thiết lập liên kết giữa các dự án.
    - Vùng kết nối ngang hàng DNS trên đám mây được uỷ quyền cho mạng VPC kết nối với mạng cục bộ: Đặt mạng đích của vùng kết nối ngang hàng thành mạng VPC khác. Không quan trọng là mạng VPC kết nối với mạng tại chỗ có được kết nối với mạng VPC mục tiêu của vùng kết nối ngang hàng bằng tính năng Kết nối ngang hàng mạng VPC hay không vì các vùng kết nối ngang hàng DNS trên đám mây không dựa vào tính năng Kết nối ngang hàng mạng VPC để kết nối mạng.
- Nếu một mạng cục bộ gửi truy vấn đến chính sách máy chủ đến bằng tính năng Kết nối ngang hàng mạng VPC, thì mạng có chính sách máy chủ đến phải chứa máy ảo, tệp đính kèm VLAN hoặc đường hầm Cloud VPN nằm trong cùng khu vực với các truy vấn đến.
Khu vực liên kết cho truy vấn DNS luôn là khu vực chứa đường hầm Cloud VPN, tệp đính kèm VLAN kết nối đám mây hoặc giao diện mạng của thiết bị Bộ định tuyến nhận các gói cho truy vấn DNS, không phải khu vực của mạng con chứa điểm truy cập chính sách máy chủ đến.
- Ví dụ: nếu các gói cho một truy vấn DNS đi vào mạng VPC bằng đường hầm Cloud VPN nằm trong khu vực us-east1 và được gửi đến điểm truy cập chính sách máy chủ đến trong khu vực us-west1, thì khu vực liên kết cho truy vấn DNS là us-east1.
- Phương pháp hay nhất là gửi truy vấn DNS đến địa chỉ IPv4 của điểm truy cập chính sách máy chủ đến ở cùng một khu vực với đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc thiết bị bộ định tuyến.
- Vùng liên kết cho truy vấn DNS rất quan trọng nếu bạn sử dụng chính sách định tuyến vị trí địa lý. Để biết thêm thông tin, hãy xem bài viết Quản lý chính sách định tuyến DNS và kiểm tra trạng thái.

Quảng cáo tuyến đường điểm truy cập chính sách máy chủ đến

Vì địa chỉ IP của điểm truy cập chính sách máy chủ đến được lấy từ các dải địa chỉ IPv4 chính của mạng con, nên Bộ định tuyến trên đám mây sẽ quảng cáo các địa chỉ IP đó khi phiên Giao thức cổng biên (BGP) cho đường hầm VPN trên đám mây, tệp đính kèm VLAN của Cloud Interconnect hoặc thiết bị Bộ định tuyến được định cấu hình để sử dụng chế độ quảng cáo mặc định của Bộ định tuyến trên đám mây. Bạn cũng có thể định cấu hình một phiên BGP để quảng cáo địa chỉ IP điểm truy cập chính sách máy chủ đến nếu sử dụng chế độ quảng cáo tuỳ chỉnh của Trình định tuyến trên đám mây theo một trong những cách sau:

Bạn quảng cáo các dải địa chỉ IP của mạng con ngoài tiền tố tuỳ chỉnh.
Bạn thêm địa chỉ IP của điểm truy cập chính sách máy chủ đến vào quảng cáo tiền tố tuỳ chỉnh.

Chính sách về máy chủ gửi

Bạn có thể sửa đổi thứ tự phân giải tên của Cloud DNS cho một mạng VPC bằng cách tạo một chính sách máy chủ gửi đi chỉ định danh sách máy chủ định danh thay thế. Khi một máy ảo sử dụng máy chủ siêu dữ liệu 169.254.169.254 làm máy chủ định danh và khi bạn đã chỉ định máy chủ định danh thay thế cho mạng VPC, Cloud DNS sẽ gửi tất cả truy vấn đến máy chủ định danh thay thế trừ phi các truy vấn đó được so khớp bằng chính sách phản hồi trong phạm vi cụm Google Kubernetes Engine hoặc vùng riêng trong phạm vi cụm GKE.

Khi có hai hoặc nhiều máy chủ định danh thay thế trong chính sách máy chủ gửi đi, Cloud DNS sẽ xếp hạng các máy chủ định danh thay thế và truy vấn các máy chủ đó như mô tả trong bước đầu tiên của thứ tự phân giải tên VPC. Để biết thông tin về cách tạo chính sách máy chủ gửi đi, hãy xem bài viết Tạo chính sách máy chủ gửi đi.

Loại máy chủ định danh thay thế, phương thức định tuyến và địa chỉ

Cloud DNS hỗ trợ các máy chủ định danh thay thế sau đây và cung cấp các phương thức định tuyến tiêu chuẩn hoặc riêng tư để kết nối.

Loại máy chủ định danh thay thế Hỗ trợ định tuyến tiêu chuẩn Hỗ trợ định tuyến riêng tư Phạm vi địa chỉ nguồn truy vấn

Loại máy chủ định danh thay thế	Hỗ trợ định tuyến tiêu chuẩn	Hỗ trợ định tuyến riêng tư	Phạm vi địa chỉ nguồn truy vấn
Máy chủ định danh loại 1 Địa chỉ IP nội bộ của máy ảo Trusted Cloud trong cùng mạng VPC nơi định nghĩa chính sách máy chủ gửi đi.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng theo RFC 1918, địa chỉ IP riêng không theo RFC 1918 hoặc địa chỉ IP ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP của máy chủ tên thay thế bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`177.222.82.0/25`
Máy chủ định danh loại 2 Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC có chính sách máy chủ gửi đi, sử dụng Cloud VPN hoặc Cloud Interconnect.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng RFC 1918, địa chỉ IP riêng không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP của máy chủ tên thay thế bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`177.222.82.0/25`

Máy chủ định danh loại 1

Địa chỉ IP nội bộ của máy ảo Trusted Cloud trong cùng mạng VPC nơi định nghĩa chính sách máy chủ gửi đi.

Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.

Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng theo RFC 1918, địa chỉ IP riêng không theo RFC 1918 hoặc địa chỉ IP ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP của máy chủ tên thay thế bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.

177.222.82.0/25

Máy chủ định danh loại 2

Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC có chính sách máy chủ gửi đi, sử dụng Cloud VPN hoặc Cloud Interconnect.

Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.

Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng RFC 1918, địa chỉ IP riêng không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP của máy chủ tên thay thế bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.

177.222.82.0/25

Cloud DNS cung cấp hai phương thức định tuyến để truy vấn máy chủ tên thay thế:

Định tuyến tiêu chuẩn. Cloud DNS xác định loại máy chủ định danh thay thế bằng địa chỉ IP của máy chủ đó, sau đó sử dụng tuyến công khai:
- Nếu máy chủ định danh thay thế là địa chỉ IP RFC 1918, thì Cloud DNS sẽ phân loại máy chủ định danh đó là máy chủ định danh Loại 1 hoặc Loại 2 và định tuyến các truy vấn thông qua mạng VPC được uỷ quyền (định tuyến riêng tư).
Định tuyến riêng tư. Cloud DNS coi máy chủ định danh thay thế là Loại 1 hoặc Loại 2. Cloud DNS luôn định tuyến lưu lượng truy cập thông qua một mạng VPC được uỷ quyền, bất kể địa chỉ IP của máy chủ tên thay thế (có tuân theo RFC 1918 hay không).

Địa chỉ IP máy chủ định danh thay thế bị cấm

Bạn không thể sử dụng các địa chỉ IP sau cho máy chủ định danh thay thế của Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Yêu cầu về mạng của máy chủ định danh thay thế

Yêu cầu về mạng đối với máy chủ định danh thay thế sẽ khác nhau tuỳ theo loại của máy chủ định danh thay thế. Để xác định loại máy chủ định danh thay thế, hãy xem phần Các loại máy chủ định danh thay thế, phương thức định tuyến và địa chỉ. Sau đó, hãy tham khảo một trong các phần sau để biết các yêu cầu về mạng.

Yêu cầu về mạng đối với máy chủ định danh thay thế Loại 1

Cloud DNS gửi các gói có nguồn từ dải địa chỉ IP 177.222.82.0/25 đến địa chỉ IP của máy chủ định danh thay thế Loại 1.Trusted Cloud định tuyến các gói cho truy vấn bằng cách sử dụng tuyến mạng con cục bộ trong mạng VPC. Đảm bảo rằng bạn chưa tạo bất kỳ tuyến dựa trên chính sách nào có đích đến bao gồm địa chỉ IP của máy chủ định danh thay thế Loại 1.

Để cho phép các gói đến trên máy ảo máy chủ tên thay thế, bạn phải tạo quy tắc tường lửa VPC hoặc quy tắc trong chính sách tường lửa cho phép truy cập với các đặc điểm sau:

Mục tiêu: phải bao gồm các máy ảo máy chủ định danh thay thế
Nguồn: 177.222.82.0/25
Giao thức: TCP và UDP
Cổng: 53

Cloud DNS yêu cầu mỗi máy chủ định danh thay thế gửi các gói phản hồi trở lại địa chỉ IP của Cloud DNS trong 177.222.82.0/25 nơi bắt nguồn truy vấn. Nguồn của gói phản hồi phải khớp với địa chỉ IP của máy chủ định danh thay thế mà Cloud DNS gửi truy vấn ban đầu. Cloud DNS bỏ qua các phản hồi nếu chúng đến từ một nguồn địa chỉ IP không mong muốn, ví dụ: địa chỉ IP của một máy chủ định danh khác mà một máy chủ định danh thay thế có thể chuyển tiếp truy vấn.

Khi máy chủ tên thay thế Loại 1 gửi gói phản hồi đến 177.222.82.0/25, máy chủ này sẽ sử dụng đường dẫn định tuyến đặc biệt.

Yêu cầu về mạng đối với máy chủ tên thay thế Loại 2

Cloud DNS gửi các gói có nguồn từ dải địa chỉ IP 177.222.82.0/25 đến các máy chủ định danh thay thế Loại 2. Cloud DNS dựa vào các loại tuyến sau trong mạng VPC mà chính sách máy chủ gửi đi áp dụng:

Tuyến tĩnh ngoại trừ các tuyến tĩnh chỉ áp dụng cho máy ảo theo thẻ mạng
Tuyến động

Để cho phép các gói đến trên máy chủ tên thay thế Loại 2, hãy đảm bảo rằng bạn định cấu hình các quy tắc tường lửa cho phép truy cập vào máy chủ tên thay thế và mọi thiết bị mạng có liên quan tại chỗ có các tính năng tường lửa. Cấu hình tường lửa hiệu quả phải cho phép cả giao thức TCP và UDP với cổng đích 53 và nguồn 177.222.82.0/25.

Mạng tại chỗ của bạn phải có các tuyến cho đích đến 177.222.82.0/25, trong đó các bước tiếp theo là đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc Bộ định tuyến trên đám mây nằm trong cùng một mạng VPC và khu vực mà Cloud DNS gửi truy vấn. Miễn là các bước tiếp theo đáp ứng các yêu cầu về mạng và khu vực đó, Trusted Cloud không yêu cầu đường dẫn trả về đối xứng. Không thể định tuyến phản hồi từ máy chủ tên thay thế Loại 2 bằng bất kỳ bước tiếp theo nào sau đây:

Hop tiếp theo trên Internet
Hop tiếp theo trong mạng VPC khác với mạng VPC nơi bắt nguồn các truy vấn
Các bước tiếp theo trong cùng một mạng VPC nhưng ở một khu vực khác với khu vực nơi bắt nguồn các truy vấn

Để định cấu hình các tuyến 177.222.82.0/25 trong mạng cục bộ, hãy sử dụng chế độ quảng cáo tuỳ chỉnh của Trình định tuyến trên đám mây và đưa 177.222.82.0/25 vào làm tiền tố tuỳ chỉnh trong các phiên BGP của đường hầm Cloud VPN, tệp đính kèm VLAN Cloud Interconnect hoặc Trình định tuyến trên đám mây có liên quan, kết nối mạng VPC với mạng cục bộ chứa máy chủ tên thay thế Loại 2. Ngoài ra, bạn có thể định cấu hình các tuyến tĩnh tương đương trong mạng cục bộ.

Bước tiếp theo

Để định cấu hình và áp dụng chính sách máy chủ DNS, hãy xem phần Áp dụng chính sách máy chủ DNS.