Orden de resolución de nombres

Cloud DNS sigue el procedimiento que se describe a continuación para responder a las consultas de las instancias de máquinas virtuales (VMs) de Compute Engine y los nodos de Google Kubernetes Engine (GKE).

En el caso de las VMs de Compute Engine que no sean nodos de GKE, Cloud DNS sigue el orden de resolución de la red de VPC para procesar las consultas que recibe. Cada VM debe configurarse para usar la dirección IP del servidor de metadatos (169.254.169.254) como servidor de nombres.

En el caso de los nodos de GKE:

  1. Cloud DNS intenta primero asociar una consulta mediante políticas de respuesta y zonas privadas con ámbito de clúster.

  2. Cloud DNS continúa siguiendo el orden de resolución de la red de VPC.

Políticas de respuesta y zonas privadas centradas en clústeres

  1. Coincidencia mediante reglas en políticas de respuesta con ámbito de clúster de GKE. Cloud DNS analiza todas las políticas de respuesta aplicables con ámbito de clúster de GKE para buscar una regla en la que el atributo de nombre de DNS coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para analizar las políticas de respuesta con ámbito de clúster.

    1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla proporciona datos locales, Cloud DNS devuelve los datos locales como respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuestas que coincida o si no hay ninguna política de respuestas aplicable al nodo, Cloud DNS continúa con el siguiente paso.

  2. Coincidir registros en zonas privadas con ámbito de clúster. Cloud DNS analiza todas las zonas privadas gestionadas con ámbito de clúster para buscar un registro que coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros en zonas privadas con ámbito de clúster.

    1. Si la coincidencia más específica de la consulta es el nombre de zona de una zona privada con ámbito de clúster, Cloud DNS usa los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos de ese registro.
      • Si la zona no contiene ningún registro coincidente, Cloud DNS devuelve NXDOMAIN.

    2. Si la coincidencia más específica de la consulta es el nombre de zona de una zona de reenvío con ámbito de clúster, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona de reenvío para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL si el destino de reenvío no responde a Cloud DNS.

    3. Si la consulta no coincide con ninguna zona privada con ámbito de clúster, Cloud DNS continúa con el orden de resolución de la red de VPC.

Orden de resolución de redes de VPC

  1. Coincidir con el servidor de nombres alternativo de la red de VPC. Si la red VPC tiene una política de servidor saliente,Trusted Cloud reenvía la consulta a uno de los servidores de nombres alternativos definidos en esa política para completar el proceso de resolución de nombres.

    Si hay dos o más servidores de nombres alternativos en la política de servidor saliente, Cloud DNS los clasifica mediante un algoritmo interno. Empezando por rangos iguales, los servidores de nombres alternativos aumentan de rango en función de las tasas más altas de respuestas correctas (incluidas las respuestas NXDOMAIN) y en función del tiempo de ida y vuelta más corto (la latencia de respuesta más baja).

    Cloud DNS envía consultas a servidores de nombres alternativos y devuelve respuestas mediante el siguiente proceso.

    • Si hay dos o más servidores de nombres alternativos en la política de servidor saliente, Cloud DNS envía primero la consulta al servidor de nombres alternativo con la clasificación más alta y, a continuación, al siguiente servidor de nombres alternativo si Cloud DNS no recibe ninguna respuesta del servidor de nombres alternativo con la clasificación más alta. Si Cloud DNS no recibe ninguna respuesta del servidor de nombres alternativo con el siguiente rango, Cloud DNS seguirá consultando servidores de nombres alternativos por orden descendente hasta que se agote la lista de servidores de nombres alternativos.

    • Si Cloud DNS recibe una respuesta de un servidor de nombres alternativo, Cloud DNS devuelve esa respuesta. Las respuestas incluyen NXDOMAIN respuestas.

    • Si Cloud DNS no recibe una respuesta de todos los servidores de nombres alternativos de la política de servidor saliente, Cloud DNS sintetiza una respuesta SERVFAIL. Para solucionar problemas de conectividad de servidores de nombres alternativos, consulta los requisitos de red de servidores de nombres alternativos.

    Si la red de VPC no tiene una política de servidor saliente, Cloud DNS continúa con el siguiente paso.

  2. Coincidencia mediante reglas en políticas de respuesta con ámbito de red de VPC. Cloud DNS analiza todas las políticas de respuesta de la red VPC aplicables para encontrar una regla en la que el atributo de nombre de DNS coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para analizar las políticas de respuesta con ámbito de red de VPC.

    1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla proporciona datos locales, Cloud DNS devuelve los datos locales como respuesta, lo que completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuestas que coincida o si no hay una política de respuestas aplicable a la red de VPC de la máquina virtual o el nodo, Cloud DNS continúa con el siguiente paso.

  3. Coincidir registros en zonas privadas gestionadas con ámbito de red de VPC. Cloud DNS analiza todas las zonas privadas gestionadas autorizadas para la red de VPC en busca de un registro que coincida lo máximo posible con la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica de la consulta es el nombre de zona de una zona privada con ámbito de red de VPC, Cloud DNS usa los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos del registro.
      • Si la zona no contiene ningún registro coincidente, Cloud DNS devuelve NXDOMAIN.

    2. Si la coincidencia más específica de la consulta es el nombre de zona de una zona de reenvío con ámbito de red de VPC, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona de reenvío para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL si el destino de reenvío no responde a Cloud DNS.

    3. Si la coincidencia más específica de la consulta es el nombre de una zona de peering con ámbito de red de VPC, Cloud DNS detiene el proceso de resolución de nombres actual y empieza uno nuevo desde la perspectiva de la red de VPC de destino de la zona de peering.

    Si la consulta no coincide con una zona privada, de reenvío o de emparejamiento, Cloud DNS continúa con el siguiente paso.

  4. Registros coincidentes en zonas internas de Compute Engine. Cloud DNS analiza todas las zonas DNS internas de Compute Engine aplicables para buscar un registro que coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica de la consulta es un nombre de DNS interno de Compute Engine, Cloud DNS devuelve la dirección IP interna de la interfaz de red de la VM o su puntero de búsqueda inversa como respuesta, lo que completa el proceso de resolución de nombres.

  5. Coincide con el registro mediante una consulta de DNS pública. Trusted Cloud Sigue el registro de inicio de autoridad (SOA) para consultar las zonas disponibles públicamente,Cloud DNS devuelve una de las siguientes respuestas.

    • La respuesta recibida de un servidor de nombres autoritativo.
    • Una respuesta NXDOMAIN si el registro no existe.

Ejemplo

Imagina que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con ámbito:

  1. vpc-a tiene autorización para consultar las siguientes zonas privadas. Fíjate en el punto final de cada entrada:

    • static.example.com.
    • 10.internal.

  2. peer.com. es una zona de emparejamiento que puede consultar el orden de resolución de nombres de la VPC de vpc-b.

  3. vpc-a no está asociado a ningún servidor saliente ni a ninguna política de respuesta.

  4. cluster-a tiene autorización para consultar una zona privada llamada example.com. cluster-a tampoco está asociado a ningún servidor saliente ni a ninguna política de respuesta.

  5. Una VM de cluster-a puede consultar lo siguiente:

    • example.com y niños (incluidos static.example.com), respondida por la zona privada llamada example.com, autorizada para cluster-a.
    • 10.internal en vpc-a.
    • peer.com mediante la zona de emparejamiento.

  6. Una VM que no esté en cluster-a puede consultar lo siguiente:

    • static.example.com y los niños, respondidas por la zona privada llamada static.example.com autorizada para vpc-a. Las consultas de example.com devuelven respuestas de Internet.
    • 10.internal en vpc-a.
    • peer.com mediante la zona de emparejamiento.

Siguientes pasos