Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Ordre de résolution des noms

Cloud DNS utilise la procédure suivante pour répondre aux requêtes provenant d'instances de machines virtuelles (VM) Compute Engine et de nœuds Google Kubernetes Engine (GKE).

Pour les VM Compute Engine autres que les nœuds GKE, Cloud DNS suit l'ordre de résolution du réseau VPC pour traiter les requêtes qu'il reçoit. Chaque VM doit être configurée pour utiliser l'adresse IP du serveur de métadonnées (169.254.169.254) comme serveur de noms.

Pour les nœuds GKE :

Cloud DNS tente d'abord de faire correspondre une requête à l'aide de zones privées et de stratégies de réponse à l'échelle du cluster.
Cloud DNS poursuit en suivant l'ordre de résolution du réseau VPC.

Zones privées et stratégies de réponse à l'échelle du cluster

Correspondance à l'aide de règles dans les stratégies de réponse à l'échelle d'un cluster GKE. Cloud DNS analyse toutes les stratégies de réponse applicables à l'échelle du cluster GKE pour trouver une règle dont l'attribut de nom DNS correspond autant que possible à la requête. Cloud DNS utilise la correspondance du suffixe le plus long pour analyser les stratégies de réponse à l'échelle du cluster.
1. Si Cloud DNS trouve une règle de stratégie de réponse correspondante et que la règle fournit des données locales, Cloud DNS renvoie les données locales comme réponse, ce qui termine le processus de résolution de nom.
2. Si Cloud DNS trouve une règle de stratégie de réponse correspondante et que le comportement de la règle contourne la stratégie de réponse, Cloud DNS passe à l'étape suivante.
3. Si Cloud DNS ne parvient pas à trouver de stratégie de réponse correspondante ou s'il n'existe pas de stratégie de réponse à l'échelle du cluster applicable au nœud, Cloud DNS passe à l'étape suivante.
Recherche d'enregistrements dans les zones privées à l'échelle du cluster. Cloud DNS analyse toutes les zones privées gérées à l'échelle du cluster à la recherche d'un enregistrement correspondant autant que possible à la requête. Cloud DNS utilise la correspondance du suffixe le plus long pour trouver les enregistrements dans les zones privées à l'échelle du cluster.
1. Si la correspondance la plus spécifique pour la requête est le nom d'une zone privée à l'échelle du cluster, Cloud DNS utilise les données d'enregistrement de cette zone pour résoudre la requête.
  - Si la zone contient un enregistrement qui correspond exactement à la requête, Cloud DNS renvoie les données de cet enregistrement.
  - Si elle ne contient pas d'enregistrement correspondant, Cloud DNS renvoie NXDOMAIN.
2. Si la correspondance la plus spécifique pour la requête est le nom d'une zone de transfert à l'échelle du cluster, Cloud DNS transfère la requête à l'une des cibles de transfert de la zone de transfert pour terminer le processus de résolution de nom. Cloud DNS renvoie l'une des réponses suivantes.
  - La réponse reçue de la cible de transfert.
  - Une réponse SERVFAIL si la cible de transfert ne répond pas à Cloud DNS.
3. Si la requête ne correspond à aucune zone privée à l'échelle du cluster, Cloud DNS passe à l'ordre de résolution du réseau VPC.

Ordre de résolution du réseau VPC

Correspondance à l'aide d'un serveur de noms alternatif du réseau VPC. Si le réseau VPC dispose d'une règle de serveur sortant,Trusted Cloud transfère la requête vers l'un des serveurs de noms alternatifs définis dans cette règle pour terminer le processus de résolution de nom.

Si au moins deux serveurs de noms alternatifs existent dans la règle de serveur sortant, Cloud DNS les classe à l'aide d'un algorithme interne. Les serveurs de noms alternatifs commencent avec le même classement. Ce classement évolue en fonction du taux de réponses de réussite (y compris les réponses NXDOMAIN) et en fonction du délai aller-retour le plus court (la latence de réponse la plus faible).

Cloud DNS envoie des requêtes à des serveurs de noms alternatifs et renvoie des réponses en suivant le processus ci-dessous.
- Si au moins deux serveurs de noms alternatifs existent dans la règle de serveur sortant, Cloud DNS envoie d'abord la requête au serveur de noms alternatif le mieux classé, puis au suivant si Cloud DNS ne reçoit aucune réponse du serveur de noms alternatif le mieux classé. Si Cloud DNS ne reçoit aucune réponse du serveur de noms alternatif suivant dans le classement, il continue d'interroger les serveurs de noms alternatifs par ordre décroissant jusqu'à arriver au bas de la liste.
- Si Cloud DNS reçoit une réponse d'un serveur de noms alternatif, il la renvoie. Les réponses incluent des réponses NXDOMAIN.
- Si Cloud DNS ne reçoit pas de réponse de tous les serveurs de noms alternatifs de la règle de serveur sortant, il synthétise une réponse SERVFAIL. Pour résoudre les problèmes liés à la connectivité des serveurs de noms alternatifs, consultez Configuration réseau requise pour le serveur de noms alternatif.
Si le réseau VPC ne possède pas de règle de serveur sortant, Cloud DNS passe à l'étape suivante.
Correspondance à l'aide de règles dans les stratégies de réponse à l'échelle du réseau VPC Cloud DNS analyse toutes les stratégies de réponse du réseau VPC applicables pour trouver une règle dont l'attribut de nom DNS correspond autant que possible à la requête. Cloud DNS utilise la correspondance du suffixe le plus long pour analyser les stratégies de réponse à l'échelle du réseau VPC.
1. Si Cloud DNS trouve une règle de stratégie de réponse correspondante et que la règle fournit des données locales, Cloud DNS renvoie les données locales comme réponse, ce qui termine le processus de résolution de nom.
2. Si Cloud DNS trouve une règle de stratégie de réponse correspondante et que le comportement de la règle contourne la stratégie de réponse, Cloud DNS passe à l'étape suivante.
3. Si Cloud DNS ne parvient pas à trouver de stratégie de réponse correspondante ou s'il n'existe pas de stratégie de réponse à l'échelle du réseau VPC applicable à la VM ou au nœud, Cloud DNS passe à l'étape suivante.
Recherche d'enregistrements dans les zones privées gérées à l'échelle du réseau VPC. Cloud DNS analyse toutes les zones privées gérées autorisées pour le réseau VPC à la recherche d'un enregistrement qui correspond le plus possible à la requête. Cloud DNS utilise la correspondance du suffixe le plus long pour trouver les enregistrements.
1. Si la correspondance la plus spécifique pour la requête est le nom d'une zone privée à l'échelle du réseau VPC, Cloud DNS utilise les données d'enregistrement de cette zone pour résoudre la requête.
  - Si la zone contient un enregistrement qui correspond exactement à la requête, Cloud DNS renvoie les données de l'enregistrement.
  - Si elle ne contient pas d'enregistrement correspondant, Cloud DNS renvoie NXDOMAIN.
2. Si la correspondance la plus spécifique pour la requête est le nom d'une zone de transfert à l'échelle du réseau VPC, Cloud DNS transfère la requête à l'une des cibles de transfert de la zone de transfert pour terminer le processus de résolution de nom. Cloud DNS renvoie l'une des réponses suivantes.
  - La réponse reçue de la cible de transfert.
  - Une réponse SERVFAIL si la cible de transfert ne répond pas à Cloud DNS.
3. Si la correspondance la plus spécifique pour la requête est le nom d'une zone d'appairage à l'échelle du réseau VPC, Cloud DNS arrête le processus de résolution de nom en cours et en lance un nouveau du point de vue du réseau VPC cible de la zone d'appairage.
Si la requête ne correspond pas à une zone privée, une zone de transfert ou une zone d'appairage, Cloud DNS passe à l'étape suivante.
Recherche d'enregistrements dans les zones internes Compute Engine. Cloud DNS analyse toutes les zones DNS internes Compute Engine applicables à la recherche d'un enregistrement correspondant autant que possible à la requête. Cloud DNS utilise la correspondance du suffixe le plus long pour trouver les enregistrements.
1. Si la correspondance la plus spécifique pour la requête est un nom DNS interne Compute Engine, Cloud DNS renvoie l'adresse IP interne de l'interface réseau de la VM ou son pointeur de recherche inversée comme réponse, ce qui termine le processus de résolution de nom.
Recherche d'un enregistrement à l'aide d'une requête DNS publique. Trusted Cloud respecte l'enregistrement SOA (Start of Authority) pour interroger les zones accessibles au public. Cloud DNS renvoie l'une des réponses suivantes.
- La réponse reçue d'un serveur de noms faisant autorité.
- Une réponse NXDOMAIN si l'enregistrement n'existe pas.

Exemple

Supposons que vous disposiez de deux réseaux VPC, vpc-a et vpc-b, et d'un cluster GKE, cluster-a, ainsi que les ressources à portée limitée suivantes :

vpc-a est autorisé à interroger les zones privées suivantes. Notez le point final dans chaque entrée :
- static.example.com.
- 10.internal.
peer.com. est une zone d'appairage qui peut interroger l'ordre de résolution de nom VPC de vpc-b.
vpc-a n'est associé à aucun serveur sortant ni à aucune stratégie de réponse.
cluster-a est autorisé à interroger une zone privée appelée example.com. cluster-a n'est également associé à aucun serveur sortant ni à aucune stratégie de réponse.
Une VM dans cluster-a peut interroger :
- example.com et enfants (y compris static.example.com), répondu par la zone privée appelée example.com autorisée à cluster-a.
- 10.internal sur vpc-a.
- peer.com à l'aide de la zone d'appairage.
Une VM qui n'est pas dans cluster-a peut interroger :
- static.example.com et enfants, répondu par la zone privée appelée static.example.com autorisée à vpc-a. Les requêtes pour example.com renvoient des réponses Internet.
- 10.internal sur vpc-a.
- peer.com à l'aide de la zone d'appairage.

Étapes suivantes

Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
Pour en savoir plus sur Cloud DNS, consultez la page Présentation de Cloud DNS.
Pour en savoir plus sur la configuration des stratégies de réponse, consultez la section Gérer les règles et les stratégies de réponse.