Ordem de resolução de nomes

O Cloud DNS usa o seguinte procedimento para responder a consultas de instâncias de máquinas virtuais (VMs) do Compute Engine e nós do Google Kubernetes Engine (GKE).

Para VMs do Compute Engine que não sejam nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas que recebe. Cada VM tem de ser configurada para usar o endereço IP do servidor de metadados (169.254.169.254) como o respetivo servidor de nomes.

Para nós do GKE:

  1. O Cloud DNS tenta primeiro fazer corresponder uma consulta através de políticas de resposta e zonas privadas com âmbito de cluster.

  2. O Cloud DNS continua seguindo a ordem de resolução da rede da VPC.

Políticas de resposta com âmbito de cluster e zonas privadas

  1. Corresponder com regras nas políticas de resposta com âmbito do cluster do GKE. O Cloud DNS analisa todas as políticas de resposta aplicáveis ao âmbito do cluster do GKE para uma regra em que o atributo do nome DNS corresponde ao máximo possível da consulta. O Cloud DNS usa a correspondência do sufixo mais longo para analisar as políticas de resposta com âmbito de cluster.

    1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra fornecer dados locais, o Cloud DNS devolve os dados locais como resposta, concluindo o processo de resolução de nomes.

    2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS continua para o passo seguinte.

    3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não existir uma política de resposta ao nível do cluster aplicável ao nó, o Cloud DNS avança para o passo seguinte.

  2. Faça corresponder registos em zonas privadas com âmbito de cluster. O Cloud DNS analisa todas as zonas privadas geridas ao nível do cluster para encontrar um registo que corresponda ao máximo possível à consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registos em zonas privadas com âmbito de cluster.

    1. Se a correspondência mais específica para a consulta for o nome da zona de uma zona privada com âmbito de cluster, o Cloud DNS usa os dados dos registos dessa zona para resolver o pedido.

      • Se a zona contiver um registo que corresponda exatamente à consulta, o Cloud DNS devolve os dados desse registo.
      • Se a zona não contiver um registo correspondente, o Cloud DNS devolve NXDOMAIN.

    2. Se a correspondência mais específica para a consulta for o nome da zona de uma zona de encaminhamento com âmbito de cluster, o Cloud DNS encaminha a consulta para um dos destinos de encaminhamento da zona de encaminhamento para concluir o processo de resolução de nomes. O Cloud DNS devolve uma das seguintes respostas.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL, se o destino do encaminhamento não responder ao Cloud DNS.

    3. Se a consulta não corresponder a nenhuma zona privada ao nível do cluster, o Cloud DNS continua com a ordem de resolução da rede VPC.

Ordem de resolução da rede da VPC

  1. Corresponde através do servidor de nomes alternativo da rede VPC. Se a rede VPC tiver uma política de servidor de saída, oTrusted Cloud encaminha a consulta para um dos servidores de nomes alternativos definidos nessa política para concluir o processo de resolução de nomes.

    Se existirem dois ou mais servidores de nomes alternativos na política do servidor de saída, o Cloud DNS classifica os servidores de nomes alternativos através de um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos aumentam na classificação com base em taxas mais elevadas de respostas bem-sucedidas (incluindo respostas NXDOMAIN) e com base no tempo de percurso de ida e volta mais curto (a latência de resposta mais baixa).

    O Cloud DNS envia consultas para servidores de nomes alternativos e devolve respostas através do seguinte processo.

    • Se existirem dois ou mais servidores de nomes alternativos na política do servidor de saída, o Cloud DNS envia primeiro a consulta para o servidor de nomes alternativo com a classificação mais elevada e, em seguida, para o servidor de nomes alternativo com a classificação seguinte se o Cloud DNS não receber qualquer resposta do servidor de nomes alternativo com a classificação mais elevada. Se o Cloud DNS não receber qualquer resposta do servidor de nomes alternativo com a classificação seguinte, o Cloud DNS continua a consultar servidores de nomes alternativos por ordem descendente até esgotar a lista de servidores de nomes alternativos.

    • Se o Cloud DNS receber uma resposta de um servidor de nomes alternativo, o Cloud DNS devolve essa resposta. As respostas incluem NXDOMAIN respostas.

    • Se o Cloud DNS não receber uma resposta de todos os servidores de nomes alternativos na política de servidor de saída, o Cloud DNS sintetiza uma resposta SERVFAIL. Para resolver problemas de conectividade do servidor de nomes alternativo, consulte os requisitos de rede do servidor de nomes alternativo.

    Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS continua para o passo seguinte.

  2. Corresponda usando regras em políticas de resposta com âmbito na rede VPC. O Cloud DNS analisa todas as políticas de resposta de rede da VPC aplicáveis para encontrar uma regra em que o atributo de nome DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência do sufixo mais longo para analisar as políticas de resposta com âmbito da rede VPC.

    1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra fornecer dados locais, o Cloud DNS devolve os dados locais como resposta, concluindo o processo de resolução de nomes.

    2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS continua para o passo seguinte.

    3. Se o Cloud DNS não conseguir encontrar uma política de resposta correspondente ou se não existir uma política de resposta no âmbito da rede VPC aplicável à VM ou ao nó, o Cloud DNS avança para o passo seguinte.

  3. Correspondem a registos em zonas privadas geridas com âmbito da rede VPC. O Cloud DNS analisa todas as zonas privadas geridas autorizadas para a rede VPC à procura de um registo que corresponda o máximo possível à consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registos.

    1. Se a correspondência mais específica para a consulta for o nome da zona de uma zona privada no âmbito da rede VPC, o Cloud DNS usa os dados dos registos dessa zona para resolver o pedido.

      • Se a zona contiver um registo que corresponda exatamente à consulta, o Cloud DNS devolve os dados do registo.
      • Se a zona não contiver um registo correspondente, o Cloud DNS devolve NXDOMAIN.

    2. Se a correspondência mais específica para a consulta for o nome da zona de uma zona de encaminhamento no âmbito da rede VPC, o Cloud DNS encaminha a consulta para um dos destinos de encaminhamento da zona de encaminhamento para concluir o processo de resolução de nomes. O Cloud DNS devolve uma das seguintes respostas.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL, se o destino do encaminhamento não responder ao Cloud DNS.

    3. Se a correspondência mais específica para a consulta for o nome de uma zona de peering com âmbito de rede VPC, o Cloud DNS interrompe o processo de resolução de nomes atual e inicia um novo processo de resolução de nomes a partir da perspetiva da rede VPC de destino da zona de peering.

    Se a consulta não corresponder a uma zona privada, a uma zona de encaminhamento ou a uma zona de peering, o Cloud DNS continua para o passo seguinte.

  4. Faça corresponder registos em zonas internas do Compute Engine. O Cloud DNS analisa todas as zonas de DNS internas do Compute Engine aplicáveis para encontrar um registo que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência do sufixo mais longo para encontrar registos.

    1. Se a correspondência mais específica para a consulta for um nome DNS interno do Compute Engine, o Cloud DNS devolve o endereço IP interno da interface de rede da VM ou o respetivo ponteiro de procura inversa como resposta, concluindo o processo de resolução de nomes.

  5. Corresponde ao registo através da consulta DNS pública. Trusted Cloud segue o registo de início de autoridade (SOA) para consultar zonas disponíveis publicamente. O Cloud DNS devolve uma das seguintes respostas.

    • A resposta recebida de um servidor de nomes autoritativo.
    • Uma resposta NXDOMAIN, se o registo não existir.

Exemplo

Suponhamos que tem duas redes VPC, vpc-a e vpc-b, e um cluster do GKE, cluster-a, juntamente com os seguintes recursos com âmbito:

  1. vpc-a está autorizado a consultar as seguintes zonas privadas. Repare no ponto final em cada entrada:

    • static.example.com.
    • 10.internal.

  2. peer.com. é uma zona de peering que pode consultar a ordem de resolução de nomes da VPC de vpc-b.

  3. O vpc-a não está associado a nenhum servidor de saída nem a políticas de resposta.

  4. cluster-a está autorizado a consultar uma zona privada denominada example.com. O cluster-a também não está associado a nenhum servidor de saída nem a políticas de resposta.

  5. Uma VM no cluster-a pode consultar:

    • example.com e crianças (incluindo static.example.com), respondidas pela zona privada denominada example.com, autorizada a cluster-a.
    • 10.internal em vpc-a.
    • peer.com através da zona de peering.

  6. Uma VM que não esteja no cluster-a pode consultar:

    • static.example.com e crianças, respondidas pela zona privada denominada static.example.com autorizada a vpc-a. As consultas para example.com devolvem respostas da Internet.
    • 10.internal em vpc-a.
    • peer.com através da zona de peering.

O que se segue?