Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Configurar un permiso de clúster de GKE

En esta página se describe cómo usar Cloud DNS para configurar un ámbito de clúster de Google Kubernetes Engine.

Para configurar una zona DNS con ámbito de clúster de GKE mediante Cloud DNS, primero elige una zona DNS privada que ya tengas o crea una a la que vincular un clúster de GKE específico. A continuación, configura la zona DNS para que haga referencia al nombre del clúster de GKE.

Para obtener más información sobre los ámbitos, consulta Ámbitos y jerarquías.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

dns.managedZones.create para crear una zona gestionada.
dns.managedZones.list para enumerar las zonas gestionadas
dns.gkeClusters.bindPrivateDNSZone para configurar un permiso de clúster de GKE
dns.managedZones.update para actualizar una zona gestionada
dns.managedZones.list para enumerar las zonas gestionadas
dns.managedZones.patch para actualizar una zona gestionada

Roles

roles/dns.admin

Crear una zona privada para el clúster de GKE

Para crear una zona privada gestionada con Cloud DNS para el clúster de GKE, sigue este paso.

gcloud

Ejecuta el comando gcloud dns managed-zones create:

gcloud dns managed-zones create NAME \
    --dns-name=DNS_NAME \
    --visibility=private \
    --gkeclusters=GKE_CLUSTER

Haz los cambios siguientes:

NAME: nombre de la zona
DNS_NAME: el sufijo DNS de tu zona, como example.private.
GKE_CLUSTER: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

API

Envía una solicitud POST mediante el método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

"name": "NAME",
"description": "DESCRIPTION",
"dnsName": "DNS_NAME",
"visibility": "private"
"privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "gkeClusters": [{
            "kind": "dns#managedZonePrivateVisibilityConfigGKEClusters",
            "gkeClusterName": GKE_CLUSTER_NAME_1
        },
        {
            "kind": "dns#managedZonePrivateVisibilityConfigGKEClusters",
            "gkeClusterName": GKE_CLUSTER_NAME_2
        },
        ....
    ]
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID del proyecto en el que has creado la zona gestionada
NAME: nombre de la zona
DESCRIPTION: una descripción de la zona
DNS_NAME: el sufijo DNS de tu zona, como example.private.
GKE_CLUSTER_NAME_1 y GKE_CLUSTER_NAME_2: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

Autorizar al clúster de GKE para que consulte una zona privada de Cloud DNS

Para autorizar al clúster de GKE a consultar una zona privada de Cloud DNS, completa el siguiente paso.

gcloud

Ejecuta el comando gcloud dns managed-zones update:

gcloud dns managed-zones update NAME \
    --gkeclusters=GKE_CLUSTER

Haz los cambios siguientes:

NAME: el nombre de tu zona, como my-zone
GKE_CLUSTER: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

API

Envía una solicitud PATCH mediante el método managedZones.patch:

PATCH https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/NAME
{
"privateVisibilityConfig": {
    "gkeClusters": [{
            "kind": "dns#managedZonePrivateVisibilityConfigGKEClusters",
            "gkeClusterName": GKE_CLUSTER_NAME_1
        },
        {
            "kind": "dns#managedZonePrivateVisibilityConfigGKEClusters",
            "gkeClusterName": GKE_CLUSTER_NAME_2
        },
        ....
    ]
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID del proyecto en el que has creado la zona gestionada
NAME: el nombre de tu zona, como my-zone
GKE_CLUSTER_NAME_1 y GKE_CLUSTER_NAME_2: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

Configurar el clúster de GKE para consultar una política de respuesta

Para configurar el clúster de GKE de forma que consulte una política de respuesta, sigue este paso.

gcloud

Ejecuta el comando gcloud dns response-policies create:

gcloud dns response-policies create NAME \
    --description=DESCRIPTION \
    --gkeclusters=GKE_CLUSTER

Haz los cambios siguientes:

NAME: un nombre para tu política de respuesta, como my-response-policy
DESCRIPTION: una descripción de tu política de respuesta, como "my-response-policy-for-gke-5"
GKE_CLUSTER: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

API

Envía una solicitud POST mediante el método responsePolicies.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies
{
  "responsePolicyName": "NAME",
  "description": "DESCRIPTION",
  "gkeClusters": [
    {
      "kind": "dns#responsePolicyGKECluster",
      "gkeClusterName": "GKE_CLUSTER"
    },
  ]
}

Haz los cambios siguientes:

NAME: un nombre para tu política de respuesta, como my-response-policy
DESCRIPTION: una descripción de tu política de respuesta, como my-response-policy-for-gke-5
GKE_CLUSTER: la ruta de recurso completa de un clúster de GKE, como projects/my-project/locations/us-east1a/clusters/my-cluster

Siguientes pasos

Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
Para obtener más información sobre las políticas y reglas de respuesta de Cloud DNS, consulta Gestionar políticas y reglas de respuesta.
Para ver un registro de auditoría de las operaciones, consulta Ver operaciones en zonas gestionadas.